PROYECTO CONEXIÓN DE

SUCURSALES POR MIKROTIK

Ferrero Nestor Daniel

2/2022
INDICE

1. Descripción del trabajo.....................................................................................................3

2. DIAGRAMA DE CONEXIONADO........................................................................................4
3. Mikrotik a utilizar.............................................................................................................5
4. Diagrama en bloque e imágenes......................................................................................6
5. CONFIGURACION BASICA.................................................................................................7
a) RESET CONFIGURATION...........................................................................................8
b) CONFIGURACION DE USUARIOS...............................................................................9
c) IDENTIFICACION DEL ROUTER................................................................................10
d) SERVICIOS IP...........................................................................................................10
e) ADMINISTRACION DE RESPALDO-BACKUP.............................................................11
6. IDENTIFICACION Y CONFIGURACION DE INTERFACES....................................................12
7. ROUTE............................................................................................................................14
8. CONFIGURACION DNS SEGURO......................................................................................19
9. NAT.................................................................................................................................25
10. RUTAS FAILOVER RECURSIVAS....................................................................................27
11. VRRP...........................................................................................................................32
12. L2TP............................................................................................................................36
INDICE DE GRAFICOS..............................................................................................................41
Bibliografía.............................................................................................................................43

2
 1. Descripción del trabajo.
Actualmente Alimentos Granix dispone de 9 sucursales distribuidas en todo el país. Se desea
configurar un sistema de ruteo en cada una. Las sucursales funcionan de la siguiente forma, se
recibe los camiones con mercadería y se acopia en estas para luego distribuirlas por medio de
trasportes mediano. Todo esto está controlado por la AFIP y para cada salida de los vehículos
se necesita una autorización de la entidad pública a través de internet.

Debemos tener en cuenta que se necesitara tener una conexión con casa central para la
comunicación de los sistemas administrativos de la empresa, faciales de control de acceso y los
teléfonos IP que están conectados a la central en florida. También debemos enrutar los
puertos del DVR para que la gerencia pueda visualizar las cámaras de seguridad desde fuera de
la sucursal.

Por estos motivos sumados a los horarios estrictos de entrega en los supermercados y
negocios minoristas, es fundamental contar con una conexión de internet en todo momento.
Se desea proveer alta disponibilidad y redundancia a través de dos enlaces como mínimo de
internet y dos router. De esta forma facilitar una conexión lo más segura posible

Se realizarán las siguientes tareas:

 Asignación de dirección.
 Server DHCP
 Configuración de rutas de internet por failover recursivas: esto se realizará por
chequeo de ping recursivo para el control de del estado de la puerta de enlace.
De esta forma en el caso de la caída de un enlace automáticamente levantara
el enlace secundario.
 VRRP con 2 enrutadores: VRRP se basa en los conceptos de HSRP de Cisco, a
pesar de que tienen conceptos similares no son compatibles. Em HSRP se crea
un grupo o cluster en el que uno de los router actúa como Master y los demás
como respaldo a la espera de un fallo del maestro. El HSRP actúa en capa 3
enviando mensajes por medio de la dirección multicast 224.0.0.2 y el puerto
UDP 1985 en V1 y el mismo puerto y dirección 224.0.0.102 en v2
comunicándose entre si para conocer sus estados. En VRRP ES SIMILAR SE
TIENE UN Maestro y los demás en backup. Se utiliza la comunicación multicast
por medio de la ip 224.0.0.18 y puerto 112. En ambos casos se define al
Master por el numero de prioridad. En el caso de la caída del router principal
se activaría el secundario.
 configuración de seguridad.
 DNS seguro: nos proporciona servidores DNS más rápidos y seguros sobre
HTTPS.
 TUNEL PPP: Se realizará a través de L2TP que proporcionan un túnel seguro
para trasportar trafico ip usando PPP. Para hacerlo más seguro se utilizará
encriptación Ipsec. Su funcionamiento se basa en encapsular los datos dos
veces, lo que genera ralentización en la conexión. Sin embargo, se compensa
con el proceso de cifrado permitiendo el multi hilo. Esto no es posible en
OpenVpn. Haciendo que sea más rápido que este último. Debido a que utiliza

3
 el puerto UDP 500, existen posibilidades de que algunos firewall detecten y
bloqueen la conexión VPN A futuro cuando mikrotik tenga la versión 7 stable
se realizar un udgrade sobre WireGuard. WireGuard utiliza criptografía de
última generación y es más rápido y simple que Ipsec. Posee una base de
código de alrededor de 4000 lineas lo que hace fácil las auditorias de seguridad
siendo el 1% de lo que posee OpenVPN o Ipsec. Esta diseñado como una VPN
de propósito general, siendo apto para muchas circunstancias diferentes.
 Puesta en marcha y control de funcionamiento.

La configuración de los dos mikrotik son básicamente iguales, solo tienen pequeñas
diferencias. Se tomará la configuración del equipo master y después se mostrará las
diferencias en el backup.

