Mtcna Online Sesion1

MikroTik Certified Network
Associate
MTCNA
MTCNA VERSION ONLINE 1

Nelson E. López T.
 País de origen : Venezuela

 Ingeniero de Telecomunicaciones (UNEFA 2009)
 CCNA, CCNA SECURITY
 UBWA (Ubiquiti Networks)
 10 años de experiencia en Networking (Redes e Infraestructura)
 CEO / CTO de SERTINET, C.A
 CTO Megadatta, C.A

A la fecha hemos capacitado 300+
personas…Venezuela, Colombia,
Dominicana y Ecuador
Capacitaciones: Desarrollo:
 Entrenamientos privados  Desarrollo de Proyectos
 Entrenamientos Públicos  Soluciones llave en Mano
Soporte: Ventas:
 Incidencias  Venta de Licencias RouterOS
Outsourcing  Hardware

Presentación
Presentarse Individualmente a la Clase
• Nombre
• Compañía
• Conocimientos previo sobre RouterOS
• Conocimiento previo sobre Networking
• Que espera de este curso?

• Identificar su Número en el Routerboard:____

Importante
• Celular colocar en modo Silencio
• Evite conversaciones paralelas
• Internet evite el uso Inapropiado
• Preguntas siempre son bienvenidas
• Búsqueda de Absorber conceptos

Track de Certificaciones
MTCNA - MikroTik Certified Network Associate

MTCRE - MikroTik Certified Routing Engineer
MTCWE - MikroTik Certified Wireless Engineer
MTCTCE - MikroTik Certified Traffic Control Engineer
MTCUME - MikroTik Certified User Management Engineer
MTCINE - MikroTik Certified Inter-Networking Engineer
MTCIPv6E - MikroTik Certified IPv6 Engineer
MTCSE - MikroTik Certified Security Engineer

Objetivos del Curso
• Hacer uso del sistema RouterOS y las capacidades
del hardware Routerboard.
• Emplear mejores prácticas sobre el router Mikrotik,
configuración, mantenimiento y solución de fallas.
• Una vez completado el curso, usted será capaz de
planear e implementar configuraciones básicas en el
RouterOS.
• Construir topologías reales para redes LAN, WISP
8
MTCNA VERSION ONLINE
Acerca de Mikrotik
• Fabricante de Hardware y desarrollador de software
• Productos utilizados por ISP, WISP, compañías,
usuarios domésticos, entre otros.
• Hacer las tecnologías de Internet mas rápidas,
potentes y asequible para una gama mas amplia de
usuarios.
• El software RouterOS que proporciona una gran
estabilidad, control y flexibilidad para todo tipo de
interfaces de datos y enrutamiento.
9
Historia de Mikrotik
• 1996 : Fundación
• 1997 : RouterOS para X86 (PC)
• 2002 : Nacimiento Routerboard
• 2006 : Primer MUM (Praga Rep. Checa)
• Empleados +160 (2015 )
• 2015: El MUM más grande en Indonesia
(+2500 personas)
10
¿Donde está Mikrotik ?
Mikrotik tomado de la palabra Mikrotikls (Letón)

En Letón significa Redes pequeñas
Sitios de Interés
mikrotik.com wiki.mikrotik.com desings.mikrotik.com
Mum.mikrotik.com forum.mikrotik.com blog.mikrotik.com
11
¿Qué es RouterBoard?
• Un Hardware creado por Mikrotik
• Abarca un rango amplio desde routers caseros hasta routers de
proveedores de servicios.
• Un costo accesible en el mercado comparado con otras marcas.
• Millones de Routerboard están enrutando actualmente el
mundo
12
¿CÓMO ELEGIR EL ROUTERBOARD
ADECUADO?
Basado en los siguientes parámetros:
• CPU
•Memoria RAM
• Interfaces ( Ethernet, Wireless, 3G, Extra Storage, MiniPCI)
• Uso del equipo, VPN (Acelerador de IPSEC, Switch
funcionalidades con HW offload )
Nivel de Licencia :
• Level 3 ---- Point to Point Wireless (SXT,LHG5)

