Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(MTCNA)
Entrenador
ww.certificate.ec 2
Agenda
• Entrenamiento diario: 8AM - 5PM
• 1 hora de almuerzo: 12:30PM
www.certificate.ec
Objetivo del Curso
www.certificate.ec
Sobre MikroTik
• Fabricante de software y hardware para
ruteadores
• Productos usados por ISPs, compañias e
integradores
• Hacer las tecnologías del Internet mas rápidas,
potentes y asequibles para una gama más amplia
de usuarios
www.certificate.ec
Historia de MikroTik
• 1995: Establecida
• 1997: RouterOS software para x86 (PC)
• 2002: RouterBOARD
• 2006: Primer MUM
www.certificate.ec
De donde es MikroTik?
• www.mikrotik.com
• www.routerboard.com
• Riga, Latvia, Northern Europe,
EU
www.certificate.ec
De donde es MikroTik ?
www.certificate.ec
Presentación
• Su nombre
• Su compañia
• Su conocimiento previo sobre RouterOS (?)
• Su conocimiento previo sobre redes (?)
• Cual es su espectativa sobre el curso (?)
www.certificate.ec
MikroTik RouterOS
www.certificate.ec
Que es RouterOS ?
• RouterOS es un Sistema Operativo que
hará que su dispositivo llegue a ser:
• un ruteador dedicado
• un controlador de ancho de banda
• un filtro de paquetes (transparente)
• Un dispositivo inalámbrico
802.11a,b,g,n,ac
www.certificate.ec
Que es RouterOS ?
www.certificate.ec
Que es RouterBOARD ?
• Hardware creado por MikroTik
• Desde router pequeños domesticos
hasta concentradores de clases de
acceso de carrier
www.certificate.ec
Primer acceso
www.certificate.ec
Winbox
www.certificate.ec
Descarga de Winbox
www.certificate.ec
Conectándo
– Hacer click en el botón [...] para ver su
router
www.certificate.ec
Comunicación
www.certificate.ec
www.certificate.ec
Direcciones MAC
www.certificate.ec
IP
www.certificate.ec
Mask
www.certificate.ec
Subredes
www.certificate.ec
www.certificate.ec
Selección de la dirección IP
www.certificate.ec
Ejemplo de selección de
dirección IP
• Clientes usan diferentes subredes mascara
/25 and /26
• A tiene la dirección IP 192.168.0.200/26
• B tiene mascara de subred /25, direcciones
disponibles192.168.0.129-192.168.0.254
• B no puede usar 192.168.0.129-192.168.0.192
• B puede usar direcciones IP desde
192.168.0.193 - 192.168.0.254/25
www.certificate.ec
2
6
Conectando
Ethernet
Cable
Winbox
www.certificate.ec
Conectando Lab
www.certificate.ec
Diagrama
AP de Clases
Su Laptop Su Router
www.certificate.ec
Laptop - Router
www.certificate.ec
Laptop - Router
• Conectese al router con MAC-Winbox
• Adicione 192.168.X.254/24 al Ether1
www.certificate.ec
Laptop - Router
www.certificate.ec
Diagrama Laptop Router
AP de Clases
Su Laptop Su Router
172.17.X.1 172.17.X.254
www.certificate.ec
Router Internet
AP de Clases
Su Laptop Su Router
172.17.X.1 172.17.X.254
www.certificate.ec
Router - Internet
www.certificate.ec
Router - Internet
• Para
configurar
wireless
interface,
doble-click
en este
nombre
www.certificate.ec
Router - Internet
www.certificate.ec
Router - Internet
www.certificate.ec
Router - Internet
www.certificate.ec
Router - Internet
• Revisar
conectividad a
Internet con
traceroute
www.certificate.ec
Router Internet
AP de clases
Su Laptop Su Router
DHCP-Client
Wireless
www.certificate.ec
Laptop - Internet
www.certificate.ec
Laptop - Internet
www.certificate.ec
Espacios Públicos y Privados
www.certificate.ec
Check Connectivity
• Ping www.mikrotik.com desde su laptop
www.certificate.ec
Qué puede estar mal
www.certificate.ec
Network Diagram
AP de Clases
Su Laptop Su Router
172.17.X.1 172.17.X.254
DHCP-Client
www.certificate.ec
Gestión de usuarios
• El acceso al router se pueda controlar
• Usted puede crear diferente tipos de usuarios
www.certificate.ec
Gestión de usuarios Lab
www.certificate.ec
Actualización Router
• Use paquetes
RouterOS
combinado
• Arrastre a la
ventana de
Files
www.certificate.ec
Administración de paquetes
www.certificate.ec
Información Paquetes
www.certificate.ec
Package Lab
• Deshabilita routing
• Reboot
• Revise el menu routing
www.certificate.ec
Router Identity
www.certificate.ec
Router Identity
• Identity information es mostrada en varios
lugares
www.certificate.ec
Router Identity Lab
www.certificate.ec
NTP
www.certificate.ec
Porque NTP ?