2. DIAGRAMA DE CONEXIONADO

Ilustración 1 – red de sucursales

4
 3. Mikrotik a utilizar
Para la elección del dispositivo si bien se tuvo en cuenta lo parámetros para el uso. La elección
se realizo mas que todo en lo que había en el mercado. Las características que posee el
mikrotik Hex S andan bien para lo que queremos realizar. Y nos da un plus con el SFP si a
futuro queremos ampliar alguna conexión de fibra.

Mikrotik HEX S es un router de cinco puertos para ubicaciones donde no se requiere la

utilización de wifi. También posee una puerta SFP y una salida PoE en el último puerto.

Es de tamaño reducido y fácil de configurar. Tiene las siguientes especificaciones que lo hacen
adecuado para el entorno de trabajo que queremos implementar.

Código de producto RB760Igs

Arquitectura MMIPS

Núcleos de CPU 2

Frecuencia Nominal de la CPU 880 Mhz

Recuento de subprocesos de CPU 4

Dimensiones 113x89x28mn

Sistema Operativo RouterOS

RAM 256 MB

Tamaño de almacenamiento 16 MB

Tipo de almacenamiento FLASH

Temperatura de funcionamiento -40ºC to 70ºC

10/1000/1000 ethernet Port 5

SFP cages 1

Voltaje de entrada DC an PoE IN: 12 – 57 v

USB slot 1

Consumo Max 24 W

Precio U$S 96

5
2.
3.
4. Diagrama en bloque e imágenes

Ilustración 2- Diagrama en bloque

Ilustración 3- Vista de frente

Ilustración 4-Vista de Frente y costado Ilustración 5- Vista superior

6
 5. CONFIGURACION BASICA

Para la instalación básica, vamos a utilizar una computadora, cable de conexión ethernet y el
software de configuración Winbox v3.31. Usuario: admin sin contraseña

La conexión por Winbox puede ser a través de la ip que viene por default (192.168.88.1) o a
través de la MAC Address de cada equipo.

Ilustración 6- Winbox

Otras formas de conexión.

i. Telnet: la comunicación se realiza en texto plano, sin cifrar ( puerto

23/tcp)
ii. SSH: se realiza un cifrado de la comunicación siendo este método mas
seguro que el anterior (puerto 22/tcp). A través de PUTTY es un
ejemplo de uso.

7
 a) RESET CONFIGURATION
Antes de empezar con la configuración del Mikrotik, debemos primero borrar la configuración
básica que trae por defecto.

Configuración por defecto del mikrotik

 Puerto 1: WAN
 Puerto 2 al 4 LAN. Red 192.168.88.0/24, Gateway: 192.168.88.1
(bridge)

Una configuración de cero nos permitirá programar nuestro router con nuestras reglas y
parámetros.

Para borrar toda la configuración vamos a System > Reboot como se muestra en la figura

Ilustración 7-reboot

La ventana de reset nos da 4 opciones.

 Keep User Configuration: mantiene los usuarios y claves

 CAPS Mode: Sistema de punto de acceso controlado. Para que se
conecte a una red Wireless administrada por capsman
 No Default Configuration: limpia toda la configuración
 Do Not Backup: Evita hacer un backup

8
Utilizamos No default configuration

Ilustración 8-reset

b) CONFIGURACION DE USUARIOS
La base de datos de usuario del router guarda información como, nombre, contraseña,
direcciones de acceso permitidas y el grupo de administración personal del router.

Un dato para tener en cuenta. Siempre debe existir un usuario con privilegios Full. Si existe un
único usuario, este no se podrá borrar.

Creamos un Usuario nuevo con privilegio administrador y asignamos clave al usuario nuevo
como al usuario admin

U: Admin

C: Admin.Mikrotik.1!

Ilustración 9-Usuarios nuevos

9
 c) IDENTIFICACION DEL ROUTER
Ingresamos a system-identity para modificar el nombre del equipo mikrotic

La identificación de los equipos la realizamos de la siguiente manera.

MK-XXX-01 o MK-XXX-02 Siendo XXX las 3 primeras letras de la ubicación de la sucursal

Ilustración 10 - Nombre de equipo

d) SERVICIOS IP
Administramos los servicios IP para

i. Limitar uso de recursos (cpu, memoria)

ii. Limitar las amenazas de seguridad
iii. Limitar las direciones IP y SUBredes IP aceptadas

Vamos al menu IP > Services

Desabilitamos todos los servicios menos Winbox.

Ilustración 11 - Servicios

e) ADMINISTRACION DE RESPALDO-BACKUP

10
Es muy recomendable la utilizacion de backup para no perder la informacion y en el caso de
tener que cambiar el equipo, poder restaurar de forma rapida el servicio.

Ilustración 12 - Backup

La funcion Backup se utiliza para realizar las copias de la configuracion en un archivo binario.
Incluye un respaldo completo del sistema, usuarios y contraseñas. Se almacenan en el router.
Es muy aconsejable descargar una copia del mismo.

La opcion restore se pued utilizar para recuparar la configuracion del equipo.

La opcion Upload se utiliza para cargar un archjivo de backup desde una pc por ejemplo.