• Level 4 ---- Wireless AP (QRT, Net Metal, Hap Lite)
• Level 5 y 6 ---- Controlador (CRS109, CCR1036)
13
¿Qué es RouterOS?
RouterOS es un sistema operativo que convierte a un dispositivo en:
 Full 802.11 A/B/G/N/AC

 LTE
 Firewall / Bandwith Shapping
 Point to Point Tunnelling (PPPoE, PPTP, SSTP, Open VPN)
 Wireless Lan Controller ( Capsman)
 DHCP/Proxy / Hotpsot
 MPLS / VPLS
 Routing Dinamico (RIP/OSPF/BGP)
 Y mucho más…..
14
15
¿Qué es Winbox?
• Es la aplicación para la configuración del RouterOS
• Winbox es una herramienta que permite administrar un Mikrotik
utilizando una rápida y simple interfaz gráfica .
•Winbox se descarga desde www.mikrotik.com/download/winbox.exe

• El 95% de las funciones por consola son soportadas a través de
Winbox, hay casos de excepción por ejemplo el cambio de una MAC en
una interfaz, herramienta Spectral Scan/history, solo se realiza a través
de la consola.
•Winbox utiliza el puerto TCP 8291
• Es nativo para ser utilizado sobre Windows, pero puede ser utilizado
en Linux o MAC mediante wine.
16
Winbox
• Dirección IP por defecto ( lado LAN ) : 192.168.88.1
• User por defecto: admin
• Clave por defecto:
Siempre debemos estar actualizados con las versiones de Winbox, desde el modo avanzado
check for updates
17
Agregar opciones Time, CPU, Memoria, Fecha
Mostrar / Ocultar Claves de Wifi, VPN
Muestra Dirección, Usuario, Versión Os, Plataforma RB
Menú Bar
Área de Trabajo 18
18
¿Qué es Webfig?
• Es una utilidad basada en web para RouterOS
• Webfig nos permite Monitorear, Configurar, Solucionar fallas en
nuestro RouterOS
• Esta diseñada como una alternativa a Winbox.
• Se puede acceder directamente al router sin necesidad de agregar
algún aplicativo como winbox, lo único requerido es un navegador por
ejemplo : Mozzila, Chrome etc.
19
MikroTIK App Mobile
• Es una aplicación para dispositivos móviles.
• Nos permite gestionar , configurar nuestro Router desde el dispositivo móvil
• Es una alternativa al winbox y al webfig
20
Quickset
• Configuración básica del router en una ventana
• Accesible desde WinBox y WebFig
• En más detalle se describe en el curso " Introducción a
MikroTik RouterOS y routerboards"
21
RouterOS CLI
• CLI permite la configuración de nuestro routerOS haciendo uso de
los comandos a través de la consola.
• La estructura de comando se encuentran agrupados en los
distintos niveles del menú en forma Jerárquica al igual que Winbox
Se puede acceder a través de las siguientes formas:

• Winbox Terminal
• SSH
• Telnet
• Conexión Serial
22
RouterOS CLI
23
DHCP en RouterOS
DHCP Client: puede recibir de un servidor DHCP los siguientes
parámetros:
• IP – Subnet – Gateway – DNS- Ruta Static – NTP
DHCP Server:
• Usado para entregar deforma automática direcciones en una
red local
• Usar DHCP en redes seguras
• Para configurar el servidor DHCP es necesario tener una IP en la
interfaz
• Por Interfaz solo es posible tener un solo servidor DHCP
• Para configurar el servidor en un bridge, fijar el servidor DHCP
en la interfaz de Bridge
• Si se configura en uno de los puertos del bridge, el servidor
aparecerá Invalido
24
DHCP en RouterOS
Se utiliza para la adquisición automática de la dirección IP , máscara de

subred , puerta de enlace predeterminada , servidor DNS y los ajustes
adicionales si los hubiere
25
DNS
Por defecto el cliente DHCP pide una IP del servidor DNS
También se puede introducir manualmente si otro DNS Se
necesita o el DHCP no lo utiliza
26
DHCP en RouterOS
Información DHCP
El lease muestra información de las direcciones entregadas
Podemos hacer un lease estático

