MikroTik Certified Network Associate

Entrenamiento Oficial
 Objetivos del Curso

o Ofrecer una idea preliminar y básica del software

RouterOS y de los productos RouterBOARD

o Adquirir habilidades para configurar, mantener y

realizar diagnósticos básicos e intermedios de
problemas en los routers Mikrotik
Cursos de Certificación en MikroTik

Curso inicial

https://mikrotik.com/training/about
 Módulos del Curso MTCNA
1. Introducción a Mikrotik RouterOS
2. DHCP
3. Puente (Bridge)
4. Enrutamiento (Routing)
5. Wireless
6. Firewall
7. Calidad de Servicio (Quality of Service – QoS)
8. Túneles
9. Extras
Laboratorios por cada módulo…
 Módulo 1
Introducción a Mikrotik RouterOS
 Sobre MikroTik

o Localizada en Letonia

o Mas de 160 empleados Letonia

o www.mikrotik.com
 Historia de MikroTik

o 1995: Cuando todo empezó en Letonia

o 1997: Software RouterOS para x86 (PC)
o 2002: Nace RouterBOARD
o 2006: Primer MUM (MikroTik User Meeting)
en Prague, República Checa
o 2015: MUM mas grande: Indonesia, + 2500
participantes
 MikroTik RouterOS

o Es el sistema operativo del hardware RouterBOARD

o Puede ser instalado en un PC x86 o en una Máquina

Virtual

o RouterOS está basado en el kernel de Linux. No es

modificable
 Características de RouterOS
o Soporte Wireless 802.11 a/b/g/n/ac
o Enrutamiento Estático / Dinámico
o Firewall, Control del Tráfico, QoS
o Balance de Carga, Bonding, VRRP
o Túneles VPN (PPTP, PPPoE, SSTP, OpenVPN) y más
o MPLS, VPLS
o DHCP, Proxy, HotSpot
o Netwatch, Scripts

Mucho más en: wiki.mikrotik.com

 Mikrotik RouterOS – Licencias

o Los RouterBOARD ya 45$ 95$ 250$

incluyen su propia
licencia, no obstante
se pueden migrar a
una licencia superior

o Las licencias no
requieren renovación

o Las actualizaciones del

RouterOS son
gratuitas. SIEMPRE
 MIKROTIK ROUTEROS EN DESKTOP

L4 45$
100$
L5 95$ Router

+ =
L6 250$

18$
PCI a Ethernet (NIC)
18$
PCI a Ethernet (NIC)

• 3 x Fast Ethernet 10/100

• CPU 400MHz a 1,5GHz
• 256 KB a 2 GB RAM
• 50 GB a 250 GB Disco Duro

Desktop
Pentium III
 MIKROTIK ROUTEROS EN ENTORNOS VIRTUALIZADOS

• VMWare ESX • QUEMU

• XEN Server • VirtualBox
• KVM • Hyper-V
P1 45$
Router
P10 95$

+ =
P-Unlimited 250$

CHR

• 3 x Giga Ethernet 10/100/1000

• 2 a 16 Core CPU
15$ 15$ 15$ • 2GB a 16 GB RAM
• 50 GB a 4 TB Disco Duro
 MIKROTIK ROUTEROS EN ENTORNOS VIRTUALIZADOS – GNS3

o GNS3 es un simulador gráfico que permite el modelaje de redes complejas,

mediante la virtualización de sistemas operativos (imágenes) de routers y
switches.

o Permite diseñar una topología simulada (lo más parecida en lo posible a una situación
real) sin la implementación de hardware físico, economizando tiempo y dinero. IDEAL
PARA APLICACIONES ESTUDIANTILES

o GNS3 se distribuye bajo licencia OpenSource y su uso es totalmente gratuito. Puede

ejecutarse tanto en Linux y MAC OSX como en Windows, aunque se obtienen mayores
rendimientos si se corre en ambiente Linux, de forma nativa o virtualizado.
MIKROTIK ROUTEROS EN ENTORNOS VIRTUALIZADOS – GNS3
 MikroTik RouterBOARD

o Es el hardware de MikroTik. En él corre el sistema

operativo RouterOS

o Gama de equipos que va desde SOHO Routers hasta

Carrier Class

o Millones de RouterBOARD están distribuidos a nivel

mundial
 MikroTik RouterBOARD

RB750Gr3

RB2011UiAS-RM

RB1200

CCR1009-8G-1S-1S+PC
 MikroTik RouterBOARD
hAP Mini (RB931-2nD)

o CPU core count: 1

o CPU nominal frequency: 650 MHz
o Size of RAM: 32 MB
o Storage size: 16 MB
o 10/100 Ethernet ports: 3
o Wireless 2.4 GHz standards: 802.11b/g/n
o License level: 4
 MikroTik RouterBOARD

CCR1072-1G-8S+

o CPU core count: 72 o SFP+ ports: 8

o CPU nominal frequency: 1 GHz o Number of USB ports: 2
o Size of RAM: 16 GB o Memory card type:
o Storage size: 128 MB microSD, 2x M.2
o 10/100/1000 Ethernet ports: 1 o License level: 6
 Nombres del RouterBOARD
Entendiendo el nombre de un RouterBOARD
<board name> <board features>-<built-in wireless> <wireless
card features>-<connector type>-<enclosure type>

o U – USB
o i – Único puerto PoE sin controlador
o A – Mas memoria
o H – CPU mas poderoso
o G - Gigabit (Puede incluir "U","A","H", si no se usa lleva "L")
o L – Edición ligera
o S – Puerto SFP
 Nombres del RouterBOARD - Ejemplo
o RB (RouterBOARD)
o 912 - 9th series board con una
interfaz “Wired” (ethernet) y
dos interfaces wireless
(miniPCIe integrada)
o UAG – Un puerto USB port,
mas memoria y puerto
ethernet con velocidad gigabit
o 5HPnD – Tarjeta Wireless
RB912UAG-5HPnD integrada de 802.11n en
5GHz, con “High Power” y
canales duales (dual chain)
 Accediendo por primera vez

o Consola a través de RS-232 con cable

“Null Modem” (Baud rate 115200,
Data bits 8, Parity None, Stop bits 1)
o WiFi
o Ethernet
 WinBox – MAC WinBox

o Winbox es una pequeña utilidad que te permite la administración de

Mikrotik RouterOs usando una interfaz gráfica de usuario fácil y simple.
Es un binario Win32 nativo (Utiliza el Puerto TCP 8291 para conexiones
seguras), pero lo puedes ejecutar en Linux y Mac OSX usando Wine.

o Winbox lo puedes descargar directamente desde la web oficial de

MikroTik

o El puerto de MikroTik se puede cambiar desde el menú IP - Services

Descargando Winbox
 WinBox
o Dirección IP por defecto (Lado LAN): 192.168.88.1
o User: admin / Password: (en blanco)

2 3
 WinBox por MAC-Address
o Conexión por MAC-Address
o User: admin / Password: (en blanco)
Recuerda revisar el
firewall de tu
antivirus, u otros
tipos de seguridad
4 para que puedes
escanear los equipos
1 Mikrotik por MAC.
2

3
 Conociendo WinBox
Versión del RouterOS y modelo de RouterBOARD

Dirección IP o
MAC del equipo Recursos, UpTime,
Menús con Fecha y Hora
las funciones
y utilidades
del RouterOS
 WebFig

Browser - http://192.168.88.1
Permite la administración
de Mikrotik RouterOs
desde una página WEB.
Por defecto utiliza el
puerto TCP 80, pero se
puede cambiar en el menú
IP - Services
 Línea de Comandos (CLI)
o Accesible vía SSH, Telnet
o Accesible desde Winbox y WebFig en la opción “New Terminal”
 Línea de Comandos (CLI)

o <tab> Completa los comandos

o Doble <tab> muestra los comandos
disponibles
o ? Muestra la ayuda
o Se puede navegar entre comandos previos
utilizando los botones <↑> y <↓>
 Línea de Comandos (CLI)
o Estructura jerárquica (Similar al menú de
Winbox)
o Más información en la wiki…

En Winbox: Menú interfaces

 MikroTik en la WEB

o https:www.mikrotik.com
Hardware, Entrenamientos, Descargas de Software

o https://forum.mikrotik.com/
Desarrollos, Dudas, Configuraciones y mas…

o https://wiki.mikrotik.com
El gran manual del RouterOS
Fundamentos de Networking
 El modelo OSI

o Como solución al problema de la incompatibilidad entre

fabricantes, se desarrollo un modelo de red, dividido en capas,
para garantizar el entendimiento entre dispositivos de distintos
fabricantes

o El modelo OSI (Open System Interconnection) es un marco de

referencia que se puede utilizar para comprender como viaja la
información a través de una red.
 El modelo OSI

192.168.10.23 192.168.10.23 192.168.10.23 192.168.10.23

192.168.34.12 192.168.34.2 192.168.80.21 192.168.80.232

00:0a:95:9d:68:16 00:0a:95:9d:68:16
00:0a:95:10:D9:90 00:0a:95:21:DD:B7

101001000111101010010010111010101100011110101001010101001110010001100100101101010101100001010010

Como viaja la información en la Red ???

