Mikrotik y Ubiquiti

(Panorama General )
Lima, Per. Noviembre 2016.
 Objetivo
Asegurar el conocimiento necesario con teora y
prctica para la configuracin bsica y problemas
puntuales .
Mostrar las herramientas que Mikrotik RouterOS
dispone para
Nuevas soluciones.

Al finalizar el curso el alumno podr realizar

implementaciones
En sistemas RouterOS
Presentacin Personal

Nombre y Empresa.
Experiencia en Mikrotik RouterOS.
Expectativas del curso.

Cada alumno tendr su propio ID para realizar los

laboratorios: 192.168..ID.0/24
 Temario a Impartir
Protocolos de Comunicacin.

Configurando Wan y Lan en Mikrotik .

Apertura de Puertos para Cmara de
Vigilancia
Envi de Notificaciones a Usuarios (Pagina Web
Morosos).

VLANS En Mikrotik .
 Protocolos
de Comunicacin.
 Cmo se realiza una
comunicacin ?

Origen:
Src.
Destino:
Dst.
 Cmo se realiza una
comunicacin ?

Destino
Dst.
Origen:
Src.
TCP / UDP
 Paquete

bloques en que se divide la

informacin para enviar.
 Enrutamiento de
Paquete

Origen: Destino
Src. Dst.

El paquete se enruta por la red

hasta llegar a su destino
 Enrutamiento de
Paquete

Destino Origen:
Dst. Src.

El paquete se enruta por la red

hasta llegar a su destino
IP + Puerto
 Enrutamiento de
Paquete
Servidor
Host
WEB
Puerto 80

Origen Destino
Dst:Port : 80 Puerto 80
Src.Port :49189

El paquete se enruta por la red hasta

llegar a su destino
 Enrutamiento de
NETSTAT Paquete
Host

Destino Origen:
Src.
Puerto :49189 Dst:Port: 49189
(Aleatorio ) Src.Port:80

El paquete se enruta por la red

hasta llegar a su destino
Enrutamiento de
Paquete
Puerto
Packets Sniffer
 CONCLUSIN
El protocolo principal es TCP/UDP

El Paquete tiene un Origen y Destino (Src. Y Dst )

El paquete Tiene un Puerto Origen y Destino

El paquete es igual a TCP + IP +Puerto
Router
El Router es un Intermediario

LAN WAN
El Router es un Intermediario

LAN WAN
 NAT
(Network Address Translation)

Lan WAN

192.168.1.10 190.88.150.7
El Router es un Intermediario
NAT

192.168.1.11

LAN
El Router es un Intermediario
NAT
190.0.0.2

0.0.0.0/0

WAN
El Router es un
Intermediario
NAT
190.0.0.2

192.168.1.11 0.0.0.0/0

LAN WAN
Accediendo
a
RouterOS
 Lab/RouterOS

Ingresar por GUI (Web )

Ingresar por Winbox.exe

Ingresar por CLI Usando Putty

 GUI
(Interface Unidad Grafica )
WINBOX.exe
 CLI
(Interface de Lnea de Comandos )

SSH /Port 23 Mac telnet /L2 Telnet /Port 22

Creacin de
una Red LAN
Qu es una LAN?
RED LAN (TRADICIONAL)
RED LAN CON MIKROTIK
Laboratorio Inicial
 Laboratorio Inicial
WAN
1.Configurar Wan (Interface Wlan)
1.Conectarse al SSID - WIFI-ISP
2.Asignar ip a la interface wan

2.Crear una Lan (192.168.ID.0/24 )

1.Asignar una ip en la interface ether5
(192.168.1.1)
2.Asignar una ip a su laptop (192.168.1.254 )

3. Aplicar Nat LAN

(Traduccin ) (Interface Ether5 )
 Nat
(Enmascarando IP)
 NAT- Enmascarando IP

Lan WAN

192.168.1.1 190.88.150.
0 7
 Lab- enmascarando IP
1.Crear un nuevo regla con la cadena WAN
1.Chain = Srcnat
chain
N at
2.Out-interface = WLAN nd o
ica
3.Action=Masquerade A pl