• El cliente no podrá recibir una dirección
distinta a la reservada
•El servidor DHCP puede correr sin lease
dinámico
• Los clientes recibirán las direcciones
preconfiguradas
27
LABORATORIO
1-1
Modulo I
Primer Acceso a Nuestro Routerboard
Acceso a Internet desde 0
Pagina 1 – Manual de Laboratorio
28
RouterOS Releases
• Bug Fix Only -Es la mas estable Correcciones de fallas ,sin nuevas
características, rara vez se actualiza, a menos que se encuentre una
falla critica, se sugiere utilizar en entornos críticos
• Current – Mismas reparaciones + Nuevas Características, una vez el

Current es probado por varios meses es promovido al Bug fix Only
• Release Candidate - Considerada para entornos de Prueba, no se

recomienda en entornos de producción
29
Upgrade RouterOS
• Con la licencia ya adquirida, es posible realizar upgrades de las
nuevas versiones y actualizaciones de nuestro RouterOS.
• Antes de actualizar es necesario verificar en un entorno de
prueba el funcionamiento de las distintas reglas y políticas
existentes, hubo un cambio en el Packet Flow de la versión 5
hacia la versión 6
• Es posible actualizar el firmware de nuestro hardware, al igual
que la versión del sistema Operativo.
La forma manual se puede realizar de 3 maneras distintas:

• Winbox - Arrastrar los paquetes al menú Files (.npk)
• FTP - Cargar los archivos al directorio /root
• The dude
30
Upgrade RouterOS
La manera más fácil de realizar es a través de la Ruta System--Package
También es posible auto upgrade de

forma masiva
Siempre debemos utilizar versiones estables en redes en producción, Long Term
31
RouterBOOT
Firmware responsable del arranque de RouterOS en dispositivos
RouterBoard
• Existen 2 Bootloaders en RouterBOARD - principal y de reserva
• Principal puede ser actualizado
• El de Backup se puede cargar si es necesario
"/system routerboard upgrade"
32
Paquetes en RouterOS
Si alguna funcionalidad de algún dispositivo no será utilizada lo mejor es deshabilitar los

paquetes innecesario y solamente hacer uso de las funciones importantes para la
implemnetacion del RouterOS.
33
Paquetes en RouterOS
Las funciones en RouterOS son habilitadas / Deshabilitadas a traves de cada uno de
los paquetes adicionales al sistema Base.
Los paquetes extras se deben descargar desde www.mikrotik.com
• Cada arquitectura de CPU ha combinado un paquete, por ejemplo, ' RouterOS -

mipsbe ' , ' RouterOS Tile ' , RouterOS-Smips,RouterOS-Arm
• Contiene todos los estándares RouterOS características (inalámbrica , DHCP , PPP ,
enrutamiento , etc. )
34
Instalando RouterOS
RouterOS es necesario tener la habilidad y el conocimiento de
conocer su proceso de instalación en distintos medios por las
siguientes razones:
• Necesario cuando deseamos utilizar un Hardware propio

• Así como cualquier sistema operativo en RouterOS, también se
puede corromper el sistemas de inicialización.
• Cuando se pierde el usuario o contraseña de algún equipo, la
única forma de recuperar el acceso nuevamente es reseteando
el Hardware.
35
Instalando RouterOS
RouterOS se puede instalar en los siguientes medios:
• Disco Duro
• CF/TF card
• Disk on Module (DOM)
• USB flash Disk
• Routerboard
Métodos de Instalación :
• CD (x86)
• Netinstall (Routerboard, X86)
1. Se utiliza para instalar y reinstalar RouterOS
2. Corre en computadores Windows
3. La conexión directa con el router es preferida
4. disponible en www.mikrotik.com/downloads
36
Netinstall
• Se utiliza para la instalación y reinstalación
de RouterOS
•Conexión de red directa al router es

requerido (se puede utilizar más de
conmutación LAN )
• El cable debe estar conectada al puerto

Ether1 (Excepto CCR y RB1xxx - último
puerto )
• Se ejecuta en Windows , Linux Wine