11
 6. IDENTIFICACION Y CONFIGURACION DE INTERFACES
Se realiza el conexionado y identificación según la numeración de los puertos de mikrotik.
(ilustración 3)

1. Internet 100Mb
2. ADSL 10Mb
3. N/C.
4. N/C
5. Red interna

En la sección Interfaces podemos ver todas las interfaces de comunicación que posee
nuestro Mikrotik

Ilustración 13- Interface

Realizamos el etiquetado de las mismas para que sea mas ordenado y fácil de trabajar

Ilustración 14 - Etiquetado de Interface

12
Asignamos las ip correspondientes a cada interfax

TELEFONICA – 100Mb

i. IP: 200.5.5.98.158
ii. Mascara: 255.255.255.252/30
iii. DG: 200.5.98.157

TELECOM – 10Mb

i. IP: 181.10.198.138
ii. Mascara: 255.255.255.240/29
iii. DG: 181.10.198.140

Ingresamos en IP > Address List

Hacemos clic en el botón + y agregamos las direcciones de las conexiones primarias y

secundarias

Ilustración 15 - Address List

13
 7. ROUTE

El ruteo (routing) es un proceso que se ejecuta en capa 3 del modelo OSI, este involucra a
varias tareas necesarias para mover un paquete IP desde un router hasta el destino según la
dirección que se especifique en el campo de cabecera IP. El ruteo define por donde va a ser
enviado el trafico y es necesario para que pueda comunicarse entre si diferentes subredes.

En RouterOS el router almacena la información de ruteo en varios espacios.

 FIB (Forwarding Information Base): Se utiliza para realizar las decisiones de reenvió de
paquetes. El FIB contiene una copia de la información necesaria de ruteo.
 Cada protocolo de ruteo a excepción de BGP, posee sus propias tablas de ruteo
internas. BGP no pasee tablas internas, sino que utiliza las de RIB.
 RIB (Routing Information Base) Contiene las rutas agrupadas en tablas de ruteo
separadas basadas en sus valores de routing-mark. Las que no poseen routing-mark se
almacenas en la tabla principal de ruteo (main touting table). Estas rutas se utilizan
para una mejor selección de ruta.

RIB. Contiene la información completa de ruteo. Incluyendo:

 Reglas de rutas estáticas definidas por el usuario

 Reglas de políticas de ruteo definidas por el usuario
 La información de ruteo aprendidas por los protocolos de ruteo
 La información de las rede conectadas

Y se utiliza para:

 Filtrar la información de ruteo.

 Calcular la mejor ruta para cada prefijo de destino.
 Construir y actualizar la FIB
 Distribuir las rutas entre diferentes protocolos de ruteo

Por defecto la decisión de forwarding se basa únicamente en el valor de la dirección de

destino. Cada ruta tiene dst-address que especifica el destino en que puede ser utilizada. Si
existen mas de una dirección que aplica se utiliza la que posee mas netmask. Esta operación de
búsqueda se la conoce como routing table( tabla de rutamiento de ruta). Si una tabla de ruteo
tiene varias rutas con el mismo dst-address, solo se utiliza una y se marca como activo.

Existen diferentes grupos de rutas según su origen y propiedades:

 Ruta por default: la ruta con dst-address=0.0.0.0/0 se aplica a todas las direcciones
destino. Se la conoce como ruta por default.
 Rutas conectadas: estas se crean automáticamente para cada red IP que tiene al
menos una interface habilitada conectada. RIB rastrea el status de las rutas
conectadas, pero no las modifica.

14
 Ilustración 16 - Rutas Conectadas

 Rutas multipach (ECMP): Múltiples trayectorias de costos iguales. Se utiliza para

balanceo de carga por ejemplo. Las rutas ECMP tienen múltiples valores de Gateway
de siguiente salto (nexthop) estos son copiados al FIB y utilizados en el reenvió de
paquetes.

FIB: Forwarding Information Base.

El FIB utiliza la siguiente información del paquete para determinar su destino.

 Dirección de destino
 Dirección origen
 Interface origen
 Routing mark

Las posibles decisiones de ruteo son:

 Recibir el paquete localmente

 Descartar el paquete
 Enviar un paquete a una dirección IP especifica en una interface especifica

Etiquetas de ruta

disable (X): la regla de ruteo esta deshabilitada

activa (A): la ruta se utiliza para el reenvió de paquetes.

dynamic (D): regla de ruteo creada por el soft. No puede ser modificada.

connect (C): Ruta conectada. Se genera cuando se configura una dirección IP en una interface
activa
• static (S): Ruta estática. Ruta creada por el usuario de manera fija. Este método forzará el
envío de paquetes a través de un gateway definido por el usuario/administrador
• rip (r): Ruta RIP
• bgp (b): Ruta BGP

15
• ospf (o): Ruta OSPF
• mme (m): Ruta MME
• blackhole (B): Descarta silenciosamente el paquete reenviado por esta ruta
• unreachable (U): Descarta los paquetes reenviados por esta ruta. Se notifica al originador del
paquete por medio de un mensaje ICMP host unreachable
• prohibit (P).- Descarta los paquetes reenviados por esta ruta. Se notifica al originador del
paquete por medio de un mensaje ICMP communication administrative y prohibited

