CURSO

MTCNA

1
Entrenador
Juan Manuel Díaz Gómez

Ingeniero de Telecomunicaciones
Universidad Santo Tomás sede
M e d e l lín , g r a n e x p e r i e n c i a
trabajando con equipos de la marca
MikroTik por más de 10 años.
Consultor y entrenador Certificado
MikroTik.

2
Asistente
Camilo Andres Montoya Mene

Tecnólogo en sistemas del

Sena, gran experiencia
trabajando con equipos de la
marca MikroTik por más de 5
años.
Actualmente certificado en
MTCNA.

3
Objetivos del curso
•Proporcionar una descripción general
del RouterOS software y productos
RouterBOARD
•Entrenamiento práctico con
enrutadores MikroTik
•configuración, mantenimiento y
solución básica de problemas

4
Resultados del
aprendizaje
El estudiante podrá:

• Ser capaz de configurar, gestionar y realizar resolución de

problemas básicos de un dispositivo con RouterOS

• Poder brindar servicios básicos a los clientes

• Tener una base sólida y valiosas herramientas para

gestionar una red

5
Certificaciones MikroTik

6
Contenido MTCNA
• Modulo 1: Introducción

• Modulo 2: DHCP

• Modulo 3: Bridging

• Modulo 4: Enrutamiento

• Modulo 5: Inalámbrico

• Modulo 6: Firewall

• Module 7: Calidad de Servicio (QoS)

• Module 8: Tuneles

• Module 9: Herramientas

• Prácticas de laboratorio durante cada

módulo (más de 40 en total)

• Contenido detallado disponible en

mikrotik.com

7
Programación

• Día de entrenamiento: 8:30AM - 5PM

• 30 minutos de descanso: 10:30AM y 3:00PM

• 1 hora de almuerzo: 12:30PM

• Test de certificación: Último día, 1 hora

8
Datos importantes
• Salidas de emergencia.

• Ubicación del baño.

• Comidas y bebidas durante la clase.

• Configure el teléfono en 'silencio' y

tome llamadas fuera del aula.

• Mantener el tapabocas durante todo el

entrenamiento y realizar lavado de
manos constantemente.

9
Conozcámonos

• Su nombre y empresa

• Su conocimiento previo sobre redes

• Su conocimiento previo sobre RouterOS

• ¿Qué espera de este curso?

• Por favor, anote su número (XY): ___

10
Modulo 1

RouterOS y Routerboard

11
Acerca de Mikrotik
MikroTik es una empresa letona fundada en 1996 para desarrollar enrutadores y
sistemas ISP inalámbricos. MikroTik ahora proporciona hardware y software para
la conectividad a Internet en la mayoría de los países del mundo. Nuestra
experiencia en el uso de hardware de PC estándar de la industria y sistemas de
enrutamiento completos nos permitió en 1997 crear el sistema de software
RouterOS que proporciona una gran estabilidad, controles y flexibilidad para todo
tipo de interfaces de datos y enrutamiento. En 2002 decidimos fabricar nuestro
propio hardware y nació la marca RouterBOARD. Tenemos revendedores en la
mayor parte del mundo y clientes probablemente en todos los países del planeta.
Nuestra empresa está ubicada en Riga, la capital de Letonia y cuenta con más de
280 empleados.

12
La historia de Mikrotik
•1996: Establecida
•1997: Software RouterOS para x86 (PC)
•2002: Nacimiento de RouterBOARD
•2006: Primer MUM
•2018: Mayor MUM: Indonesia, 3700+
Evolución del RouterOS

•v7 - Oct 2019

•v6 – Mayo 2013
• v5 - Mar 2010
• v4 - Oct 2009
• v3 - Ene 2008
13
¿Dónde está
Mikrotik?
Riga, LATVIA,
Letonia
Noreste de Europa

14
 ¿Qué es RouterOS?

•Es el sistema operativo de los dispositivos

RouterBOARD
•También se puede instalar en una PC o como
máquina virtual (VM)
•Enrutador alojado en la nube
•Sistema operativo autónomo basado en el kernel de
Linux

15
Características de
RouterOS
• Full 802.11 a/b/g/n/ac support

• LTE, 60GHz wireless support

• Firewall/control de ancho de banda

• Túneles punto a punto (PPPoE, SSTP,

PPTP, OpenVPN, L2TP+IPsec)

• DHCP, Hotspot, User Manager (RADIUS)

• Y muchos mas… para saber mas: wiki.mikrotik.com

16
¿ Qué es RouterBOARD ?

•Una familia de soluciones de hardware creada por

MikroTik que ejecutan RouterOS
•Desde pequeños enrutadores domésticos hasta
equipo robustos para empresas.
18
Primer acceso
Null
Ethernet
Modem
cable
Cable

19
Formas de acceso

•Vía RS232 (Sólo para ciertos RouterBoard)

•Vía WebFig
•Vía Winbox (IP o MAC)
•Vía Telnet
•Vía SSH

20
Descarga de Winbox
Ingresamos a
www.mikrotik.com,
seleccionamos la
opción software y
posteriormente
elegimos winbox y la
arquitectura que
deseamos ya sea 32-bit
o 64-bit

21
WinBox

• Dirección IP predeterminada (lado LAN):

192.168.88.1

• Usuario: admin, Contraseña: (en blanco)

22
 LAB

MAC WinBox
Observe el título de WinBox cuando esta

conectado usando la dirección IP

• Conéctese al enrutador mediante dirección MAC

• Observe el título de WinBox

23
 LAB

MAC WinBox
• Deshabilite la dirección IP en la interfaz
bridge

• Intente iniciar sesión en el enrutador

utilizando la dirección IP (no es posible)

• Intente iniciar sesión en el enrutador

utilizando la MAC WinBox (funciona)

24
WebFig

Navegador: http://192.168.88.1

25
Quick Set

• Configuración básica del enrutador en

una ventana

• Accesible desde WinBox y WebFig”

26
Configuración por defecto
• Se aplica una configuración predeterminada

• Para obtener más información, consulte la página

wiki Mikrotik configuración predeterminada

• Ejemplo: enrutadores SOHO - cliente DHCP en

Ether1, servidor DHCP en el resto de puertos +
WiFi

• Puede descartarse y usarse en "blanco" en su

lugar

27
Interfaz de línea de comandos

Disponible a través de SSH, Telnet o

"New terminal 'en WinBox y WebFig

28
Interfaz de línea de comandos

• <tab> completa el comando

• doble <tab> muestra los comandos disponibles.

• "?" Muestra ayuda

• Navegar por comandos anteriores con los botones <↑>, <↓>

29
Interfaz de línea de comandos

Estructura jerárquica (similar al

Menú de WinBox)

30
 LAB

Acceso a Internet

31
 LAB

Laptop - Router
• Conecte la computadora portátil al enrutador con un
cable, conéctelo a cualquiera de los puertos LAN (2-5)

• Deshabilite otras interfaces (inalámbricas) en su

computadora portátil

• Asegúrese de que la interfaz Ethernet de la computadora

portátil esté configurada para obtener la configuración de
IP automáticamente (a través de DHCP)

32
 LAB

Laptop - Router
• La puerta de enlace a Internet de su
clase es accesible vía inalámbrica -
es un punto de acceso (AP)

33
 LAB

Router - Internet
• Para conectarse al AP debe:

• Quitar la interfaz inalámbrica del bridge (utilizada en la

configuración por defecto)

• Configure el cliente DHCP en la interfaz inalámbrica

• Para conectarse al AP tiene que:

• Crear y configurar una red inalámbrica con un

security profile

• Configure la interfaz inalámbrica en modo station

• Y configurar NAT masquerade

34
 LAB

Router - Internet

Remueva la
interfaz wifi
de el bridge

35
 LAB

Router - Internet

Asignar el
DHCP client
a la interfaz
WiFi

36
 LAB

Router - Internet

Asignar
nombre y
clave

37
 LAB

Router - Internet
Asignar modo
"Station", el SSID a
"MTCNA" y el perfil
de seguridad a
"clase"

• La herramienta "Scan..." se
puede utilizar para ver y
conectarse a los puntos de
acceso disponibles

38
WinBox Tip

Para ver información oculta

(excepto usuario o

contraseña), seleccione
Settings → Hide
Passwords

39
Espacio Privado y Público
Masquerade es
usado para el
acceso a redes
publicas, donde las
direcciones
privadas están
presentes.