• Para obtener más información consulte la
página wiki Netinstall
37
Licencia en RouterOS
• Cada licencia es amarrada al software – ID del Hardware
• La licencia se vincula en el Disco duro, placa madre, Flash del Hardware
• Formatear con otras herramientas, y se genera un nuevo software-ID , se
pierde la licencia.
All Licenses:
never expire
include 15-30 day free support over e-mail
can use unlimited number of interfaces
are for one installation each
offer unlimited software upgrades
38
Niveles de Licencia RouterOS
39
LABORATORIO
1-2
Modulo I
Actualizar Mikrotik, Packages, Instalar en sistemas x86
40
Respaldo configuración
RouterOS
Método BACKUP
• Se pueden hacer respaldos y restaurar configuraciones desde el menú file de
Winbox
• Los archivos de backup no son editables
• Son archivos encriptados.
• Contienen usuario y clave .
• El archivo de Backup generado desde Files tiene las siguientes características
Nombre+fecha+hora.backup
Método Comando Export

• Las contraseñas no son guardadas con el comando export
• Los archivos son editables
• Se puede realizar respaldo parcial de configuraciones especificas
• Son utilizados cuando deseamos mover configuraciones hacia otro Router de
manera eficiente
41
Respaldo configuración
RouterOS
• Podemos definir un Nombre personalizado

• Una clave para darle un poco mas de seguridad, en caso de que admin no tiene
password seteado, caso contrario , al hacer restore pedirá la de admin
• Podríamos enviarlo al correo Diariamente con un Script
• Descargarlo al computador, con la opción de Download
Important! The backup file contains sensitive information, do not store your backup files inside the router's Files
directory, instead, download them, and keep them in a secure location.
42
Reset configuración en
RouterOS
System Reset configuration Module

• Se utiliza para restaurar el Routerboard con la configuración de fabrica
• Esta opción borrará también el Username y el Password
43
Gestión de usuarios en
RouterOS
Modulo System Users
• Se utiliza para administrar los diferentes usuarios de nuestro RouterOS
• Desde este modulo se puede cambiar la clave del usuario admin
• Los grupos que vienen por defecto son : Full, Read, Write
Grupos con privilegios adicionales:
44
Gestión de usuarios en
RouterOS
System---- Users
45
Skin personalizado Grupos
Para usar las máscaras (Skin), debe asignar la máscara a un grupo, cuando eso
esté hecho, los usuarios de ese grupo usarán automáticamente la máscara
seleccionada como predeterminada al iniciar sesión en Webfig
Si es necesario usar el skin creado en otro enrutador, puede copiar archivos a la carpeta
de skin en el otro enrutador. En el nuevo enrutador se requiere agregar una máscara
copiada al grupo de usuarios para usarla.
46
NTP en RouterOS
NTP (Network Time Protocol)
• Nuestro RouterOS soporta el NTP server y el cliente
• Es el protocolo utilizado para sincronizar la hora
• Utiliza el puerto 123
• Es muy útil para obtener la hora correcta,cuando no tiene internet el dispositivo
RouterOS
• Sirve como un diario para un sistema de fallas, en que momento sucedió un
ataque, saber la hora correcta
• En caso de routers sin memoria Interna puede preservar la información de la
hora, recibiéndola desde algún dispositivo de la red
• El cliente NTP viene integrado en el sistema base de RouterOS, si deseamos
disfrutar de la funcionalidad del NTP Server se requiere el paquete NTP.
•NTP recibe la hora de Internet a través de Multicast
• SNTP client es deshabilitado al activar el NTP server package
• Actualmente si el equipo posee conectividad hacia Internet la hora se actualiza
47
Syslog en RouterOS
RouterOS es capaz de registrar varios eventos del sistema e información de
estado. Los registros pueden guardarse en la memoria de los enrutadores
(RAM), disco, archivo, enviarse por correo electrónico o incluso enviarse a
syslog remoto, por default es en la RAM
https://wiki.mikrotik.com/wiki/Manual:System/Log
48
LABORATORIO
1-3
Modulo I
Backup, Servicios IP, Privilegios Usuarios, NTP, Syslog
49
FIREWALL
50
Firewall en RouterOS
• Protege al router y sus clientes de acceso no autorizado, sobre
puertos y protocolos específicos.
• Puede hacerse mediante creación de reglas en las tablas del
Firewall filter y raw.
• Nos permite bloquear diversos tipos de ataque, controlar el flujo
de datos que se encuentra entrando, saliendo y pasando a través de
nuestra red.
• RouterOS es un firewall de estado nos permite configurar reglas de
acuerdo a los diferentes estados del trafico sobre una conexión o
paquete.
• Posee entre sus funciones la tabla de Mangle para identificar,
marcar , enrutar trafico especifico
• Firewall de estado ≠ UTM (Fortinet, Watchguard, Palo Alto)
51
Opciones del Menú IP > Firewall