El modelo OSI
 El modelo OSI
Identificación (Cabecera)
HOLA De: Juan HOLA
De: Juan Para: María
Para: María De: Juan
Para: María
Departamento
Juan de Sobres
Departamento
de Cajas
María
Pequeñas Comunicación entre Departamentos
Empaquetado Desempaquetado
(Encapsulación) (Protocolo)
(Desencapsulación)

Departamento de
Cajas de Madera
(Capa 2)
Departamento de
Transporte (Capa 1)

CIUDAD A, Agencia 23 CIUDAD B, Agencia 11

 MAC ADDRESS
o Direcciones MAC Address (Control de Acceso al Medio) son
direcciones asignadas a los dispositivos de red

o Son usadas para direccionar en la capa de enlace de datos (capa 2)

o Todos los mensajes que se emiten en una llevan la dirección MAC

de origen y la dirección MAC de destino. Solo hay una excepción,
los mensaje denominados de “broadcast”. Solo tienen dirección
MAC de origen y van destinados a todos los ordenadores
conectados en la red.
 MAC ADDRESS
o La dirección MAC, y está formada por 48 bits que se suelen representar
mediante dígitos hexadecimales que se agrupan en seis parejas (cada
pareja se separa de otra mediante dos puntos ":" o mediante guiones "-").
Por ejemplo, una dirección MAC podría ser
F0:E1:D2:C3:B4:A5
o La mitad de los bits de la dirección MAC son usados (típicamente) para
identificar al fabricante de la tarjeta, y los otros 24 bits son utilizados para
diferenciar cada una de las tarjetas producidas por ese fabricante.
o Los mensajes de Broadcast utilizan la dirección MAC FF:FF:FF:FF:FF:FF
 Dirección IP

o En la capa de RED se utiliza un direccionamiento

jerárquico que permite la comunicación mas allá de
los límites de un dominio de broadcast (Capa 2)

o Se utiliza para comunicación entre redes (Capa 3)

 Dirección IP
o Las direcciones IP se utilizan para identificar los diferentes nodos en una red (o en
Internet)

o Una dirección IP consiste de 32 bits agrupados en 4 octetos (4 bytes), y

generalmente se escriben como ###.###.###.###

o El número máximo (decimal) que se puede representar en binario con n (8) bits
es 2n -1 (255), para un total de 2 n números representables (256)

o Para simplificar se escriben las direcciones IP en decimal (212.240.225.204), pero

también es necesario saber su equivalente en binario (11010100 11110000
11100001 11001100)
40
 Dirección IP
o Conversión binario a decimal en una IP
11000000.10010100.00101111.00000001

1x2 7+ 0x2 6+ 0x25+ 1x24+ 0x23+ 1x2 2+ 0x2 1+ 0x20

1x128 + 0x64 + 0x32 + 1x16 + 0x8 + 1x4 + 0x2 + 0x1
128 + 0 + 0 + 16 + 0 + 4 + 0 + 0 = 148

192 .148 . 41 . 1
 Redes - Máscara
o Rango de las direcciones IP lógicas que divide
a la red en segmentos
Ejemplo: 255.255.255.0 o /24
o La mascara (junto con la ip) define cuales
direcciones IP son encontradas directamente
sin enrutamiento
(byte) 255.255.255.0 Formato Decimal
(binario) 11111111.11111111.11111111.00000000
(bit) /24 Formato Prefijo o Notación Simplificada
 Redes - Ejemplo
o Determinando a que red (subnet) pertenece una
dirección IP
Dirección IP/Mascara: 192.168.3.14/24
Valor IP (binario): 11000000.10101000.00000011.00001110
Mascara (binario): 11111111.11111111.11111111.00000000

Red (binario): 11000000.10101000.00000011.00000000

Dirección de red: 192.168.3.0/24
Dirección de Broadcast: 192.168.3.255
Direcciones disponibles para uso: 192.168.3.1 -192.168.3.254
 Subredes

Utilizando la máscara de red para crear Sub-redes

Si se tiene una dirección IP estática (clase B por ejemplo), se puede

tener hasta 65534 estaciones en la red, pero no es muy funcional. Se
debe dividir la red. Cuando se divide una red en subredes, todos los
host en la red total deben tener el mismo número de Network ID (Todos
deben pertenecer a la misma red). Para tal efecto se “manipulan” los
bits de subred, que son los que están a la derecha de los “255” de la
mascara de subred por defecto

44
Subredes
Regresando al Módulo 1
 Descargando Winbox - Laboratorio

o Conéctate al router (AP) del salón de clase

Nombre de la red: labmtcna
Password: qwerty*-

o Descarga desde internet la aplicación

Winbox
https://mikrotik.com/download

LAB
Descargando Winbox - Laboratorio

LAB
 Configuración por Defecto

Los Routers SOHO vienen con la siguiente configuración por defecto:

o Una interfaz configurada como WAN (Acceso a internet): Cliente DHCP

o NAT de Origen: Enmascaramiento de la interfaz WAN
o Direccionamiento IP en Interfaz LAN (Bridge): IP Privada del segmento
192.168.88.0/24, en este caso la IP 192.168.88.1/24
o Servidor DHCP en interfaz LAN (Bridge): Entrega de direcciones IP del
segmento 192.168.88.0/24. Entrega de IP, máscara, GW y servidores DNS
o Políticas básicas de Firewall
 Topología – Laboratorio
Cliente - Station
wlan1
Cliente DHCP AP
Tu Router
Router del
Ether 2
Instructor
192.168.X.1/24

192.168.X.2/24
Default GW = 192.168.X.1
DNS = 192.168.X.1
Internet
X = Debe ser substituido por el número del
router que corresponda
Ejemplo: Router 5
Address =192.168.5.1/24
Network 192.168.5.0

LAB
Primera conexión al RouterBOARD - Laboratorio
o Conexión por MAC-Address
o User: admin / Password: (en blanco)
Recuerda revisar el
firewall de tu
antivirus, u otros
tipos de seguridad
4 para que puedes
escanear los equipos
1 Mikrotik por MAC.
2

3
Restaurando el Router a Default - Laboratorio

1 3

LAB
 Restaurando el Router a Default - Laboratorio

LAB
 Restaurando el Router a Default - Laboratorio

Mantenga presionado
este botón antes de
aplicar la energía al
equipo, luego suelte
después de cinco
segundos

NOTA = El Reset físico pudiese cargar nuevamente la configuración por defecto

 Ingresando al router por MAC Address - Laboratorio

1
2

LAB 57
 Configurando Dirección IP en Ether 2 - Laboratorio

Nota:
3 Debe ser substituido
por el número del
2
router que
corresponda

1 Ejemplo:
Router 5
4 Address =
192.168.5.1/24
Network =
192.168.5.0

LAB 58
 Habilitando la Interfaz Wireless - Laboratorio

1
3

LAB 59
Habilitando cliente DHCP en Wlan1 - Laboratorio

1
2 4

LAB60
 Creando perfil de seguridad wireless - Laboratorio

2
1 3

qwerty*-
qwerty*-

LAB
Habilitando modo avanzado en wireless - Laboratorio

2
Doble clic
 Definiendo parámetros Wireless - Laboratorio

LAB 63
 Enmascarando la Conexión de la WLAN - Laboratorio

5
2 4
6
3
1

LAB
 Habilitando el DNS - Laboratorio

1
3
2

LAB
 Colocando Direccionamiento IP

192.168.XX.2/24
Default GW = 192.168.XX.1
DNS Primario = 192.168.XX.1
NO USAR DNS DE GOOGLE

ATAJO: escribe en el menú ejecutar en la barra de inicio de Windows lo siguiente:

ncpa.cpl
LAB
 Actualización del RouterOS - Releases
o Long Term: Correcciones, sin nuevas funcionalidades
o Stable: Nuevas funcionalidades
o Testing: Versiones de prueba (Beta)

Long term

Stable

Testing
 Actualización del RouterOS
o La manera fácil de hacerlo (recomendada)
3

4
1

2
 Actualización del RouterOS

o Descarga la actualización desde

www.mikrotik.com/download
o Previamente valida la arquitectura del CPU del
Router
o Selecciona y arrastra los archivos dentro de la
ventana de Winbox, en FILES
o Reinicia el Router
 Administración de Paquetes
o Las funcionalidades del RouterOS se habilitan y
deshabilitan en “Paquetes”
 Administración de Paquetes

Mas info en: https://wiki.mikrotik.com/wiki/Manual:System/Packages

 Administración de Paquetes

Mas info en: https://wiki.mikrotik.com/wiki/Manual:System/Packages

72
 Administración de Paquetes
o Cada arquitectura de CPU tiene su propia
combinación de paquetes.
Ejemplo: “routeros-mipsbe”, “routeros-tile”
o Contiene todas las funcionalidades estándar
(Wireless, dhcp, ppp, routing, etc.)
o Paquetes adicionales pueden ser descargados
desde
www.mikrotik.com/download
 Administración de Paquetes - Laboratorio
o Habilita el paquete ipv6
o Reinicia el Router
o Observa el menú de Winbox

Luego:
o Deshabilita el paquete ipv6
o Observa el menú de Winbox
o Reinicia el Router
LAB
 Administración de Paquetes

DOWNGRADE (Bajar a una versión anterior)

o System → Packages menú
o “Check For Updates” y selecciona un canal
diferente (Ej. bugfix-only)
o Click en “Download”
o Click en “Downgrade” en la ventana de
“Package List”
 Identidad del Router (Router Identity)

o Mikrotik ofrece la opción de colocar un nombre

personalizado al RouterBOARD

System → Identity

o La información de la identidad está disponible desde varios

lugares
 Identidad del Router - Laboratorio

o Identifica tu router de la manera siguiente:

Número de tu Router(XX)_TuNombreApellido
Ejemplo: 01_CarlosPerez

o Observa el nombre del Router en la parte

superior del Winbox
o Ingresa al menú IP - Neighbors

LAB
 Administración de Usuarios y Grupos en RouterOS
o El acceso al router
puede ser controlado,
mediante las
credenciales de los
usuarios y grupos
o Se pueden crear grupos
adicionales de lectura y
escritura
o Se pueden crear grupos
con accesos
personalizados
 Administración de los respaldos (Backups)
o Puedes hacer un backup de las configuraciones del equipo y
restaurar la configuración en el menú “Files” de Winbox.
o El archivo de backup no es editable.
o Es una copia
exacta, que
“clona” las Mac
Address de
lasinterfaces”
o Respalda las
contraseñas de
System - Users
 Administración de los respaldos (Backups)
o Adicionalmente se pueden utilizar comandos de
exportación e importación en CLI
o Los archivos de exportación son editables.
o Las contraseñas de usuarios (Menú System – Users)
no se guardan con la exportación.
/export file=conf-abril-2017
/ip firewall filter export file=firewall-abril-2017
/file print
/import [Tab]
 Administración de los respaldos - Laboratorio

o Crea un archivo Backup (Menú FILES – Backup)

o Crea un archivo de Exportación en tu
RouterBOARD desde la consola
o Descarga ambos a tu computador
o Abre el archivo de exportación con un editor de
texto

LAB
 Netinstall
o Utilizado para instalar y reinstalar RouterOS.
o Funciona bajo entornos Windows
o Se requiere una conexión de red directa (Capa 2) al Router
o Utiliza el protocolo Bootp (Bootstrap Protocol)
Módulo 2
DHCP
 DHCP

o Dynamic Host Configuration Protocol

(DHCP)
o Utilizado para distribuir direcciones IP de
manera automática en la red
o Funciona en un dominio de difusión
(Broadcast) capa 2
o RouterOS soporta DHCP Cliente y Servidor
 Cliente DHCP
o Utilizado para adquirir de manera automática, una
Dirección IP, mascara de red, puerta de enlace
predeterminada, servidor DNS y en algunos casos,
parámetros adicionales como Rate Limit (Simple
Queue)

o Los routers MikroTik SOHO, por defecto traen un

cliente DHCP configurado en ether1 (WAN)
 Cliente DHCP

IP → DHCP Client
 DNS

o Por defecto el cliente DHCP

consulta (al servidor DHCP)
sobre los servidores DNS
o También se puede se
pueden colocar servidores
DNS de manera manual

IP → DNS
 DNS
o RouterOS soporta registros estáticos de DNS
 Servidor DHCP

o Automáticamente asigna direcciones IP a los Host

que la soliciten, es decir, los que tengan un cliente
DHCP habilitado
o Debe existir una dirección IP configurada en el
interfaz en donde va a funcionar el Servidor DHCP.
o Se puede habilitar el paso a paso a través del
comando “DHCP Setup”
 Servidor DHCP - Laboratorio
o Crea un servidor DHCP en la interfaz
ether2 de tu router, utilizando la
función “DHCP Setup”
1

LAB 90
 Servidor DHCP - Laboratorio

1 4

2 7
5

3 6

LAB
 Servidor DHCP - Laboratorio
o Habilita el cliente DHCP en la interfaz ethernet de tu laptop

MAC OSX
Windows

LAB
 Servidor DHCP - Laboratorio
o Recibiste IP de manera automática en tu
laptop?? Cual IP recibiste ???

1. En tu laptop, escribe en ejecutar “CMD” para que abras

una ventana de consola de comando. Utiliza el comando
“ipconfig /all”. Valida la IP que recibiste
2. Desde el mikrotik accede al menú IP-DHCP-SERVER pestaña
LEASES. Valida la IP que fue entregada desde el MikroTik

LAB
 Address Resolution Protocol (ARP)

o ARP asocia en un registro, la Dirección IP de

un cliente (Capa 3) con la MAC Address (Capa
2). Es una combinación de ambas direcciones
o ARP funciona de manera dinámica
o También puede ser configurado de manera
manual
 Address Resolution Protocol (ARP) – Tabla ARP

o Ofrece información sobre la Dirección IP,

la MAC Address y la interfaz en donde el
dispositivo está conectado.

IP → ARP
 Address Resolution Protocol (ARP) – ARP Estático

o Para aumentar la Seguridad, los registros ARP,

pueden agregarse manualmente
o La interfaz de red puede ser configurada con la
opción “reply-only” para conocer los registros ARP
o El Router no va a poder acceder a internet si utiliza
una Dirección IP diferente o si la MAC address
cambia.
96
Address Resolution Protocol (ARP) – ARP Estático

IP → ARP Interfaces → ether1

 DHCP y ARP

o En el DHCP Server se pueden agregar

registros ARP estáticos

o Combinando con “static leases” y “reply-

only”, ARP incrementa la Seguridad en la
red y restringe el acceso a cierto tipo de
usuarios
 DHCP y ARP

IP → DHCP Server
 ARP Estático - Laboratorio
o Mantén desde tu un ping extendido (Ej: ping
192.168.x.1 - t) hacia tu router
o En el MikroTik, haz la entrada ARP de tu laptop
estática.
o Establece “arp=reply-only” en la interfaz de la red
local ether2
o Cambia la dirección IP de la computadora, por una
del mismo segmento de red.
o Valida el funcionamiento del ping extendido
LAB
 IP Neighbors
El protocolo MikroTik Neighbor Discovery (MNDP) y LLDP (Link Layer
Discovery Protocol) permiten "encontrar" otros dispositivos
compatibles con MNDP o CDP (Cisco Discovery Protocol) o LLDP en el
dominio de broadcast capa 2.
o Funciona en todas las interfaces no dinámicas.
o Distribuye información básica sobre la versión del
software.
o Distribuye información sobre las características
configuradas que deberían interoperar con otros routers
MikroTik
 IP Neighbors - Funcionamiento
o Utiliza el protocolo UDP puerto 5678
o Un paquete UDP con información del router se transmite a través de la interfaz cada 60
segundos
o Cada 30 segundos, el router comprueba si algunas de las entradas vecinas no están
obsoletas
o Si no se recibe información de un vecino durante más de 180 segundos, la información del
vecino se descarta.

2
 IP Neighbors

3
En “Discovery
Settings” puedo
evitar que las
1 interfaces del
routers sean
2
descubiertas
 Conexiones Capa 2 contra el Router

3 Desde el menú Tools

– MAC Server se
pueden restringir los
accesos capa 2 (vía
MAC Address) hacia
1
2 el router
Módulo 3
BRIDGE

105
 Bridge
o Puentes (Bridges), son dispositivos de capa 2 en
el modelo OSI

o El bridge divide el dominio de colisión en dos

partes

o Un Switch ethernet es un dispositivo bridge con

múltiples puertos
106
 Bridge

o Todos los host se pueden comunicar entre ellos

o Todos los host comparten el mismo dominio de
colisión
 Bridge
o Todos los host aun se pueden comunicar entre
ellos
o Ahora tenemos dos dominios de colisión
 Bridge

o RouterOS implementa un bridge desde el

software
o Las interfaces ethernet, wireless, SFP y túneles
pueden agregarse a un bridge
o El bridge una vez creado, e incluidas en él varias
interfaces, será ahora una interfaz más, con su
propia MAC Address.
109
 Bridge en Wireless
Creando un puente transparente entre interfaces
Wireless y cableadas
o Los clientes “Wireless” (“mode=station”)
no soportan el modo bridge debido a la
limitación de 802.11

o Hay varias manera de solventar esto con

RouterOS
110
 Bridge – Wireless Bridge

o Station bridge - RouterOS a RouterOS

o Station pseudobridge - RouterOS a otro

dispositivo No RouterOS

o Station wds (Wireless Distribution System) -

RouterOS a RouterOS

111
 Bridge – Laboratorio

o Cambia el modo de conexión Wireless de

Station a Station-Bridge
o Deshabilita el Cliente DHCP de la wlan1
o Crea un Bridge
o Incluye en los puertos del Bridge la wlan1 y la
ether3
o Conecta tu computador a ether3

LAB
 Bridge – Laboratorio
Cliente – Station Bridge DHCP Server:
wlan1 172.24.0.0/24
Bridge AP
Tu Router
Router del
Ether 3
Instructor

Internet

LAB
 Bridge – Laboratorio

1 3

4 5

LAB
 Bridge – Laboratorio

o Que dirección recibiste?

o A que red pertenece?

