Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Entrenamiento Oficial
Objetivos del Curso
Curso inicial
https://mikrotik.com/training/about
Módulos del Curso MTCNA
1. Introducción a Mikrotik RouterOS
2. DHCP
3. Puente (Bridge)
4. Enrutamiento (Routing)
5. Wireless
6. Firewall
7. Calidad de Servicio (Quality of Service – QoS)
8. Túneles
9. Extras
Laboratorios por cada módulo…
Módulo 1
Introducción a Mikrotik RouterOS
Sobre MikroTik
o Localizada en Letonia
o www.mikrotik.com
Historia de MikroTik
o Las licencias no
requieren renovación
L4 45$
100$
L5 95$ Router
+ =
L6 250$
18$
PCI a Ethernet (NIC)
18$
PCI a Ethernet (NIC)
Desktop
Pentium III
MIKROTIK ROUTEROS EN ENTORNOS VIRTUALIZADOS
+ =
P-Unlimited 250$
CHR
o Permite diseñar una topología simulada (lo más parecida en lo posible a una situación
real) sin la implementación de hardware físico, economizando tiempo y dinero. IDEAL
PARA APLICACIONES ESTUDIANTILES
RB750Gr3
RB2011UiAS-RM
RB1200
CCR1009-8G-1S-1S+PC
MikroTik RouterBOARD
hAP Mini (RB931-2nD)
CCR1072-1G-8S+
o U – USB
o i – Único puerto PoE sin controlador
o A – Mas memoria
o H – CPU mas poderoso
o G - Gigabit (Puede incluir "U","A","H", si no se usa lleva "L")
o L – Edición ligera
o S – Puerto SFP
Nombres del RouterBOARD - Ejemplo
o RB (RouterBOARD)
o 912 - 9th series board con una
interfaz “Wired” (ethernet) y
dos interfaces wireless
(miniPCIe integrada)
o UAG – Un puerto USB port,
mas memoria y puerto
ethernet con velocidad gigabit
o 5HPnD – Tarjeta Wireless
RB912UAG-5HPnD integrada de 802.11n en
5GHz, con “High Power” y
canales duales (dual chain)
Accediendo por primera vez
2 3
WinBox por MAC-Address
o Conexión por MAC-Address
o User: admin / Password: (en blanco)
Recuerda revisar el
firewall de tu
antivirus, u otros
tipos de seguridad
4 para que puedes
escanear los equipos
1 Mikrotik por MAC.
2
3
Conociendo WinBox
Versión del RouterOS y modelo de RouterBOARD
Dirección IP o
MAC del equipo Recursos, UpTime,
Menús con Fecha y Hora
las funciones
y utilidades
del RouterOS
WebFig
Browser - http://192.168.88.1
Permite la administración
de Mikrotik RouterOs
desde una página WEB.
Por defecto utiliza el
puerto TCP 80, pero se
puede cambiar en el menú
IP - Services
Línea de Comandos (CLI)
o Accesible vía SSH, Telnet
o Accesible desde Winbox y WebFig en la opción “New Terminal”
Línea de Comandos (CLI)
o https:www.mikrotik.com
Hardware, Entrenamientos, Descargas de Software
o https://forum.mikrotik.com/
Desarrollos, Dudas, Configuraciones y mas…
o https://wiki.mikrotik.com
El gran manual del RouterOS
Fundamentos de Networking
El modelo OSI
00:0a:95:9d:68:16 00:0a:95:9d:68:16
00:0a:95:10:D9:90 00:0a:95:21:DD:B7
101001000111101010010010111010101100011110101001010101001110010001100100101101010101100001010010
Departamento de
Cajas de Madera
(Capa 2)
Departamento de
Transporte (Capa 1)
o El número máximo (decimal) que se puede representar en binario con n (8) bits
es 2n -1 (255), para un total de 2 n números representables (256)
192 .148 . 41 . 1
Redes - Máscara
o Rango de las direcciones IP lógicas que divide
a la red en segmentos
Ejemplo: 255.255.255.0 o /24
o La mascara (junto con la ip) define cuales
direcciones IP son encontradas directamente
sin enrutamiento
(byte) 255.255.255.0 Formato Decimal
(binario) 11111111.11111111.11111111.00000000
(bit) /24 Formato Prefijo o Notación Simplificada
Redes - Ejemplo
o Determinando a que red (subnet) pertenece una
dirección IP
Dirección IP/Mascara: 192.168.3.14/24
Valor IP (binario): 11000000.10101000.00000011.00001110
Mascara (binario): 11111111.11111111.11111111.00000000
44
Subredes
Regresando al Módulo 1
Descargando Winbox - Laboratorio
LAB
Descargando Winbox - Laboratorio
LAB
Configuración por Defecto
Internet
192.168.X.2/24
X = Debe ser substituido por el número del
Default GW = 192.168.X.1 router que corresponda
DNS = 192.168.X.1 Ejemplo: Router 5
Address =192.168.5.1/24
Network 192.168.5.0
LAB
Primera conexión al RouterBOARD - Laboratorio
o Conexión por MAC-Address
o User: admin / Password: (en blanco)
