MikroTik Certified Network Associate

(MTCNA)
 Entrenador

Ing. Tel. Aníbal Enríquez Moncayo

Entrenador Mikrotik Y Ubiquiti

ww.certificate.ec 2
 Agenda
• Entrenamiento diario: 8AM - 5PM
• 1 hora de almuerzo: 12:30PM

www.certificate.ec
 Objetivo del Curso

• Vista general del RouterOS software y

capacidades del RouterBoard Hardware
• Tener una formación práctica en
configuraciones del router MikroTik,
mantenimiento y resolución de
problemas básicos.

www.certificate.ec
 Sobre MikroTik
• Fabricante de software y hardware para
ruteadores
• Productos usados por ISPs, compañias e
integradores
• Hacer las tecnologías del Internet mas rápidas,
potentes y asequibles para una gama más amplia
de usuarios

www.certificate.ec
 Historia de MikroTik
• 1995: Establecida
• 1997: RouterOS software para x86 (PC)
• 2002: RouterBOARD
• 2006: Primer MUM

www.certificate.ec
De donde es MikroTik?

• www.mikrotik.com
• www.routerboard.com
• Riga, Latvia, Northern Europe,
EU

www.certificate.ec
De donde es MikroTik ?

www.certificate.ec
 Presentación

• Su nombre
• Su compañia
• Su conocimiento previo sobre RouterOS (?)
• Su conocimiento previo sobre redes (?)
• Cual es su espectativa sobre el curso (?)

• Por favor, recuerde su numero de clase XY. _____

www.certificate.ec
MikroTik RouterOS

www.certificate.ec
 Que es RouterOS ?
• RouterOS es un Sistema Operativo que
hará que su dispositivo llegue a ser:
• un ruteador dedicado
• un controlador de ancho de banda
• un filtro de paquetes (transparente)
• Un dispositivo inalámbrico
802.11a,b,g,n,ac

www.certificate.ec
 Que es RouterOS ?

• El Sistema Operativo de RouterBOARD

• Puede también ser instalado en una PC

www.certificate.ec
 Que es RouterBOARD ?
• Hardware creado por MikroTik
• Desde router pequeños domesticos
hasta concentradores de clases de
acceso de carrier

www.certificate.ec
 Primer acceso

Null Modem Ethernet

Cable cable

www.certificate.ec
 Winbox

• La aplicacion para configurar RouterOS

• Esta puede ser descargada de:
www.mikrotik.com

www.certificate.ec
Descarga de Winbox

www.certificate.ec
 Conectándo
– Hacer click en el botón [...] para ver su
router

www.certificate.ec
 Comunicación

• El proceso de comunicación esta

dividido en siete capas
• Desde la mas baja que es la capa física
hasta la mas alta que es la capa de
aplicación

www.certificate.ec
www.certificate.ec
 Direcciones MAC

• Esta es la única dirección física de

cualquier dispositivo de red
• Esta es usada para las comunicaciones
dentro de la LAN
• Ejemplo: 00:0C:42:20:97:68

www.certificate.ec
 IP

• Esta es una dirección lógica de los

dispositivos de red
• Esta es usada para comunicaciones
entre redes
• Ejemplo: 159.148.60.20

www.certificate.ec
 Mask

• Rango de direcciones IP logicas que

dividen a las redes en segmentos
• Ejemplo: 255.255.255.0 de /24

www.certificate.ec
 Subredes

• Dirección de red es la primera dirección

IP de la subred
• Dirección de Broadcast es la última
dirección IP de la subred
• Estas están reservadas y no pueden ser
utilizadas

www.certificate.ec
www.certificate.ec
 Selección de la dirección IP

• Seleccione la dirección IP de la misma

subred en la red local
• Especialmente para grandes redes con
multiples subredes

www.certificate.ec
 Ejemplo de selección de
dirección IP
• Clientes usan diferentes subredes mascara
/25 and /26
• A tiene la dirección IP 192.168.0.200/26
• B tiene mascara de subred /25, direcciones
disponibles192.168.0.129-192.168.0.254
• B no puede usar 192.168.0.129-192.168.0.192
• B puede usar direcciones IP desde
192.168.0.193 - 192.168.0.254/25
www.certificate.ec
2
6
Conectando

Ethernet
Cable

Winbox

www.certificate.ec
 Conectando Lab

• Click en el Mac-Address del Winbox

• Username “admin” sin password

www.certificate.ec
 Diagrama

AP de Clases
Su Laptop Su Router

www.certificate.ec
 Laptop - Router

• Deshabilite interfaces (wireless) en su

laptop
• Configure la dirección IP
192.168.X.1/24
• Configure 192.168.X.254 en el Gateway

www.certificate.ec
 Laptop - Router
• Conectese al router con MAC-Winbox
• Adicione 192.168.X.254/24 al Ether1

www.certificate.ec
 Laptop - Router

• Cierre Winbox y conectese nuevamente

usando dirección IP
• MAC-address debería unicamente ser
usado cuando no existe acceso por IP

www.certificate.ec
 Diagrama Laptop Router

AP de Clases
Su Laptop Su Router

172.17.X.1 172.17.X.254

www.certificate.ec
 Router Internet

AP de Clases
Su Laptop Su Router

172.17.X.1 172.17.X.254

www.certificate.ec
 Router - Internet

• El gateway de Internet de clases es

accessible sobre wireless este es un AP
(access point)
• Para conectarlo usted tienes que
configurar la interface inalámbrica de
su router en modo station