Las redes privadas incluyen:

10.0.0.0-10.255.255.255,
172.16.0.0-172.31.255.255,
192.168.0.0-192.168.255.255
40
 LAB

Router - Internet

Configura
masquerade sobre
la interfaz WiFi

41
 LAB

Verificar Conectividad

Realice un Ping
desde su computar a
www.mikrotik.com

42
Troubleshooting
• El enrutador no puede hacer ping más
allá del AP

• El enrutador no puede resolver

nombres

• La computadora portátil no puede

hacer ping más allá del enrutador

• La computadora portátil no puede

resolver nombres de dominio

• La regla de la masquerade no funciona

43
Versiones de RouterOS
• Long-term - correcciones, sin nuevas funciones

• Stable - algunas correcciones + nuevas funciones

• Testing - Se considera una "versión beta"

44
Actualizar RouterOS

• La forma más sencilla de

actualizar

45
Actualizar RouterOS
• Descarga la actualización desde la pa
página mikrotik.com/download

• Verifique la arquitectura de la CPU de

su enrutador

• Arrastre y suelte en la ventana de

WinBox

• Otras formas: menú Archivos WebFig,

FTP, sFTP

• Reinicie el enrutador

46
Administración de paquetes

Las funciones de RouterOS son

habilitadas / deshabilitadas por

paquetes

47
Paquetes RouterOS

• Para mas información

visite página Mikrotik wiki
packages

48
Paquetes RouterOS
• Cada arquitectura de CPU tiene una
combinación de paquete, por ejemplo
"Routeros-mipsbe", "Routeros-tile"

• Contiene todas las características

estándar RouterOS (inalámbrica,
dhcp, ppp, enrutamiento, etc.)

• Se pueden descargar paquetes

adicionales de la página
www.mikrotik.com/download

49
Paquetes Extras RouterOS

• Proporcionar
funcionalidad adicional

• Cargue el archivo del

paquete al enrutador y
reinicie

50
 LAB

Administración de Paquetes
• Deshabilitar el paquete inalámbrico

• Reinicie el enrutador

• Observe la lista de interfaces

• Habilite el paquete inalámbrico

• Reinicie el enrutador

51
 LAB

Administración de Paquetes
• Observe el menú del sistema WinBox (no esta
instalado NTP cliente /servidor)

• Descargue el archivo de paquetes adicionales para

su arquitectura de la CPU del enrutador

• Instale el paquete ntp y reinicie el enrutador

• Observe el menú del sistema WinBox

52
Downgrade de Paquetes
• Desde el menú System → Packages

• "Check For Updates" y elegir canal diferente (por

ejemplo, a longterm)

• Haga clic en "Download"

• Haga clic en "Downgrade" en la ventana "Package List"

53
 LAB

Downgrade de Paquetes

• Realizar downgrade de RouterOS de stable a

longterm

• Vuelva a actualizarlo a la versión estable

54
RouterBOOT
• Firmware responsable de iniciar
RouterOS en dispositivos
RouterBOARD

• Dos cargadores de arranque en

RouterBOARD - principal y de
respaldo

• El principal se puede actualizar

• El cargador de respaldo se puede

cargar si es necesario

55
Router Identity
• Opción para establecer un
nombre para cada
enrutador.

• La información de identidad
está disponible en
diferentes ubicaciones.

56
 LAB

Router Identity
• Establezca el identity de su enrutador por
ejemplo: SuNumero (XY) _SuNombre

• Por ejemplo: A1_CamiloMontoya

• Observe el menú de título de WinBox

57
Usuarios en RouterOS
• Usuario por defecto admin.
grupo full

• Grupos adicionales - read y

write
• Puede crear su propio grupo y
ajustar los permisos de acceso

58
 LAB

Usuarios en RouterOS
• Agregue un nuevo usuario al RouterOS
con acceso full (anote el nombre y la
contraseña)

• Cambiar el grupo del usuario admin a

read.

• Iniciar sesión con el nuevo usuario

• Inicie sesión con el usuario admin e

intente cambiar la configuración del
enrutador (no es posible)

59
 LAB

Usuarios en RouterOS

• Generar par de claves SSH privada / pública

• usando 'ssh-keygen' (OS X y Linux) o 'Puttygen' (Windows)

• Cargue la parte pública de la clave al enrutador

• Importar y adjuntarlo al usuario

• Inicie sesión en el enrutador utilizando la clave privada

60
Servicios de RouterOS
• Diferentes formas de
conectarse al RouterOS

• API: aplicación Interfaz de

programación

• FTP: para cargar /

descargar archivos hacia /
desde el RouterOS

61
Servicios de RouterOS
• SSH - interfaz segura de
línea de comandos

• Telnet: interfaz insegura de

línea de comandos

• WinBox: acceso a la GUI

• WWW: acceso desde el

navegador web

62
Servicios de RouterOS
• Deshabilitar los servicios
que no se utilizan

• Restringir el acceso desde

la opción "available from"

• Los puertos
predeterminados pueden
ser cambiado

63
 LAB

Servicios de RouterOS

• Abra la interfaz web de RouterOS - http://192.168.88.1

• En WinBox deshabilite el servicio www

• Actualizar la página del navegador

64
Configuración de Backups
• Dos tipos de copias de seguridad

• Archivo de copia de seguridad (.backup):

se utiliza para restaurar la configuración en
el mismo modelo de dispositivo.

• Archivo de exportación (.rsc): se utiliza

para mover configuración a otro enrutador

• El archivo de respaldo se puede crear y

restaurar en el menú File en WinBox

• El archivo de respaldo es binario, por

defecto cifrado con contraseña de usuario.
Contiene una configuración completa del
enrutador (contraseñas, llaves, etc.)
65
Configuración de Backups

• El nombre y la contraseña se
pueden ingresar personalizados

• Se utiliza la identidad del

enrutador y la fecha actual como
nombre de archivo de respaldo

66
Configuración de Backups

• El archivo de exportación (.rsc) es un

script con el que se puede realizar una
copia de seguridad de la configuración
del enrutador y restaurarlo

• Archivo de texto sin formato (editable)

• Contiene solo la configuración que es

diferente a la predeterminada de
fábrica.

67
Configuración de Backups

• El archivo de exportación se crea mediante el

comando "export" en CLI

• Configuración del enrutador total o parcial se

puede guardar en un archivo de exportación

• Las contraseñas de usuario de RouterOS no son

guardado al usar el comando export

68
Configuración de Backups

• Se almacena archivos en la carpeta "flash"

• Contiene comandos de RouterOS listos para usar

69
Configuración de Backups
• El archivo de exportación se puede editar a mano

• Puede usarse para mover la configuración a un modelo diferente de dispositivo

• Restaurar usando el comando "/ import"

70
Configuración de Backups

• Descarga un respaldo en la computadora

usando WinBox (arrastrar y soltar), FTP o
WebFig

• ¡No almacene solo la copia de seguridad en el

enrutador! ¡No es una buena estrategia!

71
Restablecer Configuración
• Restablecer la configuración
predeterminada

• Retener a los usuarios de RouterOS

después del reinicio

• Restablecer a un enrutador sin ningún

configuración ("en blanco")

• Ejecutar una secuencia de comandos

después de reiniciar

72
Restablecer Configuración
• Usando el botón físico de "reset" en el
enrutador

• Iniciar el cargador RouterBOOT de

respaldo

• Restablecer la configuración del

enrutador

• Habilitar el modo CAP (AP controlado)

• Iniciar en modo Netinstall

• Para obtener más información, consulte la

página wiki sobre botón de reinicio

73
Netinstall
• Se utiliza para instalar y reinstalar
RouterOS

• La conexión de red directa al enrutador es

requerido (se puede utilizar en LAN
conmutada)

• El cable debe estar conectado al puerto

Ether1 (excepto en CCR y RB1xxx -
último puerto)

• Funciona en Windows

• Para obtener más información, consulte la

página wiki Netinstall

Disponible en www.mikrotik.com/download
74
 LAB

Configuración de Backups
• Cree un archivo .backup

• Cópialo en tu computadora portátil

• Eliminar el archivo .backup del enrutador

• Restablecer la configuración del

enrutador

• Copie el archivo .backup de nuevo al

enrutador

• Restaurar la configuración del enrutador

75
 LAB

Configuración de Backups
• Cree una copia de seguridad mediante el
comando "export"

• Cópialo en tu computadora portátil

• Eliminar el archivo de exportación del

enrutador

• Restablecer la configuración del

enrutador

• Copiar el archivo de exportación al

enrutador

• Restaurar la configuración del enrutador

76
Netinstall

• Descarga Netinstall

• Inicie su enrutador en modo Netinstall

• Instale RouterOS en su enrutador usando

Netinstall

• Restaurar la configuración con el archivo

de copia de seguridad guardado

77
Licencia de RouterOS
• Todos los RouterBOARD son enviados
con una licencia

• Diferentes niveles de licencia

(caracteristicas)

• Actualizaciones de RouterOS de por vida

• La licencia CHR o x86 puede ser

comprada en mikrotik.com o a través de
distribuidores

78
Licencias de RouterOS

79
Enrutador alojado en la nube
• Versión de RouterOS diseñada para
funcionar en entornos virtuales

• Se ejecuta en las plataformas de

virtualización más populares como
VMware, Microsoft HyperV, VirtualBox,
XEN, KVM, etc.