www.certificate.ec
NTP Client
• NTP client paquete no es
requerido 72.8.140.240
www.certificate.ec
Configuración Backup
www.certificate.ec
Configuración Backup
• Adicionalmente se puede usar
commandos CLI para export and
import
www.certificate.ec
Netinstall
www.certificate.ec
Netinstall
1.Lista de routers
2.Arranque por
3.Mantega
red
configuracion
4.
antigua
5.
Paquetes
Instalar
www.certificate.ec
Optional Lab
www.certificate.ec
RouterOS License
• Todos los RouterBOARDs vienen con
licencia
• Varios niveles disponibles, no hay
actualizaciones
• Puede ser encontrado en MENU system
license
• Licencias para PC pueden ser adquiridas
en mikrotik.com o en distribuidores
www.certificate.ec
License
www.certificate.ec
Obtain License
Login to
your account
www.certificate.ec
Actualizar Licencia para 802.11N
www.certificate.ec
Resumen
www.certificate.ec
Links Utiles
www.certificate.ec
Firewall
www.certificate.ec
Firewall
www.certificate.ec
Firewall Filter
www.certificate.ec
Filtro tipo (Chains)
www.certificate.ec
Firewall Chains
Output
Ping desde el Router
Input
Winbox
Forward
WWW E-Mail
www.certificate.ec
Firewall Chains
www.certificate.ec
Input
www.certificate.ec
Input
www.certificate.ec
Input
• Agrega una
regla de
drop para
todo lo
demás
www.certificate.ec
Input Lab
www.certificate.ec
Input
www.certificate.ec
Input
• Usted puede
deshabilitar el
acceso MAC in
el menu MAC
Server
• Cambie la
dirección IP de
la Laptop a
192.168.X.1, y
conectese con
IP
www.certificate.ec
Address-List
• Address-list permite filtrar un grupo
de direcciones IPs con una sola regla
• Agrega una dirección al address-list y
esta automaticamente es bloqueada
www.certificate.ec
Address-List
• Cree diferentes listas
• Subredes y únicas direcciones de red
son soportados
www.certificate.ec
Address-List
• Adiciona
específico host
al address-list
• Especifica el
tiempo de
espera para el
servicio
temporal
www.certificate.ec
Address-List en Firewall
• Habilitado
para bloquear
por source y
destination
addresses
www.certificate.ec
Address-List Lab
www.certificate.ec
Forward
www.certificate.ec
Forward
• Cree una regla
que bloquee
TCP en el
puerto 80 (web
browsing)
• Tiene que
seleccionar
protocolos para
bloquear
puertos
www.certificate.ec
Forward
www.certificate.ec
Lista de los puertos mas utilizados
www.certificate.ec
Forward
www.certificate.ec
Firewall Log
• Vamos a registrar en
log los ping del los
•
clientes al router
Regla Log debe ser
añadida antes que
otra acción
www.certificate.ec
Firewall Log
www.certificate.ec
Firewall chains
www.certificate.ec
Cadenas de Firewall en acción
• Secuencia de
la cadena
personalizada
de firewall
• Cadena
personalizada
puede ser en
busca de virus,
TCP, UDP
protocols, etc.