Ilustración 17 - Route List

Propiedades generales

 check-gateway (arp | ping;) Cada 10 segundos se chequea el gateway enviando ya sea

un ICMP echo request (ping) o un ARP request (arp). Si no se recibe respuesta del
gateway en 10 segundos, se solicita un tiempo de espera (request times out). Después
de dos timeouts el gateway se considera inalcanzable (unreachable). Después de
recibir una respuesta del gateway se con considera alcanzable (reachable) y el
contador de timeout se resetea.
 comment (string). Es la descripción de una ruta particular
 distance (integer[1..255]; Default: "1"). Valor usado en la selección de ruta. Valores de
distancia más pequeños tendrán preferencia. Si no se especifica el valor de esta
propiedad, el valor default depende del protocolo de ruteo:
 connected routes: 0 (rutas conectadas)
 static routes: 1 (rutas estáticas)
 eBGP: 20
 OSPF: 110
 RIP: 120
 MME: 130
 iBGP: 200
 dst-address (IP prefix; Default: 0.0.0.0/0). Prefijo IP de la ruta, especifica las
direcciones destino para la que esta ruta puede ser utilizada. .3.5.01 – Libro de Estudio
& Laboratorio

16
  gateway (IP | interface IP | string). Especifica a cuál host o interface deberían ser
enviados los paquetes. Las rutas ECMP tienen más de un valor de gateway. El valor
puede ser repetido varias veces.
 pref-src (IP). Cuál de las direcciones IP locales se utilizará para los paquetes originados
localmente que son enviados a través de esta ruta. Si el valor de esta propiedad se
configura con una dirección IP que no es la dirección local de este router
 routing-mark (string).- Nombre de la tabla de ruteo que contiene esta ruta. No se
configura por default porque es el mismo que la tabla principal de ruteo
 scope (integer[0..255]; Default: "30").- Usado en la resolución del nexthop. La ruta
puede resolver el nexthop únicamente a través de las rutas que tienen scope menor o
igual al target-scope de esta ruta. El valor por default depende del protocolo de ruteo:
 connected routes: 10 (si la interface está corriendo)
 OSPF, RIP, MME routes: 20
 static routes: 30
 BGP routes: 40
 connected routes: 200 (si la interface NO está corriendo)
 target-scope (integer[0..255]; Default: "10").- Utilizado en la resolución del nexthop.
Este es el valor máximo de scope para una ruta a través del cual un nexthop de esta
ruta puede ser resuelto. Para IBGP el valor se configura por default en 30.
 type (unicast | blackhole | prohibit | unreachable; Default: unicast
 vrf-interface (string; Default: "10"). Nombre de la interface VRF

Procedemos a la configuración de los ruteos.

Como vemos tenemos 3 rutas Dynamic creadas por el sistema.

Creamos la ruta para la conexión L2TP que explicaremos mas adelante. Todos los equipos que
busquen la IP del server de faciales ubicado en florida se enrutaran por acá. Esto se utilizará
para el equipo facial de control de ingreso y egreso de personal.

Ilustración 18 - L2TP

17
Para todas las demás conexiones que apuntan a la red interna de Granix las derivamos por la
conexión del MPLS. La IP 10.95.8.200 es la puerta de enlace de la conexión para el caso de esta
sucursal que esta por telefónica.

Ilustración 19 - MPLS

Las configuraciones siguientes la veremos en el apartado Rutas failover recursivas.

18
 8. CONFIGURACION DNS SEGURO

Como sabemos el sistema de nombre de dominio (DNS) es un sistema de nomenclatura

jerárquico descentralizado para dispositivos conectaos a internet como también a redes
privadas que asocia información con el nombre de dominio. La función principal es traducir los
nombres de dominio en una dirección de internet o identificador binario asociado al equipo
conectado a la red.

El servidor DNS utiliza una base de datos distribuida y jerárquica que almacena información
asociada a nombres de dominio en redes como internet. También es capaz de asociar varios
tipos de datos diferentes a cada nombre. Los tipos más comunes de registro almacenados en la
base de datos DNS son:

 SOA: Autoridad de zona DNS

 A y AAAA: Direcciones IP
 MX: Intercambiadores de mail SMTP
 NS: Servidor de nombre
 PTR: Apuntadores de reverse
 CNAME: Alias del nombre de dominio

EL Mikrotik cuando está configurado como DHCP server puede considerarse como un servidor
DNS primario. Cuando tiene la opción de requerimiento remoto habilitada, este responde a los
requerimientos DNS TCP y UDP por el puerto 53. DNS utiliza principalmente el protocolo UDP
en el puerto 53 para atender las solicitudes. TCP se utiliza cuando el tamaño de los datos de
respuesta es superior a 512 bytes. O también para tareas como trasferencia de zona.

Parámetros:

 allow-remote- requests: especifica si se va a permitir o no los requerimientos

remotos de la red: Cuando se activa (yes) el router se convierte en DNS Cache.
 Cache-max-ttl: (default:1semana) especifica el time-to-live para los registros
cache.
 Cache-size: (default: 2048KB) especifica el tamaño del DNS
 Cache-used: Muestra el tamaño dl cache actual
 Server: aquí se especifica los servidores dns.