• Servicios en la nube: Amazon, Azure y

otros

80
Casos de uso CHR
• Firewall para los servicios en la nube

• Servidor VPN en la nube

• El servidor de monitoreo Dude

• Simular redes para aprender o formación

• Y muchos más

81
Licencias CHR

• Prueba de 60 días disponible

• La licencia comprada se puede transferir a otro CHR

82
Licencias CHR

83
Licencias CHR

84
Licencias CHR

85
Licencias CHR

86
Licencias CHR
• Las licencias de CHR están vinculadas a
la cuenta

• La licencia es para una instancia de CHR

al tiempo

• Puede transferirse a otro CHR

• Las mismas llaves prepagas L4 / L5 / L6

pueden ser utilizado para CHR L4 = P1,
L5 = P10, L6 = PIlimitada

87
Información Adicional
• wiki.mikrotik.com - RouterOS
documentación y ejemplos

• forum.mikrotik.com - comunicarse con

otros usuarios de RouterOS

• mum.mikrotik.com - Página de eventos

de usuarios MikroTik.

• Soporte a distribuidores y consultores

support@mikrotik.com

88
 Resumen
Modulo 1

89
Modulo 2

DHCP
90
DHCP
• Protocolo de configuración huésped
dinámico

• Se utiliza para la dirección la distribución

automática de IP a través de una red
local

• Use DHCP solo en redes confiables

• Funciona dentro de un dominio de

transmisión

• RouterOS admite tanto el cliente, servidor

y relay DHCP

91
Cliente DHCP
• Se utiliza para la adquisición automática
de dirección IP, máscara de subred,
puerta de enlace predeterminada,
dirección del servidor DNS y
configuración adicional si se proporciona

• Los enrutadores MikroTik SOHO por

defecto tienen Cliente DHCP configurado
en la interfaz ether1 (WAN)

92
Cliente DHCP

93
DNS

• Por defecto el cliente DHCP solicita un

servidor DNS y dirección IP

• También se puede ingresar manualmente

si se necesita otro servidor DNS o el
DHCP no se utiliza

94
DNS
• RouterOS admite entradas DNS estáticas

• De forma predeterminada, hay un registro

A de DNS estático con nombre Router
que apunta a 192.168.88.1

• Eso significa que puede acceder al

enrutador usando el nombre DNS en
lugar de la IP

• http: // router

95
Servidor DHCP
• Asigna automáticamente direcciones IP a
los hosts solicitantes.

• La dirección IP debe configurarse en el

interfaz que utilizará el servidor DHCP

• Para crear un servidor, usar el comando

"DHCP Setup"

96
 LAB

Servidor DHCP

• Desconectarse del enrutador

• Vuelva a conectarse usando la MAC del

enrutador

97
 LAB

Servidor DHCP
• Vamos a eliminar el Servidor DHCP
existente y configuramos uno nuevo

• Usaremos su número (XY) para la subred,

p. ej. 192.168.XY.0 / 24

• Para habilitar el servidor DHCP en el

bridge, debe estar configurado en la
interfaz bridge (no en el puerto del bridge)

98
 LAB

Servidor DHCP

99
 LAB

Servidor DHCP

100
 LAB

Servidor DHCP

Agregue la
dirección IP
192.168.XY.1/24 en
la interfaz bridge

Por ejemplo, XY = 199

101
 LAB

Servidor DHCP

102
 LAB

Servidor DHCP
• Desconectarse del enrutador

• Renueve la dirección IP de su
computadora portátil

• Conéctese a la nueva dirección IP del

enrutador 192.168.XY.1

• Compruebe que la conexión a Internet

esté disponible

103
Servidor DHCP

• El asistente de configuración del servidor

DHCP creó un nuevo pool IP y un
servidor DHCP

104
Asignación estática DHCP
• Es posible asignar siempre la misma
dirección IP al mismo dispositivo
(identificado por la dirección MAC)

• Incluso se podría utilizar el servidor DHCP

sin grupo de IP dinámico y asignar solo
direcciones preconfiguradas

105
Asignación estática DHCP

106
 LAB

Asignación estática DHCP

• Configure el grupo de direcciones DHCP
como static-only

• Cree un asignación estática para su

computadora portátil

• Cambie la dirección IP asignada a su

portátil por el servidor DHCP por
192.168.XY.123

• Renueve la dirección IP de su
computadora portátil

• Pídale a su compañero que conecte su

computadora portátil a su enrutador (no
obtendrá una dirección IP )

107
ARP

• Protocolo de Resolución de Direcciones

• ARP une la dirección IP del cliente (Capa 3)

con dirección MAC (Capa 2)

• ARP opera dinámicamente

• También se puede configurar manualmente

108
Tabla ARP

• Proporciona información sobre la dirección

IP, Dirección MAC y la interfaz a la que el
dispositivo está conectado

109
ARP Estático
• Para mayor seguridad, las entradas ARP
pueden ser agregadas manualmente

• La interfaz de red se puede configurar para

responder solo a entradas ARP conocidas

• El cliente del enrutador no podrá acceder a

Internet usando una dirección IP diferente

110
ARP Estático

111
ARP Estático

La interfaz
respondera solo a
entradas ARP
conocidas

112
ARP y DHCP
• El servidor DHCP puede agregar entradas
ARP automáticamente

• Combinado con asignamientos estáticos y

ARP de solo respuesta puede aumentar la
seguridad de la red conservando la facilidad
de uso para los usuarios

113
ARP y DHCP

114
 LAB

ARP Estático
• Haga que la entrada ARP de su computadora
portátil sea estática

• Configure el ARP de la interfaz del bridge para que

solo responda para deshabilitar la adición de ARP
dinámico entradas

• Aún debe tener el servidor DHCP solo estático y

un asgnamiento estático para el ordenador
portátil. Si no, repita el LAB anterior

• Habilite "‘Add ARP For Leases" en servidor DHCP

115
 LAB

ARP Estático
• Elimine la entrada estática de su computadora
portátil de la tabla ARP

• Compruebe la conexión a Internet (no funciona)

• Renueve la dirección IP de su computadora

portátil

• Verifique la conexión a Internet (debe

• funcionar)

• Conéctese al enrutador y observe las Tabla ARP

116
 Resumen
Modulo 2

117
Modulo 3

BRIDGING

118
Bridge
• Los bridge son dispositivos que trabajan en la
capa 2 del modelo OSI

• Bridge es un dispositivo transparente

• Se utiliza tradicionalmente para unir dos

segmentos de red

• El bridge divide el dominio de colisión en dos

partes

• El conmutador de red es un bridge multipuerto:

cada puerto es un dominio de colisión de un
dispositivo

119
Bridge
• Todos los hosts pueden comunicarse entre si

• Todos comparten el mismo dominio de colisión

120
Bridge
• Todos los hosts pueden comunicarse entre si

• Ahora hay 2 dominios de colisión

121
Bridge
• RouterOS implementa Bridge de software

• Las interfaces Ethernet, inalámbrica, SFP y

túnel se pueden agregar a un bridge.