www.certificate.ec
Connections
www.certificate.ec
Estado de Conexiones
www.certificate.ec
Connection State
• Añadir regla para descartar paquetes
inválidos
• Añadir regla para aceptar paquetes
establecidos
• Añadir regla para aceptar paquetes
relacionados
• Vamos al Firewall para trabajar
únicamente con paquetes nuevos
www.certificate.ec
Resumen
www.certificate.ec
Network Address Translation
www.certificate.ec
NAT
www.certificate.ec
SRC-NAT
New
SRC-Address
SRC-Address
www.certificate.ec
DST-NAT
Private Network
Public Host
Server
www.certificate.ec
NAT Chains
www.certificate.ec
DST-NAT
www.certificate.ec
DST-NAT Example
Web Server
Some Computer
192.168.1.1
www.certificate.ec
DST-NAT Example
• Cree una regla para tráfico forward para un
WEB server en una red privada
www.certificate.ec
Redirect
www.certificate.ec
Redirect example
DST-Address
Configured_DNS_Server:53
New DST-Address
Router:53
DNS Cache
www.certificate.ec
Redirect Example
• Vamos a hacer
que los usuarios
locales usen
Router DNS
cache
• Asegurese de
marcar en
protocol udp
www.certificate.ec
SRC-NAT
www.certificate.ec
Masquerade
www.certificate.ec
SRC-NAT Limitaciones
www.certificate.ec
NAT Helpers
www.certificate.ec
Consejos de Firewall
www.certificate.ec
Connection Tracking
www.certificate.ec
Connection Tracking
www.certificate.ec
Torch
• Accept
• DST-NAT/SRC-NAT
• Redirect
• Masquerade
• Netmap
www.certificate.ec
Resumen
www.certificate.ec
Control de Ancho de Banda
www.certificate.ec
Simple Queue
www.certificate.ec
Simple Queue
www.certificate.ec
Simple Queue
• Vamos a
crear una
limitació
n para su
laptop
• 64k
Upload,
128k
Downloa
Client’s Limits
address to configure
d
www.certificate.ec
Simple Queue
www.certificate.ec
Using Torch
• Select local
network
interface
• See actual
bandwidth Check the
Results
www.certificate.ec
Specific Server Limit
• Vamos a crear
límite de
ancho de
banda para IP
192.168.Y.0
• DST-address
es usado para
esto
• Orden de las
reglas es imp
www.certificate.ec
Specific Server Limit
• Ping
www.mikrotik.co
m
• Pon MikroTik
address to DST-
address
• Dirección MikroTik.com
MikroTik puede Address
ser usado en
Target-address
www.certificate.ec
Specific Server Limit
www.certificate.ec
Bandwidth Test Utility
• Bandwidth test puede ser utilizado para
monitorear el throughput a un dispositivo
•
remoto
Bandwidth test trabaja entre dos MikroTik
•
routers
Bandwidth test utilidad disponible para
•
Windows
Bandwidth test descargable de
MikroTik.com
www.certificate.ec
Bandwidth Test on Router
www.certificate.ec
Bandwidth Test
• Se aconseja seleccionar
Authenticate
www.certificate.ec
Traffic Priority
• Vamos a
configurar una
mayor prioridad
para las queues
• Prioridad 1 es
mayor a 8
•
Priority
Select is in
Queue
Debe haber por Advanced Tab
lo menos 2 Set Higher Priority
prioridades
www.certificate.ec
Simple Queue Monitor
www.certificate.ec
Simple Queue Monitor
• Tenemos que
habilitar el gráfico
de las colas
www.certificate.ec
Simple Queue Monitor
• Gráficos estan
disponibles en
WWW
• Para ver los
gráficos
http://router_I
P
• Usted puede
darle acceso a
su cliente
www.certificate.ec
Colas Avanzadas
www.certificate.ec
Mangle
• Mangle es usado para marcar paquetes
• Separa diferentes tipos de traficos
• Marcas son activas en el router
• Usadas para configurar diferentes
limitaciones en las colas
• Mangle no cambia las estructuras de los
