Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(MTCNA)
• Nombre
• Compañía
• Conocimiento previo sobre RouterOS
• Conocimiento previo sobre Networking
• Qué espera de este curso?
Agenda
3
Porque tomar el curso de MTCNA?
4
Objetivos del Curso
5
Otros..
6
IMPORTANTE
7
Introducción
Módulo 1
8
RouterOS y RouterBOARD
9
Que es RouterOS?
10
Que es RouterOS?
11
Que es RouterBOARD?
www.mikrotik.com
www.routerboard.com
12
Soluciones Integradas
13
RouterBOARD (boards solamente)
14
Enclosures
15
Interfaces
16
Accesorios
17
MFM
18
Porque obtener un router integrado?
19
Router integrados, ejemplos
RB951G-2HnD
• Excelente para Casa
o SoHo
• 5 puertos Gbps
• Wi-Fi 2.4Ghz
integrado
• Licencia Nivel 4
20
Routers integrados, ejemplos
SXT Sixpack
(1 OmniTIK U-5HnD with 5 SXT-
5HPnD)
• Excelente para WISP o
empresa con oficinas
remotas
• 5 puertos 100Mbps
• (OmniTik)
• 5 radios 5Ghz 802.11a/n
• Puede cubrir hasta 5Km
entre oficina principal y
remotas
21
Routers integrados, ejemplos
CCR1036-12G-4S
Cloud Router
Modelo Elite
22
Nota de interés
24
Routers customizados, ejemplos
Flexible CPE
• RB411UAHR
1 puerto 100Mbps
1 radio 2.4GHz radio (b/g)
Licencia Nivel 4
• Añade Power supply o
módulo PoE
• Añade enclosure 3ero
• Añade modem 3G PCI-E
25
Routers customizados, ejemplos
HotSpot potente
• RB493G
9 puertos giga
Licencia nivel 4
• Añade power supply o
modulo PoE
• Añade R2SHPn (tarjeta 2.4GHz)
• Añade R5SHPn (tarjeta 5Ghz)
• Añade enclosure 3ero
• Añade tarjeta microSD
26
Primera vez accediendo el router
27
Explorador de internet
28
Explorador de Internet
29
Internet browser
• Ejemplo:
30
WinBox y MAC-Winbox
31
WinBox y MAC-Winbox
• En el navedor de
internet buscas
abajo donde se
muestran los
distintos iconos,
“click y save”.
32
WinBox y MAC-WinBox
• Ejecutas WinBox.
• IP 192.168.88.1 luego
“Connect”
• Pantalla default:
“OK”
33
WinBox’s menus
34
Console port
• Requiere que
conectes la
computadora al
router con un cable
serial
(RS-232 port).
Default is
115200bps, 8 data
bits, 1 stop bit, no
parity
35
SSH y Telnet
36
CLI
37
Configuración Inicial (Acceso al
Internet)
38
Con o sin configuración básica?
39
Configuración básica
40
Configuració básica
• Cuando te conectas
por primera vez con
WinBox escojes
OK”
• Ahora el router
inicia con la
configuración
básica predefinida.
41
Sin configuración
42
Sin configuración
43
Actualizando el router
44
Cuando actualizar?
• Corrección de un bug.
• Se requiere un nuevo Feature.
• Funcionamiento Mejorado.
NOTA: Siempre leer el changelog!!
45
Procedimiento
• Requiere planificación.
Pasos pueden requerir un orden preciso.
• Requiere validación…
y validar…
y seguir validando!!
46
Antes de actualizar
47
Como actualizar
48
Como actualizar
• 3 Maneras
Descargas el archivo y lo copias directo al router.
“Check for updates” (System -> Packages)
Auto Upgrade (System -> Auto Upgrade)
49
Descargando los archivos
50
Verificando actualizaciones
(con /system packages)
• En el menú
“System -> Packages”
• Click en “Check for
Updates” luego
“Download & Upgrade”
• Reinicia automáticamente
• Valida paquetes y estado
del router
51
Actualización Automática
52
Actualización Automática
53
Actualización firmware
RouterBOOT
• Verificar version actual
[admin@MikroTik] > /system routerboard print
routerboard: yes
model: 951-2n
serial-number: 35F60246052A
current-firmware: 3.02
upgrade-firmware: 3.05
[admin@MikroTik] >
54
Actualización firmware
RouterBoot
• Actualiza si es requerido (requerido en el
ejemplo)
[admin@MikroTik] > /system routerboard upgrade
Do you really want to upgrade firmware? [y/n]
y
firmware upgraded successfully, please reboot for changes to
take effect!
[admin@MikroTik] > /system reboot
Reboot, yes? [y/N]:
55
Manejar logins de RouterOS
56
Cuenta de usuarios
57
Manejar Servicios de RouterOS
58
IP Services
59
IP Services
60
Acceso a IP Services
• Doble-click a service
• Si es necesario
especifica que hosts o
subnets pueden accesar
el servicio,
- Muy Buena práctica el
limitar ciertos servicios a
administradores solamente.
61
Manejar configuraciones de
respaldo (Backup)
62
Tipos de respaldos (backups)
• Binary
• Configuration export
63
Binary backup
64
Export files
• Configuración complete o
parcial
• Genera un script file o lo
muestra en terminal
• Utiliza “compact” para
mostrar no
configuraciones default
(default en ROS6)
• Utiliza “verbose” para
mostrar configuraciones
default
65
Archivando backup files
66
Licencias RouterOS
67
Niveles de licencias
• 6 niveles de licencias
0 : Demo (24 hours)
1 : Free (very limited)
3 : WISP CPE (Wi-Fi client)
4 : WISP (required to run an access point)
5 : WISP (more capacities)
6 : Controller (unlimited capacities)
68
Licencias
69
Actualizando licencias
• Usos típicos
Level 3: CPE, wireless client
Level 4: WISP
Level 5: Larger WISP
Level 6: ISP internal infrastructure (Cloud Core)
70
Uso de licencias
71
Netinstall
72
Usos de Netinstall
73
Procedimiento: no serial
74
Procedimiento: no serial
75
Procedimiento: no serial
76
Procedimiento: no serial
77
Procedimiento: con Serial
78
Procedimiento: con Serial
• Reinicia el router
• Presiona “Enter” cuando lo indique
• Presiona “o” para boot device
• Presiona “e” para Ethernet
• Presiona “x” para salir del setup (router
reinicará)
79
Procedimiento: con Serial
Routeraparecerá en la sección
“Routers/Drives”
Selecciónalo
• Selecciona el paquete RouterOS que será
instalado
• Cliquea “Keep old configuration”
El botón “Install” ahora estará dispnoible, click!
80
Procedimiento: con Serial
81
Procedimiento: con serial
• Reinicia el router
• Presiona “Enter” cuando lo indique
• Presiona “o” para boot device
• Presiona “n” para NAND luego Ethernet on fail
Si
se te olvida, siempre harás boot desde el
Ethernet
• Presiona “x” para salir (reiniciará el router)
82
Recursos adicionales
83
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
• Wiki oficial de RouterOS
• Documentación de todo los comando
RouterOS
Explicación
Sintaxis
Ejemplos
• Tips adicionales!!
84
Tiktube
http://www.tiktube.com/
• Recurso de videos de varios temas
• Presentado por instructors, partners e ISPs
• Puede incluir presentaciones en ppt o pdf
• Varios lenguajes
85
Forum
http://forum.mikrotik.com/
• Moderado por el equipo de Mikrotik
• Panel de discusion de varios temas
• MUCHA informacion aquí!!
- Podrás encontrar soluciones a tus
problemas!
• Primero investiga y busca antes de postear una
pregunta. Estandard ética de foros!!
86
Mikrotik support
support@mikrotik.com
• Procedimientos explicados en
http://www.mikrotik.com/support.html
• Soporte de MikroTik
-15 days (license level 4)
-30 days (license level 5 and level 6) si
licencia fue comprada con ellos
87
Distributor / Consultant support
Visita http://www.mikrotik.com/consultants.html
88
Es tiempo de práctica!
89
Laboratorio
90
Setup
91
Laboratorio : Paso 1
92
Laboratorio : Paso 2
93
Laboratorio : Paso 3
94
Laboratorio : Paso 4
95
Laboratorio: Paso 5
96
Laboratorio: Paso 6
97
Laboratorio: Paso 7
98
Fin del Laboratorio 1
99
Routing
Módulo 2
100
Routing Overview
101
Conceptos de Routing
• Routing es un proceso en el Layer 3 del modelo
OSI.
• Routing define donde el tráfico de
comunicación será enviado (forwarded, sent).
• Es requerido que multiples subnets se puedan
comunicar.
Aún si se encuentran en el mismo “wire” (hub,
switch u otro que permita comunicación)
102
Conceptos de Routing: Ejemplo 1
Computadoras no se podrán comunicar!!
103
Conceptos de Routing: Ejemplo 2
Computadoras Si se podrán comunicar.
104
Route Flags
• Las Rutas tienen estatus. En este curso nos
familiarizemos con:
X : Disabled
A : Active
D : Dynamic
C : Connected
S : Static
105
Route flags
106
Route flags
107
Static Routing
108
Static routes
• Rutas a subnets que existen en un router son
automáticamente creadas y conocidas
solamente por ese router.