www.certificate.ec
 Router - Internet

• Para
configurar
wireless
interface,
doble-click
en este
nombre

www.certificate.ec
 Router - Internet

• Para ver un AP disponible use boton

scan
• Seleccione MTCNA y click en connect
• Cierre la ventana de scan
• Usted esta ahora conectado al AP!
• Recuerde el SSID de clases es MTCNA

www.certificate.ec
 Router - Internet

• La interface inalámbrica también

necesita una dirección IP
• El AP proporcina direcciones IP de
forma automatic con DHCP
• Usted necesita habilitar el cliente DHCP
en su router para obtener direcciones
IP

www.certificate.ec
Router - Internet

www.certificate.ec
 Router - Internet

• Revisar
conectividad a
Internet con
traceroute

www.certificate.ec
 Router Internet

AP de clases
Su Laptop Su Router

DHCP-Client
Wireless

www.certificate.ec
 Laptop - Internet

• Su router también puede ser un DNS

server para su red local (laptop)
www.certificate.ec
 Laptop - Internet

• Configurar su Laptop para que use su

router como DNS server
• Ingrese la IP de su router
(192.168.x.254) como un DNS server en
las configuraciones de red de su laptop

www.certificate.ec
 Laptop - Internet

• Laptop puede acceder al router y el

router puede acceder al internet, un
paso mas es requerido
• Hacer una regla de Masquerade para
ocultar su red privada detrás del router

www.certificate.ec
 Espacios Públicos y Privados

• Masquerade se usa para acceder a redes publicas,

cuando tenemos presentes direcciones de redes
privadas
• Redes privadas 10.0.0.0-10.255.255.255, 172.16.0.0-
172.31.255.255, 192.168.0.0-192.168.255.255
www.certificate.ec
Laptop - Internet

www.certificate.ec
 Check Connectivity
• Ping www.mikrotik.com desde su laptop

www.certificate.ec
 Qué puede estar mal

• Router no puede hacer ping al AP

• Router no puede resolver nombres
• Computadora no puede hacer ping mas
alla del router
• Computadora no puede resolver nombres
• La regla del masquerade esta trabajando?
• El gateway y DNS de la laptop ?

www.certificate.ec
 Network Diagram

AP de Clases
Su Laptop Su Router

172.17.X.1 172.17.X.254
DHCP-Client

www.certificate.ec
 Gestión de usuarios
• El acceso al router se pueda controlar
• Usted puede crear diferente tipos de usuarios

www.certificate.ec
 Gestión de usuarios Lab

• Agrege un nuevo usuario al router con

acceso full
• Asegurese de recordar el nombre de
usuario
• Haga el usuario admin read-only
• Login con su uevo usuario

www.certificate.ec
 Actualización Router

• Use paquetes
RouterOS
combinado
• Arrastre a la
ventana de
Files

www.certificate.ec
Administración de paquetes

• Las funcionalidades del RouterOS son

habilitadas por paquetes

www.certificate.ec
Información Paquetes

www.certificate.ec
 Package Lab

• Deshabilita routing
• Reboot
• Revise el menu routing

www.certificate.ec
 Router Identity

• Opción para configurar el nombre

de cada router

www.certificate.ec
 Router Identity
• Identity information es mostrada en varios
lugares

www.certificate.ec
 Router Identity Lab

• Ponga su número + su nombre en router identity

www.certificate.ec
 NTP

• Network Time Protocol, para sincronizar

tiempo
• NTP Client y NTP Server son soportados
en RouterOS

www.certificate.ec
 Porque NTP ?

• Para tener una hora correcta en el

router
• Para routers sin memoria interna
tengan hora correcta
• Para sincronizar todos los
RouterBOARDs

www.certificate.ec
 NTP Client
• NTP client paquete no es
requerido 72.8.140.240

www.certificate.ec
 Configuración Backup

• Usted puede respaldar y restaurar

configuraciones en el menu Files deWinbox
• Archivo Backup no es editable

www.certificate.ec
 Configuración Backup
• Adicionalmente se puede usar
commandos CLI para export and
import

• Archivos exportados son editables

• Passwords no son guardados

/export file=conf-august-2009
/ ip firewall filter export file=firewall-aug-2009
/ file print
/ import [Tab]
www.certificate.ec
 Backup Lab

• Crear un Backup un Export files

• Descargar estos a su laptop
• Abrir el archivo export con text editor

www.certificate.ec
 Netinstall

• Utilizado para instalación y

reinstalación de RouterOS
• Se ejecuta en Windows
• Conexión directa o por un dispositivo
de red
• Disponible en www.mikrotik.com

www.certificate.ec
 Netinstall
1.Lista de routers
2.Arranque por
3.Mantega
red

configuracion

4.
antigua

5.
Paquetes
Instalar
www.certificate.ec
 Optional Lab

• Download Netinstall ftp://192.168.100.254

• Ejecutar Netinstall
• Habilitar Net booting, set address
192.168.x.13
• Use null modem cable and Putty to connect
• Set router to boot from Ethernet

www.certificate.ec
 RouterOS License
• Todos los RouterBOARDs vienen con
licencia
• Varios niveles disponibles, no hay
actualizaciones
• Puede ser encontrado en MENU system
license
• Licencias para PC pueden ser adquiridas
en mikrotik.com o en distribuidores

www.certificate.ec
License

www.certificate.ec
 Obtain License

Login to
your account

www.certificate.ec
Actualizar Licencia para 802.11N

• 8-symbol software-ID system is

introduced
• Update key on existing routers to get
full features support (802.11N, etc.)