Ilustración 20 - DNS Settings

19
Existen servidores de dominios alternativos con respecto a los dns de las operadoras. Las
ventajas que dan son

 Fiabilidad: mayor estabilidad y mas tiempo de actividad real

 Velocidad: mejores que los dns de operadoras
 Seguridad: algunos ofrecen protección contra Phishing.
 Control parental: posibilidad de filtrar paginas no deseadas.
 Saltar restricciones: a veces permite acceder a dominios bloqueados por el
operador.

Entre estos se encuentran, Google (8.8.8.8, 8.8.4.4), Verisign (64.6.64.6, 64.6.65.6), FreeDns
(37.235.1.174, 37.235.1.177), IBM Quad9 (9.9.9.9), Cloudflare (1.1.1.1, 1.0.0.1).

Nosotros utilizaremos Cloudflare.

La idea es asegurar nuestro DNS utilizando DoH o lo que es lo mismo HTTPS para nuestras
peticiones al servidor DNS. Si bien la mayoría de las páginas utilizan una conexión segura via
HTTPS. No es así en DNS. Es decir que pueden espiar nuestra navegación, viendo que paginas
visitamos, pero no lo que hacemos en ellas.

Para realizar esto primero debemos comprobar que la versión del soft en el mikrotik sea
versión 6,47 O superior. Esto lo podemos verificar en System > Package list. También podemos
chequear por actualizaciones y instalar la última versión. En la figura se muestra la versión del
mikrotik 6.49.2, es la última actualización estable.

Ilustración 21 – Versión Mikrotik

Una vez verificada la versión, procedemos a descargar el certificado raíz para validar la
conexión HTTPS. Este certificado verificara posteriormente que el certificado HTTPS de nuestra
conexión para el proveedor DNS es válido y que se puede usar para cifrar dicha conexión.

Para descargar los certificados raíz usamos el siguiente comando en un terminal.

/tool fetch url=https://curl.se/ca/cacert.pem

20
Una ves obtenido el certificado raíz lo importamos al router. Una vez descargado el certificado
raíz, este queda alojado en la carpeta “Files” del router. Podemos ir a System > Certificates >
Certificates (pestaña) e importar el certificado por medio del boton Import. O podemos
hacerlo vía comando de la siguiente manera

/certificate import file-name=cacert.pem passphrase=””

Una vez realizado esto podemos ver que se cargaron los certificados en System > Certificates

Ilustración 22 - Certificados

Realizamos la activación de DoH en nuestro router. Vamos a IP > DNS.

Rellenamos el campo “Use DoH Server”

https://cloudflare-dns.com/dns-query

y marcamos la opción de “Verify DoH Certificate” de esta forma verificamos que la conexión es
válida.

21
 Ilustración 23 - DNS Setting

También debemos que asegurarnos que podemos resolver el nombre de dominio del servidor
DoH, ya que no deja de ser un dominio más y necesitamos que se resuelva.

Para esto creamos entradas estáticas de tipo A en nuestro DNS estático resolviendo las dos Ip
que están detrás del dominio cloudflare-dns.com 104.16.248.249, 104.16.249.249.
quedando de la siguiente forma.

Ilustración 24 - configuración

Otra solución es usar el server 1.1.1.1 para resolver cloudflare-dns.com como se ve en la figura

22
 Ilustración 25 - configuración final

Ya estaría funcionando DoH en nuestra red principal. Verificamos que así sea, ingresamos a las
siguientes direcciones

https://1.1.1.1/help

Ilustración 26 - prueba

https://www.cloudflare.com/es-es/ssl/encrypted-sni/

23
Ilustración 27 - prueba

24
 9. NAT

NAT (Network address Traslation) es un estándar de internet que permite que los host de una
red local utilicen un grupo de direcciones para la red local y otro grupo de direcciones para la
comunicación externa. A las redes LAN que utilizan NAT se las conoce como redes nateadas.

Existen dos tipos de NAT

 Source NAT (srcnat): Un router NAT reemplaza la dirección origen privada de un

paquete ip con una nueva dirección IP publica a medida que viaja a través del router. Y
se realiza lo mismo de manera inversa a los paquetes que viajan en sentido contrario.
 Destination NAT (dstnat)Se utilizan normalmente para que los hosts de una red
privada sean accesibles desde Internet. Se realiza sustituyendo la dirección IP de
destino de un paquete IP, ya que viaja a través del router hacia la red privada.

Propiedades:

 chain (name) – Especifica a que chain se agregará la regla. Si la entrada no

coincide con el nombre de un chain ya definido, se creará un nuevo chain.
 comment (string ) – Comentario descriptivo de esta regla.
 dst-nat – Reemplaza la dirección y /o puerto destino de un paquete IP por los
valores especificados por los parámetros to-addresses y to-ports
 masquerade – Reemplaza la dirección origen de un paquete IP a una IP
determinada por la facilidad de routing.
 src-nat – Reemplaza la dirección origen de un paquete IP a valores
especificados en los parámetros to-addresses y to-ports
 dst-address (IP/netmask | IP range) - Coincide con los paquetes cuyo destino
es igual a la IP especificada o cae dentro del rango IP especificado.
 dst-port (integer[-integer]: 0..65535 ) – Lista de números de puerto destino o
rangos de número de puerto

Vamos a compartir internet en los equipos de la LAN. Esto lo realizaremos por medio de un
nateo para enmascarar las direcciones IPs de los equipos con la IP publica de la interfaz INET
del router. Esto es necesario porque en internet no se puede navegar con un direccionamiento
de IP privada.