N at
d o
l ican
Ap

LAN
DHCP -SERVER
 Lab- DHCP
1.Agregar un DHCP SERVER en la interface la (Ether5)
WAN

DHCP -SERVER

LAN
Aperturando
Puertos
El Router es un
Intermediario
NAT
190.0.0.2

Dst: 8000
Dst: 554

192.168.1.11 0.0.0.0/0

LAN WAN
El Router es un Intermediario
NAT
190.0.0.2

Dst: 8000
Dst: 8000
Dst: 554
Dst: 554

(Puerto Abiertos )

192.168.1.11 0.0.0.0/0

LAN WAN
Lab- Aperturando Puertos
en Mikrotik
1.Crear un nuevo regla con la cadena
1.Chain = Srcnat
chain
2.Protocol = TCP
3.Dst port =8000
4.In.Interface =WLAN

5.Action =Dst Nat

6.To-Addresses=192.168.1.9
7.To port=8000
Configuracin - Nat
190.0.0.2

Dst: 8000
 Configuracin - Nat
190.0.0.2

Dst: 8000
Dst.192.168.ID.9
 Filtro de
Contenido Web
(Http - Https )
WEB PROXY
HTTP
Elcomercio.pe

INTERNET
User

2.a redirigir la solicitud

WEB-Proxy
al servidor web d 1. Solicitud web
e Internet

2b. Respuesta del servidor 3. response from proxy request

1.solicitud web

2.Respuesta de solicitud de proxy

Funcionalidades Proxy HTTP
El sistema operativo Mikrotik RouteOS implementa la siguiente
Funcionalidades.

Proxy HTTP regular y Transparente

Lista de Acceso : Filtrado de Firewall http.

Lista de Cache : Filtrado de Firewall http

Lista de Directa : Si hay especificado un Parent-Proxy ,

es posible decirle cules URL No lo utilicen y pasen de manera directa.
 Mikrotik Si Funciona como un
Proxy
Elcomercio.pe

INTERNET
User

2.a redirigir la solicitud

WEB-Proxy
al servidor web d 1. Solicitud web
e Internet

2b. Respuesta del servidor 3. response from proxy request

1.solicitud web

2.Respuesta de solicitud de proxy

Lab /WEB PROXY Regular
HTTP
WAN
1.Habilitar Proxy
1.Asignar Puerto al Proxy
2.Configurar Reglas y Filtros
3.Configurar Anonimato (Opcional )

2.Conectar la pc al Web Proxy

1.Configurar el Navegador para que pase por el proxy

LAN
(Interface Ether5 )
Habilitar el Proxy

IP / Web Proxy
Bloquear /Permitir Paginas

http://elcomercio.pe/tvmas
Destination Host Destination Path
 Expresiones Regulares
"Bloquear por palabra en el host"
/ip proxy access
add action=deny dst-host=:mikrotik
:mikrotik= estaramos bloqueando www..mikrotik.com, www..mikrotikperu.pe etc

"Bloquear path y Permitir dominio"

/ip proxy access
add action=deny path=/tvmas
add dst-host=elcomercio.pe

"Bloquear por palabra"

/ip proxy access
add action=deny path=*sex*

"*"= cualquier cantidad de caracter , cuando est en cualquier posicin.

 El Proxy Verifica su Lista de acceso
Estoy
Usando
Proxy

Elcomercio.pe

INTERNET
WEB-Proxy
User

Nota: Para que el usuario pase por el proxy , tiene que haber una previa
configuracin en la computadora Del usuario (Configurar el Navegador )
 WEB PROXY
TRANSPARENTE
WAN
1.Habilitar Proxy
1.Asignar Puerto al Proxy
2.Configurar Reglas y Filtros

2.Redireccionar Trafico web al Proxy

1.Todo el trafico 80 enviar al proxy
2.Asignar una ip a su laptop (192.168.1.254 )