www.certificate.ec
Resumen

www.certificate.ec
 Links Utiles

• www.mikrotik.com - manage licenses,

documentation
• forum.mikrotik.com - share experience
with other users
• wiki.mikrotik.com - tons of examples

www.certificate.ec
Firewall

www.certificate.ec
 Firewall

• Proteja su router y clientes de acceso

no autorizados
• Esto se puede hacer mediante la
creación de reglas en Firewall Filter y
con reglas de NAT

www.certificate.ec
 Firewall Filter

• Consiste en reglas definidas por el

usuario que utilizan el principio de SI-
ENTONCES
• Estas reglas son ordenadas en cadenas
• Existen cadenas predefinidas, y
cadenas creadas por el usuario

www.certificate.ec
 Filtro tipo (Chains)

• Las reglas pueden ser colocadas en 3

chains por defecto
• input (al router)
• output (desde router)
• forward (pasa por router)

www.certificate.ec
 Firewall Chains

Output
Ping desde el Router
Input
Winbox

Forward
WWW E-Mail

www.certificate.ec
Firewall Chains

www.certificate.ec
 Input

• Cadenas (Chain) contienen reglas de

filtrado que protejen al router.
• Vamos a bloquear todo excepto su
laptop

www.certificate.ec
 Input

• Add una regla

de accept
para la
dirección IP
de su Laptop

www.certificate.ec
 Input

• Agrega una
regla de
drop para
todo lo
demás

www.certificate.ec
 Input Lab

• Cambie la direccion IP de su laptop a

192.168.x.y
• Trate de conectarse. El firewall esta
trabajando
• Todavía se puede conectar con
dirección MAC, porque el Firewall es
unicamente para IP

www.certificate.ec
 Input

• El acceso al router es bloqueado

• Internet no esta trabajando
• Porque nosotros estamos bloqueando los
requerimientos DNS
• Cambie la configuración para que el
internet trabaje

www.certificate.ec
 Input
• Usted puede
deshabilitar el
acceso MAC in
el menu MAC
Server
• Cambie la
dirección IP de
la Laptop a
192.168.X.1, y
conectese con
IP
www.certificate.ec
 Address-List
• Address-list permite filtrar un grupo
de direcciones IPs con una sola regla
• Agrega una dirección al address-list y
esta automaticamente es bloqueada

www.certificate.ec
 Address-List
• Cree diferentes listas
• Subredes y únicas direcciones de red
son soportados

www.certificate.ec
 Address-List

• Adiciona
específico host
al address-list
• Especifica el
tiempo de
espera para el
servicio
temporal

www.certificate.ec
 Address-List en Firewall

• Habilitado
para bloquear
por source y
destination
addresses

www.certificate.ec
 Address-List Lab

• Cree un address-list con direcciones IP

permitidas
• Agregar una regla que acepte las
direcciones IP permitidas

www.certificate.ec
 Forward

• Cadena (Chain) de reglas que contiene

los paquetes de control que pasa por el
router
• Controla el trafico desde y hacia los
clientes

www.certificate.ec
 Forward
• Cree una regla
que bloquee
TCP en el
puerto 80 (web
browsing)
• Tiene que
seleccionar
protocolos para
bloquear
puertos
www.certificate.ec
 Forward

• Trate de abrir www.mikrotik.com

• Trate de abrir http://192.168.X.254
• El acceso a las paginas web no es
posible porque la regla drop
chain=forward esta trabajando

www.certificate.ec
Lista de los puertos mas utilizados

www.certificate.ec
 Forward

• Cree una regla

que bloquee el
trafico p2p a los
clientes

www.certificate.ec
 Firewall Log
• Vamos a registrar en
log los ping del los

•
clientes al router
Regla Log debe ser
añadida antes que
otra acción

www.certificate.ec
Firewall Log

www.certificate.ec
 Firewall chains

• Aparte de las cadenas preestablecidas

(input, forward, output), cadenas
personalizadas pueden ser creadas
• Se consigue hacer estructuras de
firewall mas simples
• Disminuye la carga de procesamiento
del router

www.certificate.ec
 Cadenas de Firewall en acción
• Secuencia de
la cadena
personalizada
de firewall
• Cadena
personalizada
puede ser en
busca de virus,
TCP, UDP
protocols, etc.
www.certificate.ec
Connections

www.certificate.ec
 Estado de Conexiones

• Aconsejable, drop conexiones invalidas

• Firewall debe procesar únicamente los
paquetes nuevos, se recomienda
excluir otros tipos de estados
• Las reglas de filtrado tiene “connection
state” utilizados para este fin.