paquetes (excepto DSCP, TTL para
acciones específicas)
www.certificate.ec
Mangle Actions
www.certificate.ec
Mangle Actions
• Mark-connection utiliza seguimiento de
conexiones
www.certificate.ec
Optimal Mangle
• Queues tiene packet-mark de forma
opcional
www.certificate.ec
Optimal Mangle
• Marcar nuevas conexiones con mark-
connection
• Adicionar mark-packet para cada mark-
connection
www.certificate.ec
Mangle Ejemplo
www.certificate.ec
Mark Connection
www.certificate.ec
Mark Packet
www.certificate.ec
Mangle Example
www.certificate.ec
Advanced Queuing
www.certificate.ec
PCQ
• PCQ es un tipo de Queue Avanzado
• PCQ utiliza un clasificador para divider el
tráfico (desde el punto de vista del
cliente; src-address es Velocidad de
SUBIDA, dst-address es Velocidad de
DESCARGA)
www.certificate.ec
PCQ, un limite para todos
• PCQ permite establecer un límite a todos
los usuarios con una sola cola
www.certificate.ec
Un límite para todos
• Multiples reglas de colas son cambiadas
en un solo paso
www.certificate.ec
PCQ, igualar el ancho de banda
• Compartir ancho de banda igual entre los
usuarios
www.certificate.ec
Equalize bandwidth
www.certificate.ec
PCQ Lab
www.certificate.ec
Resumen
www.certificate.ec
Wireless
www.certificate.ec
Que es Wireless ?
www.certificate.ec
Wireless Standards
www.certificate.ec
802.11 b/g Canales
11 canales
www.certificate.ec
Frecuencias Soportadas
www.certificate.ec
Aplicar regulación
• Configurar
interface
Inalambrica para
aplicar regulación
de su país
www.certificate.ec
RADIO Name
www.certificate.ec
Wireless Network
www.certificate.ec
Station Configuration
• Poner la inteface
mode=station
• Seleccionar band
• Seleccionar SSID,
Identificación de la
red inalambrica
• Frequencia no es
importante para los
clientes, use scan-list
www.certificate.ec
Connect List
•Conjunto
de reglas
usado por las
estaciones
para
seleccionar
un access-
point
www.certificate.ec
Connect List Lab
www.certificate.ec
Configuración de Access Point
• Configurar interface
mode=ap-bridge
• Configurar band
• Configurar SSID,
Identificador de la
red inalambrica
• Configurar
Frequency
www.certificate.ec
Snooper wireless monitor
• Use Snooper
para obtener
una vista total
de las redes
inalambricas en
la banda
•
utilizada
Interface
inalambrica es
desconectada
en este
momento
www.certificate.ec
Registration Table
•Visualiza
todas las
interface
inalambricas
conectadas
www.certificate.ec
Security on Access Point
• Access-list es usado
para configurar
seguridad de MAC-
address
• Deshabilitado
Default-
Authentication es
usado unicamente
en el Access-list
www.certificate.ec
Default Authentication
www.certificate.ec
1
7
Access-List Lab
www.certificate.ec
1
7
Seguridad
www.certificate.ec
1
7
Seguridad
www.certificate.ec
1
8
Tip de Configuración
• Para ver el Pre-
Shared Key oculto,
haga click en Hide
Passwords
• Esto es util para ver
información oculta
pero no para ver
router password
www.certificate.ec
1
8
No permitir Conexiones entre
clientes
• Default-Forwarding
usado para deshabilitar
comunicaciones entre
clientes conectados al
mismo access-point
www.certificate.ec
Default Forwarding
www.certificate.ec
1
8
Nstreme
www.certificate.ec
1
8
Nstreme Lab
• Habilitar Nstreme
en su router
• Revisar el estatus
de las conexiones
• Nstreme debe
estar habilitado en
ambos routers
www.certificate.ec
1
8
Resumen
www.certificate.ec
1
8
Bridging
www.certificate.ec
1
8