Àra esto es necesario crear una regla en el firewall la cual exprese que todo lo que venga de la
LAN con destino 0.0.0.0 se envié por la interfaz INET y se enmascare con la IP publica de
internet.

Vamos a IP > Firewall > NAT

Creamos una regla de nateo según la imagen. Lo hacemos para cada uno de las salidas de
internet disponibles. Utilizamos en chain srcnat y masquerade.

25
 Ilustración 28 - NAT Internet

También como tenemos un DVR, tenemos que hacer las reglas para que podamos ver las
cámaras desde afuera. Esto tenemos que hacer para cada uno de los puertos que utilicemos.
En nuestro caso son 3 puertos. 554, 7500 y 8000

En este caso utilizamos en chain dstnat, dst address la IP de la interfaz de internet a usar el
puerto. En action usamos dst-nat con la ip del DVR y el puerto. Esto se debe hacer para los 3
puertos.

Ilustración 29 - NAT DVR

26
 10. RUTAS FAILOVER RECURSIVAS

Failover es una configuración cuando se tiene mas de un proveedor de servicio de internet y se

necesita tener una línea principal y una secundaria como respaldo. Si el servicio principal
pierde conexión a internet el segundo proveedor entrara como respaldo. De esta forma
nuestra red no pierde conexión a internet. Cuando se restablece la conexión se vuelve a dar
servicio por la conexión principal

Nos dirigimos a la tabla de enrutamiento para agregar las rutas que vamos a configurar.

Primero debemos crear dos rutas estáticas a dos servidores externos por medio de los
Gateway y poder monitorearlos. La primera ruta que creamos será al servidor DNS de Google
(8.8.8.8) y la segunda será al segundo DNS de Google (8.8.4.4). en cada ruta se configura el
scope en 10 y se activa el check Gateway en modo ping

Ilustración 30 - Ruteo de control

27
 Ilustración 31 - Ruteo de control enlace 2

Una vez creadas las rutas para monitorear los servidores externos vamos a crear las dos rutas
por defecto para cada uno de los proveedores. En lugar de usar el Gateway de nuestros
proveedores, vamos a utilizar cada uno de los servidores que estamos monitoreando.
Asignando la distancia teniendo en cuenta que el de menor valor va a ser el primario

Ilustración 32 - Ruta por default primaria

28
 Ilustración 33 - Ruta por default secundaria

Verificamos que hayan quedado las rutas correctamente configuradas. Deben estar activas
ambas rutas que verifican los server externos. También una de las rutas por defecto debe estar
activa y decir recursiva que debe ser la principal. La secundaria debe colocar recursiva pero
estar inactiva ya que es el respaldo.

Ilustración 34 - Ruta failover recursivo

1ª línea: Ruta de respaldo para la línea principal.

2ª línea: Ruta principal de salida de internet.

3ª línea: Ruta de verificación de servidor externo, línea secundaria.

4ª línea: Ruta de verificación de servidor externo, línea primaria

Probamos que funcione el arreglo. Desconectamos el proveedor principal. Debería activar el

secundario de forma automática

29
 Ilustración 35 - prueba de funcionamiento

Como podemos observar la conexión principal ether1 quedo sin conexión y observamos que se
activó la conexión secundaria. Verificamos nuestra IP publica para corroborar que salimos por
el enlace secundario.

Ilustración 36 - Mi IP

Volvemos a conectar el enlace primario, observamos que se desactiva la conexión secundaria y

se activa la primaria. Verificando así el funcionamiento de las rutas recursivas

30
Ilustración 37 - prueba exitosa

31
 11. VRRP

El protocolo de redundancia de enrutador virtual (VRRP) es un protocolo de red que crea un

enrutador virtual como Gateway a partir de dos o más enrutadores físicos en la misma red
compartiendo el mismo ID. Esto nos permite protegernos ante la falla de un equipo y asegurar
así el acceso constante a ciertos recursos. El protocolo se describe en el RFC 3768.

VRRP nos ofrece una IP virtual como gateway que va estar siempre en el router maestro, este
protocolo fue diseñado para aumentar la disponibilidad de la puerta de enlace por defecto
dando servicio a los equipos de la misma subred, esto quiere decir que el resto de routers que
estén conectados con el protocolo VRRP van a ser de backup, estos se configuran con una
prioridad, es decir el router principal tendrá una prioridad superior al resto, cuando este caiga
lo sustituirá el siguiente más alto en la prioridad, dando una disponibilidad a la puerta de
enlace.

Modos de operación:

VRRP MASTER: puede haber un solo master en un router virtual. La selección de maestro esta
definido por el valor de prioridad. Cuando el Master cae el Backup con la prioridad siguiente
pasa a ser Master.

VRRP BACKUP: no responde ningún requerimiento a las direcciones ip de la instancia. Si el

master se vuelve no-disponible (cuando 3 paquetes secuenciales VRRP se pierden) se
selecciona el Backup siguiente en prioridad y se le asigna como Master. Cada ves que el
enrutador con prioridad está disponible se cambia a Master.