www.certificate.ec
 Connection State
• Añadir regla para descartar paquetes
inválidos
• Añadir regla para aceptar paquetes
establecidos
• Añadir regla para aceptar paquetes
relacionados
• Vamos al Firewall para trabajar
únicamente con paquetes nuevos

www.certificate.ec
Resumen

www.certificate.ec
Network Address Translation

www.certificate.ec
 NAT

• El Router es capaz de cambiar las

direcciones IP origen o destino de los
paquetes que pasan por este.
• Este proceso es llamado src-nat o dst-
nat

www.certificate.ec
 SRC-NAT

New
SRC-Address
SRC-Address

Su Laptop Remote Server

www.certificate.ec
 DST-NAT

Private Network
Public Host
Server

New DST-Address DST-Address

www.certificate.ec
 NAT Chains

• Para lograr estos escenarios hay que

utilizar las reglas de NAT apropiadas con
las cadenas: dstnat or srcnat
• Reglas de NAT trabajan con el principio
de IF-THEN

www.certificate.ec
 DST-NAT

• DST-NAT cambia paquetes destinados

a una dirección IP y un puerto
• Se puede utilizar para dirigir a usuarios
del internet a un servidor de una red
privada

www.certificate.ec
 DST-NAT Example

Web Server
Some Computer
192.168.1.1

New DST-Address DST-Address

192.168.1.1:80 207.141.27.45:80

www.certificate.ec
 DST-NAT Example
• Cree una regla para tráfico forward para un
WEB server en una red privada

www.certificate.ec
 Redirect

• Es un tipo especial de DST-NAT

• Esta acción redirige paquetes a el
mismo router
• Esto puede ser usado para servicios de
proxy (DNS, HTTP)

www.certificate.ec
 Redirect example

DST-Address
Configured_DNS_Server:53

New DST-Address
Router:53

DNS Cache

www.certificate.ec
 Redirect Example

• Vamos a hacer
que los usuarios
locales usen
Router DNS
cache
• Asegurese de
marcar en
protocol udp

www.certificate.ec
 SRC-NAT

• SRC-NAT cambia paquetes de la

direccion origen
• Esto es usado para conectar redes
privadas a través de una direccion IP
pública
• Masquerade es un tipo de SRC-NAT

www.certificate.ec
 Masquerade

Src Address Src Address

192.168.X.1 router address

192.168.X.1 Public Server

www.certificate.ec
 SRC-NAT Limitaciones

• Conexiones a servidores internos desde

afuera no es possible (DST-NAT es
necesario)
• Algunos protocolos requieren
ayudantes de NAT para trabajar
correctamente

www.certificate.ec
NAT Helpers

www.certificate.ec
 Consejos de Firewall

• Añadir comentarios a sus reglas

• Use Connection Tracking o Torch

www.certificate.ec
 Connection Tracking

• Connection tracking gestiona la

información sobre todas las conexiones
activas
• Debe ser habilitado para Filter y NAT

www.certificate.ec
Connection Tracking

www.certificate.ec
 Torch

• Informe de tráfico real detallado por interface

www.certificate.ec
Acciones de Firewall
• Accept
• Drop
• Reject
• Tarpit
• log
• add-src-to-address-
list(dst)
• Jump, Return
• Passthrough
www.certificate.ec
 Acciones de NAT

• Accept
• DST-NAT/SRC-NAT
• Redirect
• Masquerade
• Netmap

www.certificate.ec
Resumen

www.certificate.ec
Control de Ancho de Banda

www.certificate.ec
 Simple Queue

• La forma más fácil de limitar el ancho

de banda:
• cliente download
• cliente upload
• cliente agregado, download+upload

www.certificate.ec
 Simple Queue

• Lo más usado es Target-Address para

Simple Queue
• Orden de las colas es importante para
Simple Queue

www.certificate.ec
 Simple Queue
• Vamos a
crear una
limitació
n para su
laptop
• 64k
Upload,
128k
Downloa
Client’s Limits
address to configure
d
www.certificate.ec
 Simple Queue

• Revise sus limites

• Torch mostrara el ancho de banda

www.certificate.ec
 Using Torch

• Select local
network
interface
• See actual
bandwidth Check the
Results

Set Interface Set Laptop

Address

www.certificate.ec
 Specific Server Limit

• Vamos a crear
límite de
ancho de
banda para IP
192.168.Y.0
• DST-address
es usado para
esto
• Orden de las
reglas es imp
www.certificate.ec
 Specific Server Limit

• Ping
www.mikrotik.co
m
• Pon MikroTik
address to DST-
address
• Dirección MikroTik.com
MikroTik puede Address
ser usado en
Target-address
www.certificate.ec
 Specific Server Limit

• DST-address es usado para

limitar el acceso a los recursos
de la red local
• Target-address and DST-
addresses puede ser usados al
reves

www.certificate.ec
 Bandwidth Test Utility
• Bandwidth test puede ser utilizado para
monitorear el throughput a un dispositivo

•
remoto
Bandwidth test trabaja entre dos MikroTik

•
routers
Bandwidth test utilidad disponible para

•
Windows
Bandwidth test descargable de
MikroTik.com

www.certificate.ec
 Bandwidth Test on Router

• Configura Test To la dirección

IP de pruebas
• Seleccione protocolo
• TCP soporta multiples
conexiones
• Autentificación podria ser
requerida

www.certificate.ec
 Bandwidth Test

• Server debe ser habilitado

• Se aconseja seleccionar
Authenticate

www.certificate.ec
 Traffic Priority
• Vamos a
configurar una
mayor prioridad
para las queues
• Prioridad 1 es
mayor a 8
•
Priority
Select is in
Queue
Debe haber por Advanced Tab
lo menos 2 Set Higher Priority
prioridades
www.certificate.ec
 Simple Queue Monitor