• Que sucede si necesitas alcanzar un subnet que
exista en otro router? Configuras una ruta
estática.
• Una ruta estática es una manera manual de
redirigir (forward) tráfico a subnets no
conocidos.
109
Static routes
110
Static routes
• Entendiendo los campos…
Flags : El estado de cada ruta,
Dst. Address : IP o Subnet de destino para el cual la ruta es utilizada.
Gateway : Típicamente, es el IP address del próximo salto (next hop) el
cual recibirá los paquetes destinados al “Dst. Address”.
Distance : Valor utilizado para selección de ruta. En configuraciones
donde varias rutas son posibles, la ruta con el valor menor es la preferida.
Routing Mark : Tabla de ruta (Routing table) que contiene esta ruta.
Tabla de ruta (routing table) default es “Main”.
Pref. Source : La dirección IP de la interface local del router resposanble
de redireccionar (forward) los packets enviados por el subnet anunciado
(advertised).
111
Porqué utilizar rutas estáticas (static
routes)?
• Hace la configuración mas simple en un
network pequeño donde usualmente no habrá
crecimiento.
• Limita el uso de los recursos del router
(memory, CPU)
112
Limites de rutas estáticas
• No es escalable.
• Configuación manual es requerida para cada
nuevo subnet el cual se requiera alcanzar.
113
Límites de rutas estáticas:
Ejemplo:
Tu red crece y tienes la
necesida de agregar enlaces
a routers remotos.
(Asumiendo que cada
router tiene 2 redes LAN y
1 red WAN)
114
Límites de rutas estáticas:
Ejemplo:
Router 3 a 5: 9 rutas
Router 2: 2 rutas
Router 6 y 7: 4 rutas
115
Creando rutas
• Para anadir una ruta
estática :
IP -> Routes
+ (Add)
Especifica subnet y
máscara
Especifica “Gateway”
(next hop)
116
Configurando el default route
• La ruta 0.0.0.0/0
Conocido como el Default route.
117
Manejando rutas dinámicas
• Según mencionado, rutas dinámicas son
añadidas por el proceso de enrutamiento no por
el administrador.
• Es Automático.
• No puedes manipular rutas dinámicas. Si la
interface donde la ruta dinámica está creada se
desconecta o se va “down”, también la ruta
dinámica se elimina.
118
Manjenado rutas dinámicas
Ejemplo:
119
Implementando enrutamiento estático en un
simple network
Considera lo siguiente:
120
Implementando enrutamiento estático
• Ejercicio:
121
Implementando enrutamiento estático
• router-1
/ip route
add gateway=172.22.0.18
add dst-address=10.1.2.0/24 gateway=10.0.0.2
• router-2
/ip route
add gateway=10.0.0.1
122
Es tiempo de ponerlo en práctica!
123
Laboratorio
124
Laboratorio : Setup
125
Laboratorio : Paso 1
126
Laboratorio : Paso 2
127
Fin del laboratorio 2
128
Bridging
Módulo 3
129
Bridging overview
130
Conceptos de Bridging
131
Conceptos de Bridging
• Bridges también eran utilizados para crear
pequeños collision domains .
Lameta era mejorar el funcionamiento reduciendo el
tamaño del subnet. Especialmente eran muy útiles
antes de la llegada de los switches.
• Switches son conocidos como bridges multi-
puertos (multi-port)s
• Cada Puerto es un collision domain de UN nodo o
aparato!
132
Ejemplo 1
• Todo las computadoras se pueden comunicar entre sí
• Cada una debe esperar que todas las computadoras
dejen de comunicar antes que una pueda comenzar a
transmitir!
133
Ejemplo 2
• Toda las computadoras se escuchan entre sí.
• Toda las computadoras ahora solo comparten la mitad del
“wire”
• Aún deben esperar que cada una termine de transmitir antes de
que otra pueda hacerlo pero el grupo se ha reducido a la mitad.
• Mejor funcionamiento para todas!
134
Utilizando bridges
• Por default, en routers MikroTik, puertos
Ethernet son asociados (slave) a un Puerto
master
Ventaja : Switching en velocidad wire (a través del
switch chip, no por software).
Desventaja : No hay visibilidad del tráfico en los
puertos slave. No es deseable si monitoreas los
puertos y la red con SNMP.
135
Utilizando bridges
136
Creando bridges
137
Creando bridges, ejemplo
138
Añadiendo puertos a bridges
139
Añadiendo puertos a bridges
140
Añadiendo puertos a bridges,
ejemplo
141
Bridging redes wireless
142
Tiempo de práctica!
143
Laboratorio
144
Laboratorio : Setup
145
Laboratorio : Paso 1
• Ejecuta “ping –t –w 500 192.168.0.254”.
• Desconecta cable de network del puerto (#5) y
conéctalo a otro puerto.
• Resultados?.
• Deja la panatalla de CMD en tu computadora
abierta hacienda ping y visible a través de este
laboratorio.
146
Laboratorio : Paso 2
• Conéctate a tu router de forma tal que puedas
trabajar con el .
• Crea una interface Bridge. Nómbrala “LAN” y
deja los demás parámetros por default.
• Asígnale el IP address de tu POD
(192.168.X.1) a la interface Bridge.
• Resultados?
147
Laboratorio: Paso 3
• Abre la ventaja de “Interfaces” y verifica cuales
están corriendo.
• Asigna puertos #2 al #5 a la interface bridge
“LAN”.
• Resultados? Cuando comenzó a responder el
ping nuévmaente?
• Cambia tu cable a unos de los puertos entre #2
al #5. Que sucedió? Que significa “I” en la
columna.
148
Fin del laboratorio 3
149
Wireless
Módulo 4
150
Conceptos 802.11
151
Frecuencias
• 802.11b
2.4GHz (22MHz bandwidth), 11Mbps
• 802.11g
2.4GHz (22MHz bandwidth), 54Mbps
• 802.11a
5GHz (20MHz bandwidth), 54Mbps
• 802.11n
2.4GHz or 5GHz up to 300Mbps, if using 40MHz
channel and 2 radios (chains)
152
Frecuencias
153
Frecuencias
154
Frecuencias
• Bandas
Mikrotik
soporta ambas bandas 5GHz (802.11a/n) y
2.4GHz (802.11b/g/n)
155
Frecuencias
• El feature “Advanced Channels” provee
posibilidades extendidas en la configuracion de
interface wireless:
scan-list cubre multiples canales y tamaños de
canales (channel width)
Frequencies non-standard channel center
(especificado con KHz granularity) para hardware
que lo soporte;
non-standard channel widths (especificado con KHz
granularity) para hardware que lo soporte
156
Frecuencias
• Basic-rates son las velocidades que un cliente (CPE) DEBE
tener soporte para poder conectar al AP
• Supported-rates son las velocidades posibles luego que se logra
la conección (varios factores pueden influenciar en lograr la
velocidad mas alta)
• Data-rates son los rates aceptados según el estandar a ser
utilizado:
802.11b : 1 a 11Mbps
802.11a/g : 6 a 54Mbps
802.11n : 6 a 300Mbps, de acuerdos a factores tales
como channel bandwidth (20 or 40 MHz), Guard
Interval (GI), and chains
157
Frecuencias
• HT chains
Son antenas para un radio
Utilizado para 802.11n y también es un factor en
cuanto a la capacidad de transferencia (Throughput)
158
Frecuencias
• Frequency mode
Regulatory-domain : Limita canales y TX power
basado en las regulaciones del país (country
regulations)
Manual-txpower : Igual que la anterior pero sin
restricción de TX power.
Superchannel : Ignora toda restricción. (equivalente
a compliant test)
159
Frecuencias
160
Configurando un link wireless simple
161
Configurando un link wireless simple
• IMPORTANTE CONFIGURA
UN SECURITY-PROFILE!
El no hacerlo es una vulnerabilidad en
tu network y permite acceso
completo.
162
Configurando un link wireless simple
163
Configurando un link wireless simple
164
Configurando un link wireless simple
Cliquea “Snooper”
Pendiente! Esto DESCONECTA la
interface wlan y todo cliente que esté
conectado
165
Configurando un link wireless simple
166
Configurando un link wireless simple
• Configuración de cliente
Mode : station
Band : Igual al AP.
Frequency : No es necesario
para clientes
167
Configurando un link wireless simple
• Configuración de cliente
SSID : Igual al AP que quieres
conectar
Wireless protocol : Igual al AP que
quieres conectar
Creand un security profile, según se
configuró con el “access point” y se
aplicó. Estos parámetros TIENEN
que ser iguales
168
MAC address filtering
169
MAC address filtering
170
MAC address filtering
172
MAC address filtering
173
MAC address filtering
174
MAC address filtering
175
MAC address filtering
176
MAC address filtering
• Default-authentication : Especifica el
comportammiento luego de verificar el acceso y el
connect lists.
Para APs, si está configurado “Yes”, permitirá conecciones si
no hay un access-list, SSID y security profile. En otras
palabras, no habrá conexiones permitidas.
Para stations o clientes, si está configurado “Yes”, si permitirá
conección si no hay un match de connect-list, SSID y security
profile. En otras palabras nuevamente, no habrá conexiones
permitidas.