• La Configuración predeterminada en
enrutadores SOHO añade al bridge la interfaz
inalámbrica con los puertos ether2 - 5 (en
versiones anteriores a la 6 se manejaba
configuración maestro -esclavo)

• La Conmutación de velocidad se realiza

usando el chip de switch

122
Bridge

• Es posible eliminar la configuración maestro /

esclavo y usar bridge en su lugar

• No se utilizará el chip de conmutación, mayor uso

de CPU

• Más control: puede usar el firewall IP para puertos

de bridge

123
Bridge

• Debido a las limitaciones del estándar 802.11,los

clientes inalámbricos (modo: station) no soportan
bridge

• RouterOS implementa varios modos para superar

esta limitación

124
Bridge Inalámbrico

• station bridge - RouterOS a RouterOS

• station pseudobridge - RouterOS a otro

• station wds (Sistema de distribución inalámbrica )

- RouterOS a RouterOS

125
Bridge Inalámbrico

• Para usar stationbridge,

"Mode bridge" tiene que
estar habilitado en el AP

126
 LAB

Bridge
• Vamos a crear una gran red conectando Ethernet
local con interfaz inalámbrica (Internet)

• Todas las laptops estarán en el mismo red

• Nota: tenga cuidado al hacer un puente de redes!

• ¡Cree una copia de seguridad antes de

comenzar este LABORATORIO!

127
 LAB

Bridge

• Cambiar el modo inalámbrico a bridge station.

• Deshabilite el servidor DHCP.

• Agregue una interfaz inalámbrica a la interfaz de

bridge-local como puerto.

128
 LAB

Bridge

129
 LAB

Bridge

130
 LAB

Bridge

• Renueve la dirección IP de su computadora

portátil

• Debe adquirir la IP del enrutador del entrenador.

• Pregúntele a su compañero la dirección IP de su

computadora portátil e intenta hacer ping

• Su enrutador ahora es un bridge transparente .

131
Bridge Firewall

• La interfaz bridge de RouterOS soporta Firewall

• El tráfico que fluye por el bridge puede ser

procesado por el firewall

• Para habilitar: Bridge → Settings → use IP Firewall

132
Bridge Firewall

133
 LAB

Bridge

• Restaure la configuración de su enrutador desde

la copia de seguridad que creó antes del
laboratorio de Bridge

• O restaure la configuración anterior a mano

134
Resumen
Modulo 3

135
Modulo 4

Enrutamiento

136
Enrutamiento
• Funciona en la capa de red OSI (L3)

• Las reglas de enrutamiento de RouterOS definen a

dónde los paquetes deben enviarse

137
Enrutamiento
• Dst. Address : redes que pueden alcanzar

• Gateway: dirección IP del próximo enrutador para

llegar al destino

138
Nueva Ruta Estática

139
Enrutamiento
• Verifique la puerta de enlace - cada 10 segundos
enviar una solicitud de eco ICMP (ping) o solicitud
ARP.

• Si varias rutas usan la misma puerta de enlace y

hay uno que tiene la opción habilitada
checkgateway , todas las rutas estan sujetas al
comportamiento de checkgateway

140
Enrutamiento
• Si hay dos o más rutas apuntando a la misma dirección,
más precisa uno será usado

• Dst: 192.168.90.0/24, puerta de enlace: 1.2.3.4

• Dst: 192.168.90.128/25, puerta de enlace: 5.6.7.8

• Si es necesario enviar un paquete a 192.168.90.135,

la puerta de enlace 5.6.7.8 será usado

141
Puerta de Enlace predeterminada
• Puerta de enlace predeterminada: un enrutador
(siguiente salto) donde todo el tráfico para el que no hay
un destino específico definido se enviará

• Se distingue por 0.0.0.0/0 red de destino

142
 LAB

Puerta de Enlace predeterminada

• Actualmente, la puerta de enlace predeterminada para el
enrutador se configura automáticamente usando Cliente
DHCP

• Deshabilite "Add Default Route" en ajustes de

DHCPClient

• Compruebe la conexión a Internet (no funciona)

143
 LAB

Puerta de Enlace predeterminada

• Agregue la puerta de enlace predeterminada

manualmente (del router del entrenador)

• Compruebe que la conexión a Internet esté disponible

144
Rutas Dinámicas
• Se agregan rutas con flag DAC automáticamente

• La ruta DAC se origina al configurar una dirección IP

145
Etiquetas de las Rutas

• A - active

• C - connected

• D - dynamic

• S - static

146
Rutas Estáticas
• La ruta estática define cómo llegar a una red de destino
específica

• La puerta de enlace predeterminada también es una ruta

estática.

• Dirige todo el tráfico a la puerta de enlace

147
 LAB

Rutas Estáticas
• El objetivo es hacer ping a los ordenadores portátiles de los
compañeros.

• Se utilizará una ruta estática para lograr esto

• Pregunte a su compañero la dirección IP de su interfaz

inalámbrica

• Y la dirección de subred de su red interna (192.168.XY.0 / 24)

148
 LAB

Rutas Estáticas
• Agrega una nueva regla de ruta

• Establecer Dst. Address: la de su compañero

• dirección de red local (p. ej.

• 192.168.37.0/24)

• Establecer puerta de enlace: la dirección de

• la interfaz inalámbrica del compañero (p. ej.

• 192.168.250.37)

• Ahora debería poder hacer ping a el portátil del

compañero

Verificar el Firewall de windows.

149
 LAB

Rutas Estáticas
• Forma equipo con 2 de tus compañeros

• Cree una ruta estática a la computadora portátil del

compañero (A) a través del enrutador del compañero (B)

• Pídale a su compañero B que haga una ruta a la

computadora portátil A del compañero.

• Haga ping a la computadora portátil A de su vecino

150
 LAB

Rutas Estáticas
Crear una
ruta al
portátil A vía
Portátil Router
Compañero A
router B
Compañero A

Su Portátil Su Router

Portátil Router
Compañero A Compañero B

151
Rutas Estáticas

• Fácil de configurar en una red pequeña

• Limita el uso de los recursos del enrutador

• No es fácilmente escalable

• Se requiere configuración manual cada vez que se

necesita alcanzar una nueva subred

152
 Resumen
Modulo 4

153
Modulo 5

INALÁMBRICO
154
Inalámbrico

• MikroTik RouterOS proporciona un soporte completo

para estándares de redes inalámbricas IEEE 802.11a/n/
ac (5GHz) y 802.11b /g/ n (2.4GHz)

155
Estándares Inalámbricos

156
Canales 2.4GHz

• 13 canales de 22 MHz (en la mayoría del mundo)

• 3 canales no superpuestos (1, 6, 11)

• 3 AP pueden ocupar la misma área sin interferir

157
Canales 2.4GHz

• EE. UU.: 11 canales, 14 solo en Japón

• Ancho de banda:

• 802.11b 22 MHz, 802.11g 20 MHz, 802.11n 20/40 MHz

158
Canales 5GHz

• •RouterOS admite un rango completo de frecuencias 5 GHz

• 5180-5320MHz (canales 36-64)

• 5500-5720MHz (canales 100-144)

• 5745-5825MHz (canales 149-165)

• Varía según las regulaciones del país

159
Canales 5GHz

160
Regulaciones del País

• Cambie a "Advance Mode" y

seleccione su país para aplicar
las regulaciones

161
Regulaciones del País
• La selección dinámica de frecuencia (DFS) es una
característica que está destinada a identificar radares
cuando se utiliza la banda de 5 GHz y elije un canal
diferente si encuentra un radar

• Algunos canales solo se pueden usar cuando DFS está

habilitado (en UE: 52-140, EE. UU.: 50- 144)

162
Regulaciones del País
• La detección de radar en modo DFS seleccionará un
canal con el menor número de redes detectadas y lo
utilizará si no hay un nuevo radar detectado en él
durante 60 segundos

• Cambie a "Advance Mode" para habilitar DFS

163
Nombre de Radio
• "Nombre" de la interfaz inalámbrica

• Solo RouterOS-RouterOS

• Puede verse en tablas inalámbricas

164
Nombre de Radio
• "Nombre" de la interfaz inalámbrica

• Solo RouterOS-RouterOS

• Puede verse en tablas inalámbricas

165
 LAB

Nombre de Radio
• Configure el nombre del radio de su dispositivo en la
interfaz inalámbrica de la siguiente manera:

• SuNumero (XY) _SuNombre

• Por ejemplo: A1_CamiloMontoya

166
Cadenas Inalámbricas
• 802.11n introdujo el concepto de MIMO (entrada
múltiple y salida múltiple)

• Envíe y reciba datos utilizando múltiples radios en

paralelo

• 802.11n con una cadena (SISO) solo puede alcanzar

72,2 Mbps (en tarjetas heredadas 65 Mbps)