Recuerda revisar el
firewall de tu
antivirus, u otros
tipos de seguridad
4 para que puedes
escanear los equipos
1 Mikrotik por MAC.
2
3
Restaurando el Router a Default - Laboratorio
1 3
LAB
Restaurando el Router a Default - Laboratorio
LAB
Restaurando el Router a Default - Laboratorio
Mantenga presionado
este botón antes de
aplicar la energía al
equipo, luego suelte
después de cinco
segundos
1
2
LAB 57
Configurando Dirección IP en Ether 2 - Laboratorio
Nota:
3 Debe ser substituido
por el número del
2
router que
corresponda
1 Ejemplo:
Router 5
4 Address =
192.168.5.1/24
Network =
192.168.5.0
LAB 58
Habilitando la Interfaz Wireless - Laboratorio
1
3
LAB 59
Habilitando cliente DHCP en Wlan1 - Laboratorio
1
2 4
LAB60
Creando perfil de seguridad wireless - Laboratorio
2
1 3
qwerty*-
qwerty*-
LAB
Habilitando modo avanzado en wireless - Laboratorio
2
Doble clic
Definiendo parámetros Wireless - Laboratorio
LAB 63
Enmascarando la Conexión de la WLAN - Laboratorio
5
2 4
6
3
1
LAB
Habilitando el DNS - Laboratorio
1
3
2
LAB
Colocando Direccionamiento IP
192.168.XX.2/24
Default GW = 192.168.XX.1
DNS Primario = 192.168.XX.1
NO USAR DNS DE GOOGLE
Long term
Stable
Testing
Actualización del RouterOS
o La manera fácil de hacerlo (recomendada)
3
4
1
2
Actualización del RouterOS
72
Administración de Paquetes
o Cada arquitectura de CPU tiene su propia
combinación de paquetes.
Ejemplo: “routeros-mipsbe”, “routeros-tile”
o Contiene todas las funcionalidades estándar
(Wireless, dhcp, ppp, routing, etc.)
o Paquetes adicionales pueden ser descargados
desde
www.mikrotik.com/download
Administración de Paquetes - Laboratorio
o Habilita el paquete ipv6
o Reinicia el Router
o Observa el menú de Winbox
Luego:
o Deshabilita el paquete ipv6
o Observa el menú de Winbox
o Reinicia el Router
LAB
Administración de Paquetes
System → Identity
LAB
Administración de Usuarios y Grupos en RouterOS
o El acceso al router
puede ser controlado,
mediante las
credenciales de los
usuarios y grupos
o Se pueden crear grupos
adicionales de lectura y
escritura
o Se pueden crear grupos
con accesos
personalizados
Administración de los respaldos (Backups)
o Puedes hacer un backup de las configuraciones del equipo y
restaurar la configuración en el menú “Files” de Winbox.
o El archivo de backup no es editable.
o Es una copia
exacta, que
“clona” las Mac
Address de
lasinterfaces”
o Respalda las
contraseñas de
System - Users
Administración de los respaldos (Backups)
o Adicionalmente se pueden utilizar comandos de
exportación e importación en CLI
o Los archivos de exportación son editables.
o Las contraseñas de usuarios (Menú System – Users)
no se guardan con la exportación.