Ilustración 38 - Circuito VRRP

32
Procedemos a la configuración del VRRP

En la ventana de Interface, vamos a la solapa VRRP y generamos una nueva como se observa
en la figura. Ahí seleccionamos la LAN (ether5) en Interface. Verificamos VRID:1 Y Priority:50
ya que este equipo es el principal. Marcamos la casilla de Preemption Mode, (esto hará que el
enrutaor activo tome volver al control tras la recuperación)

Ilustración 39 - Configurando VRRP

Asignamos una IP a la interfaz VRRP

IP: 10.9.0.10 asignado a la interfaz VRRP

Ilustración 40 - IP VRRP

33
Creándose un ruteo estático

Ilustración 41 - Ruteo estatico VRRP

En el enrutador B se realiza el mismo trabajo solo que la prioridad del enrutador debe ser
menor que el Master (Priority: 50). El Preemption Mode debe quedar deshabilitado así cuando
se restablezca el Master regrese automáticamente.

Ilustración 42 - Configurando VRRP Secundario

34
Los dos enrutadores están conectados la misma LAN, la asignación de IP de la LAN a los Host
debe ser igual, la dirección de la puerta de enlace debe apuntar al VRRP. Esto es igual para
ambos equipos.

Ilustración 43 - DHCP VRRP

Verificamos el funcionamiento simulando un corte en el Master

Ilustración 44 - Prueba de corte

Podemos observar cuando se produjo el corte y que el router Backup se encuentra operativo.

Restablecemos y el Master vuelve a tomar el control.

Ilustración 45 - Restablecimiento

VRRP está funcionando adecuadamente.

35
 12. L2TP

Utilizaremos un tunel PPP para conectar las sucursales con la casa central para los equipos que
necesitan conexión directo como aclaramos anteriormente.

Los túneles son una forma de ampliar una red privada a través de una red publica, también
llamados VPNs (Redes Privadas Virtuales). Esta técnica consiste en encapsular el protocolo de
red sobre otro creando un túnel de información dentro de la red de computadoras. Sus usos
son: comunicación de islas de escenarios multicast, redirección de tráfico, creación de diversos
tipos de redes privadas.

Ejemplos de protocolos de tunelizados:

 L2TP (Layer 2 Tunneling Protocol)

 MPLS (Multiprotocol Label Switching)
 PPTP (Point-to-Point Tunneling Protocol)
 PPPoE (Point-to-Point protocol over Ethernet)
 PPPoA (Point-to-Point protocol over ATM)
 IPSec (Internet Protocol security)
 IEEE 802.1Q (Ethernet VLANs)
 6to4 (IPv6 over IPv4 as protocol 41)

Ilustración 46 - PPP

L2TP es un protocolo utilizado en redes privadas virtuales que fue diseñado por IETF. Creado
para corregir las deficiencias de PPTP y L2F y establecer un estándar aprobado por el IETF. L2TP
utiliza su propio protocolo de establecimiento de túneles basado en L2F. L2TP encapsula PPP
en líneas virtuales que corren sobre IP, frame relay, X25 y otros protocolos.

No posee características muy buenas en encriptación, por este motivo lo utiliza junto con el
protocolo IPsec.

L2TP es en realidad una variación de un protocolo de encapsulamiento IP. Un túnel L2TP se

crea encapsulando una trama L2TP en un paquete UDP, el cual es encapsulado a su vez en un
paquete IP, cuyas direcciones de origen y destino definen los extremos del túnel. Siendo el
protocolo de encapsulamiento más externo IP, los protocolos IPSec pueden ser utilizados
sobre este paquete, protegiendo así la información que se transporta por el túnel.

36
El protocolo L2TP utiliza UDP para los paquetes de control y de datos. El puerto UDP 1701 se
utiliza únicamente para establecer el enlace, el trafico adicional puede utilizar cualquier puerto
UDP.

PARAMETROS:

 connect to: dirección remota del servidor

 name: nombre descriptivo de la interface
 user: nombre del usuario usado para la autenticación
 password: contraseña usada en la autentificación.

Procedemos a la configuración del túnel L2TP.

Ingresamos a la pestaña PPP del router y creamos un nuevo enlace L2TP client

Ilustración 47 - L2TP Client

Asignamos un nombre a la interface. En nuestro caso L2TP-FLORIDA

En la pestaña 2 colocamos la IP del servidor. Es decir la IP publica del enlace de casa central.

Generamos un usuario (user) y password para la conexión.