• Es posible conseguir gráficos de

consumo de cada una de las colas
simples
• Los gráficos muestran la cantidad de
tráfico que pasa a través de una cola

www.certificate.ec
 Simple Queue Monitor

• Tenemos que
habilitar el gráfico
de las colas

www.certificate.ec
 Simple Queue Monitor
• Gráficos estan
disponibles en
WWW
• Para ver los
gráficos
http://router_I
P
• Usted puede
darle acceso a
su cliente
www.certificate.ec
Colas Avanzadas

www.certificate.ec
 Mangle
• Mangle es usado para marcar paquetes
• Separa diferentes tipos de traficos
• Marcas son activas en el router
• Usadas para configurar diferentes
limitaciones en las colas
• Mangle no cambia las estructuras de los
paquetes (excepto DSCP, TTL para
acciones específicas)
www.certificate.ec
Mangle Actions

www.certificate.ec
 Mangle Actions
• Mark-connection utiliza seguimiento de
conexiones

• Información sobre nuevas conexiones

son agregadas a la tabla de
seguimiento de conexiones

• Mark-packet trabajan directamente con

los paquetes

• Router sigue cada paquete para aplicar

mark-packet

www.certificate.ec
 Optimal Mangle
• Queues tiene packet-mark de forma
opcional

www.certificate.ec
 Optimal Mangle
• Marcar nuevas conexiones con mark-
connection
• Adicionar mark-packet para cada mark-
connection

www.certificate.ec
 Mangle Ejemplo

• Imagine que usted tienen un cliente en

el router con la dirección IP 192.168.X.55
• Vamos a crear dos marcas diferentes
(Oro, Plata), una para su equipo y otra
para el cliente de la dirección IP
192.168.X.55

www.certificate.ec
Mark Connection

www.certificate.ec
Mark Packet

www.certificate.ec
 Mangle Example

• Agregar Marcas para el Segundo cliente

también

• Debería tener 4 reglas del mangle para

los 2 usuarios

www.certificate.ec
 Advanced Queuing

• Reemplace cientos de colas con unas

pocas
• Ajustar el mismo límite a varios usuarios
• Igualar el ancho de banda disponible
entre los usuarios

www.certificate.ec
 PCQ
• PCQ es un tipo de Queue Avanzado
• PCQ utiliza un clasificador para divider el
tráfico (desde el punto de vista del
cliente; src-address es Velocidad de
SUBIDA, dst-address es Velocidad de
DESCARGA)

www.certificate.ec
 PCQ, un limite para todos
• PCQ permite establecer un límite a todos
los usuarios con una sola cola

www.certificate.ec
 Un límite para todos
• Multiples reglas de colas son cambiadas
en un solo paso

www.certificate.ec
PCQ, igualar el ancho de banda
• Compartir ancho de banda igual entre los
usuarios

www.certificate.ec
 Equalize bandwidth

• 1M upload/2M download es compartido

entre los usuarios

www.certificate.ec
 PCQ Lab

• El instructor esta yendo a crear un PCQ

lab en el router
• Dos escenarios PCQ están yendo a ser
usados con mangle

www.certificate.ec
Resumen

www.certificate.ec
Wireless

www.certificate.ec
 Que es Wireless ?

• RouterOS soporta varios modulos de

radio que permiten comunicaciones
sobre el aire en (2.4GHz and 5GHz)
• MikroTik RouterOS proporciona un
soporte completo para IEEE 802.11a,
802.11b and 802.11g wireless
networking standards

www.certificate.ec
 Wireless Standards

• IEEE 802.11b - 2.4GHz frequencies,

11Mbps
• IEEE 802.11g - 2.4GHz frequencies,
54Mbps
• IEEE 802.11a - 5GHz frequencies,
54Mbps
• IEEE 802.11n - draft, 2.4GHz - 5GHz

www.certificate.ec
 802.11 b/g Canales

11 canales

3 Access Point pueden ocupar el espectro

sin interferencia
www.certificate.ec
 802.11 a Canales

(12) 20 MHz ancho de canal

(5) 40 MHz turbo canales

www.certificate.ec
 Bandas Soportadas

• Todo 5GHz (802.11a) y 2.4GHz (802.11b/g),

incluyendo canales pequeños

www.certificate.ec
 Frecuencias Soportadas

• Dependiendo de las regulaciones de

cada pais tarjetas inalambricas podrían
soportar
• 2.4GHz: 2312 - 2499 MHz
• 5GHz: 4920 - 6100 MHz

www.certificate.ec
 Aplicar regulación

• Configurar
interface
Inalambrica para
aplicar regulación
de su país

www.certificate.ec
 RADIO Name

• Nosotros usaremos RADIO Name para

identificar al router
• Configure RADIO Name con
Número+Su Nombre

www.certificate.ec
Wireless Network

www.certificate.ec
 Station Configuration
• Poner la inteface
mode=station
• Seleccionar band
• Seleccionar SSID,
Identificación de la
red inalambrica
• Frequencia no es
importante para los
clientes, use scan-list

www.certificate.ec
 Connect List

•Conjunto
de reglas
usado por las
estaciones
para
seleccionar
un access-
point
www.certificate.ec
 Connect List Lab

• Actualmente su router se conecta al

access-point de clases
• Vamos a hacer la regla para no permitir
la conexión al access-point de clases
• Use connect-list comparadores

www.certificate.ec
Configuración de Access Point
• Configurar interface
mode=ap-bridge
• Configurar band
• Configurar SSID,
Identificador de la
red inalambrica
• Configurar
Frequency

www.certificate.ec
 Snooper wireless monitor
• Use Snooper
para obtener
una vista total
de las redes
inalambricas en
la banda

•
utilizada
Interface
inalambrica es
desconectada
en este
momento
www.certificate.ec
 Registration Table