Bridge Wireless Network
Clases AP
Su Laptop Su Router
192.168.X.1 192.168.X.254
DHCP-Cliente
• Volvamos a nuestra configuración
www.certificate.ec
1
8
Bridge Wireless Network
Nosotros estamos
yendo a crear
una gran red
www.certificate.ec
1
8
Bridge
• Nosotros estamos yendo a hacer un
puente entre la interface Ethernet con
la interface inalambrica
• Bridge sirve para unir diferentes
interfaces fisicas en una sola interface
logica
• Todas sus laptops estarán en la misma
red
www.certificate.ec
1
9
Bridge
www.certificate.ec
19
1
Creando un Bridge
• Bridge es configurado desde
/interface bridge menu
www.certificate.ec
19
2
Agregando puertos al Bridge
• Interfaces son adicionadas al bridge
por medio de puertos
www.certificate.ec
19
3
Bridge
www.certificate.ec
1
9
Laboratorio Bridge
• Deshabilite el dhcp cliente en la interfaz
wlan1
• Cree un bridge entre la interfaz
inalambrica y la Ethernet de LAN
• Baje el firewall de su computador
• Habilite DHCP en su computador
• Haga ping a los computadores de sus
companeros
www.certificate.ec
1
9
Restore Configuration
• Restablecer configuraciones
• Cambie a modo Station mode
• Adicione DHCP-Client en la interface correcta
• Adicione regla de masquerade
• Configure direcciones IP correctas a su laptop
www.certificate.ec
1
9
RESUMEN
www.certificate.ec
1
9
Ruteo
www.certificate.ec
1
9
Ruteo de Redes
www.certificate.ec
1
9
Route
www.certificate.ec
2
0
Routes
• Destination:
networks
redes donde
se quiere
llegar
• Gateway:
IP de la
siguiente ruta
para llegar al
destination
www.certificate.ec
2
0
Default Gateway
• Default gateway:
Ruta del siguiente
salto en la que se
envia el trafico
(0.0.0.0)
www.certificate.ec
2
0
Set Default Gateway Lab
www.certificate.ec
2
0
Rutas Dinámicas
• Mira las otras
rutas
• Rutas con DAC
son adicionas
de forma
automatica
• DAC route
viene de las
configuraciones
de las dir IP
www.certificate.ec
2
0
Rutas
• A - active
• D - dynamic
• C - connected
• S - static
www.certificate.ec
2
0
Static Routes
www.certificate.ec
2
0
Rutas Estáticas
• Rutas estáticas especifica como
alcanzar redes destino
• Default gateway es también una ruta
estática, esto envia todo el tráfico (al
destino 0.0.0.0)
www.certificate.ec
2
0
Rutas Estáticas
www.certificate.ec
2
0
Ruta a tus Compañeros
www.certificate.ec
2
0
Estructura de Red
www.certificate.ec
2
1
Rutas a sus Compañeros
www.certificate.ec
2
1
Rutas a sus Compañeros
• Agregar ruta
estática
• Configurar
Destination and
Gateway
• Trate de hacer
ping la red de
sus compañeros
www.certificate.ec
2
1
Rutas a sus Compañeros
www.certificate.ec
2
1
Resumen
www.certificate.ec
2
1
Administración de una Red
Local
www.certificate.ec
2
1
Acceso a una Red Local
www.certificate.ec
2
1
ARP
www.certificate.ec
2
1
ARP Table
• Tabla ARP
tiene el
registro de: IP
address, MAC-
address and
Interface
www.certificate.ec
2
1
Static ARP table
www.certificate.ec
2
1
Static ARP configuration
• Add entrada Estática
en la tabla ARP
• Configurar por
interface arp=reply-
only para deshabilitar
creación dinámica ARP
• Disable/enable
interface or reboot
router
www.certificate.ec
2
2
Static ARP Lab
www.certificate.ec
2
2
DHCP Server
www.certificate.ec
2
2
DHCP Server
www.certificate.ec
2
2
DHCP-Server Setup
Click
TimeDNS
Set on
that DHCP
Addresses
server
client Setup
address
maythat
use
SetSetNetwork
Gatewayfor DHCP,
for
that
will
willWe
to be
run
beIPare
Setup
given done!