167
Potencia Tx
• Usado para ajustar la potencia de transmisión de la
tarjeta inalámbrica

• Cambia el modo a todas las tarifas fijas y ajusta la

potencia

168
Potencia Tx

+
+

-
-

169
Sensibilidad Rx

• La sensibilidad del receptor es el nivel de potencia más

bajo en el que la interfaz puede detectar un señal

• Al comparar RouterBOARDS este el valor debe tenerse

en cuenta dependiendo del uso planeado

• Un umbral de sensibilidad de Rx más pequeño significa

mejor detección de señal

170
Red Inalámbrica

171
Estación Inalámbrica

• La estación inalámbrica es cliente (computadora

portátil, teléfono, enrutador)

• En RouterOS el modo inalámbrico Station

172
Estación Inalámbrica
• Establecer interface
mode = station

• Seleccionar banda

• Establecer SSID
(Identificador
inalámbrico de red )

• La frecuencia no es
importante para
cliente, use scanlist

173
Seguridad
• Solo WPA (acceso protegido WiFi) o Se
debe utilizar WPA2

• WPA-PSK o WPA2-PSK con AESCCM

cifrado

• El AP del entrenador ya está usando

WPAPSK / WPA2-PSK

174
Seguridad

• Tanto WPA como Las claves WPA2 se

pueden especificar para permitir conexión
desde dispositivos que no soporten WPA2

• ¡Elija una clave fuerte!

175
Lista de Conexión

• Reglas utilizadas por la estación para

seleccionar (o no) un AP

176
 LAB

Lista de Conexión

• Actualmente, su enrutador está conectado

al AP de la clase

• Cree una regla para no permitir la

conexión al AP de la clase

177
 LAB

Lista de Conexión
• Establecer interface mode = ap bridge

• Seleccionar banda

• Establecer frecuencia

• Establecer SSID (identificador de red

inalámbrica)

• Establecer perfil de seguridad

178
WPS

• La configuración protegida WiFi (WPS) es una

función para un cómodo acceso a la WiFi sin
necesidad de ingresar la contraseña.

• RouterOS admite tanto WPS accept (para AP)

y WPS client(para estación)

179
Aceptar WPS
• Para permitir fácilmente el acceso de invitados a su
punto de acceso, el botón de aceptación de WPS
del punto de acceso debe ser usado

• Cuando se presione, otorgará acceso para

conectarse al AP durante 2 minutos o hasta que
dispositivo (station) se conecte

• El botón de aceptación de WPS debe ser

presionado cada vez que un nuevo dispositivo
necesita estar conectado

180
Aceptar WPS

• Para cada dispositivo tiene que ser hecho solo una

vez

• Todos los dispositivos RouterOS con la interfaz WiFi

tiene Botón virtual WPS

• Algunos tienen físico el boton, compruebe botón

wps en el enrutador

181
Aceptar WPS

• El botón Virtual WPS está disponible en QuickSet y

en el menú de interfaz inalámbrica

• Puede desactivarse si es necesario

• El cliente WPS es compatible con la mayoría

sistemas operativos incluyendo RouterOS

• RouterOS no es compatible con modo PIN inseguro

182
Cliente WPS
• El cliente RouterOS WPS está disponible de Menú
winbox en inalámbrico

• Para conectarse a una red inalámbrica habilitar

accept WPS en el AP

• Inicie el cliente WPS en la estación

183
Cliente WPS

• El cliente creará automáticamente un perfil de

seguridad para conectarse al AP

• Establecer SSID

• Establecer el modo inalámbrico en la estación

184
Cliente WPS

185
Repetidor Inalámbrico
• RouterOS admite el modo repetidor

• Cuando está habilitado, el enrutador se convierte

estación y puente ap al mismo tiempo

• Se utiliza para aumentar el rango de un AP existente

sin la necesidad de cables ethernet

186
 LAB

Punto de Acceso
• Cree un nuevo perfil de seguridad para su punto de
acceso

• Establezca el modo de interfaz inalámbrica en ap

bridge, establezca SSID con su número asignado y
nombre, seleccione el perfil de seguridad

• Desactive el cliente DHCP en la interfaz red

inalámbrica (perderá la conexión a Internet)

187
 LAB

Punto de Acceso
• Agregar interfaz inalámbrica al bridge

• Desconecte el cable de la computadora portátil

• Conéctese al AP inalámbrico con su ordenador

portátil

• Conéctese al enrutador usando WinBox y observar

la tabla de registro inalámbrico

• Cuando termine, restaure el configuración

188
 LAB

WPS
• Si tiene un dispositivo que admita WPS modo
cliente conéctelo a su AP usando el botón de
aceptación de WPS en su enrutador (ya sea físico o
virtual)

• Verifique los registros del enrutador durante el

proceso

• Cuando termine, restaure la configuración

189
Snooper

• Obtenga una descripción general completa de la

redes en la banda seleccionada

• La interfaz inalámbrica está desconectada durante

el escaneo!

• Úselo para decidir qué canal elegir

190
Snooper

191
Tabla de Registros
• Ver todas las interfaces inalámbricas conectadas

• O puntos de acceso conectados si el enrutador es

una estacion

192
Lista de Acceso
• Utilizado por el punto de acceso para controlar
conexiones permitidas desde estaciones

• Identificar la dirección MAC del dispositivo

• Configure si la estación puede autenticarse en el AP

• Limite la hora del día cuando se pueda conectar

• Si no hay reglas coincidentes en el lista de acceso,

se utilizará valores predeterminados de la interfaz
inalámbrica

193
Lista de Acceso

194
Tabla de Registros

• Puede ser usado para crear listas

de acceso o conexión desde los
dispositivos actualmente
conectados

195
Autenticación por Defecto

196
Autenticación por Defecto

197
Reenvío predeterminado

• Úselo para permitir o prohibir

comunicación entre estaciones

• Habilitado por defecto

• El reenvío puede ser anulado para

clientes específicos en la lista de
acceso

198
Resumen
Modulo 5

199
Modulo 6
Firewall

200
Firewall
• Es un sistema de seguridad de red que protege la red interna
desde el exterior (por ejemplo, el Internet)

• Basado en reglas que se analizan secuencialmente hasta que se

encuentre la primera coincidencia

• Las reglas de firewall de RouterOS se administran en Secciones

de filtro y NAT

201
Reglas de Firewall
• Trabaja en el principio If-Then

• Pedido en cadenas

• Hay cadenas predefinidas

• Los usuarios pueden crear nuevas cadenas

202
Filtros de Firewall

• Hay tres cadenas predeterminadas

• input (al enrutador)

• output (del enrutador)

• forward (a través del enrutador)

203
Filtrar acciones
• Cada regla tiene una acción: cuando un
paquete coincide

• accept
• Drop en silencio o reject: soltar y enviar
Mensaje de rechazo de ICMP

• jump / return a/desde una cadena definida

por el usuario

• Y otros: consulte la página wiki del firewall

204
Cadenas de filtros

• SUGERENCIA: para mejorar

la legibilidad de las reglas
de firewall , ordenarlas
secuencialmente por
cadenas y agregar
comentarios

205
Cadena: Input

• Protege el propio router

• Ya sea de Internet o de
la red interna

206
 LAB

Cadena: Input
• Agregue una regla de filtro input de
accept en la interfaz bridge para la IP
de su portátil dirección (Src. Address =
192.168.XY.200)

• Agregue una regla de filtro input de

drop en el interfaz bridge para todos
los demás

207
 LAB

Cadena: Input

208
 LAB

Cadena: Input
• Cambie la dirección IP de su
computadora portátil a estático, asigne
192.168.XY.199, DNS y puerta de
enlace: 192.168.XY.1

• Desconectarse del enrutador

• Intente conectarse al enrutador (no es

posible)

• Intente conectarse a Internet (no

• posible)

209
 LAB

Cadena: Input
• Aunque el tráfico a Internet es
controlado con la cadena forward del
firewall, las páginas web no se pueden
abrir

• ¿POR QUÉ? (responda en la siguiente

diapositiva)

210
 LAB

Cadena: Input
• Su computadora portátil está usando el enrutador para el
dominio resolución de nombres (DNS)

• Conéctese al enrutador usando MAC WinBox

• Agregue una regla de filtro de accept input en la interfaz

bridge para permitir solicitudes de DNS, puerto: 53 / udp y
colóquelo sobre la regla drop