LAB
 Bridge – Laboratorio

o Elimina el bridge creado

o Conecta nuevamente tu computador a

Ether 2

LAB
 Bridge – Firewall

o La interfaces Bridge del RouterOS

soportan la opción de Firewall
o El tráfico que fluye a través del bridge
puede ser analizado y tratado por el
Firewall
o Para habilitarlo: Bridge → Settings → Use
IP Firewall
 Módulo 4
Enrutamiento (Routing)

118
 Funciones de un Router

o Determinación de las mejores rutas para los

paquetes de datos entrantes y conmutación de los
paquetes a la interfaz saliente correcta

o Se basan en la construcción de tablas de

enrutamiento y en el intercambio de la información
de red que éstas contienen con otros routers.
119
 Enrutamiento
o Trabaja en la capa 3 del modelo OSI
o Las reglas de Enrutamiento del RouterOS
definen a donde los Paquetes van a ser
enviados

IP → Routes
 Enrutamiento
o Dst. Address: redes que queremos alcanzar
o Gateway: Dirección IP del próximo router para
llegar al destino

IP → Routes
Enrutamiento – Nueva Ruta Estática

IP → Routes
 Enrutamiento – Gateway por Defecto
o Gateway por Defecto: Próximo router
“Próximo Salto” donde todo (0.0.0.0) el
tráfico es enviado

IP → Routes

123
 Enrutamiento – Check Gateway

o Check gateway: cada 10 segundos se envía un ICMP “echo

request” (ping) o un “ARP request”
o Después de dos timeouts de 10 segundos, la ruta con el
check gateway activo, se deshabilitará
o Si varias rutas utilizan el mismo Gateway y una de ellas
tiene la opción de Check Gateway, todas las rutas serán
sometidas
al comportamiento del “Check Gateway”
 Enrutamiento
o Si hay dos o mas rutas, apuntando a una misma
dirección, la ruta mas específica (máscara mas
pequeña) será utilizada
Dst: 192.168.90.0/24, gateway: 1.2.3.4
Dst: 192.168.90.128/25, gateway: 5.6.7.8

Si se necesitan enviar paquetes a la dirección

192.168.90.135, se utilizará el gateway 5.6.7.8
Esta IP pertece a ambas redes (192.168.90.0/24 y
192.168.90.128/25). Comprúebalo con la calculadora de
Subnetting 125
 Enrutamiento - Laboratorio

o Actualmente el Default Gateway del router

está configurado de manera automática
utilizando el cliente DHCP de la WLAN
o Deselecciona la opción “Add Default Route”
en la configuración del cliente DHCP
o Chequea la conexión a Internet

LAB
Enrutamiento - Laboratorio

/ip dhcp-client

LAB
 Enrutamiento - Laboratorio
o Agrega de manera manual el Gateway por
defecto (0.0.0.0/0), apuntando a la
dirección de IP del AP-router de la clase
(172.24.0.1).

o Chequea la conexión a Internet nuevamente

LAB
 Enrutamiento – Banderas
o Rutas con las banderas (Flags) DAC son agregadas
dinámicamente.

o Son las rutas asociadas a las direcciones IP de las

interfaces del router. Redes Directamente Conectadas

o Son rutas que se crean de forma dinámica cada vez que

el router tiene una dirección IP en una interfaz.
 Enrutamiento – Rutas Dinámicas

IP → Addresses IP → Routes
Enrutamiento – Banderas de Rutas

A - active
C - connected
D - dynamic
IP → Routes S - static
Enrutamiento – Banderas de Rutas
 Enrutamiento – Rutas Estáticas

o Un ruta estática define como se alcanza un

destino específico en la red

o El “gateway” por defecto también puede ser

incluido como una ruta estática. Envía todo el
tráfico (destino 0.0.0.0) al host, el “gateway”

133
 Rutas Estáticas - Laboratorio
172.24.0.ABC XX = Debe ser substituido por el número del router
wlan1 AP que corresponda
Ejemplo: Router 5
Tu Router Address =192.168.5.1/24 Network 192.168.5.0

Ether2
192.168.XX.1/24 172.24.0.ABC
Router del Instructor wlan1
Router de tu
RED 192.168.XX.0/24
compañero
Ether2
192.168.XX.2/24 192.168.XX.1/24
Default GW =
RED 192.168.XX.0/24
192.168.XX.1
192.168.XX.2/24
El objetivo es hacerle Default GW =
“PING” al computador de 192.168.XX.1
tu compañero
LAB
 Rutas Estáticas - Laboratorio
XX = Debe ser substituido por el número del router
wlan1 que corresponda
172.24.0.ABC Ejemplo: Router 5
Tu Router Address =192.168.5.1/24 Network 192.168.5.0

Ether2
192.168.XX.1/24 172.24.0.ABC wlan1
Router de tu
RED 192.168.XX.0/24
compañero
Ether2
192.168.XX.2/24 192.168.XX.1/24
Default GW =
RED 192.168.XX.0/24
192.168.XX.1
192.168.XX.2/24
El objetivo es hacerle Default GW =
“PING” al computador de 192.168.XX.1
tu compañero

LAB
 Rutas Estáticas - Laboratorio

o Para que funcione el “Ping” entre los

computadores, deben configurarse rutas estáticas

o Pregúntale a tu compañero sobre la dirección IP

de su interfaz WLAN (Ejemplo: 172.24.0.252) o
búscala en el menú IP - Neighbors y sobre la Red
interna definida en ether2 (Ejemplo
192.168.5.0/24)
LAB
 Rutas Estáticas - Laboratorio

o Agrega una nueva ruta estática

o Define como Dst. Address, la red local de
tu compañero (Ej. 192.168.5.0/24)
o Define como Gateway, la dirección IP de
la interfaz WLAN de tu compañero (Ej.
172.24.0.253)
o Prueba el Ping entre los computadores
LAB
 Rutas Estáticas - Laboratorio
o Recuerda que debes preguntarle al compañero
tres cosas; SU RED INTERNA, LA DIRECCIÓN IP
DE SU INTERFAZ WLAN Y LA DIRECCIÓN IP DE
SU COMPUTADOR

o El firewall de Windows y los antivirus pueden

bloquear el ping

LAB
 Enrutamiento – Rutas Estáticas
o Son fáciles de configurar en una red pequeña, pero No son
fácilmente escalables
o Reduce el uso de recursos en el RouterBOARD
o Se requiere agregar manualmente una nueva ruta, cada vez
que se quiera alcanzar una nueva red
o En enrutamiento estático forma parte de la paquetería
básica (System) del RouterBOARD. No se necesitan
paqueterías adicionales para que este tipo de enrutamiento
funcione.
Módulo 5
Wireless

140
 Wireless
o RouterOS soporta varios módulos de radio que permiten la
comunicación vía aire (2.4GHz y 5GHz).
o MikroTik RouterOS ofrece soporte completo para el estándar
IEEE 802.11a/n/ac (5GHz) y 802.11b/g/n (2.4GHz)

* Dependiendo del modelo de RouterBOARD

 Wireless – Estándares WLAN 802.11x
o WLAN permite establecer radioenlaces Punto a Punto (PTP) y
Punto Multipunto (PTMP), para la interconexión de redes y el
transporte de datos
Enlace Punto Multipunto
Enlace Punto a Punto
 El Espectro en la banda de 2.4 GHz
o 14 canales, separados por 5 MHz.
o Cada canal necesita 22MHz (en 802.11b) de ancho de banda para
operar
o Solapamiento de varios canales contiguos. Solo tres canales no se
solapan.
 El Espectro en la banda de 5 GHz
o La banda de frecuencia de 5 GHz ofrece 25 canales que no
se solapan entre si, si se trabaja con canalizaciones de 20
MHz. La numeración comienza con el 36 y finaliza con el 165.

Los canales de 160 MHz se solapan con 8 canales de 20

MHz. Cuidado al implementarlos!!
 Wireless – Frecuencias Soportadas
oDependiendo de las regulaciones del país, la
tarjeta “Wireless” podrá soportar
2.4GHz: 2312 -2732 MHz
5GHz: 4920 -6100 MHz
o Bajo consola de comandos se puede obtener
mayor información sobre los canales
disponibles
/interface wireless info allowed-channels wlan1
/interface wireless info hw-info wlan1
Wireless – Frecuencias Soportadas
 Wireless – Regulaciones del País

o Configura la
2
interfaz “Wireless”
para aplicar las 1

regulaciones de tu 3
país.
Wireless – Regulaciones del País
 Wireless – Nombre del Radio
o Usaremos el nombre RADIO para los mismos propósitos que la
identidad del router.
o Identifica el nombre del radio de la manera siguiente:
Número de tu Router(XX)_TuNombre
Ejemplo: 01_CarlosPerez

LAB
 Wireless – Nombre del Radio
o Solo es visible entre RouterOS
o Se puede ver en la tabla de registro Wireless
o Permite identificar una estación en la lista de los clientes
conectados

Wireless → Registration
Wireless – Modos de trabajo

AP

Wireless Stations
 Estación (Wireless Station)

“Station” es un modo de Trabajo para

los clientes de una red inalámbrica.
Este cliente puede ser una Laptop, una
Smartphone u otro RouterBOARD

155
 Wireless Station

Definir el modo en
station

Seleccionar la banda

Definir el SSID (Identificador de la red)

Si no se selecciona una frecuencia en

específica, el cliente se conectará al AP
si este tiene una frecuencia definido
en el SCAN LIST
 Scan List

o Scan List es la lista de frecuencias que el cliente escaneará

cuando intente conectarse a un AP.

o Por ejemplo, si el AP está configurado en una frecuencia

extraordinaria, que no está en la lista de escaneo
predeterminada (scan-list = default), entonces se puede
configurar en la lista de escaneo del cliente en "scan-list =
default, 6200 "y" frecuencia = 6200 "y luego el cliente podrá
conectarse a este ap que usa 6200 (frecuencia de ejemplo).
 Seguridad Wireless

o Solo WPA (WiFi Protected Access) o

WPA2 deben ser utilizadas
o WPA-PSK o WPA2-PSK con AES-CCM
para la Encriptación
o Todos los dispositivos en la red deben
tener las mismas opciones de
seguridad.
 Seguridad Wireless
WPA y WPA2
keys deben ser
especificadas para
permitir la Conexión de
dispositivos que no
soportan WPA2.