•Filter Rules : Reglas para filtros de paquete. (L3 – L7)
• NAT: Lugar donde se traducen las direcciones en la cabecera IP
• Mangle : Lugar donde se identifica el tipo de trafico para un procesamiento futuro
(Connection, Packet, Routing)
• Raw : Permite selectivamente bypass o drop a paquetes antes que lleguen al
conexión Tracking, reduciendo de esta forma carga al CPU
• Service Ports: Donde se localizan los NAT Helpers (PPTP,SIP)
• Connections : Se pueden visualizar las conexiones existentes
• Address Lists : Lista de direcciones IP creadas de forma dinámica o estáticas,
pueden ser utilizadas en cualquier lugar del menú Firewall
• Layer 7 protocols: Filtros de capa 7
52
Firewall Filter
• Las reglas del Firewall siempre se procesan en cada cadena, en el
orden de arriba hacia abajo.
• Actúan como expresiones lógicas si <condición> son los filtros desde
lo mas especifico a lo mas general ,entonces se aplica una <acción>
que coincida con los filtros.
• Si un paquete no cumple las condiciones de alguna regla, se analiza
en la siguiente regla.
53
INPUT:
Esta cadena contiene
OUTPUT
las reglas del filter que FORWARD: Esta cadena contiene las
protegen al mismo Esta cadena contiene las reglas reglas del filter donde el
router. para controlar los paquetes que router es el src address ,
Dst Address es la ip del van atravesar al router, el dst
router Address no es el router, sino un
destino mas allá
Se controla el trafico hacia y
desde los clientes
54
Flujo Firewall
RAW
55
Firewall – Acción
Algunas de las acciones que pueden ser tomadas en los filtros del firewall son:
• Accept : Aceptar
• Drop: Descartar
• Reject: Bloqueo notificando con un mensaje ICMP, tcp reset
• Tarpit: Bloqueo silencioso, respondo con SYN /ACK pero sin gastar recursos
• Log : Puede ser visualizado en el Loggin
• Jump : Permite evaluar reglas del firewall en Paralelo, de algunos puertos
• Return: Permite regresar a la regla donde inicio el Jump, y continuar evaluando.
• add-src-to-address-list (dst ) : Permite construir address-list de forma dinámica,
basada en un Matcher
56
Firewall – Listas de Acceso
• Lista de direcciones permite crear una acción para varias direcciones
IP a la vez
• Es posible añadir automáticamente una IP a la lista de direcciones
de acuerdo alguna regla
• IP se puede añadir a la lista de forma permanente o por una
cantidad de tiempo predefinida
• Lista de direcciones puede contener una dirección IP , IP rango o
subred entera
57
• En lugar de especificar la dirección en la ficha General

, cambiar a Avanzado y seleccione Dirección Lista ( Src .
O DST . Dependiendo de la regla )
58
Acción Firewall se puede utilizar para automáticamente
agregar una dirección a la lista de direcciones de forma
permanente o por un tiempo predefinido
59
Firewall – Personalizadas
•Además de las diferentes Chains ( Input, Forward,Output) el administrador del
RouterOS permite crear Chains propios de acuerdo a nuestras necesidades. Esta
práctica ayuda en la organización del firewall
• Para poder utilizar una Chain creada por nosotros, se debe desviar el flujo hacia
una acción de JUMP
• Para crear una nueva Chain solo debe agregar una nueva regla y darle el
nombre apropiado
• Se pueden crear en cualquier lugar del menú firewall
Acciones a Chains personalizadas por usuarios:
 JUMP: Salta para una cadena definida en Jump Target