/export file=conf-abril-2017
/ip firewall filter export file=firewall-abril-2017
/file print
/import [Tab]
Administración de los respaldos - Laboratorio
LAB
Netinstall
o Utilizado para instalar y reinstalar RouterOS.
o Funciona bajo entornos Windows
o Se requiere una conexión de red directa (Capa 2) al Router
o Utiliza el protocolo Bootp (Bootstrap Protocol)
Módulo 2
DHCP
DHCP
IP → DHCP Client
DNS
IP → DNS
DNS
o RouterOS soporta registros estáticos de DNS
Servidor DHCP
LAB 90
Servidor DHCP - Laboratorio
1 4
2 7
5
3 6
LAB
Servidor DHCP - Laboratorio
o Habilita el cliente DHCP en la interfaz ethernet de tu laptop
MAC OSX
Windows
LAB
Servidor DHCP - Laboratorio
o Recibiste IP de manera automática en tu
laptop?? Cual IP recibiste ???
LAB
Address Resolution Protocol (ARP)
IP → ARP
Address Resolution Protocol (ARP) – ARP Estático
IP → DHCP Server
ARP Estático - Laboratorio
o Mantén desde tu un ping extendido (Ej: ping
192.168.x.1 - t) hacia tu router
o En el MikroTik, haz la entrada ARP de tu laptop
estática.
o Establece “arp=reply-only” en la interfaz de la red
local ether2
o Cambia la dirección IP de la computadora, por una
del mismo segmento de red.
o Valida el funcionamiento del ping extendido
LAB
IP Neighbors
El protocolo MikroTik Neighbor Discovery (MNDP) y LLDP (Link Layer
Discovery Protocol) permiten "encontrar" otros dispositivos
compatibles con MNDP o CDP (Cisco Discovery Protocol) o LLDP en el
dominio de broadcast capa 2.
o Funciona en todas las interfaces no dinámicas.
o Distribuye información básica sobre la versión del
software.
o Distribuye información sobre las características
configuradas que deberían interoperar con otros routers
MikroTik
IP Neighbors - Funcionamiento
o Utiliza el protocolo UDP puerto 5678
o Un paquete UDP con información del router se transmite a través de la interfaz cada 60
segundos
o Cada 30 segundos, el router comprueba si algunas de las entradas vecinas no están
obsoletas
o Si no se recibe información de un vecino durante más de 180 segundos, la información del
vecino se descarta.
2
IP Neighbors
3
En “Discovery
Settings” puedo
evitar que las
1 interfaces del
routers sean
2
descubiertas
Conexiones Capa 2 contra el Router
105
Bridge
o Puentes (Bridges), son dispositivos de capa 2 en
el modelo OSI
111
Bridge – Laboratorio
LAB
Bridge – Laboratorio
Cliente – Station Bridge DHCP Server:
wlan1 172.24.0.0/24
Bridge AP
Tu Router
Router del
Ether 3
Instructor
Internet
LAB
Bridge – Laboratorio
1 3
4 5
LAB
Bridge – Laboratorio
LAB
Bridge – Laboratorio
LAB
Bridge – Firewall
118
Funciones de un Router
IP → Routes
Enrutamiento
o Dst. Address: redes que queremos alcanzar
o Gateway: Dirección IP del próximo router para
llegar al destino
IP → Routes
Enrutamiento – Nueva Ruta Estática
IP → Routes
Enrutamiento – Gateway por Defecto
o Gateway por Defecto: Próximo router
“Próximo Salto” donde todo (0.0.0.0) el
tráfico es enviado
IP → Routes
123
Enrutamiento – Check Gateway
LAB
Enrutamiento - Laboratorio
/ip dhcp-client
LAB
Enrutamiento - Laboratorio
o Agrega de manera manual el Gateway por
defecto (0.0.0.0/0), apuntando a la
dirección de IP del AP-router de la clase
(172.24.0.1).