Wireless → Security Profiles

 Lista de Conexión
o Conjunto de reglas que utilizan las estaciones
para conectarse o no a un AP

Wireless → Connect List

 Default Authentication

o “Yes”, se comprueban las reglas de las lista

de conexión. El cliente puede conectarse al
AP si no hay ninguna regla de rechazo

o “No”, sólo se comprueban las reglas de la

lista de conexión.
 Lista de Conexión
o Actualmente tu router está conectado al
punto de acceso (AP) de la clase

o Hagamos una regla para prohibir la

conexión al punto de acceso de la clase

o Usa la función “Signal Strength Range”

LAB
 Lista de Conexión
o Valida en la tabla “Registration” la intensidad (PRx -
Potencia de Recepción) que recibes del AP
o Deshabilita la opción “Default Authenticate”
o Hagamos una regla para prohibir la conexión a
señales menores a la que estás recibiendo. Ej. Si
recibes -50 dBm. Coloca en el campo “Signal
Strength Range” -65..-60. Solo te conectarás al AP
si recibes una señal dentro de ese rango

LAB
Lista de Conexión

LAB
Lista de Conexión

LAB
 Lista de Conexión
1

166

LAB
 Punto de Acceso (Access Point)

o “Access Point” es un modo de Trabajo que

sirve para interconectar equipos de
comunicación inalámbricos. Típicamente es
utilizado para darle acceso a internet a estos
dispositivos.

o En RouterOS, este mode de Trabajo se llama

“AP”
 Punto de Acceso (Access Point)

Establece “mode=ap-bridge”

Selecciona “band”

Establece la frecuencia

Establece SSID, Identidad de

red “Wireless”

Selecciona el perfil de
seguridad
 WiFi Protected Setup (WPS)

o WiFi Protected Setup (WPS) es una

funcionalidad para el acceso rápido a la red
WiFi, sin la necesidad de ingresar la
contraseña

o RouterOS soporta ambos, WPS para AP y

para el cliente.
 Tabla de Registro
o Observa todas las interfaces “Wireless” conectadas

Wireless → Registration
 Lista de Acceso (Access List)
o Utilizada por el AP para controlar las conexiones
permitidas de las estaciones
o Identifica la MAC Address del dispositivo
o Define que estación se puede autenticar contra el
AP
o Limita los días en que puede haber conexión
o Si no hay reglas que hagan “Match” en la lista de
acceso, se utilizan los valores por defecto de la
interfaz wireless
Lista de Acceso (Access List)

Wireless → Access List

 Lista de Acceso (Access List)
o La lista de acceso se utiliza para establecer la seguridad en
base a la dirección MAC de las estaciones
o Deshabilita “Default-Authentication” para usar sólo la lista de
acceso.
 Default Authentication

o “Yes”, se comprueban las reglas de las lista

de acceso. El cliente puede conectarse si
no hay ninguna regla de rechazo

o “No”, sólo se comprueban las reglas de la

lista de acceso.
 Default Forward

Default-Forwarding”
Utilizado para deshabilitar
comunicaciones entre
clientes conectados al
mismo punto de acceso
 Access Point - Laboratorio

o Crea un Nuevo perfil de Seguridad para tu AP

o Define el modo de trabajo como “AP Bridge”
o Crea un SSID con tu nombre y número de Router.
Ej: AP_Carlos_Perez_01
o Selecciona el perfil de seguridad creado
o Deshabilita el cliente DHCP de la interfaz WLAN

LAB
 Access Point - Laboratorio

o Define una dirección IP en la interfaz WLAN. Utiliza

el siguiente formato: 172.24.XX.1/24
o Crea un DHCP Server en la interfaz WLAN
o Conecta tu computador al AP
o Abre Winbox y observa la tabla de registro
XX = Debe ser substituido por el número del router
que corresponda
Ejemplo: Router 5
Address =172.24.5.1/24 Network 172.24.5.0

LAB
 Opciones Avanzadas

Desde las opciones

avanzadas de Wireless es
posible limitar por
software, la cantidad de
estaciones que se pueden
conectar al AP
 Módulo 6
Cortafuegos (Firewall)
 Firewall
o Protege tu router y a los clientes de
accesos no autorizados
o Se basa en reglas que son analizadas
secuencialmente, hasta que la primera
regla haga “Match”
o Las reglas se administran en la secciones
“Filter” y “NAT”
 Firewall

o Consiste en reglas definidas por el usuario

que trabajan sobre el principio “IF-Then”

o Esas reglas se ordenan en Cadenas.

o Hay Cadenas predefinidas y creadas por el

Usuario.
 Firewall – Cadenas de Filtrado

Las reglas pueden ser ubicadas en tres

cadenas por defecto.

o “Input” (al router).

o “Output” (desde el router).
o “Forward” (a través del router).
Firewall – Cadenas de Filtrado

Input Output

Internet
Forward

Output Input

Internet
Forward
 Cadenas de Filtrado - Acciones

Cada regla tiene una acción - qué hacer

cuando un paquete ha hecho “match”
o Aceptar
o “Drop” de manera silenciosa o “Reject”
o “Drop” en conjunto con un mensaje ICMP
o “Jump/Return” hacia/desde una cadena
personalizada por el usuario
Cadenas de Filtrado - Acciones

IP → Firewall → New Firewall Rule (+) → Action

 Cadenas de Filtrado

Sugerencia: Para mejorar la lectura de las reglas de

Firewall, se recomienda ordenarlas secuencialmente
por cadenas (Chains) y agregar comentarios
 Cadenas de Filtrado - Input

o La cadena contiene reglas de filtrado que

protegen al mismo router.

o Las reglas aplican para el tráfico que viene de la

LAN como el que viene desde Internet

Input
 Cadenas de Filtrado – Input - Laboratorio

o Valida que dirección IP tiene tu computador

o En la cadena Input, agrega (Add) una regla que
acepte (accept) la Dirección IP de tu computador
(Ej. Src. Address = 192.168.XX.254) en la interfaz de
entrada ether2
o En la cadena Input, agrega una regla que descarte
(Drop) todo lo demás
o Cambia la dirección IP de tu computador
o Observa lo que pasa

LAB
 Cadenas de Filtrado – Input - Laboratorio
1

LAB
 Cadenas de Filtrado – Input - Laboratorio

LAB
 Cadenas de Filtrado – Input - Laboratorio

o Vuelve a colocar en tu computador la dirección IP

que tenías originalmente
o Elimina la regla anterior
o En la cadena Input, agrega (Add) una regla que
descarte (drop) en la interfaz de entrada ether2,
todo lo que vaya contra el puerto destino UDP/53
(Peticiones de DNS)
o Tienes conexión a internet ?

LAB
 Cadenas de Filtrado - Forward
o La cadena contiene reglas de filtrado para el tráfico que pasa
a través del router. Es decir, tráfico que no va dirigido al
router pero que necesariamente tiene que pasar por él
o La Cadena Forward controla el tráfico entre los clientes y el
internet

Internet
Forward
Cadenas de Filtrado – Forward - Laboratorio

o Elimina las reglas en la cadena Input creadas

anteriormente

o En la cadena forward, agrega (Add) una regla que

descarte (drop), todo lo que vaya contra el puerto
destino TCP/80 (Navegación HTTP)

LAB
 Cadenas de Filtrado – Forward - Laboratorio

LAB
Cadenas de Filtrado – Forward - Laboratorio

o Abre la página www.noticias24.com ???

o Abre la página www.mikrotik.com ???

LAB
Puertos Conocidos
Puertos Conocidos
Puertos Conocidos

IANA port assignments published at

http://www.iana.org/assignments/port-numbers
 Lista de Direcciones (Address List)

o La lista de direcciones te permite filtrar,

basándote en un grupo de direcciones IP, en una
misma regla
o Se puede de manera automática, agregar
direcciones IP a una lista de direcciones
o Las lista de direcciones pueden ser permanentes
o por tiempo
o Las listas de direcciones pueden contener una
dirección IP o un segmento de ellas
Lista de Direcciones (Address List)

IP → Firewall → Address Lists → New Firewall Address List (+)

 Lista de Direcciones (Address List)

o En lugar de especificar direcciones IP en la

pestaña general, se puede, en la pestaña
“Advanced”, utilizar un Address List (Src. o Dst.
Según sea el caso)

IP → Firewall → New Firewall Rule (+) → Advanced

 Lista de Direcciones (Address List)

o Mediante una acción del Firewall, se puede

incluir una dirección IP de manera automática en
una Address List

IP → Firewall → New Firewall Rule (+) → Action

 Lista de Direcciones - Laboratorio

o Crea una lista e incluye la dirección IP de tu

computador
o Crea una regla en la cadena Input que acepte
todo lo que tenga como origen (src address list)
la lista creada
o Crea otra regla en la cadena Input que descarte
todo lo que ingrese (in interface) por ether2

LAB
 Lista de Direcciones - Laboratorio

LAB
 Lista de Direcciones - Laboratorio

LAB
 Lista de Direcciones - Laboratorio

o Hazle ping a la dirección IP de tu router

o Funciona ?
o Cambia la dirección IP de tu computador a otra IP
del mismo segmento. Funciona el ping ?

Comentarios:

LAB
 Firewall – Cadenas Personalizadas

o Además de las cadenas “input”,

“forward”, y “output”, pueden crearse
cadenas personalizadas.

o Simplifica la estructura del firewall.

o Reduce la carga del router.