assigned
addressWizard
to
offered
Select DHCP forclients
to clients
automatically
clients
interface
DHCP server
www.certificate.ec
2
2
Importante
www.certificate.ec
2
2
DHCP Server Lab
• Configure un DHCP server en la
Interface Ethernet donde su Laptop
está conectada
• Cambie la configuración de Red de su
computadora y habilite DHCP-cliente
(Se obtiene un dirección IP de forma
Automática)
• Revisar conectividad a Internet
www.certificate.ec
2
2
DHCP Server Information
• Leases prove
información
sobre clientes
DHCP
www.certificate.ec
2
2
Winbox Configuration Tip
• Mostrar o
ocultar
diferentes
columnas
de Winbox
www.certificate.ec
2
2
Lease Estático
• Nosotros
podemos
marcar lease
para ser estático
• Clientes no
obtendrán otra
dirección IP
www.certificate.ec
2
2
Lease Estático
www.certificate.ec
2
3
Lease Estático
• Configurar
Address-Pool para
static-only
• Crear Static leases
www.certificate.ec
2
3
Tuneles
www.certificate.ec
2
3
PPPoE
www.certificate.ec
2
3
Configuración de PPPoE Cliente
• Adicionar
PPPoE
client
• Necesita
configurar
Interace
• Poner
Login y
Password
www.certificate.ec
2
3
Lab PPPoE Cliente
www.certificate.ec
2
3
PPPoE Client Setup
www.certificate.ec
2
3
Configuración de PPPoE Server
• Seleccionar
Interface
• Seleccionar
Profile
www.certificate.ec
2
3
PPP Secret
• Base de datos de
• Adiciona login y
Usuarios
• Seleccionar
Password
• Configuración es
servicio
tomada desde el
profile
www.certificate.ec
2
3
PPP Profiles
www.certificate.ec
2
3
PPP Profile
• Local address
Dirección del
•
Servidor
Remote Address
Dirección de los
clientes
www.certificate.ec
PPPoE
www.certificate.ec
2
4
Pools
www.certificate.ec
2
4
Pool
www.certificate.ec
2
4
PPP Status
www.certificate.ec
2
4
PPTP
• Point to Point Tunnel Protocol provee
tuneles encriptados sobre IP
• MikroTik RouterOS incluye soporte para
PPTP cliente y server
• Utilizado para enlaces entre redes
locales a través de Internet
• Para móviles y clientes remotos puedan
acceder a recurso de una red local
www.certificate.ec
2
4
PPTP
www.certificate.ec
2
4
PPTP configuration
www.certificate.ec
2
4
PPTP cliente
• Adicionar
Interface PPTP
• Especificar
dirección del
PPTP server
• Poner login y
password
www.certificate.ec
2
4
PPTP Cliente
www.certificate.ec
2
4
PPTP Server
• PPTP
Server es
capaz de
mantener
varios
•
clientes
Es fácil de
habilitar el
servidor
PPTP
www.certificate.ec
2
5
PPTP Server Clients
www.certificate.ec
2
5
PPP Profile
www.certificate.ec
2
5
PPTP Lab
www.certificate.ec
2
5
Troubleshooting
(solución de problemas)
www.certificate.ec
2
5
Perdida del Password
www.certificate.ec
25
5
RouterBOARD License
www.certificate.ec
25
6
Mala Señal Wireless
• Comprobar que el conector de la antena
está conectado conector ‘main' de la
antena
• Compruebe que no exista agua o
humedad en el cable
• Compruebe que se están utilizando las
configuraciones default para la radio
• Interface wireless reset-configuration
www.certificate.ec
25
7
Sin Conexión
www.certificate.ec
25
8
Antes del Examen de
Certificación
• Resetee el router
• Restaure el backup o restaure las
configuraciones
• Verique que tiene acceso al Internet y a
la paguina de www.mikrotik.com
www.certificate.ec
2
5
Examen de Certificación
www.certificate.ec
2
6
Examen de Certification
• Ir a http://www.mikrotik.com
• Login con su cuenta
• Buscar la session de Entremanmiento
• Seleccionar el Examen
www.certificate.ec
2
6
Instrucciones
www.certificate.ec
2
6