LAB
Enrutamiento – Banderas
o Rutas con las banderas (Flags) DAC son agregadas
dinámicamente.
IP → Addresses IP → Routes
Enrutamiento – Banderas de Rutas
A - active
C - connected
D - dynamic
IP → Routes S - static
Enrutamiento – Banderas de Rutas
Enrutamiento – Rutas Estáticas
133
Rutas Estáticas - Laboratorio
172.24.0.ABC XX = Debe ser substituido por el número del router
wlan1 AP que corresponda
Ejemplo: Router 5
Tu Router Address =192.168.5.1/24 Network 192.168.5.0
Ether2
192.168.XX.1/24 172.24.0.ABC
Router del Instructor wlan1
Router de tu
RED 192.168.XX.0/24
compañero
Ether2
192.168.XX.2/24 192.168.XX.1/24
Default GW =
RED 192.168.XX.0/24
192.168.XX.1
192.168.XX.2/24
El objetivo es hacerle Default GW =
“PING” al computador de 192.168.XX.1
tu compañero
LAB
Rutas Estáticas - Laboratorio
XX = Debe ser substituido por el número del router
wlan1 que corresponda
172.24.0.ABC Ejemplo: Router 5
Tu Router Address =192.168.5.1/24 Network 192.168.5.0
Ether2
192.168.XX.1/24 172.24.0.ABC wlan1
Router de tu
RED 192.168.XX.0/24
compañero
Ether2
192.168.XX.2/24 192.168.XX.1/24
Default GW =
RED 192.168.XX.0/24
192.168.XX.1
192.168.XX.2/24
El objetivo es hacerle Default GW =
“PING” al computador de 192.168.XX.1
tu compañero
LAB
Rutas Estáticas - Laboratorio
LAB
Enrutamiento – Rutas Estáticas
o Son fáciles de configurar en una red pequeña, pero No son
fácilmente escalables
o Reduce el uso de recursos en el RouterBOARD
o Se requiere agregar manualmente una nueva ruta, cada vez
que se quiera alcanzar una nueva red
o En enrutamiento estático forma parte de la paquetería
básica (System) del RouterBOARD. No se necesitan
paqueterías adicionales para que este tipo de enrutamiento
funcione.
Módulo 5
Wireless
140
Wireless
o RouterOS soporta varios módulos de radio que permiten la
comunicación vía aire (2.4GHz y 5GHz).
o MikroTik RouterOS ofrece soporte completo para el estándar
IEEE 802.11a/n/ac (5GHz) y 802.11b/g/n (2.4GHz)
o Configura la
2
interfaz “Wireless”
para aplicar las 1
regulaciones de tu 3
país.
Wireless – Regulaciones del País
Wireless – Nombre del Radio
o Usaremos el nombre RADIO para los mismos propósitos que la
identidad del router.
o Identifica el nombre del radio de la manera siguiente:
Número de tu Router(XX)_TuNombre
Ejemplo: 01_CarlosPerez
LAB
Wireless – Nombre del Radio
o Solo es visible entre RouterOS
o Se puede ver en la tabla de registro Wireless
o Permite identificar una estación en la lista de los clientes
conectados
Wireless → Registration
Wireless – Modos de trabajo
AP
Wireless Stations
Estación (Wireless Station)
155
Wireless Station
Definir el modo en
station
Seleccionar la banda
LAB
Lista de Conexión
o Valida en la tabla “Registration” la intensidad (PRx -
Potencia de Recepción) que recibes del AP
o Deshabilita la opción “Default Authenticate”
o Hagamos una regla para prohibir la conexión a
señales menores a la que estás recibiendo. Ej. Si
recibes -50 dBm. Coloca en el campo “Signal
Strength Range” -65..-60. Solo te conectarás al AP
si recibes una señal dentro de ese rango
LAB
Lista de Conexión
LAB
Lista de Conexión
LAB
Lista de Conexión
1
166
LAB
Punto de Acceso (Access Point)