•Visualiza
todas las
interface
inalambricas
conectadas

www.certificate.ec
 Security on Access Point
• Access-list es usado
para configurar
seguridad de MAC-
address
• Deshabilitado
Default-
Authentication es
usado unicamente
en el Access-list

www.certificate.ec
 Default Authentication

• Yes, Reglas de Access-List son

verificadas, el cliente se puede
conectar si no hay una regla de
negación
• No, solo reglas de Access-List son
verificadas

www.certificate.ec
1
7
 Access-List Lab

• Puesto que usted esta en mode=station

vamos a explicar el laboratorio desde el
router del profesor
• Deshabilita conexión para clientes
especificos
• Permite conexión para clientes
especificos

www.certificate.ec
1
7
 Seguridad

• Vamos a habilitar la encriptación para

la red inalambrica
• Usted puede usar los protocolos de
encriptación WPA o WPA2
• Todos los dispositivos de la red
deberían estar habilitados con las
mismas opciones de seguridad

www.certificate.ec
1
7
 Seguridad

• Vamos a crear una

WPA encriptación
para nuestra red
inalambrica
• WPA Pre-Shared
Key es
mikrotiktraining

www.certificate.ec
1
8
 Tip de Configuración
• Para ver el Pre-
Shared Key oculto,
haga click en Hide
Passwords
• Esto es util para ver
información oculta
pero no para ver
router password

www.certificate.ec
1
8
 No permitir Conexiones entre
clientes

• Default-Forwarding
usado para deshabilitar
comunicaciones entre
clientes conectados al
mismo access-point

www.certificate.ec
 Default Forwarding

• Reglas de Access-List tienen mayor

prioridad
• Revisar su access-list si conexiones
entre clientes esta trabajando

www.certificate.ec
1
8
 Nstreme

• Es un protocol inalambrico propietario

de MikroTik
• Mejora enlaces inalámbricos,
especialmente enlaces de largo alcance
• Para ser usado es necesario habilitar el
protocolo en todos los dispositivos de
la red

www.certificate.ec
1
8
 Nstreme Lab

• Habilitar Nstreme
en su router
• Revisar el estatus
de las conexiones
• Nstreme debe
estar habilitado en
ambos routers

www.certificate.ec
1
8
Resumen

www.certificate.ec
1
8
Bridging

www.certificate.ec
1
8
 Bridge Wireless Network

Clases AP
Su Laptop Su Router

192.168.X.1 192.168.X.254
DHCP-Cliente
• Volvamos a nuestra configuración
www.certificate.ec
1
8
Bridge Wireless Network
Nosotros estamos
yendo a crear
una gran red

www.certificate.ec
1
8
 Bridge
• Nosotros estamos yendo a hacer un
puente entre la interface Ethernet con
la interface inalambrica
• Bridge sirve para unir diferentes
interfaces fisicas en una sola interface
logica
• Todas sus laptops estarán en la misma
red

www.certificate.ec
1
9
 Bridge

• Para tener un bridge usted

necesita crear una interface
bridge
• Agregar puertos a la interface
bridge

www.certificate.ec
19
1
 Creando un Bridge
• Bridge es configurado desde
/interface bridge menu

www.certificate.ec
19
2
Agregando puertos al Bridge
• Interfaces son adicionadas al bridge
por medio de puertos

www.certificate.ec
19
3
 Bridge

• No existe problemas de hacer bridge

entre las interfaces Ethernet, Wireless
o SFP

www.certificate.ec
1
9
 Laboratorio Bridge
• Deshabilite el dhcp cliente en la interfaz
wlan1
• Cree un bridge entre la interfaz
inalambrica y la Ethernet de LAN
• Baje el firewall de su computador
• Habilite DHCP en su computador
• Haga ping a los computadores de sus
companeros
www.certificate.ec
1
9
 Restore Configuration

• Restablecer configuraciones
• Cambie a modo Station mode
• Adicione DHCP-Client en la interface correcta
• Adicione regla de masquerade
• Configure direcciones IP correctas a su laptop

www.certificate.ec
1
9
RESUMEN

www.certificate.ec
1
9
Ruteo

www.certificate.ec
1
9
 Ruteo de Redes

• Regresar a la configuración anterior

• Trate de hacer ping a las laptop vecinas
• Dirección IP de los vecinos 192.168.X.1
• Ahora estamos yendo a aprender como
utilizer reglas de ruteo para hacer ping
a las laptos de los compañeros

www.certificate.ec
1
9
 Route

• Reglas ip route definen donde los

paquetes deberían ser enviados
• Veamos las reglas de ruteo IP

www.certificate.ec
2
0
 Routes
• Destination:
networks
redes donde
se quiere
llegar
• Gateway:
IP de la
siguiente ruta
para llegar al
destination
www.certificate.ec
2
0
 Default Gateway