207
 Firewall – Cadenas Personalizadas

o Secuencia de las cadenas de firewall personalizadas en acción

o Las cadenas personalizadas pueden ser para virus, TCP, UDP,
protocolos, etc.
Forward
Chain = Virus
 Network Address Translation (NAT)

o El router puede cambiar la dirección

origen o de destino de paquetes
fluyendo a través de él.

o Este proceso se llama “src-nat” o

“dst-nat”.
 Network Address Translation (NAT)

o Para alcanzar esos escenarios tienes

que ordenar tus reglas NAT en
cadenas apropiadas: “dstnat” o
“srcnat”.
o Las reglas NAT trabajan sobre el
principio “IF-THEN”.
 NAT de Origen (Source NAT)

o “SRC-NAT” cambia la dirección fuente del paquete.

o Puedes usarlo para conectar redes privadas a Internet a
través de direcciones IP públicas.
o La acción “Masquerade” es un tipo de SRC-NAT.

Nueva
Src address Src address

SCR-NAT
Internet
 NAT de Destino (Destination NAT)

o DST-NAT” cambia la dirección y el puerto

destino del paquete.
o Puede usarse para dirigir usuarios de Internet
a un server en tu red privada
Nueva
Dst address Dst address

DST-NAT
Internet
Internet
Servidor en Host Público
la LAN
 NAT de Destino (Destination NAT)

Este puerto se
Nueva puede cambiar
Dst address Dst address
192.168.1.23:37778 200.44.32.21:37778

DST-NAT
LAN WAN
Internet
Internet
Ether1 Ether4
DVR Host Público
192.168.1.23
Puerto TCP: 37778
Network Address Translation (NAT)

IP → Firewall → NAT → New NAT Rule (+)

 NAT - Redirect

o Es un tipo de DST-NAT
o Esta acción redirecciona los paquetes hacia el
mismo router
o Redirecciona los paquetes a un puerto específico
del router
o Puede ser utilizado para crear un servidor Proxy
transparente
 NAT - Redirect

o En la cadena dstnat, agrega una regla de “Redirect” que

envíe todas las solicitudes que tengan como destino el
puerto 80 (TCP/80), al puerto 80 del Router
o Intenta abrir la página www.noticias24.com
o Elimina la regla de NAT Creada

Comentarios:

LAB
 Conexiones

o New: Un paquete está abriendo una nueva

Conexión.
o Established: El paquete pertenece a una
Conexión conocida (Establecida)
o Related: Un paquete está abriendo una nueva
Conexión, la cual está relacionada con una
Conexión conocida
o Invalid: El paquete no pertenece a ninguna
Conexión conocida
 Conexiones
Ejemplo. Llamada VoIP SIP
Usuario A Usuario B

NEW
Softphone Softphone
Llama
Repica

Atiende
VoIP SIP
Server

Conversación
ESTABLISHED
 Conexiones

Usuario A NEW Usuario B

Llama
Repica Softphone
Softphone

Atiende
VoIP SIP Server
Conversación
ESTABLISHED
Usuario C
Conferencia
Repica Softphone

Atiende

RELATED
Conversación
 Conexiones
Proceso Conexión TCP Emisor Receptor
NEW
Connect( ) Listen( )
TCP SYN

Three-Way Handshake TCP initialized to

SYN-ACK SYN-RECEIVED stated
Process
Success code
returned by
connect( ) ACK

TCP transitions to
ESTABLISHED state
Data packets exchanged
ESTABLISHED
 Conexiones
Proceso Conexión TCP Emisor Receptor

TCP
Three-Way Handshake
Process SYN-ACK
INVALID
Success code
returned by
connect( )
 Conexiones - Connection Tracking

o “Connection tracking” administra la

información de todas las conexiones
activas

o Debe ser habilitado para que los

filtros y reglas NAT puedan
funcionar
Conexiones - Connection Tracking

IP → Firewall → Connections
 FastTrack

o Un método para acelerar el flujo de Paquetes que

pasa a través del router

o Una conexión establecida o relacionada puede ser

marcada (Firewall – Mangle) para una conexión
FastTrack, con lo que el firewall, connection tracking,
simple queue y otras funciones del router quedarán
bajo bypass

o Actualmente solo soporta protocolos TCP y UDP

 Módulo 7
Calidad de Servicio
(Quality of Service – QoS)
 QoS
o QoS es un conjunto de tecnologías que le
proporcionan la capacidad para administrar el tráfico
de red de manera rentable y mejorar las
experiencias de usuario en entornos empresariales,
oficinas pequeñas e incluso entornos de red
domésticos.

o RouterOS implementa varias técnicas de calidad de

servicio como limitación de velocidad (Traffic
Shaping), priorización y otras
 QoS – Limitación de Velocidad

o Controlar directamente el tráfico entrante

no es posible
o Pero es posible hacer esta tarea
indirectamente descartando (Drop) los
paquetes entrantes
o TCP se adaptará efectivamente a la
velocidad de la conexión
 Cola Simple (Simple Queue)

o Se puede utilizar para:

Controlar la velocidad de descarga del
cliente
Controlar la velocidad de carga (subida)
del cliente
Controlar la velocidad total (Subida mas
bajada) +
Asignar prioridades a los paquetes
 Cola Simple (Simple Queue)

o Se procesan secuencialmente, por lo que el orden es

importante
o Es obligatorio utilizar el campo Target
o Si el Target 0.0.0.0/0 en la primera regla, el resto de
las reglas no harán Match
o Es posible desde una regla de cola simple, asignar
prioridades a los paquetes.
Las prioridades van de 1 a 8.
1 es la mayor prioridad
 Simple Queue

Dirección IP del cliente

Limite de Velocidad

Queues → New Simple Queue(+)

 Simple Queue - Laboratorio

o Prueba desde tu computador

a velocidad de descarga hacia
internet. Puedes utilizar la
página fast.com

LAB
 Simple Queue - Laboratorio

o Crea una regla de cola simple colocando

como target, la dirección IP de tu
computador (Ej. 192.168.5.2)
o Define el “Max Limit Target Download”
en 384 Kb/s
o En tu computador prueba la velocidad
de descarga desde fast.com
LAB
 Simple Queue - Laboratorio

2
3

1 384k

LAB
 Simple Queue - Laboratorio
o Observa la estadísticas
El ícono del Queue
cambia a amarillo a
medida que se está
llegando al tope de
la limitación.
Cuando se alcanza
el tope, se coloca
en rojo

LAB
 Cola Simple (Simple Queue)

Colores del Queue

0% - 50% de tráfico utilizado - green

51% - 75% de tráfico utilizado - yellow

76% - 100% de tráfico utilizado - red

 Simple Queue

o En lugar de definir como target, la IP de

un cliente; se puede colocar como
destino la IP de un determinado
servidor (Ej. 200.62.10.31)

Queues
 Ancho de Banda Garantizado

o Ejemplo:
Ancho de banda total disponible
20 Mb/s
3 clientes, cada uno tiene un ancho de
banda garantizado
El trafico restante, se divide entre la
totalidad de los clientes
237
Ancho de Banda Garantizado

Ancho de Banda Garantizado

 Burst

o Diseñado para permitir altas velocidades

por cortos periodos de tiempo
o Útil para el tráfico HTTP, en donde las
páginas cargan mas rápidamente
o Para la descargas de archivos y pruebas de
velocidad, las restricciones en el “Max
Limit” aun siguen funcionando
 Burst

o Burst limit – máxima tasa de carga / descarga

que se puede alcanzar durante el tiempo de
duración del Burst
o Burst time - tiempo (segundos), sobre el cual el
promedio de la tasa de velocidad es calculado
o Burst threshold – cuando el promedio de la tasa
de velocidad excede o está por debajo del
umbral, el Burst se activa o desactiva
 Burst

El usuario de la IP 10.0.0.1

puede descargar a una tasa de 20 Mbps hasta

que el averaje de los 10 segundos

haya alcanzado 10 Mbps

en el tiempo que él ha estado limitado a 10

Mbps
 Burst

En la grafica se considera que hay una configuración con; el "MAX-LIMIT” = 256 Kbps, "
BURST-TIME = 8 segundos (Es el tope mas alto de la raya verde), BURST-THRESHOLD =
192 Kbps que viene a ser el Umbral y “BURST-LIMIT” = 512 Kbps como la velocidad
maxima.
 Burst

En el momento inicial de abrir la aplicación no hay tráfico y por lo tanto

la ráfaga de velocidad seria igual al "BURST-LIMIT“ con una velocidad
maxima de 512 Kbps en la grafica, si miramos de donde viene esto,
seria de la formula matemática (0+0+0+0+0+0+0+0)/8=0 kbps, por lo
tanto cero (0) esta por debajo del umbral "burst-threshold=192 kbps y
por regla general todo lo que este por debajo de 192 kbps en este
ejercicio se le aplicara la regla de la ráfaga de maxima velocidad
“BURST-LIMIT" .