Establece “mode=ap-bridge”
Selecciona “band”
Establece la frecuencia
Selecciona el perfil de
seguridad
WiFi Protected Setup (WPS)
Wireless → Registration
Lista de Acceso (Access List)
o Utilizada por el AP para controlar las conexiones
permitidas de las estaciones
o Identifica la MAC Address del dispositivo
o Define que estación se puede autenticar contra el
AP
o Limita los días en que puede haber conexión
o Si no hay reglas que hagan “Match” en la lista de
acceso, se utilizan los valores por defecto de la
interfaz wireless
Lista de Acceso (Access List)
Default-Forwarding”
Utilizado para deshabilitar
comunicaciones entre
clientes conectados al
mismo punto de acceso
Access Point - Laboratorio
LAB
Access Point - Laboratorio
LAB
Opciones Avanzadas
Input Output
Internet
Forward
Output Input
Internet
Forward
Cadenas de Filtrado - Acciones
Input
Cadenas de Filtrado – Input - Laboratorio
LAB
Cadenas de Filtrado – Input - Laboratorio
1
LAB
Cadenas de Filtrado – Input - Laboratorio
LAB
Cadenas de Filtrado – Input - Laboratorio
LAB
Cadenas de Filtrado - Forward
o La cadena contiene reglas de filtrado para el tráfico que pasa
a través del router. Es decir, tráfico que no va dirigido al
router pero que necesariamente tiene que pasar por él
o La Cadena Forward controla el tráfico entre los clientes y el
internet
Internet
Forward
Cadenas de Filtrado – Forward - Laboratorio
LAB
Cadenas de Filtrado – Forward - Laboratorio
LAB
Cadenas de Filtrado – Forward - Laboratorio
LAB
Puertos Conocidos
Puertos Conocidos
Puertos Conocidos
LAB
Lista de Direcciones - Laboratorio
LAB
Lista de Direcciones - Laboratorio
LAB
Lista de Direcciones - Laboratorio
Comentarios:
LAB
Firewall – Cadenas Personalizadas
Nueva
Src address Src address
SCR-NAT
Internet
NAT de Destino (Destination NAT)
DST-NAT
Internet
Internet
Servidor en Host Público
la LAN
NAT de Destino (Destination NAT)
Este puerto se
Nueva puede cambiar
Dst address Dst address
192.168.1.23:37778 200.44.32.21:37778
DST-NAT
LAN WAN
Internet
Internet
Ether1 Ether4
DVR Host Público
192.168.1.23
Puerto TCP: 37778
Network Address Translation (NAT)
o Es un tipo de DST-NAT
o Esta acción redirecciona los paquetes hacia el
mismo router
o Redirecciona los paquetes a un puerto específico
del router
o Puede ser utilizado para crear un servidor Proxy
transparente
NAT - Redirect
Comentarios:
LAB
Conexiones
NEW
Softphone Softphone
Llama
Repica
Atiende
VoIP SIP
Server
Conversación
ESTABLISHED
Conexiones
Atiende
VoIP SIP Server
Conversación
ESTABLISHED
Usuario C
Conferencia
Repica Softphone
Atiende
RELATED
Conversación
Conexiones
Proceso Conexión TCP Emisor Receptor
NEW
Connect( ) Listen( )
TCP SYN
TCP transitions to
ESTABLISHED state
Data packets exchanged
ESTABLISHED
Conexiones
Proceso Conexión TCP Emisor Receptor
TCP
Three-Way Handshake
Process SYN-ACK
INVALID
Success code
returned by
connect( )
Conexiones - Connection Tracking
IP → Firewall → Connections
FastTrack
Limite de Velocidad
LAB
Simple Queue - Laboratorio
2
3
1 384k
LAB
Simple Queue - Laboratorio
o Observa la estadísticas
El ícono del Queue
cambia a amarillo a
medida que se está
llegando al tope de
la limitación.