• Intente conectarse a Internet (funciona)

211
 LAB

Cadena: Input

• Cambie la IP de su computadora portátil a dinámica (DHCP)

• Conéctese al enrutador

• Desactive (o elimine) las reglas que acaba de adicionar

212
Cadena: Forward

• Contiene reglas que controlan los

paquetes que pasan por el
enrutador

• Adelante controla el tráfico entre

los clientes e Internet y entre los
propios clientes

213
Cadena: Forward

• De forma predeterminada, el tráfico interno

entre clientes conectados al enrutador es
permitido

• Tráfico entre los clientes y el Internet no

está restringido

214
 LAB

Cadena: Forward
• Agregar una regla de filtro drop forward para el puerto http
(80 / tcp)

• Al especificar puertos, el protocolo de IP debe ser

seleccionado

215
 LAB

Cadena: Forward
• Intente abrir www.mikrotik.com (no es posible)

• Intente abrir el enrutador WebFig http://192.168.XY.1

(funciona)

• La página web del enrutador funciona porque es tráfico que

va al enrutador (input), no a través (forward)

216
Puertos Usados Frecuentemente

217
Lista de Direcciones
• La lista de direcciones permite crear una acción para varias
direcciones IP a la vez

• Es posible agregar automáticamente una dirección IP a la

lista de direcciones, se puede agregar a la lista de forma
permanente o por una cantidad de tiempo predefinida

• La lista de direcciones puede contener una dirección IP,

rango de IP o subred completa

218
Lista de Direcciones

219
Lista de Direcciones
• En lugar de especificar la dirección en Pestaña General,
cambie a Avanzado y elija Lista de direcciones (Src. o Dst.
dependiendo de la regla)

220
Lista de Direcciones
• La acción del firewall se puede utilizar para agregar
automáticamente una dirección a la lista de direcciones

• Permanentemente o por un tiempo

221
 LAB

Lista de Direcciones
• Cree una lista de direcciones con IP permitidas, asegúrese
de incluir la IP de su computadora portátil

• Agregue una regla de filtro accept input en la interfaz

bridge para el puerto WinBox, para conectar desde la
dirección que esta incluida en la lista de direcciones

• Cree un filtro de drop input para todas las demas que se

estén conectando a WinBox

222
Log del Firewall

• Cada regla de firewall se puede registrar cuando empareja

• Puede agregar un prefijo específico para facilitar la

búsqueda de los registros más tarde

223
Log del Firewall

224
 LAB

Log del Firewall

• Habilite el registro para ambas reglas de firewall que fueron
creados durante el laboratorio de lista de direcciones

• Conéctese a WinBox usando IP permitida

• Desconecta y cambia la IP de tu computadora portátil a una

que no está en la lista permitida

• Intente conectarse a WinBox

• Vuelva a cambiar la IP y observar las entradas del registro

225
NAT
• La traducción de direcciones de red (NAT) es una método
de modificación de la fuente o dirección IP de destino de un
paquete

• Hay dos tipos de NAT: "NAT de origen" y "NAT de destino"

226
NAT

• NAT se usa generalmente para proporcionar acceso a una red

externa de una que utiliza direcciones IP privadas (src-nat)

• O para permitir el acceso desde un externo red a un recurso

(por ejemplo, servidor web) en una red interna (dst-nat)

227
NAT

228
NAT

229
NAT
• Las cadenas de cortafuegos srcnat y dstnat son utilizado
para implementar la funcionalidad NAT

• Igual que las reglas de filtro, trabaja con el principio If-Then

• Analizada secuencialmente hasta que se realiza la primer

coincidencia

230
Dst NAT

231
Dst NAT

232
Redirigir

233
 LAB

Redirigir
• Cree una regla de redireccionamiento dstnat para enviar
todos solicitudes con un puerto de destino HTTP (tcp / 80)
al puerto 80 del enrutador

• Intente abrir www.mikrotik.com o cualquier otro sitio web

que utiliza el protocolo HTTP

• Cuando termine, desactive o elimine la regla

234
Src NAT

• masquerade es un tipo especial de srcnat

235
Src NAT
• srcnat action src-nat está destinado a reescritura de la
dirección IP de origen y / o puerto

• Ejemplo: dos empresas (A y B) estan fusionadas.

Internamente ambos usan el mismo espacio de direcciones
(172.16.0.0/16). Ellos van a configurar un segmento usando
un espacio diferente de direcciones como búfer, ambas
redes requerirán reglas src-nat y dst-nat.

236
Ayudantes NAT
• Algunos protocolos requieren el llamado ayudantes NAT
para trabajar correctamente en una red NAT

237
Conexiones
• New: el paquete abre una nueva conexión

• Established: el paquete pertenece a una conexión ya

conocida

• Related: el paquete abre una nueva conexión pero tiene

una relación con conexión ya conocida

• Invalid: el paquete no pertenece a ninguna de las

conexiones conocidas

238
Conexiones

239
Seguimiento de conexión

• Gestiona información sobre todos los activos conexiones

• Tiene que estar habilitado para NAT y Filtro para trabajar

• Nota: estado de conexión ≠ estado TCP

240
Seguimiento de conexión

241
FastTrack
• Es un método para acelerar el flujo de paquetes a través del
enrutador

• Una conexión establecida o relacionada se puede marcar

para la conexión FastTrack

• Evita el firewall, el seguimiento de conexiones, cola simple y

otras características

• Actualmente solo admite protocolos TCP y UDP

242
FastTrack

Probado en RB2011 con un solo flujo de TCP

243
Resumen
Modulo 6

244
Modulo 7

Calidad de
Servicio QoS

245
Calidad de Servicio
• QoS es el rendimiento general de un red, particularmente el
rendimiento visto por los usuarios de la red

• RouterOS implementa varios métodos QoS como la

limitación de la velocidad del tráfico (modelado), priorización
del tráfico y otros

246
Limitación de velocidad

• El control directo sobre el tráfico entrante no es posible

• Pero es posible hacerlo indirectamente por descartar

paquetes entrantes

• TCP se adaptará a la eficacia de la velocidad de conexión

247
Cola Simple

• Puede usarse para limitar fácilmente la velocidad de datos

de:

• Velocidad de descarga del cliente (↓)

• Velocidad de carga del cliente (↑)

• Velocidad total del cliente (↓ + ↑)

248
Cola Simple

Especificar
Cliente
Especificar el
limite máximo
para el cliente

• Deshabilitar la regla de Firewall FastTrack para trabajar Cola simple.

249
Cola Simple
Elija la
interfaz

Observa el
trafico

250
 LAB

Cola Simple
• Cree un límite de velocidad para su computadora portátil
(192.168.XY.200)

• Establece la velocidad de carga 128k, la velocidad

descargar 256k

• Abra www.mikrotik.com/download y descargue la versión

actual de RouterOS

• Observe la velocidad de descarga

251
Cola Simple
• En lugar de establecer límites al cliente, el tráfico al servidor también
se puede regular

Elija Target a Any

Asigne en Dst. la
dirección del
servidor

252
 LAB

Cola Simple
• Con la herramienta ping, averigüe la dirección de
www.mikrotik.com

• Modificar la cola simple existente para acelerar conexión al

servidor mikrotik.com

• Descargar esquema de MTCNA

• Observe la velocidad de descarga

253
Ancho de Banda Garantizado

• Se utiliza para asegurarse de que el cliente siempre obtenga

un ancho de banda mínimo

• El tráfico restante se dividirá entre clientes por orden de

llegada

• Controlado mediante el parámetro Limit-at

254
Ancho de Banda Garantizado

Elija limitar a

• El cliente tendría
garantizado el
ancho de banda
de 1Mbit descarga
y carga

255
Ancho de Banda Garantizado

• Ejemplo:

• Ancho de banda total: 10 Mbits

• 3 clientes, cada uno tiene garantizado banda ancha

• El Ancho de banda restante es dividido entre los clientes

256
Ancho de Banda Garantizado

Ancho de
Ancho de
Banda
banda actual
Garantizado

257
Burst

• Se utiliza para permitir velocidades de datos más altas para

un corto periodo de tiempo

• Útil para el tráfico HTTP: las páginas web cargan más

rápido

• Límite máximo para descargas de archivos todavía se

aplican restricciones

258
Burst

Establecer límite
de ráfaga,
umbral y
hora

259
Burst
• Burst limit: carga / descarga máxima velocidad de datos
que se puede alcanzar durante el estallido

• Burst time: tiempo (segundos), durante el cual se calcula la

tasa de datos promedio (esto es NO el momento de la
explosión real).