• Default gateway:
Ruta del siguiente
salto en la que se
envia el trafico
(0.0.0.0)

www.certificate.ec
2
0
 Set Default Gateway Lab

• Actualmente se tiene el gateway

recibido desde DHCP-Client
• Deshabilitar la recepcion automatica
del default gateway in DHCP-client
settings
• Adicionar default gateway
manualmente

www.certificate.ec
2
0
 Rutas Dinámicas
• Mira las otras
rutas
• Rutas con DAC
son adicionas
de forma
automatica
• DAC route
viene de las
configuraciones
de las dir IP

www.certificate.ec
2
0
 Rutas

• A - active
• D - dynamic
• C - connected
• S - static

www.certificate.ec
2
0
 Static Routes

• Nuestro objetivo es hacer pines a las

laptop de los compañeros
• Rutas estáticas nos puede ayudar a
hacer esto

www.certificate.ec
2
0
 Rutas Estáticas
• Rutas estáticas especifica como
alcanzar redes destino
• Default gateway es también una ruta
estática, esto envia todo el tráfico (al
destino 0.0.0.0)

www.certificate.ec
2
0
 Rutas Estáticas

• Rutas estáticas adicionales son

requeridas para alcanzar las redes de
sus compañeros.
• Gateway (router del curso) no tiene
información sobre las redes privadas de
los estudiantes

www.certificate.ec
2
0
 Ruta a tus Compañeros

• Recordemos la estructura de red

• Redes locales de sus compañeros son:
192.168.x.0/24
• Pregunte a sus compañeros las
direcciones IP de sus Interfaces
Inalámbricas

www.certificate.ec
2
0
Estructura de Red

www.certificate.ec
2
1
 Rutas a sus Compañeros

• Agregar una regla de ruta

• Configuración de Destination, destination
es la red local de sus compañeros
• Configuración del Gateway, dirección que
es usada para alcanzar la red destino –
gateway es la dirección IP de la interface
inalambrica de su compañero

www.certificate.ec
2
1
 Rutas a sus Compañeros

• Agregar ruta
estática
• Configurar
Destination and
Gateway
• Trate de hacer
ping la red de
sus compañeros

www.certificate.ec
2
1
 Rutas a sus Compañeros

• Usted deberia poder ahora hacer ping a las

redes de sus compañeros

www.certificate.ec
2
1
Resumen

www.certificate.ec
2
1
Administración de una Red
Local

www.certificate.ec
2
1
 Acceso a una Red Local

• Diseño de una red con cuidado

• Cuidar el acceso local a los usuarios de
red
• Usar las funciones de RouterOS para
asegurar los recursos de red

www.certificate.ec
2
1
 ARP

• Protocolo de Resolución de Direcciones

• ARP trabaja conjuntamente entre
Direcciones IP y Direcciones MAC
• ARP trabaja dinamicamente, pero
puede tambien estar manualmente
configurado

www.certificate.ec
2
1
 ARP Table

• Tabla ARP
tiene el
registro de: IP
address, MAC-
address and
Interface

www.certificate.ec
2
1
 Static ARP table

• Para incrementar la seguridad registros

ARP pueden ser creados manualmente
• Clientes del Router’s serán
deshabilitados del acceso al internet si
cambian la dirección IP

www.certificate.ec
2
1
 Static ARP configuration
• Add entrada Estática
en la tabla ARP
• Configurar por
interface arp=reply-
only para deshabilitar
creación dinámica ARP
• Disable/enable
interface or reboot
router

www.certificate.ec
2
2
 Static ARP Lab

• Marque la ARP de su laptop como

entrada estática
• Ponga arp=reply-only en la Local
Network interface
• Cambie la dirección IP de su laptop
• Pruebe conectividad a Internet

www.certificate.ec
2
2
 DHCP Server

• Dynamic Host Configuration Protocol

• Usado para distribuir de forma
automática direcciones IP dentro de
red local
• Recomendable usar DHCP únicamente
en redes seguras

www.certificate.ec
2
2
 DHCP Server

• Para configurar un DHCP server usted

tiene que tener una dirección IP en una
interface
• Use el commando setup para habilitar y
configurar el DHCP server
• Este le ayudara a proporcionar la
información necesaria

www.certificate.ec
2
2
DHCP-Server Setup

Click
TimeDNS
Set on
that DHCP
Addresses
server
client Setup
address
maythat
use
SetSetNetwork
Gatewayfor DHCP,
for
that
will
willWe
to be
run
beIPare
Setup
given done!
assigned
addressWizard
to
offered
Select DHCP forclients
to clients
automatically
clients
interface
DHCP server

www.certificate.ec
2
2
 Importante

• Para configurar un DHCP server sobre

un bridge, ponga el DHCP server sobre
la interface bridge
• DHCP server podrá ser invalido,
cuando este es configurado sobre un
puerto del bridge

www.certificate.ec
2
2
 DHCP Server Lab
• Configure un DHCP server en la
Interface Ethernet donde su Laptop
está conectada
• Cambie la configuración de Red de su
computadora y habilite DHCP-cliente
(Se obtiene un dirección IP de forma
Automática)
• Revisar conectividad a Internet

www.certificate.ec
2
2
 DHCP Server Information

• Leases prove
información
sobre clientes
DHCP

www.certificate.ec
2
2
 Winbox Configuration Tip

• Mostrar o
ocultar
diferentes
columnas
de Winbox

www.certificate.ec
2
2
 Lease Estático

• Nosotros
podemos
marcar lease
para ser estático
• Clientes no
obtendrán otra
dirección IP

www.certificate.ec
2
2
 Lease Estático

• DHCP-server podría correr sin dynamic

leases
• Clientes recibirán unicamente
direcciones IP preconfiguradas

www.certificate.ec
2
3
 Lease Estático

• Configurar
Address-Pool para
static-only
• Crear Static leases

www.certificate.ec
2
3
Tuneles

www.certificate.ec
2
3
 PPPoE

• Point to Point Protocol over Ethernet a

menudo se utiliza para controlar las
conexiones de clientes de DSL, Cable
Módems y redes Ethernet simples
• MikroTik RouterOS soporta PPPoE
cliente y PPPoE server