177
MAC address filtering
• Default-authentication
Si AP no tiene access list y default-authenticate no
está seleccionado, clientes nunca se conectarán
Si la estación o cliente no tiene un connect list y
default-authenticate no está seleccionado nunca se
conectará al AP.
178
MAC address filtering
• Default-forwarding : Especifica el
comportamiento de transmisión luego de
validar el access lists.
- Si está en “Yes”, permitirá comunicación en
Layer 2 entre clientes.
- Si está en “No”, clientes se comunicarán entre sí
en Layer 3 si las reglas de Firewall lo permite.
179
Wireless security and encryption
• WPA, WPA2
Wi-Fi Protected Access (I and II)
Protocolo de autenticación creados luego de la
debilidad encontrada en WEP
Si está correctamente configurado, WPA es muy
seguro
Debilidad a ataques de brute force fueron encontrados
cuando se utiliza WPS (Wi-Fi Protected Setup)
WPS no es utilizado por Mikrotik
180
Wireless security and encryption
• WPA
Utilizado para reemplazar WEP
Utiliza TKIP como protocolo de encripción
Genera una llave por cada paquete nuevo transmitido
181
Wireless security and encryption
• WPA2
Utiliza CCMP como protocolo de encripción
Basado en AES
Mas fuerte que TKIP
Es mandatorio en equipos certificados Wi-Fi desde el 2006.
Debe ser utilizado para lograr mayores data rates o de otra
manera se limita a 54Mbps
(http://www.intel.com/support/wireless/wlan/4965agn/sb/cs-025643.htm)
182
Wireless security and encryption
• WPA-Personal
Conocido también como WPA-PSK, está diseñado
para SOHO u Hogar
No requiere servidor de autenticación
La autenticación de cliente a AP es basada en una
llave de 256-bit key generada por el pre-shared key
(PSK), el cual puede ser una contraseña, frase o
ambos.
183
Wireless security and encryption
• WPA-Enterprise
Conocido también como modo WPA-802.1X mode,
diseñado para redes empresariales
Utiliza EAP para autenticación
Requiere un servidor de RADIUS para la
autenticación
Mas complejo para implementar, pero provee
features adicionales tales como: proteción contra
dictionary attacks en contraseñas débiles
184
Protocolos wireless MikroTik
185
Protocolos wireless MikroTik
• Beneficios de NV2
Aumento de velocidad
Soporta mas conecciones de clientes en ambientes
mulitpoint (limite es de 511 clientes)
Menos latencia
No tiene limitación de distancia
No tiene penalidad por distancias largas
186
Herramientas de monitoreo
187
Herramientas de monitoreo
Frequency usage
Scan
188
Herramientas de monitoreo
• Wireless scan : Frequency
Usage
Muestra toda las
frecuencias soportadas y
su utilización basado en
los AP de los neighbors
presentes
También desconecta
clientes wireless que
estén conectados!
189
Herramientas de monitoreo
• Wireless scan : Scan
Provee información
acerca de los Neighbor
APs
También desconecta
clientes que estén
conectados!
190
Herramientas de monitoreo
• Snooper
Provee información de
ambos Clientes y APs
presentes
Sucede lo mismo
191
Monitoring tools
• Snooper
Provee información de
ambos Clientes y
Neighbor APs +
información de los
clientes
192
Herramientas de monitoreo
193
Herramientas de monitoreo
194
Herramientas de monitoreo
• Registration table
Podemos ver estatus actual
de estaciones registradas
Nota : Comentarios que
aparezcan encima de una
estación registrada
proviene del “Access List”
tab. Util para verificar bajo
cual criterio la estación o
cliente fue autenticado
195
Bridging wireless networks
196
YES!! Tiempo de laboratorio
197
Laboratorio
• Metas del laboratorio
Utilizar varias herramientas para analizar canales
utilizados y características de redes wireless, APs y
estaciones
Configurar los PODs como cliente wireless para
contectar al AP del instructor
Configurar los PODs como APs
Familiarizarse con Access-list y Connection-List
198
Laboratorio : Setup
199
Laboratorio : Paso preliminar
200
Laboratorio : Paso 1
• Ejecuta uno despues del otro:
Frequency Usage
Anota los canales de mayor uso
Scan
Haz un link entre frecuencias y SSIDs
Snooper
Que puedes determinar de la red?
Que significa los símbolos a mano izquierda?
201
Laboratorio : Paso 2
202
Laboratorio: Paso 3
203
Laboratorio: Paso 4
• Haz Double-click en “Interfaces” y ve a “Wireless”. También
puedes ir directo a “Wireless” en el menú. Luego cliquea
“Advanced Mode” y entra los siguientes parámetros:
Mode : ap bridge
Band : 2GHz-B/G/N
Channel width : 20MHz
Frequency : Odd pods use 2437, even pods use 2462
SSID : podX
Wireless protocol : 802.11
Security Profile : default (recuerda solo haz esto en ambiente de prueba)
Frequency Mode : Regulatory-domain
Country : <where you are now>
Default Authenticate is checked
204
Laboratorio: Paso 5
205
Laboratorio: Paso 6
206
Laboratorio: Paso 7
207
Laboratorio : Paso 8
Configuración Preliminar
• IP address para WLAN1
192.168.252.podX
• Habilita la interface wlan1 interface si se encuentra
deshabilitada
• Security profile
Name : WPA2
Authentication types : WPA2 PSK
Unicast and group ciphers : aes ccm
WPA2 pre-shared key : mtcna123!
208
Laboratorio : Paso 9
• Activa el tab de “Advanced Mode” en la interface de
configuración “Wireless”
• Necesitas conectarte al AP de la clase. Utiliza los
siguientes parámetros el cual DEBEN ser compatible
para poder conectar:
- Mode : Station
Band : 2GHz-only-N
SSID : WISP
Radio name : WISP-PODX
Wireless protocol : 802.11
Security profile : WPA2
209
Laboratorio : Pas 10
Frequency Mode : regulatory-domain
Country : Usualmente, seleccionas el país donde el
AP será instalado.
Deje “Default Authenticate” seleccionado por ahora
• Cliquea OK, y selecciona el tab “Registration”
en la ventana de “Wireless Tables”
• Debes ver el registrado el AP del instructor. Si
lo vez, estás conectado!
But wait!!!
210
Laboratorio : Paso 11
• Antes que puedas navegar al hay que corregir
el routing table
Redefine el default gateway a: 192.168.252.254
Redefine la ruta de tu POD vecino LAN interface
(192.168.Y.1) para que salga por 192.168.252.Y
Hazle Ping al LAN de tu POD vecino (192.168.Y.1)
Resultado?
211
Fin de laboratorio 4
212
Network management
Módulo 5
213
ARP
214
ARP modes
215
ARP modes
• “ARP modes” le indica a RouterOS de que manera se trabajará
con ARP.
Modes son configurados por interface
• Los “modes” son
Enabled : Modo default. ARP requests son respondido y el ARP table se
popula automáticamente.
Disabled : La interface no enviará o responderá a ARP requests. A los
demás se le DEBE indicar cual es el MAC address del router.
Proxy ARP : El router responderá ARP request que venga de la red
conectada diréctamente (no importando origen)
Reply only : El router responderá ARP request. El ARP table hay que
popularla estáticamente.
216
RouterOS ARP table
217
RouterOS ARP table
218
ARP syntax
• Ver ARP table :
/ip arp print
• Añadir una entrada estática:
/ip
arp add address=172.16.2.222 mac-
address=11:22:33:44:55:66 interface=Bridge-PC
• Configurar ARP mode :
/interface ethernet set ether04 arp=proxy-arp
219
DHCP server y client
220
DHCP server
221
DHCP server setup
222
DHCP server setup
• En la ventana de DHCP-server simplemente le
das click a “DHCP Setup” y contesta las
preguntas:
DHCP Server Interface
DHCP Address Space
Gateway for DHCP Network
Addresses to Give Out
DNS Servers (more than one can be entered)
Lease Time
223
DHCP server setup
224
DHCP server setup
• Resultados de configuración automática
225
DHCP server setup
• DHCP puede ser configurado con opciones tales
como:
42 : NTP Servers
70 : POP3-Server
Visita http://www.iana.org/assignments/bootp-dhcp-
parameters/bootp-dhcp-parameters.xhtml para ver mas
opciones.
• Nota Importante
Si haz creado un ambiente en bridge, El DHCP Server DEBE
ser configurado a la interface Bridge. Si se configure en la
interface física, el DHCP server no funcionará
226
DHCP server syntax
227
DHCP server syntax
228
Configuración DHCP server “Networks”
• Ejemplo de
configuración
básica
• Ejemplo de
configuración
expandida
229
DHCP client
• Permite a las interfaces a solicitor direcciones IP
El servidor remoto de DCHP suplirá:
Address
Mask
Default gateway
Two DNS servers (si ha sido configurado de tal manera)
El DHCP client suplirá opciones configurables:
Hostname
Clientid (en la forma de MAC address)
• Normalmente es utilizado en interfaces que conectan
al internet.
230
DHCP client syntax
• Para configurar una interface con DHCP-client
/ip
dhcp-client add interface=ether5 dhcp-
options=clientid,hostname
• Para ver y habilitar un DHCP client
/ip dhcp-client print
/ip dhcp-client enable numbers=1
• Para ver la dirección recibida en el DHCP
client
/ip address print
231
Lease management
• La sección "/ip dhcp-server lease" provee
información acerca de los DHCP clients y
leases
• Muestra leases dinámicos y estáticos
• Se puede cambiar un lease dinámico a no
estático
Muy util cuando unoo equipo necesita mantener el
mismo IP address.