• Burst threshold: cuando la tasa datos promedio excede o

cae por debajo del umbral la ráfaga se apaga o enciende

260
 LAB

Burst

• Modificar la cola que se creó en el laboratorio anterior

• Establezca el límite de ráfaga en 4 M para carga y descargar

• Establezca el umbral de ráfaga 2M para carga y descargar

• Establezca un tiempo de ráfaga de 16 s para la carga y

descargar

261
 LAB

Burst
• Abra www.mikrotik.com, observe lo rápido que se carga la
página

• Descarga versión más nueva de RouterOS de la página de

descarga de MikroTik

• Observe la velocidad de descarga con con la herramienta

Torch

262
Cola por Conexión
• Tipo de cola para optimizar una gran implementación QoS
limitando por "subflujo"

• Sustituya varias colas por una

• Se pueden utilizar varios clasificadores:

• dirección IP de origen / destino

• puerto de origen / destino

263
Cola por Conexión

• Tasa: tasa de datos máxima disponible de cada Sub

corriente

• Límite: tamaño de la cola de un único subflujo (KiB)

• Límite total: cantidad máxima de cola datos en todos los

subflujos (KiB)

264
Ejemplo de PCQ

• Objetivo: limitar todos los clientes a un ancho de banda de

1 Mbp de descarga y 1 Mbps de carga

• Cree 2 nuevos tipos de colas

• 1 para la dirección Dst (límite de descarga)

• 1 para Scr Address (límite de carga)

• Establecer colas para interfaces LAN y WAN

265
Ejemplo de PCQ

266
Ejemplo de PCQ

267
Ejemplo de PCQ
• Todos los clientes conectados a la interfaz LAN tendrán un límite de
carga y de descarga de 1 Mbps

268
 LAB

Ejemplo de PCQ
• El entrenador creará dos colas de pcq y limitara todos los
clientes (enrutadores de estudiantes) a un ancho de banda
de carga y descarga de 512 Kbps

• Intente descargar la versión más reciente de RouterOS de

www.mikrotik.com y observe la velocidad de descarga con
la herramienta Torch

269
 Resumen

270
 Modulo 8

Túneles

271
Protocolo Punto a Punto
• El protocolo punto a punto (PPP) se utiliza para establecer
un túnel (conexión directa) entre dos nodos

• PPP puede proporcionar conexión de autenticación, cifrado

y compresión

• RouterOS admite varios PPP túneles como PPPoE, SSTP,

PPTP y otros

272
PPPoE

• El protocolo punto a punto sobre Ethernet es un protocolo

de capa 2 que se utiliza para controlar el acceso a la red

• Proporciona autenticación, cifrado y compresión

• PPPoE se puede utilizar para distribuir direcciones IP a los

clientes

273
PPPoE
• La mayoría de los sistemas operativos de escritorio tienen
Cliente PPPoE instalado por defecto

• RouterOS admite tanto el cliente PPPoE y servidor PPPoE

(acceso concentrador)

274
Cliente PPPoE

Establezca la
interfaz de
servicio,usuario
y contraseña

275
Cliente PPPoE

• Si hay más de un servidor PPPoE en un servicio de dominio

de difusión también se debe especificar el nombre

• De lo contrario, el cliente intentará conectarse al que

responde primero

276
 LAB

Cliente PPPoE
• El entrenador creará un servidor PPPoE en su enrutador

• Desactive el cliente DHCP en su enrutador

• Configure el cliente PPPoE en el enrutador interfaz saliente

• Establecer la contraseña mtcnaclass y nombre de usuario

mtcnaclass

277
 LAB

Cliente PPPoE
• Verifique el estado del cliente PPPoE

• Compruebe que la conexión al Internet está disponible

• Cuando termine, desactive el cliente PPPoE

• Habilite el cliente DHCP para restaurar configuración

278
IP Pool
• Define el rango de direcciones IP para ser repartidos por los
servicios de RouterOS

• Utilizado por los clientes DHCP, PPP y HotSpot

• Las direcciones se toman del pool automáticamente

279
IP Pool

Establezca el
nombre y el
rango del pool
de direcciones

280
Perfil PPP

• El perfil define las reglas utilizadas por el servidor PPP para

sus clientes

• Método para establecer la misma configuración para

múltiples clientes

281
Perfil PPP
Establece la
dirección local y
remota de el
tunel

Se sugiere usar
encriptación

282
Seguridad PPP
• Base de datos local de usuarios de PPP

• Nombre de usuario, contraseña y otro usuario se pueden

configurar ajustes específicos

• El resto de la configuración se aplica desde el perfil PPP

seleccionado

• Anulación de la configuración secreta PPP de configuración

de perfil correspondiente

283
Seguridad PPP
Establece el nombre de
usuario,contraseña y
perfil. Especifique el
servicio si es necesario

284
Servidor PPPoE
• El servidor PPPoE se ejecuta en una interfaz

• No se puede configurar en una interfaz que es parte de un

bridge

• Retirar del bridge o configurar el servidor PPPoE en el

bridge

• Por razones de seguridad, la dirección IP no se debe utilizar

en la interfaz en la que el servidor PPPoE está configurado

285
Servidor PPPoE

Establece el nombre el
nombre del servicio, la
interfaz, perfil y
protocolos de
autenticación.

286
Estado PPP

• Información sobre Usuarios

PPP actualmente activos

287
Direcciones Punto a Punto

• Cuando se establece una conexión entre el cliente y

servidor PPP, se asignan direcciones / 32

• Para la dirección de red del cliente (o puerta de

enlace) es el otro extremo del túnel (enrutador)

288
Direcciones Punto a Punto
• La máscara de subred no es relevante cuando se usa
Direccionamiento PPP

• El direccionamiento PPP ahorra 2 direcciones IP

• Si el direccionamiento PPP no es compatible con el

otro dispositivo, se debe utilizar direccionamiento de
red / 30

289
 LAB

Servidor PPPoE
• Configure el servidor PPPoE en un Interfaz LAN (por
ejemplo, eth5) del enrutador

• Retire eth5 del switch (ajuste puerto maestro:

ninguno)

• Compruebe que la interfaz no sea un puerto del

bridge

• Verifique que la interfaz no tenga dirección IP

290
 LAB

Servidor PPPoE
• Cree un grupo de IP, perfil PPP y secret para el
servidor PPPoE

• Cree el servidor PPPoE

• Configure el cliente PPPoE en su computadora

portátil

• Conecte su computadora portátil al puerto del

enrutador en el que se encuentra el servidor PPPoE
configurado

291
 LAB

Servidor PPPoE
• Conectarse al servidor PPPoE

• Compruebe que la conexión al Internet está

disponible

• Conéctese al enrutador mediante MAC WinBox y

observe el estado de PPP

• Desconectese del servidor PPPoE y vuelva a

conectar la computadora portátil al puerto usado

292
PPTP

• Protocolo de tunelización punto a punto

• (PPTP) proporciona túneles cifrados sobre IP

• Se puede utilizar para crear conexiones entre redes

locales a través de Internet

• RouterOS admite tanto el cliente PPTP y servidor

PPTP

293
PPTP

• Utiliza el puerto tcp / 1723 y el protocolo IP número

47 - GRE (Encapsulación de Enrutamiento Genérico )

• Los ayudantes de NAT se utilizan para admitir PPTP

en una red NAT

294
Tunel PPP

295
Cliente PPTP
Establezca el nombre,
la ip del servidor PPTP,
nombre de usuario y
contraseña

296
Cliente PPTP
• Utilice agregar ruta predeterminada para enviar todos
tráfico a través del túnel PPTP

• Utilice rutas estáticas para enviar tráfico específico a

través del túnel PPTP

• ¡Nota! PPTP ya no se considera seguro - úselo con

precaución!