Tildamos en Use Ipsec y generamos una password para la encriptación. Le damos apply y ok

37
 Ilustración 48 - L2TP configuración general

Ilustración 49 - L2TP configuración de parametros

Creamos un ruteador para que todos los pedidos a 10.95.0.0/22 salgan por L2TP

38
 Ilustración 50 - Ruteo L2TP

Ingresamos en el router de casa central

Vamos a configurar el otro extremo como server L2TP. Para ello nos dirigimos a la parte PPP,
una vez allí ingresamos a la pestaña Interface. Creamos un server con el botón L2TP, se nos
abrirá una nueva ventana donde vamos a configurar los siguientes campos: enabled: se activa
esta casilla para habilitar el túnel, Default Profile: aquí procedemos a elegir nuestro profile si
ya hemos creado uno si no dejarlo en default-encryption, Use IPsec: esta valor será igual a yes
para habilitar IPsec en nuestro túnel, IPsec Secret: aquí escribimos nuestra contraseña que
servirá como llave de encriptación y des encriptación para nuestros clientes. Le damos ok para
terminar

Ilustración 51 - L2TP SERVER

39
En Secret y creamos un usuario nuevo.

Cargamos el nombre de nuestro usuario y el password que utilizamos en la sucursal para crear
la conexión.

Ingresamos la IP local y la IP remota según cada conexión

Ilustración 52 - L2T secret

Ilustración 53 t2tp secret según ubicación

Una vez realizado estos pasos realizamos una prueba de conexión desde una PC de la sucursal
haciendo ping a la red interna de casa central.

Ilustración 54 - prueba L2TP

40
INDICE DE GRAFICOS
Ilustración 1 – red de sucursales..................................................................................................4
Ilustración 2- Diagrama en bloque...............................................................................................6
Ilustración 3- Vista de frente........................................................................................................6
Ilustración 4-Vista de Frente y costado........................................................................................6
Ilustración 5- Vista superior.........................................................................................................6
Ilustración 6- Winbox...................................................................................................................7
Ilustración 7-reboot.....................................................................................................................8
Ilustración 8-reset........................................................................................................................9
Ilustración 9-Usuarios nuevos......................................................................................................9
Ilustración 10 - Nombre de equipo.............................................................................................10
Ilustración 11 - Servicios.............................................................................................................10
Ilustración 12 - Backup...............................................................................................................11
Ilustración 13- Interface.............................................................................................................12
Ilustración 14 - Etiquetado de Interface.....................................................................................12
Ilustración 15 - Address List........................................................................................................13
Ilustración 16 - Rutas Conectadas..............................................................................................15
Ilustración 17 - Route List...........................................................................................................16
Ilustración 18 - L2TP...................................................................................................................17
Ilustración 19 - MPLS..................................................................................................................18
Ilustración 20 - DNS Settings......................................................................................................19
Ilustración 21 – Versión Mikrotik...............................................................................................20
Ilustración 22 - Certificados........................................................................................................21
Ilustración 23 - DNS Setting........................................................................................................22
Ilustración 24 - configuración.....................................................................................................22
Ilustración 25 - configuración final.............................................................................................23
Ilustración 26 - prueba...............................................................................................................23
Ilustración 27 - prueba...............................................................................................................24
Ilustración 28 - NAT Internet......................................................................................................26
Ilustración 29 - NAT DVR............................................................................................................26
Ilustración 30 - Ruteo de control................................................................................................27
Ilustración 31 - Ruteo de control enlace 2..................................................................................28
Ilustración 32 - Ruta por default primaria..................................................................................28
Ilustración 33 - Ruta por default secundaria..............................................................................29
Ilustración 34 - Ruta failover recursivo.......................................................................................29
Ilustración 35 - prueba de funcionamiento................................................................................30
Ilustración 36 - Mi IP..................................................................................................................30
Ilustración 37 - prueba exitosa...................................................................................................31
Ilustración 38 - Circuito VRRP.....................................................................................................32
Ilustración 39 - Configurando VRRP............................................................................................33
Ilustración 40 - IP VRRP..............................................................................................................33
Ilustración 41 - Ruteo estatico VRRP..........................................................................................34
Ilustración 42 - Configurando VRRP Secundario.........................................................................34
Ilustración 43 - DHCP VRRP........................................................................................................35
Ilustración 44 - Prueba de corte.................................................................................................35
Ilustración 45 - Restablecimiento...............................................................................................35
Ilustración 46 - PPP.....................................................................................................................36
Ilustración 47 - L2TP Client.........................................................................................................37

41
Ilustración 48 - L2TP configuración general................................................................................38
Ilustración 49 - L2TP configuración de parametros....................................................................38
Ilustración 50 - Ruteo L2TP.........................................................................................................39
Ilustración 51 - L2TP SERVER......................................................................................................39
Ilustración 52 - L2T secret..........................................................................................................40
Ilustración 53 t2tp secret según ubicación.................................................................................40
Ilustración 54 - prueba L2TP.......................................................................................................40

42
Bibliografía

Ruteo avanzado y alta disponibilidad con mikrotik routeros v. 6.33.5.01 – academy xperts

Conceptos-Fundamentales-de-MikroTik-RouterOS-v6.39.2.01 – academy xperts

Control-de-traficoj-firewall-y-qos-con-mikrotik-routeros-v6.42.0.01 – academy xperts

https://es.wikipedia.org/wiki/WireGuard

https://es.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol

https://es.wikipedia.org/wiki/HSRP

https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP

Curso Mikrotik – EducaciónIT

Laboratorios Cano Academy

https://lanpixel.com/blog/guia-wireguard-paso-a-paso-con-mikrotik/

https://help.mikrotik.com/docs/display/ROS/WireGuard

https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-wireguard-vpn-fondo-rw-
sts.579540/

43