Cuando se alcanza
el tope, se coloca
en rojo
LAB
Cola Simple (Simple Queue)
Queues
Ancho de Banda Garantizado
o Ejemplo:
Ancho de banda total disponible
20 Mb/s
3 clientes, cada uno tiene un ancho de
banda garantizado
El trafico restante, se divide entre la
totalidad de los clientes
237
Ancho de Banda Garantizado
El usuario de la IP 10.0.0.1
En la grafica se considera que hay una configuración con; el "MAX-LIMIT” = 256 Kbps, "
BURST-TIME = 8 segundos (Es el tope mas alto de la raya verde), BURST-THRESHOLD =
192 Kbps que viene a ser el Umbral y “BURST-LIMIT” = 512 Kbps como la velocidad
maxima.
Burst
LAB
Burst - Laboratorio
LAB
Per Connection Queuing (PCQ)
100M 100M
200 users
100M 50M 0,5M 2M 2M 0,5M
50M 0,5M 2M 2M 0,5M
0,5M 2M 0,5M
0,5M 2M 0,5M
0,5M 0,5M
0,5M 0,5M
0,5M 0,5M
PCQ - Laboratorio
LAB
PCQ - Laboratorio
LAB
Módulo 8
Túneles
256
Protocolo Punto a Punto (PPP)
Se debe
definir la IP
local y
remota para
el túnel
PPP Secret
Se debe
definir el
nombre, la
interfaz, perfil
y los
protocolos de
autenticación
PPP Status
Información
sobre los
usuarios PPP
activos
Direcciones Punto a Punto
LAB
Servidor PPPoE - Laboratorio
3
1
pool_vpn
10.10.XX.2-10.10.XX.5
LAB
Servidor PPPoE - Laboratorio
3
2
1
perfil_vpn
10.10.XX.1
pool_vpn
LAB
Servidor PPPoE - Laboratorio
2
1 3
any
perfil_vpn
LAB
Servidor PPPoE - Laboratorio
2
1
perfil_vpn
LAB
Servidor PPPoE - Laboratorio
LAB
Servidor PPPoE - Laboratorio
LAB
Servidor PPPoE - Laboratorio
LAB
Servidor PPPoE - Laboratorio
LAB
Servidor PPPoE - Laboratorio
o Se estableció la conexión ?
o En el computador, que ip recibiste en el cliente
PPPoE ?
o Tienes navegación hacia internet ?
Comentarios:
LAB
Point to Point Tunnel Protocol (PPTP)
Internet
Túnel
Cliente PPTP
Agrega la interfaz PPTP.
Especifica la dirección del server PPTP.
Establece “login” y “password”. 3 4
1
2
4
Server PPTP
Se debe
definir el
nombre, la IP
del servidor
SSTP, el
nombre de
usuario y el
password
Secure Socket Tunnelling Protocol (SSTP)
LAB
SSTP - Laboratorio
LAB
Túneles por niveles de licencia
Módulo 9
Extras
Herramientas del RouterOS
LAB
Netwatch
Tools → Netwatch
2 3
1
System Scripts
o Mide el tiempo de
respuesta entre el origen y
el destino
LAB
Traceroute
o Es una herramienta
para el diagnóstico que
muestra el trazo de los
paquetes a través de la
red
Tools → Traceroute
Traceroute – Laboratorio (Opcional)
LAB
Profile
o Tráfico en tiempo
real
o Disponible por
cada interfaz
desde la pestaña
“Traffic”
o También se puede
acceder desde
Webfig y consola
Interfaces → ether4 → Traffic de comandos
Torch
Tools → Torch
Gráficos (Graphs)
Debes especificar la
interfaz a
monitorear y definir
desde que segmento
de red serán
accesibles los
gráficos
Tools → Graphing
Gráficos (Graphs)
LAB
Simple Network Management Protocol (SNMP)
IP → SNMP
The DUDE
328
The DUDE
The DUDE – Laboratorio (Opcional)
LAB
The DUDE – Laboratorio (Opcional)
System Logs
o Por defecto RouterOS almacena en el Log la
información sobre el router
o Se almacena en memoria
o Puede ser almacenada en el disco
o También se puede enviar a un Server Syslog
System → Logging
System Logs
o Para habilitar un log detallado (debug), se debe
crear una nueva regla
o Define un “Debug Topic”
2
Contactando Soporte Técnico MikroTik