Alerta! Si cambias la tarjeta de red el IP cambiará
debido al cambio de MAC address
232
Lease management
233
Lease management syntax
• Para ver DHCP leases
/ip dhcp-server lease print
/ip dhcp-server lease print detail (gives more detailed
information)
• Para configurar un IP address estático en el DCHP
server
/ip dhcp-server lease make-static numbers=0
• Para modificar la entrada anterior
/ip dhcp-server lease set address=192.168.3.100 numbers=0
234
RouterOS tools
235
E-mail
236
E-mail, ejemplo
/export file=export
/tool e-mail send to=home@gmail.com subject="$[/system identity get name]
export"\
body="$[/system clock get date] configuration file" file=export.rsc
237
Netwatch
238
Netwatch
• Es MUY útil..
Recibir alertas de fallas en el network
Automatizar el cambio de default gateway, por
ejemplo, en caso el router principal falle.
Para saber qué está arriba y abajo!
Cualquier otro que puedas configurar para
simplificarte el trabajo (y te haga ver mas eficiente
!)
239
Ping
• Herramienta básica de conectiviad el cual utiliza
mensajes ICMP Echo para determinar accesibilidad
del host remoto y delay en el viaje ida y vuelta del
paquete enviado
• Una de las primeras herramients a ser utilizada en el
troubleshooting. “Si da ping, está arriba (desde punto
de vista en la red)
• Utilízalo con otras herrramientas en combinación
cuando estás haciendo troubleshooting. No es la
herramienta mas eficaz pero con algo se debe
comenzar.
240
Ping syntax
• CLI
[admin@MikroAC1] > ping www.mikrotik.com
HOST SIZE TTL TIME STATUS
159.148.147.196 56 50 163ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 160ms
sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
max-rtt=163ms
Debes oprimir “CTRL-C” para detener el ping en el
CLI de RouterOS
241
Traceroute
242
Traceroute
• CLI
/tools traceroute www.mikrotik.com
[admin@MikroAC1] > /tool traceroute www.mikrotik.com
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 100% 3 timeout
4 100% 3 timeout
244
Profiler (CPU load)
• CLI
/tool profile
[admin@MikroAC1] > /tool profile
NAME CPU USAGE
console all 0%
flash all 0%
networking all 0%
radius all 0%
management all 0.5%
telnet all 0.5%
idle all 99%
profiling all 0%
unclassified all 0%
-- [Q quit|D dump|C-z continue]
• Para mas detalles acerca de procesos y lo que significan and favor visitar
http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler
245
System identity
• Aunque no es una herramienta, es importante para
indentificar el router.
No puedes administrar 100 routers que tengan el mismo nombre.
Hace mas dificil el troubleshooting
Una vez configurado, hará la identificación de tu router sea mas
simple.
• Syntax
/system identity print (show current name)
/system identity set name=my-router (sets the router's name)
246
Contactando a MikroTik support
247
Supout.rif
248
Supout.rif
• Una vez
generado, el
"supout.rif" lo
podrás encontrar
en “Files”
249
Supout.rif Viewer
• Para accesar el
"supout.rif viewer",
necesitas entrar a tu
cuenta de
MikroTik.com
Debes tener una cuenta
250
Supout.rif Viewer
• Lo primero es
localizar archivo que
generaste en el router 2
1
y cargarlo a la página
• Comienza a navegar
toda tu configuración
• El view por default es
“resource”
3
251
Autosupout.rif
252
System logging y debug logs
• Logging es importante para asegurar un
historial (permanente o no) de los eventos del
router
• La forma mas facil de ver los eventos es a
través de “log” (Menu)
• Por CLI es..
/log print
253
System logging
• Actions
Acciones que el router ejecutará en un evento
Los Rules le dice al router que “action” tomará
Hay 5 tipos de “actions”, lo cual te permite
flexibilidad
254
System logging
• Actions, ejemplos
0 * memory memory
1 * disk disk
2 * echo echo
3 * remote remote 172.16.1.105
255
System logging
• Rules
Le indican al RouterOS que “action” tomar para un evento
determinado (llamado “topic”)
Puedes tener mas de un “Rule” para el mismo “topic”, cada
rule ejecutando un “action” diferente
Puedes tener un “rule” con uno o mas “topics”, ejecutando un
“action”
Añadir “rules” es simple, escoges uno o mas “topics”, le
asignas nombre al rule, y luego escoges un action. (Es por
esto que se sugiere configures un action primero)
256
System logging
• Rules, ejemplos
[admin@NINsys] > /system logging print
Flags: X - disabled, I - invalid, * - default
# TOPICS ACTION
PREFIX
0 * info memory INF
!firewall
1 * error memory ERR
4 firewall memory FW
5 firewall firewallJournal FW
!firewall
7 error remote ERR 257
System logging syntax
• Ver rules
/system logging print
• Ver actions
/system logging action print
• Almacenar mensajes del firewall a un syslog server
/system logging action
add bsd-syslog=yes name=firewallJournal remote=172.16.1.105 src-
address=10.5.5.5 syslog-facility=local5 target=remote
• Crear una regla de firewall para topics el cual utilizará la acción
previa
/system logging
add action=firewallJournal prefix=FW topics=firewall
258
Donde son enviado los logs
• Según indicado en “actions”, logs pueden ser
enviados a 5 opciones distintas:
Disk : Un disco externo en el router
Echo : La consola (Consola) del router (si está
presente por serial)
Email : Una cuenta de email predefinida
Memory : La memoria interna del router (según visto
en la ventana de “log”)
Remote : A un syslog server
259
Configuraciones Leibles
• Alias “Que esté claro!”
• Mala documentación es tu peor enemigo. Mantén tus
configuraciones claras y leibles a través de
commentarios, nombres y uniformidad
Comentarios : Asignale una descripción
Nombres : Hazlo significativo
Uniformidad : Haz lo mismo en todo lo demás
• Porque hacer todo esto?
Por tu propio bién. En el camino te hará el trabajo mas facil y
te hace mas eficiente! (nuevamente)
260
Configuraciones Leibles
• Ejemplos
261
Diagramas del Network
• Un buen diagrama es necesario! Aún si estás recién
comenzando, tu network no siempre será pequeño
• Identifica todo los componentes claves
• Manténlo actualizado (donde fallamos casi todos)
• Es una gran herramienta de troubleshooting.
Utilízalo para identificar puntos de falla
Utilizando toda las herramientas repasadas en este modulo
(ping, traceroute), anota posibles situaciones
262
Diagramas del Network
• Ejemplo
Todo los puertos están
marcados
Equipos son
identificados
Número de revision
está actualizado
263
Y continuamos con los laboratorios!!
264
Laboratorio
265
Laboratorio : Setup
266
Laboratorio : Paso 1
• Muestra las entradas de ARP de tu router
Identifica
cada entrada
Basado en el diagrama del lab, hace sentido?
Compara con el Puerto donde el MAC fue aprendido
• Valida en que ARP mode están tus interfaces
• Añade un MAC-Address falso como si hubiese
sido aprendido desde el bridge “LAN”
267
Laboratorio: Paso 2
• Añade un DHCP client en la interface WLAN1
• Solicítale al instructor que haga una reservació estática
en su DCHP server. El dígito final del IP debe ser el
de tu POD
• Proveele al el MAC-Address de tu interface WLAN ya
que aún no se han identificado los routers
• Elimina tu IP estática que tenias previa
• Renueva tu ip del DHCP client
• Cual IP obtuviste?
268
Laboratorio : Paso 3
• Cleanup
Cuando configuraste el DHCP cliente la opción “Add
default route” estaba en “yes”. Esto significa que el
DHCP Client recibe un default route (ruta cero)
Muestra tus rutas. Que vez en el default route?
Que debes hacer para limpiar la tabla de rutas
(Routing table)?
269
Laboratorio : Paso 4
• Configura un DHCP para la computadora conectada en
el bridge “LAN”
• Asegura que la configuración..
Asigne dirección IP
Que el DNS sea el mismo que tu gateway (o sea tu router)
Reconfigura tu computadora para recibir ip dinámica.
Configura tu router para que siempre asigne el IP .20X (X es
tu POD)
Que debes hacer para lograrlo?
270
Laboratorio : Paso 5
• Cleanup
Añade un comment a tu IP estática para indicar para
que es la reservación.
En el tab de DCHP en el DHCP Server, asígnale un
nombre (el default es dhcp1)
271
Laboratorio : Paso 6
• E-mail setup
Configurael e-mail para permitir envío a un
email personal
Puedes utilizar el que desees
272
Laboratorio : Paso 7
• Netwatch
Utilizaesta herramienta para monitorear un equipo
provisto por el instructor
Para agilizar el tiempo, configura intérvalo de
monitoreo a 30 segundos.
273
Laboratorio : Paso 8
• Netwatch
Utiliza estos scripts (Copy & Paste):
Up
/tool e-mail send to="<your-e-mail-address>" subject="$[/system identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node up."