• En su lugar, utilice SSTP, OpenVPN u otro

297
Servidor PPTP
• RouterOS proporciona un servidor PPTP de simple
configuración con fines administrativos

• Utilice QuickSet para habilitar el acceso VPN

Establezca activo el
acceso VPN y asigne la
contraseña de la VPN

298
SSTP
• Protocolo de túnel de socket seguro (SSTP)
proporciona túneles cifrados sobre IP

• Utiliza el puerto tcp / 443 (el mismo que HTTPS)

• RouterOS admite tanto el cliente SSTP y servidor

SSTP

• Cliente SSTP disponible en Windows Vista SP1 y

versiones posteriores

299
SSTP
• Cliente y servidor de código abierto implementación
disponible en Linux

• Como es idéntico al tráfico HTTPS, normalmente

SSTP puede pasar firewalls sin configuración
específica

300
Cliente SSTP
Establece nombre, ip
del servidor SSTP,
nombre de usuario y
contraseña

301
Cliente SSTP

• Utilice Agregar ruta predeterminada para enviar todos

tráfico a través del túnel SSTP

• Utilice rutas estáticas para enviar tráfico específico a

través del túnel SSTP

302
Cliente SSTP
• No se necesitan certificados SSL para conectarse
entre dos dispositivos RouterOS

• Para conectarse desde Windows, un certificado

válido es necesario

• Puede ser emitido mediante certificado interno de

autoridad (CA)

303
 LAB

PPTP/SSTP
• Únete a tu compañero del lado

• Uno de ustedes creará un servidor PPTP y Cliente

SSTP, el otro - servidor SSTP y cliente PPTP

• Reutiliza el grupo de IP creado anteriormente, perfil

PPP y secret para los servidores

• Cree una conexión de cliente con el enrutador del

compañero

304
 LAB

PPTP/SSTP
• Verifique las reglas del firewall. Recuerda PPTP el
servidor utiliza el puerto tcp / 1723 y protocolo GRE,
puerto SSTP tcp / 443

• Haga ping a la computadora portátil de su vecino

desde su laptop (no hace ping)

• ¿POR QUÉ? (respuesta en la siguiente diapositiva)

305
 LAB

PPTP/SSTP
• No hay rutas a la red interna de su compañero

• Ambos creen rutas estáticas para la otra red,

configure la interfaz de cliente PPP como puerta de
enlace

• Haga ping a la computadora portátil de su

compañero desde su portátil (debería hacer ping)

306
 Resumen

307
 Modulo 9
HERRAMIENTAS

308
Herramientas de RouterOS
• RouterOS
proporciona varias
utilidades que
ayudan a administrar
y monitorear el
enrutador de manera
más eficientemente
E-mail
• Permite enviar
correos electrónicos
desde el enrutador

• Por ejemplo para

enviar copia de
seguridad del
enrutador

310
 LAB

E-mail

• Configure los ajustes de su servidor SMTP en el

enrutador

• Exportar la configuración de su enrutador

• Envíelo a su correo electrónico desde el RouterOS

311
Netwatch
• Monitorea el estado de
hosts en la red

• Envía eco ICMP solicitud

(ping)

• Puede ejecutar un script

cuando un anfitrión se
convierte inalcanzable o
no accesible

312
Ping
• Se utiliza para probar el
accesibilidad de un host
en una red IP

• Para medir el tiempo de

viaje de ida y vuelta
para los mensajes entre
la fuente y el hosts de
destino

• Envía eco ICMP solicitar

paquetes

313
 LAB

Ping
• Haga ping a la dirección IP de su computadora
portátil desde el enrutador

• Haga clic en "Nueva ventana" y haga ping

www.mikrotik.com desde el enrutador

• Observe la diferencia de tiempo de ida y vuelta

314
Traceroute

• Herramienta de diagnóstico
de red para mostrar la ruta de
paquetes a través de una red

• Puede usar icmp o protocolo

udp

315
 LAB

Traceroute

• Elija un sitio web en su país y hazle un traceroute

• Haga clic en "Nueva ventana" y realice un

traceroute a www.mikrotik.com

• Observe la diferencia entre rutas

316
Perfil

• Muestra el uso de la CPU para cada RouterOS en

ejecución proceso en tiempo real

• idle: CPU sin usar recursos

• Para obtener más información, consulte en la

página wiki Perfil.

317
Monitor de trafico de
Interfaz
• Estado del tráfico en tiempo real

• Disponible para cada interfaz en la pestaña de

tráfico

• Puede también ser accedido desde ambos

• WebFig e interfaz de línea de comando

318
Torch
• Herramienta de monitoreo en tiempo real

• Puede usarse para monitorear el flujo de tráfico a

través de la interfaz

• Puede monitorear el tráfico clasificado por IP

nombre del protocolo, origen / destino dirección
(IPv4 / IPv6), número de puerto

319
Torch
• Flujo de tráfico
del portátil al
puerto HTTPS del
servidor web
mikrotik.com

320
Graficas
• RouterOS puede generar gráficos mostrando cuánto
tráfico ha pasado a través de una interfaz o una cola

• Puede mostrar el uso de CPU, memoria y disco

• Para cada métrica hay 4 gráficos: diario, semanal,

mensual y anual

321
Graficas
Establezca una
interfaz especifica a
monitorear o dejar
todo, configurar IP
dirección / subred
que podrá
acceder a los
gráficos

322
Graficas

• Disponible en el enrutador:
http: // router_ip / graphs

323
Graficas

324
 LAB

Graficas
• Habilite gráficos de interfaz, cola y recurso en
su enrutador

• Observa las gráficas

• Descargue un archivo grande de Internet

• Observa las gráficas

325
SNMP
• Protocolo Simple de Manejo de Red (SNMP)

• Se usa para monitorear y administrar

dispositivos

• RouterOS admite SNMP v1, v2 y v3

• El soporte de escritura SNMP está disponible

solo para algunas configuraciones

326
SNMP

327
Dude
• Aplicación de MikroTik que puede mejorar
drásticamente la forma en que administrar su
entorno de red

• Mapa de diseño y descubrimiento automático

de dispositivos

• Seguimiento de servicios y alertas

• Gratis

328
Dude
• Soporta monitoreo SNMP, ICMP, DNS y TCP

• La parte del servidor se ejecuta en RouterOS

(CCR, hEX, RB1100AHx4 Dude Edition, CHR)

• Cliente en Windows (funciona en Linux y OS X

usando Wine)

• Para obtener más información, consulte la

página wiki de The Dude.

329
Dude

330
 LAB

Dude
• Descarga el cliente Dude para Windows de la
página mikrotik.com/download

• Instalar y conectarse al servidor MikroTik Dude

de demostración: dude.mt.lv

• Observa el Dude

331
 LAB

Dude

332
Contactar Soporte

• Para que el soporte de MikroTik pueda ayudar

mejor, algunos pasos deben ser tomados de
antemano

• Crear archivo de salida de soporte (supout.rif)

333
Contactar Soporte
• autosupout.rif se puede crear automáticamente en caso de mal
funcionamiento de hardware

• Gestionado por proceso de watchdog

• Antes de enviar a MikroTik, el contenido del archivo soporte de salida

se puede ver en su cuenta de mikrotik.com

• Para obtener más información, consulte Archivo de salida de soporte y

páginas de documentación de Watchdog

334
Logs del Sistema
• Por defecto RouterOS ya registra
información sobre el enrutador

• Almacenado en la memoria

• Puede almacenarse en disco

• O puede ser enviado a un syslog en un

servidor remoto

335
Logs del Sistema
• Para habilitar registros detallados crea
una nueva regla (debug)

• Agregar tema de depuración

336
Contactar Soporte

• Antes de contactar support@mikrotik.com revisa estos recursos

• wiki.mikrotik.com - Documentación y ejemplos en RouterOS

• forum.mikrotik.com - comunicarse con otros usuarios de RouterOS

• mum.mikrotik.com - Página de reunión de Usuarios MikroTik - videos

de presentación

337
Contactar Soporte
• Se sugiere agregar contenido significativo, comentarios a sus reglas y
elementos

• Describa lo más detallado posible para que el equipo de soporte de

MikroTik pueda ayudarlo mejor

• Incluya su diagrama de red

• Para obtener más información, consulte la página de soporte.

338
Resumen

339
 Resumen
MTCNA

340
Test de Certificación
• Si es necesario, restablezca la configuración del
enrutador y restaura desde una copia de
seguridad

• Asegúrese de tener acceso a el portal de

formación mikrotik.com

• Inicie sesión con su cuenta

• Verifique el nombre en los detalles de la cuenta

• Elige mis sesiones de entrenamiento

• ¡Buena suerte!