www.certificate.ec
2
3
 Configuración de PPPoE Cliente
• Adicionar
PPPoE
client
• Necesita
configurar
Interace
• Poner
Login y
Password

www.certificate.ec
2
3
 Lab PPPoE Cliente

• El Profesor esta yendo a crear un PPPoE

server en su router
• Deshabilitar DHCP-client en la interface
de salida de su router
• Configurar PPPoE client en la interface
de salida de su router
• Poner Username class, password class

www.certificate.ec
2
3
 PPPoE Client Setup

• Revisar las conexiones PPP

• Deshabilitar PPPoE cliente
• Habilitar DHCP cliente para restaurar a
la configuración anterior

www.certificate.ec
2
3
 Configuración de PPPoE Server

• Seleccionar
Interface
• Seleccionar
Profile

www.certificate.ec
2
3
 PPP Secret

• Base de datos de
• Adiciona login y
Usuarios

• Seleccionar
Password

• Configuración es
servicio

tomada desde el
profile

www.certificate.ec
2
3
 PPP Profiles

• Configuración de reglas usadas por

clientes PPP
• Es una forma de tener las mismas
configuraciones para diferentes clientes

www.certificate.ec
2
3
 PPP Profile

• Local address
Dirección del

•
Servidor
Remote Address
Dirección de los
clientes

www.certificate.ec
 PPPoE

• Importante, PPPoE server corre en una

interface
• PPPoE interface puede estar sin
dirección IP configurada
• Por seguridad, dejar la interface PPPoE
sin dirección IP configurada

www.certificate.ec
2
4
 Pools

• Pool define el rango de direcciones IP

para clients PPP, DHCP y HotSpot
• Nosotros usaremos un pool, porque
habrá mas de un cliente
• Las direcciones son tomadas desde el
pool automaticamente

www.certificate.ec
2
4
 Pool

www.certificate.ec
2
4
PPP Status

www.certificate.ec
2
4
 PPTP
• Point to Point Tunnel Protocol provee
tuneles encriptados sobre IP
• MikroTik RouterOS incluye soporte para
PPTP cliente y server
• Utilizado para enlaces entre redes
locales a través de Internet
• Para móviles y clientes remotos puedan
acceder a recurso de una red local

www.certificate.ec
2
4
PPTP

www.certificate.ec
2
4
 PPTP configuration

• Configuración de PPTP es muy parecida

a la configuración de PPPoE
• Configuración de L2TP es parecida a
PPTP y PPPoE

www.certificate.ec
2
4
 PPTP cliente
• Adicionar
Interface PPTP
• Especificar
dirección del
PPTP server
• Poner login y
password

www.certificate.ec
2
4
 PPTP Cliente

• Esa es toda la configuración del cliente

PPTP
• Use Add Default Gateway para enrutar
el tráfico de todos los router al túnel
PPTP
• Use rutas estáticas para enviar tráfico
específico a un túnel PPTP

www.certificate.ec
2
4
 PPTP Server
• PPTP
Server es
capaz de
mantener
varios

•
clientes
Es fácil de
habilitar el
servidor
PPTP

www.certificate.ec
2
5
 PPTP Server Clients

• Configuraciones de clientes PPTP son

guardadas en ppp secret
• ppp secret es usado por clientes PPTP,
L2TP, PPPoE
• La base de datos de ppp secret es
configurada en el servidor

www.certificate.ec
2
5
 PPP Profile

• El mismo profile es usado po clientes

PPTP, PPPoE, L2TP y PPP

www.certificate.ec
2
5
 PPTP Lab

• El professor esta yendo a crear un PPTP

server en su router
• Crear un cliente PPTP
• Use username class password class
• Deshabilite la interfac PPTP

www.certificate.ec
2
5
 Troubleshooting
(solución de problemas)

www.certificate.ec
2
5
 Perdida del Password

• La única solución para resetear el

password es reinstalar el router

www.certificate.ec
25
5
 RouterBOARD License

• Todas las licencias adquiridas se almacenan

en el servidor de cuentas MikroTik
• Si el router pierde la key, por alguna razón -
sólo tienes que entrar en mikrotik.com
conseguirlo de la lista de keys
• Si la key no está en la lista, utilizar la opción
Request Key

www.certificate.ec
25
6
 Mala Señal Wireless
• Comprobar que el conector de la antena
está conectado conector ‘main' de la
antena
• Compruebe que no exista agua o
humedad en el cable
• Compruebe que se están utilizando las
configuraciones default para la radio
• Interface wireless reset-configuration

www.certificate.ec
25
7
 Sin Conexión

• Intente diferentes puertos Ethernet o cables

• Use el jumper de reset en el RouterBOARD
• Use consola serial para ver algún possible
mensaje
• Use netinstall si es posible
• Contacte a support (support@mikrotik.com)

www.certificate.ec
25
8
 Antes del Examen de
Certificación

• Resetee el router
• Restaure el backup o restaure las
configuraciones
• Verique que tiene acceso al Internet y a
la paguina de www.mikrotik.com

www.certificate.ec
2
5
Examen de Certificación

www.certificate.ec
2
6
 Examen de Certification

• Ir a http://www.mikrotik.com
• Login con su cuenta
• Buscar la session de Entremanmiento
• Seleccionar el Examen

www.certificate.ec
2
6
Instrucciones

www.certificate.ec
2
6