Down
/tool e-mail send to=“<your-e-mail-address>" subject="$[/system2identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node down."
1
3
274
Laboratorio : Paso 9
• Netwatch
Deshabilitael equipo de prueba. Verifica si recibes
un e-mail indicando el cambio de estatus. Debe
llegar un correo similar..
275
Laboratorio : Paso 10
• Ping
Utiliza
la herramienta de ping para validar que el
equipo de prueba responde paquetes ICMP echo
packets. Hazlo también por CLI
• Traceroute
Utiliza
la herramienta para verificar que hay de por
medi entre tu router y el equipo de prueba.
Compáralo con el diagrama del lab. Hazlo también
por CLI
276
Laboratorio : Paso 11
• Profiler
Ejecuta el profiler y verifica los procesos corrriendo
en tu router.
Que significa el porcentaje mayor?
Sortélo en la columna “usage”
277
Laboratorio : Paso 12
• Supout.rif
Crea un archivo supout.rif.
Donde lo almacenó?
Cárgalo a tu cuenta de MikroTik.com y navega las
distintas áreas.
278
Laboratorio : Paso 13
• Logging
Crea un “action”:
Type is “memory”
Crea un “rule”:
topics “e-mail” y “debug”
Action “action1”
Abre la ventaja de “log”
Regresa a la herramienta de e-mail y envía un correo
de prueba. Que se muestra en el log?
279
Laboratorio : Paso 14
• Cleaning
Ve al a ventana de logging, actions tab y renombra
“action1” a “E-mail-Debug”
Que sucedió? Renombra “action1” a “EmailDebug”
Regresa al tabe de rules. Que notas de la entrada “e-
mail, debug”?
• Haz un binary backup de tu configuración con
la misma estructura de nombre del modulo
anterior (module5-podX)
280
Laboratorio : Paso 15
• Por último, renombra tu router para que
muestre:
Elnombre de tu Pod
La primera letra mayúscula
• Crea 2 backups con nombre Module5-Podx
Uno debe ser binary backup
El Segundo export backup
281
Fin del laboratorio 5
282
Firewall
Módulo 6
283
Firewall Principles
284
Firewall principles
• Un Firewall es un servicio que permite o
bloquea paquetes de data que se transmiten
basado en reglas.
• El Firewall simula una pared entre 2 redes
• Un ejemplo común es tu LAN (trusted) y el
internet (not trusted).
285
Firewall principles
Como funciona el Firewall
• Opera utilizando reglas. Estas están divididas en 2 partes:
The matcher : Las condiciones que se requieren para hacer “match”
The Action : Que sucederá una vez tenga “match”
• Para hacer “match” se revisa lo siguiente:
Source MAC address
IP addresses (network o lista) y address types (broadcast, local, multicast, unicast)
Puerto o Rango de puertos
Protocolo
Opciones de Protocol (ICMP type y code fields, TCP flags, IP options)
La interface a donde llega o sale el paquete
DSCP byte
Y más…
286
Packet flows
287
Packet flows
• Overall diagrams
288
289
Packet flows
290
Packet flows, ejemplo
291
Packet flows, ejemplo
Pinging
===PREROUTING===
Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100-
>192.168.3.2, len 60
===FORWARD===
Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100-
>192.168.3.2, len 60
Reply out
===OUTPUT===
Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len
88
292
Packet flows, ejemplo explicado
/ip firewall filter
add action=log chain=input log-prefix=Filter-input protocol=icmp
add action=log chain=output log-prefix=Filter-output protocol=icmp
add action=log chain=forward log-prefix=Filter-forward protocol=icmp
293
Connection tracking y states
• Connection tracking maneja la información acerca de toda las conecciones.
• Antes de crear filtros de firewall (o reglas), es bueno saber que tipo de tráfico
atraviesa tu router. El connection tracking se encarga de esto.
294
Connection tracking y states
• Si deshabilitas tracking por alguna razón, los siguientes features dejarán de
funcionar:
NAT
Firewall
-
connection-bytes - connection-mark
-
connection-type - connection-state
-
connection-limit - connection-rate
- layer7-protocol - p2p
- new-connection-mark - tarpit
p2p matching in simple queues
• Por tal razón antes de deshabilitarlo asegúrase tener muy claro las razones y
el propósito!
295
Connection tracking y states
Los Connection states son: (asumiendo cliente-A estáinicializando una conección hacia
cliente-B):
296
Connection tracking y states
297
Structure : chains y actions
• Un chain es un agrupamiento de reglas basadas en el mismo criterio. Hay 3
distintos tipos de chain predefinidos por RouterOS basados en el mismo
criterio:
Input : Tráfico que va hacia el router
Forward : Tráfico que atraviesa el router
Output : Tráfico que es originado desde el router
• Puedes tener chains creados basados en tus propios criterios. Por ejemplo :
Todo tráfico icmp
Tráfico que llegue desde la interface Ether2 y con destino al bridge “LAN”.
• Chains definidos por usuario son creados cuando seleccionas “matchers” y
seleccionas “action -> jump”. Le asignas un nombre en el campo “jump
target”.
Luego de esto, puedes comenzar a crear reglas utlizando este Nuevo “Chain”
seleccionándolo en el campo “chain” cuando creas la regla nueva de firewall.
298
Structure : chains y actions
• Un “action” dicta que hará el filtro cuando hay un
“match” de paquetes.
• Paquetes son verificados secuencialmente contra
cualquier regla que exista en el chain del firewall hasta
que ocurra un “match”. Cuando lo encuentra, la regla
se aplica.
• Ciertos “actions” requiere que paquetes sean menos o
mas procesados por otras reglas.
• Otros “actions” pueden demandar que un paquete sea
procesado en otro “chain”. Lo veremos mas adelante.
299
Firewall filters en acción
300
Filosofía básica de seguridad
• Puedes aplicar seguridad de varias maneras:
301
Tips y sugerencias básicas
302
Tips y sugerencias básicas
• Antes que comiences, establece una política.
• Escribe en tu propio lenguaje las reglas básicas que requieres
establecer
Luego que las entiendas y estes de acuerdo; las configuras en tu router
• Añade reglas de firewall progresivamente luego que ya estés de
acuerdo con las básicas.
Si eres nuevo en la seguridad, no te ayudará comenzar a configurar en
toda las direcciones (disparar de la vaqueta!) Haz lo básico, pero hazlo
bién.
Solo, no demores en añadir las demás reglas porque una cosa es hacerlo
bién y otro tema es abrir vulnerabilidades por el hecho de que quieres
validar primero las reglas básicas.
303
Tips y sugerencias básicas
• Es una buena idea finalizar tus “chains” con una regla
“catch-all” y así poder ver que dejaste.
• Necesitarás 2 reglas "catch-all", una para hacer "log" y
la otra para hacer "drop" de tráfico que no haga match
con la regla. Ambas reglas tiene que ser basadas en los
mismos “matcher” para que te puedan ser útil.
• Una vez logras ver que llega a las reglas de "catch-all",
puedes añadir reglas en el firewall para que manipulen
estos paquetes a tu manerja.
304
Filter Matchers
• Antes de poder aplicarle "action" a un paquete el
mismo tiene que ser identificado primero.
• Son varios “Matchers”!
305
Filter actions
• Una vez un paquete ha sido aplicado a una regla, un action le será asignado
• Los firewalls de MikroTik tiene 10 “actions”.
Accept Accept the packet. Packet is not passed to next firewall rule.
Add-dst-to-address-list Add destination address to address list specified by address-list parameter. Packet is passed to next firewall
rule.
Add-src-to-address-list Add source address to address list specified by address-list parameter. Packet is passed to next firewall rule.
Drop Silently drop the packet. Packet is not passed to next firewall rule.
Jump Jump to the user defined chain specified by the value of jump-target parameter. Packet is passed to next firewall rule
(in the user-defined chain).
Log Add a message to the system log containing following data: in-interface, out-interface, src-mac, protocol, src-
ip:port->dst-ip:port and length of the packet. Packet is passed to next firewall rule.
Passthrough Ignore this rule and go to next one (useful for statistics).
Reject Drop the packet and send an ICMP reject message. Packet is not passed to next firewall rule.
Return Pass control back to the chain from where the jump took place. Packet is passed to next firewall rule (in
originating chain, if there was no previous match to stop packet analysis).
Tarpit Capture and hold TCP connections (replies with SYN/ACK to the inbound TCP SYN packet). Packet is not passed to
next firewall rule.
306
Protegiendo tu router (input)
• El input mira el tráfico dirigido hacia el router.
• La reglas que añadas en el input ayudan a
prevenir ataques de hackers o accesos no gratos
que deseen alcanzar tu router sin detener el
trabajo de tu router.
307
Protegiendo tu router (ejemplo)
• Lo siguiente son sugerencias!
Asumamos que Ether01 está conectado al WAN (no confiable) y estamos
aplicando el método de seguridad “Confia en todo lo interno".
Acepta ICMP Echo replies (Deseas hacerle ping a un servidor en el internet y quieres
recibir respuesta!)
Drop icmp echo requests (No deseas que otros te hagan ping. Quedarte por debajo del
radar!)
Acept todo lo "established" y "related" en tráfico input (Deseas que se responda a todo lo
que el router pida como, como NTP and DNS)
Drop all "invalid" input traffic (Todo lo que el router recibió que no haya solicitado)
Log the rest of input traffic (Dejé algo importante?)