Nota: se divide por 8 porque el tope máximo en este ejercicio del

"BURST-TIME” = 8
 Burst

Después del primer segundo:

(0+0+0+0+0+0+0+512) / 8 = 64 Kbps
Como está por debajo del "BURST-THRESHOLD=192
Kbps se mantiene la ráfaga del “BURST-LIMIT“

Después de dos (2) segundos:

(0+0+0+0+0+0+512+512) / 8 = 128 kbps
Se mantiene la ráfaga del “BURST-LIMIT"
 Burst

Después del tercer segundo:

La velocidad media de datos es
(0+0+0+0+0+512+512+512)/ 8 = 192 kbps, lo cual
ya no es un valor menor. De aquí en adelante se
mantiene en línea recta en el valor del Max Limit
 Burst

Queues → Simple Queue → Edit

 Burst - Laboratorio

o Crea una regla colocando como target, la dirección IP de su

computador
o Define el “Max Limit Target Download y Upload” en 784 Kb/s
o Define el “Burst limit” en 2 Mb/s para ”Upload” y
“Download”
o Define el “Burst threshold” en 700 Kb/s para ”Upload” y
“Download”
o Define el “Burst Time” en 8 segundos para ”Upload” y
“Download”

LAB
 Burst - Laboratorio

o Visita la página NPERF.COM

o Haz una prueba de velocidad
o Observa las gráficas
o Elimina las reglas de Burst y repite la prueba

LAB
 Per Connection Queuing (PCQ)

o Tipo de cola para optimizar implementaciones mayores

de QoS

o Las limitaciones se hacen por “Sub-Stream”

o Sustituye múltiples colas por una sola

o Se pueden utilizar clasificaciones como:

Origen/Destino para una Dirección IP
Origen/Destino para un puerto
 Per Connection Queuing (PCQ)

o Establece el mismo límite a cualquier usuario

o Ecualiza el ancho de banda disponible entre
usuarios
 Per Connection Queuing (PCQ)

o Rate – cantidad máxima de velocidad (data rate)

de cada sub-stream

o Limit – tamaño de la cola de cada sub-stream

(KiB)

o Total Limit – maxima cantidad de datos

encolados en todos los sub-streams (KiB)
 Per Connection Queuing (PCQ)

Caso de uso #1 Caso de uso #2

2M

100M 100M

200 users
100M 50M 0,5M 2M 2M 0,5M
50M 0,5M 2M 2M 0,5M
0,5M 2M 0,5M
0,5M 2M 0,5M
0,5M 0,5M
0,5M 0,5M
0,5M 0,5M
 PCQ - Laboratorio

o El instructor creará dos colas de PCQ para

limitar a los estudiantes (Su router) a 128k
como máximo en carga y descarga

o La regla se aplicará sobre la red wlan

172.24.0.1/24

o Haz pruebas de velocidad desde fast.com

LAB
PCQ - Laboratorio

LAB
PCQ - Laboratorio

LAB
Módulo 8
Túneles

256
 Protocolo Punto a Punto (PPP)

o Point-to-Point Protocol (PPP) es utilizando para

establecer un túnel (Conexión directa) entre dos
nodos

o PPP puede ofrecer autenticación, encriptación y

compresión

o RouterOS soporta varios tipos de túneles como;

PPPoE, SSTP, PPTP y otros
 PPPoE (Point-to-Point Protocol over Ethernet)

o PPPoE es un protocolo de capa 2 utilizado para

controlar el acceso a la red. El servidor y el cliente
deben estar en el mismo dominio de broadcast. Si
hay enrutamiento de por medio, no se podrá
establecer la conexión.
o Se utiliza comúnmente para controlar las conexiones
de los clientes para DSL, cable módems y redes
Ethernet simples
o RouterOS de MikroTik soporta cliente y server PPPoE
 Cliente PPPoE

o Para configurar el cliente PPPoE se debe

definir la interfaz, el servicio, el nombre de
usuario y el password
 PPPoE

PPP → New PPPoE Client(+)

 Cliente PPPoE

o Si hay mas de dos servidores PPPoE en un

mismo dominio de Broadcast, el “Service
Name” debe ser especificado

o Si no se especifica, el cliente se conectará al

primero que responda
 IP Pool

o Define un rango de direcciones IP para ser

utilizadas por servicios del RouterOS

o Es utilizado por Clientes DHCP, PPP y Hotspot

o Las direcciones se toman automáticamente del

Pool
 IP Pool

IP → Pool → New IP Pool(+)

 Perfil PPP

o El perfil define reglas utilizadas por el PPP

Server y sus clientes

o Este método permite definir reglas para

múltiples clientes
 Perfil PPP

Se debe
definir la IP
local y
remota para
el túnel
 PPP Secret

o Es la base de datos local de usuarios del

PPP
o Nombre de usuario, password y otras
configuraciones específicas pueden ser
definidas
o El resto de configuraciones son aplicadas
desde el perfil PPP
 Servidor PPPoE

o El servidor PPPoE funciona en una interfaz

o No puede ser configurado en una interfaz
que forme parte de un Bridge
o Por razones de seguridad no se puede
utilizar la dirección IP en la interfaz en
donde el PPPoE Server está configurado
 Servidor PPPoE

Se debe
definir el
nombre, la
interfaz, perfil
y los
protocolos de
autenticación
 PPP Status

Información
sobre los
usuarios PPP
activos
 Direcciones Punto a Punto

o Cuando una conexión entre un cliente y

servidor PPP es establecida, se asignan
direcciones /32
o La dirección de red del cliente es el otro
extremo del túnel (Router)
o La mascara de red no es relevante cuando se
utiliza direccionamiento PPP
o PPP reserva dos direcciones
 Servidor PPPoE - Laboratorio

o Crea un PPPoE server en la interfaz ether4 del

router
o Crea un IP Pool, un perfil PPP y un Secret para el
Server PPPoE
o Configura el cliente PPPoE en tu computador
o Conecta tu computador en el puerto
ether4 (Ether 3 para los routers hAP Mini)

LAB
 Servidor PPPoE - Laboratorio

3
1

pool_vpn
10.10.XX.2-10.10.XX.5

LAB
 Servidor PPPoE - Laboratorio

3
2
1
perfil_vpn
10.10.XX.1
pool_vpn

LAB
 Servidor PPPoE - Laboratorio

2
1 3

any
perfil_vpn

LAB
 Servidor PPPoE - Laboratorio

2
1

perfil_vpn

LAB
Servidor PPPoE - Laboratorio

LAB
Servidor PPPoE - Laboratorio

LAB
Servidor PPPoE - Laboratorio

LAB
Servidor PPPoE - Laboratorio

LAB
 Servidor PPPoE - Laboratorio

o Se estableció la conexión ?
o En el computador, que ip recibiste en el cliente
PPPoE ?
o Tienes navegación hacia internet ?
Comentarios:

LAB
 Point to Point Tunnel Protocol (PPTP)

o Uses el puerto tcp/1723 e IP protocol

número 47 - GRE (Generic Routing
Encapsulation)

o “NAT helpers” son utilizados para dar

soporte en redes Nateadas
Point to Point Tunnel Protocol (PPTP)

o PPTP provee túneles “encriptados” por IP.

o RouterOS de MikroTik incluye soporte para
cliente y server PPTP.
o Utilizado para asegurar el link entre redes
locales en Internet.
o Para que clientes móviles o remotos
accedan a los recursos de las redes locales
de la compañía.
Point to Point Tunnel Protocol (PPTP)

Internet

Túnel
 Cliente PPTP
Agrega la interfaz PPTP.
Especifica la dirección del server PPTP.
Establece “login” y “password”. 3 4

1
2

PPP → New PPTP Client(+)

 Point to Point Tunnel Protocol (PPTP)

o Utiliza “Add Default Route“ para enviar todo el tráfico

a través del túnel

o Utiliza rutas estáticas para enviar tráfico específico a

través del túnel

o Importante: PPTP ya no es considerado un protocolo

seguro. Utiliza SSTP y OpenVPN
 Server PPTP
El server PPTP puede mantener
clientes múltiples

El proceso para habilitar el Server

PPTP es muy sencillo
2
1

4
 Server PPTP

o Las configuraciones del cliente PPTP se

almacenan en “ppp secret”
o El “ppp secret” se usa para clientes PPTP,
L2TP y PPPoE
o La base de datos del “ppp secret” se
configura en el server
o El mismo perfil se utiliza para clientes PPTP,
PPPoE, L2TP y PPP.
Secure Socket Tunnelling Protocol (SSTP)

o Permite establecer túneles encriptados a través de

internet

o Utiliza el puerto tcp/443 (El mismo usado por HTTPS)

o RouterOS soporta cliente y servidor SSTP

o El cliente SSTP es soportado por Windows Vista SP1 y

versiones posteriores
Secure Socket Tunnelling Protocol (SSTP)

o Cliente y Servidor SSTP también está

disponible en Linux
o Como el tráfico SSTP es idéntico al HTTPS,
típicamente no tiene problema al cursar
los firewalls
o El puerto puede ser modificado
Secure Socket Tunnelling Protocol (SSTP)

Se debe
definir el
nombre, la IP
del servidor
SSTP, el
nombre de
usuario y el
password
Secure Socket Tunnelling Protocol (SSTP)

o Utiliza “Add Default Route“ para enviar todo el

tráfico a través del túnel SSTP

o Utiliza rutas estáticas para enviar tráfico

específico a través del túnel SSTP

o No es necesario un certificado SSL para

establecer un túnel SSTP entre dos RouterOS
 SSTP - Laboratorio

o Establece un túnel SSTP con tu compañero. Un

router tendrá el cliente SSTP y el otro router
será el servidor
o Puedes reutilizar el IP Pool, el perfil PPP y el
secret de la actividad anterior
o Puedes hacer ping desde tu computador al
computador de tu compañero ? Por que?