 Jump Target: Nombre de la chain donde se debe saltar
 Return: Retorna a la cadena que llamo el Jump
60
Firewall – Personalizadas
61
Firewall – LOG
• Cada regla de firewall se puede registrar cuando emparejado
• Se puede añadir prefijo específico para facilitar la búsqueda de la los
registros más tarde
62
LABORATORIO
2-1
Modulo II
Haciendo uso de los Filter Chains INPUT, FORWARD, Cadenas
personalizadas
63
Estados de la Conexión
Untracked
64
Estados de la Conexión
Estados de la Conexión:
 Established : Significa que un paquete es parte de una conexión ya conocida

 Related : Significa que un paquete inicia una nueva conexión, pero esta asociada a
una conexión ya conocida
New : Esto significa que el paquete está iniciando una nueva conexión
Invalid : Un paquete el cual no podría ser identificado por alguna razón, no
pertenece a una conexión ya conocida
 Untracked : Paquete que se configuro para Bypass al conexión tracking
En la tabla RAW
65
Estados de la Conexión TCP
66
Estados de la Conexión UDP
67
Firewall- Connection Tracking
Se refiere a la capacidad del router para mantener el estado de

información sobre las conexiones , tales como direcciones IP de
origen y destino , sus puertos, estado de la conexión , el tipo de
protocolos y tiempos de espera .
Los cortafuegos que hacen conexión tracking llamado "
statefull " y son más seguros que los firewalls sin estado.
•Maneja información sobre todas las conexiones activas
• Tiene que ser habilitado para NAT y firewall filter trabajen
• Nota : conexión state ≠ TCP state
68
Firewall- Connection Tracking
69
Firewall- FastTrack
Un método para acelerar el flujo de paquetes a través del
router
• Una conexión establecida o relacionada puede ser
marcada para la conexión vía Fastrack connection
• Esta opción Bypass al firewall, conexión tracking, cola
simple y otras características
• En la actualidad sólo es compatible con TCP y UDP
protocolos
70
For more info see FastTrack wiki page
Firewall- FastTrack
Podríamos acelerar el trafico a través de túneles, subredes
que no requieran la limitación de la cola simple o queetree.
Podríamos utilizar interface list, dependiendo si es un
grupo de interfaces físicas o lógicas
Interface List, es muy útil en cualquier lugar del Menú

Firewall y en el menú de IP>Neighbors
For more info see FastTrack wiki page 71

Firewall-Básico
Protegiendo nuestro Router
 Permitir sólo los servicios necesarios en el propio router.
 Seguimiento de las conexiones, eliminar trafico perjudicial e inútil
 Prevenir y evitar ataques de accesos no autorizados al Router
 Gestionar el router desde segmentos confiables o vlan de gestión
Protegiendo nuestra red Interna

 Seguimiento de las conexiones, eliminar trafico perjudicial e inútil
 Prevenir y evitar ataques de accesos no autorizados al cliente
72
Firewall-Básico
Reglas de la Cadena INPUT

 Drop conexiones Invalidas
 Aceptar conexiones establecidas
 Aceptar conexiones relacionadas
Aceptar todas las conexiones de Red Interna
Hacer uso de Address-List, Interface List
Descartar lo restante
73
Firewall-Básico
Reglas de la Cadena FORWARD

 Drop conexiones Invalidas
 Aceptar conexiones establecidas
 Aceptar conexiones relacionadas
 Hacer uso de Address-List, Interface List
74
Firewall-Básico
Reglas de la Cadena INPUT

 Acepta las conexiones SSH
 Permitir acceso FTP
 Permitir acceso Winbox
 Dropear otras conexiones
75
Firewall-Básico
76
Firewall-Tips
• Se recomienda agregar comentarios para recordar el objeto de
cada regla
• Utilizar tracking connection y Torch
TORCH: Detalla el reporte

de tráfico de una Interfaz
77
NAT en RouterOS
Network Address Translations (NAT) : El router es capaz de cambiar dirección
Origen o Destino en el flujo de paquetes a través del mismo.
Este proceso es llamado src-nat o dst-nat
Un paquete IPv4 tiene 2 tipos de direcciones, por ello existen 2 tipos de NAT
Source NAT (src-nat)

Cambia la dirección origen del paquete
Se puede utilizar para que toda una red privada salga con la misma dirección
publica
El trafico es procesado después de la salida OUTP/Forward
Masquerade es un tipo de SRC-NAT
78
NAT en RouterOS
Destination NAT (dst-nat)
• Cambia la dirección destino y puerto del paquete.