Drop the rest of input traffic (Quiero estar seguro!)
308
Protegiendo tus clientes (forward)
309
Protegiendo tus clientes (ejemplo)
• Lo siguiente son sugerencias!
Nuevamente, asumiendo que el ether01 está conectado al WAN (no
confiable) y estamos utilizando el método “Confia en todo lo interno” :
Accept all "established" y "related" forward traffic (Quieres respuesta a tu red
de todo lo que se solicite como HTTP, DNS, ect.)
Drop all "invalid" forward traffic (Todo aquello que recibas el cual no
solicitaste)
Log the rest of forward traffic (Dejé algo?)
Drop the rest of forward traffic (Quiero estar seguro!)
310
Como se vería..
311
Firewall filter (rule) syntax
• Ver reglas o filtros existentes
/ip firewall filter print (mas claro para leer)
/ip firewall filter export (todo el syntax)
• Crea varias reglas (desde /ip firewall filter)
add chain=input comment="Established-Related (in)" connection-
state=established in-interface=ether01
add chain=forward comment="Established-Related (fwd)" connection-
state=established in-interface=ether01
add action=log chain=input comment="===CATCH-ALL==" in-
interface=ether01 log-prefix="CATCH-ALL(in)"
add action=drop chain=input in-interface=ether01
add action=add-dst-to-address-list address-list=temp-list address-list-
timeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24
312
Basic address-list
313
Basic address-list
• Address lists son grupos de IPs
• Se utilizan para simplificar reglas
Por ejemplo, puedes crear 100 reglas para bloquear 100 IP, o!!
Puedes crear un grupo con 100 IP solo crear una regla.
• Los grupos (address lists) pueden representar
IT Admins con accesos especiales
Hackers
Cualquier otra cosa que se te ocurra…
314
Basic address-list
• Puede ser utilizados en firewall filters, mangle y NAT.
• La configuración de address lists puede ser
automatizada utilizando los actions add-src-to-
address-list o add-dst-to-address-list en reglas de
firewall, mangle o NAT.
Es una manera excelente de bloquear IPs sin tener que
entrarlos uno por uno
Ejemplo : add action=add-src-to-address-list address-
list=BLACKLIST chain=input comment=psd in-
interface=ether1-Internet psd=21,3s,3,1
315
Address list syntax
• Ver address list existentes
/ip firewall address-list print
• Crear un address list permanente
/ip firewall address-list add address=1.2.3.4 list=hackers
• Crear un address list utilizando una regla
/ip firewall filter add action=add-dst-to-address-list address-list=temp-list
address-list-timeout=3d1h1m1s chain=input protocol=tcp src-
address=172.16.2.0/24
/ip firewall nat add action=add-src-to-address-list address-list=NAT-AL
chain=srcnat
/ip firewall mangle add action=add-dst-to-address-list address-list=DST-
AL address-list-timeout=10m chain=prerouting protocol=tcp
316
Source NAT
317
NAT
• Network Address Translation (NAT) permite utilizar
un set de IP en el LAN y otro grupo de IPs en el lado
del WAN .
• Source NAT traduce direcciones IP (en el LAN) a
direcciones IP públicas cuando se accede al internet.
Lo mismo sucede cuando el tráfico viene del internet.
A veces se le conoce como “ocultar o esconder" (tu
red) detrás del IP provisto por el ISP.
318
Masquerade y src-nat action
• El primer chain para NATing es "srcnat". Es utilizado para todo
tráfico que sale del router.
• Muy parecido a reglas de firewall, reglas de NAT tiene muchas
propiedades y acciones (13 actions!).
• La primera regla básica de NAT, solo utiliza el action de
"masquerade.
• Masquerade reemplaza el source IP en los paquetes
determinado por el funcionamiento de routing.
Típicamente, el source IP de los paquete.s que van hacia el internet serán
reemplazadas por el IP del WAN. Esto es requerido para el tráfico que
regresa para así poder llegar al IP de donde fue originado.
319
Masquerade y src-nat action
320
Destination NAT
321
Dst-nat y redirection action
322
Dst-nat y redirection action
323
NAT Syntax
324
Hora del Lab!!
325
Laboratorio
326
Laboratory : Setup
327
Laboratorio : Paso 1
• Antes de comenzar con reglas de Firewall, haremos prueba con
una regla de NAT: Masquerading
Verifica en tu configuración si ya tienes una regla de NAT “masquerade”.
Crea una si no la tienes pero déjala DESHABILITADA. Si ya la tienes
asegúrate que esté apagada.
Ejecuta WinBox y conéctate al POD de un compañero.
En la sección IP FIREWALL CONNECTION, revisa las conecciones
activas. Que vez?
Configura la opción que permite hacer “track” de las conecciones. Verifica
los resultados.
HABILITA la regla de NAT Masquerade y nuevamente verifica el
connection tracking
328
Laboratorio : Paso 2
• Ahora para hacerlo interesante configuremos reglas de
firewall. Aplica las siguientes reglas al tráfico entrante
en la interface WAN.
Accept icmp echo replies
Drop icmp echo requests
Accept all "established" and "related" input and forward
traffic
Drop all "invalid" input and forward traffic
Log the rest of input and forward traffic
Drop the rest of input and forward traffic
Add meaningful comments to all rules.
Do the same for the "log" rules' prefixes.
329
Laboratorio : Paso 3
• Ahora que tienes reglas, verifica tus logs. Mira
los mensajes y el formato
• Viendo lo que muestra ahora, crees que hacer
troubleshooting de conecciones sería mas fácil
ahora?
330
Laboratorio: Paso 4
• Crea address list que represente cada POD
• Utiliza el siguiente formato:
Name : Pod1
Address : <network/mask> of the LAN
Name : Pod1
Address : <IP> of the WAN interface
• Hazlo para todo, también el tuyo
331
Laboratory : step 5
• Pods should be matched in pairs for the following tests
• Close your WinBox window and reopen it, connecting
to your peer pod. What's happening?
• With one filter rule ONLY, allow all IP addresses from
you peer pod to connect to your router with WinBox
(TCP, 8291)
Make sure that it's in the right spot so that it works
And DON'T forget comments!
332
Laboratorio : Paso 6
333
Laboratorio : Paso 7
• Cierra y abre nuevamente el WinBox sin añadir
ningún character adicional. Resultados?
• Entra al router con WinBox en el puerto 8111.
• Crea una regla de dst-nat con redirect action al puerto
8111 en todo tráfico TCP 8291.
• Cierra y abre nuevamente el WinBox sin el puerto
luego del IP. Funciona?
• Entra al router del POD de tu vecino. Que sucede?
334
Laboratorio : Paso 8
335
Laboratorio : Paso 9
• Crea una regla dst-nat rule con un redirection
action al Puerto 8291 a todo tráfico TCP 1313
que entre por el Puerto de WAN.
• Abre WinBox y entra a tu router utilizando
Puerto 1313.
• Abre WinBox y entra al router de tu vecino
utilizando Puerto 1313.
• Resultados?
336
Laboratorio : Paso 10
337
Fin del Laboratorio 6
338
QoS
Módulo 7
339
Simple queue
340
Introducción
• QoS (quality of service) es el arte de manejar
recursos de ancho de banda en vez de
simplemente limitar ancho de banda a ciertos
nodos.
• QoS puede darle prioridad a tráfico basado en
métricas. Bueno para:
Aplicaciones Críticas
Tráfico sensible tales como video y voz.
341
Introducción
342
Target
• Target a quién el simple queue es aplicado
• Un target DEBE ser especificado. Puede ser:
Un IP address
Un subnet
Una interface
• El orden de los Queue ES importante. Cada
paquete tiene que atravesar cada simple queue
hasta que ocurra un match.
343
Destinations
344
Max-limit and limit-at
345
Bursting
346
Bursting
• Definitions.
Burst-limit : Maximum data rate while burst is allowed.
(mientras burst es permitido)
Burst-time : Time, in seconds, over which the sampling is
made. It is NOT the period during which traffic will burst.
(tiempo en segs. donde es verificado para ejecutar el burst)
Burst-threshold : The value that will determine if a user will
be permitted to burst (define si el usario podrá hacer burst)
Average-rate : An average of data transmission calculated in
1/16th parts of "burst-time".
Actual-rate : Current (real) rate of data transfer.
347
Bursting
• Como funciona.
Bursting es permitido mientras average-rate se quede por debajo del
burst-threshold.
Bursting será limitado al rate especificado por burst-limit.
Average-rate es calculando 16 samples o pruebas (averaging) en los
segundos de burst-time
Si burst-time es 16 segundos, entonces un sample es tomado cada segundo
Si burst-time es 8 seconds, entonces un sample es tomado cada ½ segundo. Y
así sucesivamente…
When bursting starts, it will be allowed for longest-burst-time seconds,
which is
(burst-threshold X burst-time) / burst-limit.
348
Bursting
349
Bursting
350
Syntax
• Un Simple Queue
add max-limit=2M/2M name=queue1 target=192.168.3.0/24
• El mismo Simple Queue pero con Burst
add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s limit-at=\
1M/1M max-limit=2M/2M name=queue1 target=192.168.3.0/24
351
Tip
352
Un Simple queue para toda la red
(PCQ)
353
Porque tener un Queue para todo?