LAB
 SSTP - Laboratorio

o Elimina las rutas estáticas creadas en el modulo de

Enrutamiento.
o Crea una ruta estática hacia la red LAN de tu
compañero, similar a lo que realizaste en el modulo
de enrutamiento. Utiliza como Default Gateway la
interfaz PPP.
o Intenta nuevamente con el ping hacia el
computador de tu compañero

LAB
Túneles por niveles de licencia
Módulo 9
Extras
 Herramientas del RouterOS

RouterOS ofrece varias

utilidades que ayudan a
administrar y monitorear el
Router de manera mas
eficiente
 E-Mail

o Permite enviar e-mails desde el router

o Se puede enviar por ejemplo el backup del

router vía correo
/export file=respaldo_de_hoy
/tool e-mail send to=you@gmail.com\
subject="$[/system identity get name] respaldo"\
body="$[/system clock get date]\
configuration file" file= respaldo_de_hoy.rsc
 E-Mail
Server: IP del servidor de correo en el caso de Gmail
(74.125.113.108)
Port: puerto del correo saliente en Gmail es (587)
From: dirección de "tu correo"
User: tu dirección de correo (nombre@gmail.com)
Password: clave de tu correo
 E-Mail – Laboratorio (Opcional)

o Configura el servidor SMTP en tu router

o Exporta la configuración de tu router
o Envía la configuración vía correo

LAB
 Netwatch

o Monitorea el estado de un Host en la red.

Puede ser local o en internet

o Envía ICMP (Ping) para validar el estado

o Puede ejecutar un script cuando el host se

encuentra alcanzable o inalcanzable
 Netwatch

Tools → Netwatch
2 3
1
 System Scripts

Una de las ventajas competitivas de MikroTik con el resto de

fabricantes tradicionales, es la flexibilidad que brinda con el
lenguaje de programación LUA, que permite implementarle
Scripts para automatizar tareas y procesos en las redes.

Gracias a la programación de scripts, se pueden generar tareas

para failover / balanceo de carga, DDNS, reinicio, apagado de
interfaces, actualización de rutas, envío de correos, entre
muchas otras.
 System Scripts

En RouterOS con un script podemos:

ü Automatizar tareas de mantenimiento del

router.
ü Gestión interna y alertas.
ü Usos definidos por el usuario…
 System Scripts

Un script, se puede desarrollar y ejecutar desde la consola.

 System Scripts
Scripts. Es donde se agrupan.

Jobs. Podemos ver los que se están ejecutando

 System Scheduler

Podemos automatizar, definiendo:

• Día y hora de ejecución.
• En cada reinicio.
• Intervalos, horas, minutos y segundos.
• Políticas.

Tiene un contador de ejecuciones.

Un aviso de próxima ejecución y estado.
Podemos añadir comentarios.
 System Script - Ejemplos

:if ([/interface get ether3 running] = false) do={

/log info "ether3 caida"
}

:if ([/ping 192.168.33.1 count=3] =0) do={

/log info "mi ping falla" ;
}
 Ping

o Utilizado para chequear si

un host en la red es
alcanzable

o Mide el tiempo de
respuesta entre el origen y
el destino

o Envía paquetes ICMP Echo

Request
Tools → Ping
 Ping – Laboratorio (Opcional)

o Hazle ping a la dirección IP de tu

computador
o Desde una nueva ventana, Hazle ping a la
dirección IP de www.mikrotik.com
o Observa la diferencia en los tiempos de
respuesta

LAB
 Traceroute

o Es una herramienta
para el diagnóstico que
muestra el trazo de los
paquetes a través de la
red

o Pueda usar ICMP o UDP

Tools → Traceroute
 Traceroute – Laboratorio (Opcional)

o Selecciona una página web de Venezuela

y hazle traceroute a su dirección IP
o Desde una nueva ventana, Hazle
traceroute a la dirección IP de
www.mikrotik.com
o Observa la diferencia en el trazo

LAB
 Profile

o Muestra el uso del CPU

por cada proceso que se
ejecuta desde el
RouterOS. Funciona en
tiempo real

o Idle – CPU si uso

Tools → Profile
 Monitor de Tráfico en la Interfaz

o Tráfico en tiempo
real
o Disponible por
cada interfaz
desde la pestaña
“Traffic”
o También se puede
acceder desde
Webfig y consola
Interfaces → ether4 → Traffic de comandos
 Torch

o Herramienta de monitoreo en tiempo real

o Puede ser utilizada para monitorear el tráfico que

cursa a través de una interfaz

o Puede monitorear el tráfico clasificado por

protocolo IP, dirección origen/destino, número de
puerto
 Torch

Tools → Torch
 Gráficos (Graphs)

o RouterOS puede generar gráficos que muestren

cuanto tráfico a cursado a través de una interfaz o
de una cola

o Puede mostrar uso del CPU, memoria y disco

o Por cada métrica hay 4 gráficos; Diario (Daily),

Semanal (Weekly), Mensual (Monthly) y Anual
(Yearly)
 Gráficos (Graphs)

Debes especificar la
interfaz a
monitorear y definir
desde que segmento
de red serán
accesibles los
gráficos

Tools → Graphing
 Gráficos (Graphs)

Disponible en la Dirección IP del router: http://router_ip/graphs

 Graphs - Laboratorio

o Habilita un gráfico en la interfaz LAN de

tu router
o Visualiza los gráficos desde la página
web del router
o Espera 5 min y vuelve a visualizar los
gráficos

LAB
 Simple Network Management Protocol (SNMP)

o SNMP es el protocolo que permite la comunicación e

intercambio de información entre dos entidades de
red.

o El protocolo SNMP está constituido por dos

elementos básicos; Administradores, ubicados en
el/los equipo/s de gestión de red y los Agentes,
elementos pasivos ubicados en los nodos (switches,
routers, radios, impresoras, entre otros) a ser
supervisados y en algunos casos gestionados.
Simple Network Management Protocol (SNMP)

o Los Agentes envían información a los primeros,

relativa a los elementos gestionados, por iniciativa
propia (Traps) o al ser interrogados (Polling) de
manera secuencial apoyándose en los parámetros
contenidos en sus MIB (Management Information
Base)

o RouterOS soporta SNMP v1, v2 y v3

Simple Network Management Protocol (SNMP)

o El MIB, dado su nombre por Management

Information Base, es el conjunto de datos que tiene
el dispositivo de red y permite conocer su estado
dentro de la red.

o A través del MIB se tiene acceso a la información

para la gestión, contenida en la memoria interna del
dispositivo en cuestión. MIB es una base de datos
completa y bien definida, con una estructura en
árbol
 Simple Network Management Protocol (SNMP)

o Variables en una MIB: Se definen y referencian

utilizando la notación de sintaxis abstracta 1 de la
ISO (Abstract Syntax Notation 1 - ASN.1)

o Los nombres de las variables MIB: Están definidos en

el espacio de nombres OID “object identifier”. El
Espacio de Nombres es jerárquico; cada
descendiente tiene asignado un nombre (etiqueta) y
un número
Simple Network Management Protocol (SNMP)

o Mediante la consola de comandos es posible

obtener las OID del RouterOS
Simple Network Management Protocol (SNMP)

IP → SNMP
 The DUDE

o Mikrotik DUDE permite monitorizar los ordenadores y

dispositivos de una red incluyendo routers, switches,
firewalls, servidores de bases de datos, radios y
mucho más. La aplicación recoge los datos de
funcionamiento de los equipos remotos para después
ofrecer unas estadísticas gráficas y logs detallados.
o Se pueden parametrizar diferentes umbrales para el
envió de avisos en caso de caída, o alerta de un
determinado servicio o Host
 The DUDE

o Soporta SNMP, ICMP, DNS y TCP para

el monitoreo
o El Dude Server se ejecuta en un
RouterOS (CCR, CHR o x86)
o El Cliente Dude funciona bajo
Windows (En Linux y OS X con Wine)
327
The DUDE

328
The DUDE
 The DUDE – Laboratorio (Opcional)

o Descarga el cliente Dude para

Windows desde
mikrotik.com/download
o Instala el cliente y conéctate al
servidor Dude demo: dude.mt.lv

LAB
The DUDE – Laboratorio (Opcional)
 System Logs
o Por defecto RouterOS almacena en el Log la
información sobre el router
o Se almacena en memoria
o Puede ser almacenada en el disco
o También se puede enviar a un Server Syslog

System → Logging
 System Logs
o Para habilitar un log detallado (debug), se debe
crear una nueva regla
o Define un “Debug Topic”

System → Logging → New Log Rule

 System NTP (Network Time Protocol)
o Protocolo de Internet para sincronizar los relojes de los sistemas
informáticos. NTP utiliza UDP como su capa de transporte, usando el
puerto 123

o Ninguno de los RouterBoards tiene un reloj con batería de respaldo, por

lo que es una buena práctica configurar el cliente NTP en todos los
routers para que puedan establecer el tiempo adecuado después del
inicio.

o Hay muchos servidores NTP públicos en Internet:

https://www.pool.ntp.org/zone/south-america
server 0.south-america.pool.ntp.org
server 1.south-america.pool.ntp.org
 System NTP (Network Time Protocol)

2
 Contactando Soporte Técnico MikroTik

o Antes de contactar a support@mikrotik.com

chequea los siguientes sitios
wiki.mikrotik.com – RouterOS documentación y ejemplos

forum.mikrotik.com – comunícate con otros usuarios de

RouterOS

mum.mikrotik.com – página del MikroTik User Meeting.

Videos de las presentaciones