• Se utiliza para que usuarios de internet puedan acceder a
servicios en servidores de una red privada
• Procesa el trafico en el router antes de ser dividido en INPUT o
Forward
79
NAT Helpers
Los host NATEADOS detrás de una red no poseen conectividad end to end verdadera, por
tal razón y motivo algunos protocolos no pueden funcionar correctamente bajo este
escenario. Algunos servicios la iniciación de conexiones TCP fuera de la red y los
protocolos sin estado de conexión como UDP no puede funcionar.
Para solventar este problema Mikrotik provee unos NAT Helpers , que tienen como
función ayudar a estos servicios.
No es posible agregar nuevos servicios personalizados, pero si adaptar puertos especificos
80
Redirect
Tipo especial de DST-NAT
Redirecciona paquetes al mismo router
Puede ser utilizado para servicios de PROXY (DNS, HTTP)
81
NAT -Acciones
• ACCEPT
• DST-NAT
• REDIRECT
• MASQUERADE
• SAME
• NETMAP
• Las reglas de NAT funcionan al igual que las reglas del Firewall Filter,
Firewall Mangle, dada una condición aplicamos una acción.
• Se analizan secuencialmente hasta existir una coincidencia
• Se recomienda crear reglas desde lo mas especifico hacia lo menos
especifico .
82
LABORATORIO
2-2
Modulo II
Haciendo uso Firewall Básico – NAT
83

Mtcna Online Sesion1

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Mtcna Online Sesion1

Cargado por

Copyright:

Formatos disponibles

MikroTik Certified Network

MTCNA VERSION ONLINE 1

 País de origen : Venezuela

MTCNA VERSION ONLINE 2

MTCNA VERSION ONLINE 4

• Conocimientos previo sobre RouterOS

• Conocimiento previo sobre Networking

• Que espera de este curso?

MTCNA VERSION ONLINE 5

MTCNA VERSION ONLINE 6

MTCNA - MikroTik Certified Network Associate

MTCNA VERSION ONLINE 7

Mikrotik tomado de la palabra Mikrotikls (Letón)

• Level 3 ---- Point to Point Wireless (SXT,LHG5)

 Full 802.11 A/B/G/N/AC

•Winbox se descarga desde www.mikrotik.com/download/winbox.exe

Muestra Dirección, Usuario, Versión Os, Plataforma RB

Se puede acceder a través de las siguientes formas:

Se utiliza para la adquisición automática de la dirección IP , máscara de

Podemos hacer un lease estático

• Current – Mismas reparaciones + Nuevas Características, una vez el

• Release Candidate - Considerada para entornos de Prueba, no se

La forma manual se puede realizar de 3 maneras distintas:

También es posible auto upgrade de

Siempre debemos utilizar versiones estables en redes en producción, Long Term

"/system routerboard upgrade"

Si alguna funcionalidad de algún dispositivo no será utilizada lo mejor es deshabilitar los

• Cada arquitectura de CPU ha combinado un paquete, por ejemplo, ' RouterOS -

• Necesario cuando deseamos utilizar un Hardware propio

•Conexión de red directa al router es

• El cable debe estar conectada al puerto

• Se ejecuta en Windows , Linux Wine

Método Comando Export

• Podemos definir un Nombre personalizado

System Reset configuration Module

Opciones del Menú IP > Firewall

• En lugar de especificar la dirección en la ficha General

Acciones a Chains personalizadas por usuarios:

 JUMP: Salta para una cadena definida en Jump Target

 Established : Significa que un paquete es parte de una conexión ya conocida

Se refiere a la capacidad del router para mantener el estado de

Interface List, es muy útil en cualquier lugar del Menú

For more info see FastTrack wiki page 71

Protegiendo nuestra red Interna

Reglas de la Cadena INPUT

Reglas de la Cadena FORWARD

Reglas de la Cadena INPUT

TORCH: Detalla el reporte

Source NAT (src-nat)

Masquerade es un tipo de SRC-NAT

• Cambia la dirección destino y puerto del paquete.

También podría gustarte