354
Configuración de Pcq-rate
• El parámetro de pcq-rate limita el data rate
permitido por el Queue Type.
• Classifier es lo que el router verifica para ver
como aplica la limitación. Puede ser un IP
address o Puerto source o destino. Puedes
también limitar por el tipo de tráfico (HTTP for
example).
355
Configuración Pcq-limit
• Este parámetro es medido en paquetes.
• Un valor de pcq-limit alto
Creará un buffer mayor, reduciendo la pérdidad de paquetes
Aumentará la latencia
• Un valor de pcq-limit pequeño
Aumentará la pérdida de paquetes (ya que buffer es mas
pequeño) y forzará al source a reenviar el paquete reduciendo
la latencia.
Hará un cambio en el TCP Windows solicitándole al source
que reduzca el rate de transmission.
356
Configuración Pcq-limit
• Que valor utilizar? No hay una respuesta sencilla.
Siempre comienza con "Trial & Error" por aplicación
Si usuarios se quejan de latencia, reduce el valor de pcq-limit
(queue length)
Si los paquetes tienen que transitar a través de una
configuración de firewall compleja, tal vez tengas que
incrementar el queue length ya que puede crear delays
Interfaces más rápidas (como Gigabit) requiere Queues mas
pequeños ya que en estas se reducen los delays.
357
PCQ, ejemplo
• Supongamos que tenemos usuarios
compartiendo un WAN link limitado. Le vamos
a asignar los siguientes data rates:
Download : 2Mbps
Upload : 1Mbps
• WAN está en la interface Ether1
• El subnet del LAN es 192.168.3.0/24
358
PCQ, ejemplo
/ip firewall mangle
add action=mark-packet chain=forward new-packet-mark=client_upload \
out-interface=ether1 src-address=192.168.3.0/24
add action=mark-packet chain=forward dst-address=192.168.3.0/24 \
in-interface=ether1 new-packet-mark=client_download
/queue type
add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M
/queue tree
add name=queue_upload packet-mark=client_upload parent=global queue=\
PCQ_upload
add name=queue_download packet-mark=client_download parent=global queue=\
PCQ_download
359
Ejemplo explicado
• Mangle : Le estamos diciendo al router que marque los paquetes con la
marca "client_upload" ó "client_download", dependiendo si:
Los paquetes provienen del LAN y salen por el ether1 (upload) ó,
Paquetes están entrando por el ether1 y saliendo por el LAN (download).
• Queue types : Aqui definimos los data rates y classifiers 2 sub-streams
distintos (source or destination).
• Queue tree : Las combinaciones son verificadas para validar si los paquetes
cualifican para traffic shaping y que aplicarle.
Por ejemplo, en el caso de tráfico upload, verificamos interfaces input y output
(global) para paquetes con el marcado "client_upload" y le aplicamos el queue type
de "PCQ_upload" queue type.
360
Monitoreo
361
Interface traffic monitor
• La herramienta de traffic monitor es
utilizada para ejecutar scripts cuando el
tráfico de una interface alcanza un nivel
específico (threshold)
Ejemplo
/tool traffic-monitor
add interface=ether1 name=TrafficMon1 on-event=script1 threshold=1500000 \
traffic=received
/system script
add name=script1 policy=ftp,read,test,winbox,api source="/tool e-mail send to=\"\
YOU@DOMAIN.CA\" subject=([/system identity get name] . \" Log \
\" . [/system clock get date]) body=\"Hello World. You're going too fast!\""
362
Torch
363
Torch, CLI
[admin@Pod3] /tool> torch interface=ether2 port=winbox
SRC-PORT DST-PORT TX RX TX-PACKETS RX-PACKETS
53217 8291 (winbox) 12.0kbps 4.7kbps 7 6
12.0kbps 4.7kbps 7 6
364
Torch, Winbox
365
Graphs
• Graphing es una herramienta utilizada para monitorear varios
parámetros de RouterOS en un lapso de tiempo específico y
colocar la data colectada en gráficas.
• Los siguientes parámetros pueden ser colectados.
Voltage and temperature
CPU, memory and disk usage
Interface traffic
Queue traffic
• Graphs puede ser accedido entrand a http://<router-IP-
address>/graphs
366
Graphs
Primeros pasos.
[admin@Pod3] /tool graphing> set store-every=5min page-refresh=300
[admin@Pod3] /tool graphing> print
store-every: 5min
page-refresh: 300
[admin@Pod3] /tool graphing>
367
Graphs
368
SNMP
• SNMP, Simple Network Management Protocol, es un
protocol estandar utilizados para manejar equipos IP
en una red.
• Muchas herramientos, tanto open source como
comercial, está disponibles para trabajar con SNMP y
automatizar trabajos.
• Como todo, la configuración debe ser planificada ya
que este protocolo es propenso a ataques.
369
SNMP
Primeros pasos..
[admin@Pod3] /snmp> set enabled=yes
[admin@Pod3] /snmp> set contact=YOU
[admin@Pod3] /snmp> set location=OFFICE
[admin@Pod3] /snmp> print
enabled: yes
contact: YOU
location: OFFICE
engine-id:
trap-target:
trap-community: (unknown)
trap-version: 1
trap-generators:
[admin@Pod3] /snmp>
370
SNMP
• Hay que prestarle atención a los “Communities”.
• Los mismos dictan privilegios.
[admin@Pod3] /snmp community> print detail
Flags: * - default
0 * name="public" addresses=0.0.0.0/0 security=none read-access=yes write-
access=no
authentication-protocol=MD5 encryption-protocol=DES authentication-
password=""
encryption-password=""
[admin@Pod3] /snmp community>
371
SNMP
372
Lab, lab y mas lab!!
373
Laboratorio
374
Laboratorio : Setup
375
Laboratorio : Paso 1
376
Laboratorio : Paso 2
• Valida el throughput utilizando una página de prueba
de velocidad (speedtest). Anota los resultados.
• Configura un simple queue (nómbralo "lab7") el cual
limite todo tu LAN a 4Mbps y 2Mbps upload.
• Valida nuevamente el throughput.
• Solicita a un compañero que se conecte a tu router y
repite la prueba de velocidad. Resultado? Sucede lo
mismo si te conectas al router de tu compañero?
377
Laboratorio : Paso 3
• Añade bursting en el queue "lab7". Parámetros
son :
Burst limit 4M (upload), 6M (download)
Burst-threshold 3M (upload), 5M (download)
Burst-time 16 para ambos
Repitelas mismas pruebas anteriores y valida.
• Una vez finalizado, deshabilita el simple queue.
378
Laboratorio : Paso 4
• Configura queue PCQ para que todas las
computadoras en el mismo LAN tengan un límite de
4Mbps de download y 2Mbps de upload. Asegúrate
ponerle nombres que que hagan sentido!
• Haz una prueba de velocidad (speedtest) cualquier
página en línea. Resultados?
• Solicítale a tu compañero que se conecte a tu routter y
haz la misma prueba. Resultado? Sucede lo mismo si
te conectas al router de tu compañero?
379
Laboratorio : Paso 5
380
Laboratorio : Paso 6
381
Laboratorio : Paso 8
382
Laboratorio : Step 8
383
Laboratorio : Paso 9
384
Fin del Laboratorio 7
385
Tunnels
Módulo 8
386
Tunnels
• Los Túneles son una forma de expandir tu red privada
a través de una red pública tal como lo es el internet.
• También son conocidos como “VPNs” (virtual private
networks).
• Los conceptos de seguridad son aplicados en los
VPNs. Son utilizados, ya que todo tráfico es
transmitido por redes públicas y no por la red privada
del cliente final.
387
PPP settings
388
PPP profile
• PPP profiles representan los parámetros de configuración el cual serán utlizados por
los PPP clients tales como los siguientes y otros:
– IP Address local y remota o pools
– Compression
– Encryption
389
PPP secret
• PPP secrets están localizados en los PPP servers y los mismos especifican los parámetros básicos
requeridos para autenticar un cliente, tales como:
– Name : ID del usuario
– Password : Contraseña
– Service : Servicio con el cual se trabajará (Si es dejado como "any", el PPP secret autenticará al
usuario con cualquiera de los protocolos (PPPoE, L2TP, PPTP, etc.)
– Profile : Las configuraciones pertinentes al usuario. Los parámetros de Profiles permite el ser
utilizado para múltiples usuarios sin tener que entrarlos por independiente
– Clientes no utilizan los PPP secrets como sus credenciales de autenticación. Los mismos son
especificados en la interface PPP del cliente bajo los parámetros "user" y "password“.
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external routes=\
192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
390
PPP status
• Representa el estatus actual de la connection. Util para hacer “debug” y
verificar la operación correcta de los túneles.
391
IP pool
392
Configurando un pool
• IP pools define un rango de IP addresses para los
clientes.
• No solo es utilizado para DHCP como vimos en el
módulo anterior, sino que a su vez se utiliza para PPP
y clientes Hotspots.
• Util para cuando una interface va a servir múltiples
clientes. IP addresses son asignados dinámicamente.
393
IP Pool ranges
• IP pool ranges son listas de IP que no coinciden entre
sí y que pueden ser asignadas a clientes a través de
servicios DHCP, PPP, PPP y Hotspots.
• Vamos a ver el ejemplo: Tienes 50 computadoras en la
red de la empresa y 50 computadoras provenientes a
través del VPN.
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
394
IP Pool ranges
• Necesitas añadir 50 computadoras mas en el IP Address Pool.
/ip pool print
# NAME RANGES
0 Pool-PC 192.168.5.50-192.168.5.99
1 Pool-VPN 192.168.5.100-192.168.5.149
/ip pool
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
395
Asignándolo a un servicio
396
Secure local networks
397
PPPoE
398
PPPoE service-name
• El service-name puede ser visto como un SSID
de 802.11, lo que significa sería el nombre de la
red que el cliente está buscando.
• A diferencia de un SSID, si el cliente no
especifica uno, el access concentrator (PPPoE
server) enviará todo los service-names que
tiene. El cliente responderá al primero que
reciba.
399
Creando un PPPoE server
• Un PPPoE server es el que provee en servicio de
tunneling.
• Permite a clientes obtener un servicio de VPN Layer 3
seguro sobre una infraestructura Layer 2.
• NO PUEDES alcanzar un PPPoE server a través de
routers. Debido a que es un protocolo Layer 2, el
servidor solo puede ser alcanzado a través del mismo
Ethernet Broadcast domain donde se encuentra los
clientes.
400
Creando un PPPoE server
• Antes de crear el servidor, establece los parámetros
que requieres configurar (valores aparte de los default)
tales como:
IP pools
PPP profiles
PPP secrets
• Crea la interface del PPPoE server en la interface
física que mira o conecta a los clientes diréctamente.
Creando un PPPoE server, ejemplo
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
/ppp profile
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\
Profile-internal remote-address=Pool-VPN use-compression=yes use-encryption=\
yes use-vj-compression=no
402
Creando un PPPoE server, ejemplo
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external
routes=\
192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
403
Point-to-point addresses
• La forma más facil de configurar addresses es es
haciéndolo manualmente.
• Direcciones IP de /ppp secret tienen prioridad sobre
/ppp profile, y toman prioridad a su vez sobre /ip pool
• Ambas direcciones local y remotas pueden ser únicas
o provenientes de un pool.
• Static IP addresses o DHCP en interfaces de clientes
PPPoE. Deja que la infraestructura específicamente lo
que se ha establecido!
404
Creando clientes PPPoE en RouterOS
• Si deseas utilizar un profile distinto al default, créalo primero.
Así no tienes que regresar a la configuración nuevamente.
• Crea la interface del cliente que mira al ISP.
• Listo!
Tip :
Tu router no tiene que tener configurado un cliente DHCP en
la interface WAN y aún así funcionará si el PPPoE server está en
la misma infraestructura Layer 2 del Puerto WAN.
405
PPPoE client en RouterOS, ejemplo
/ppp profile
add change-tcp-mss=yes name=Profile-external use-compression=yes \
use-encryption=yes use-vj-compression=no
/interface pppoe-client
add ac-name="" add-default-route=yes allow=mschap2 \
default-route-distance=1 dial-on-demand=no disabled=no \
interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480 \
mrru=disabled name=Client-PPPoE password=pod4-123 profile=\
Profile-external service-name="" use-peer-dns=no user=\
Pod4-external
406
Secure remote networks
communication
407
PPTP clients y servers
• PPTP es un protocolo de tunel en Layer 3 y utiliza información de routing y direcciones IP para
conectar al cliente con el servidor.
• El PPTP se define casi de igual forma al de PPPoE, con la excepción que no se tiene que
establecer una interface en específico
• El cliente es definido casi de igual forma que el cliente PPPoE, con la excepción de que una
dirección IP tiene que ser especificada para el server.
• Tip : Debes permitir Puerto TCP 1723 en el firewall del router (el PPTP server) para que el tunel
pueda levanter o conectar
/interface pptp-server server
set authentication=mschap2 default-profile=Profile-external enabled=yes
/interface pptp-client
add add-default-route=yes allow=mschap2 connect-to=192.168.0.5 \
default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 \
max-mru=1450 max-mtu=1450 mrru=1600 name=Client-PPTP password=pod4-123 profile=\
Profile-external user=Pod4-external
408
SSTP clients y servers sin certificados
• Definir el SSTP server es similar al de PPTP, excepto a que defines un puerto TCP a
donde conectarse (default 443).
• El cliente es definido de igual manera al cliente PPTP, excepto que debes especificar
un puerto TCP a utilizarse (default 443).
• Tip : Debes permitir el Puerto TCP 443 para que logre levantar el tunel. También,
deja configurado el Puerto 443 para que funcione la seguridad de comunicación via
SSL.
409
Configura rutas entre redes
• Una vez el tunel esté arriba, necesitas rutas para poder transferir
paquetes ida y vuelta.
• La primera forma para un solo tunel, es la ruta que fue creada
automáticamente para ese tunel.
/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.0.254 0
1 ADC 192.168.0.0/24 192.168.0.5 ether1 0
2 ADC 192.168.5.0/24 192.168.5.1 Bridge-PC 0
3 ADC 192.168.5.101/32 192.168.5.1 <pptp-alain> 0
410
Configura rutas entre redes
• La segunda forma es especificando una o múltiples rutas en el PPP secret para el cliente.
/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24
411
Configurando rutas entre redes
• La tercera forma es añadiendo rutas estáticas a una o multiples
redes través del tunel.
• Este método es útil si ambos routers tienen su propia ruta
default (ruta cero), pero implica mas mantenimiento y
parámetros.
/ip route
add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24
gateway=192.168.254.10
add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21
gateway=192.168.254.10
412
Nota final
VPN Encryption Ports Compatible Notes
Protocol with
PPTP MPPE with RC4 1723 TCP Windows XP, Vista, 7 PPTP is the most widely used VPN protocol
128 bit key Mac OS X today.
iPhone OS It is easy to setup and can be used to bypass all
Android Internet restrictions.
PPTP is considered less secure.
SSTP SSL with AES 443 TCP Windows 7 SSTP uses a generic port that is never blocked
2048 bit key certificate by firewalls.
256 bit key for You can use SSTP to bypass corporate or
encryption school firewalls.
SSTP is considered a very secure protocol.
413
Vamos para el último LAB!!
414
Laboratorio
415
Laboratorio : Configuración
416
Laboratorio : Paso 1
Estudiantes trabajarán este laboratorio en par. Estudiantes
configurarán 3 PPP Profiles:
– 2 para ser utilizado con el POD del vecino
• Uno para el servicio de server.
• Uno para el servicio del cliente.
– Uno para ser utilizado por clientes conectados.
• Estudiantes configurarán 2 PPP secrets:
– Uno para permitir conectar al POD vecino
– Uno para lograr conectar los clientes locales.
• Estudiantes se pondrán de acuerdo en la configuración de
parámetros a utilizarse. Por motivo de tiempo, SEAMOS
SIMPLES EN LA CONFIGURACION!!
417
Laboratorio : Paso 2
418
Laboratorio : Paso 3
• Selecciona un Puerto disponible en tu router (ether5
preferible) y remuévela de cualquier bridge o Puerto
master a el cual esté asignada. No debe tener IP o
DHCP configurado.
• Configura un PPPoE server en ese Puerto del router.
Debes utilizar el profile que usastes para los clientes
VPN. Habilita solo MSChap2 como método de
autenticación. Lee el material del curso referente a
configuración de compression y encryption.
419
Laboratorio : Paso 4
Avisos!
– Verifica la interface donde configuraste el server (y el Puerto
que al cual conectaste tu computadora)
– Verifica las configuraciones de los profiles en el PPPoE
server y PPP secret.
420
Laboratorio : Paso 5
• Conecta tu computadora nuevamente a un Puerto
Ethernet normal.
• Los PODs con números pares crearán un PPTP server
y un SSTP client.
• Los PODs impares crearán un PPTP client y un SSTP
server.
• Utiliza los profiles y secrets previamente creados.
• SSTP no puede utilizar certificados!
• Sube los túneles de VPN y verifica que sucedió.
421
Laboratorio : Paso 6
422
Laboratorio : Paso 7
• Remueve las rutas estáticas de tu table de rutas.
Solo debes tener una a tu POD.
• Ejecuta un ping al IP Address del LAN de tu
POD vecino. Funciona? Pero si el tunel está
arriba, porque no funciona? (Deja el ping
corriendo)
• Puedes hacerle ping a la dirección IP remota
del tunel? Si funciona significa no todo está
mal configurado .
423
Laboratorio : Paso 8
• En el PPP secret de tu router y en el campo "Routes",
añade el network y el mask de tu POD vecino.
• Un vez se configure esto en ambos PODs, reinicia el
tunel del cliente.
• Nota el efecto que tiene en tu tabla de enrutamiento. El
subnet de tus peer's han aparecido una vez tu POD
vecino se logea en el VPN. Una vez ambos estén
arriba, podrán hacerse Ping.
• Nota también las direcciones IP en el IP address list.
424
Laboratorio : Paso 9
425
Fin del Laboratorio 8 y el curso en
su totalidad!!
426
LE DESEAMOS EXITO EN EL EXAMEN, YA
QUE SUERTE LA TIENE CUALQUIER
PERSONA!!