3. Aplicar Nat LAN

(Interface Ether5 )
(Traduccin )
 1.IP /Firewall /Nat

/ip firewall nat

add action=redirect chain=dstnat dst-port=80 protocol=tcp to-
ports=8080
 LAYER 7 HTTPS
Layer 7 Protocol es un clasificador que identifica los paquetes basados
en los datos d e la capa de aplicacin Independientemente del puerto
que utilice.
 LAYER 7 HTTPS
Las expresiones se cargan en IP /Firewall /Layer 7

El uso de layer 7 aumenta considerablemente el uso del CPU

 Lab :Layer 7
Utilice el listado de patrones en capa 7
que figura en el sitio http://
mikrotikperu.pe
Bloquear Facebook
Bloquear youtube
 Layer 7
^(.*)(facebook)(.*)$

ip firewall layer7-protocol
add name="Deny facebook" regexp="^(.*)(facebook)(.*)\$"

/ip firewall layer7-protocol

add comment="" name=youtube regexp="^.*(youtube).*\$"

http://www.mikrotikperu.pe/foros/threads/layer-7.213/
Bloqueando
Por
Pool -Red
 /21
/26

/30 /23

/32
REDES /24
/16
/25
/8
Bloqueando a las direcciones especificas

Elcomercio.pe
INTERNET
Facebook.com WEB-Proxy
User
Lab :Bloquear por Direcciones
de Red
Utilice el listado de direcciones de Red que figura
en el sitio http:// mikrotikperu.pe.
1.Registrar en Address Lists a las direcciones de red
2.Bloquear a las direcciones de Red
 0btener la ip y red de
una pagina web
Es importante conocer la red de una servicio o
pagina web , ya que tenemos la opcin de
enrutar por una lnea especifica o bloquear a
todo el servidor, entre otros .

https://who.is/
200.4.200.128/26
200.37.27.128/26
 Envio de
Notificaciones a
Usuarios
(WEB Proxy Transparente )
1. Habilitar Web Proxy y Generar Error.html.

Aplicamos Reset
HTML error.html
2. Bloquear todo el Trfico http.

Denegar todo
Modificamos el Error.html
(Editar la notificacin )

Archivo a a
modificar
 Bloqueamos el trafico Restante

Elcomercio.pe
INTERNET
Facebook.com WEB-Proxy
User
Bloqueamos el trafico Restante

add action=drop chain=forward dst-port=443 protocol=tcp src-address-list=\

morosos
add action=drop chain=forward dst-port=443 protocol=udp src-address-list=\
morosos
Lab :Envi de Notificaciones a
Usuarios
Cuando el usuario moroso desea navegar en
internet el Firewall debe de bloquear todo el trafico
a internet y el proxy debe responder con una
notificacin de moroso.
1.Registrar en Address Lists a las direcciones de red

2.Bloquear a las direcciones de Red

 VLAN
en Mikrotik
 Qu es VLAN ?
Es un mtodo de crear redes lgicas
dentro de una misma red fsica

Red de rea local

virtual
SIN VLAN
 Para segmentar se necesita varios router
switch para cada red.

ADMINISTRACIN LOGISTICA RECURSOS HUMANOS

CON VLAN
 Solo se necesita un switch
administrable para
segmentar la red .
192.168.1.1 VLAN100
192.168.2.1 VLAN 200
192.168.3.1- VLAN 300

fsicamente todos los PC

estn conectados al mismo
switch pero el switch est
configurado para que se
comporte como dos o ms
redes independientes.
 Cada servicio se encuentra
en diferente Vlan
(Segmentado )

VLAN100 VLAN 300

VLAN 200
Reduciendo El Brodcast
Transportando
Lneas ADSL
Con VLANS
Transportando Dos lneas de internet
Sin Vlan
 Transportando
Dos lneas de internet
Con VLAN
LINEA1 LINEA2
VLAN100 VLAN200 TRONCA
L
VLAN100 VLAN200

LINEA1 LINEA2
VLAN100
VLAN200
 Lab : VLAN
1. Crear VLAN 100, VLAN 200,VLAN 300

2. Asignar direccionamiento ip a la vlan 100 ,200 y 300

3. Levantar un DHCP SERVER a la vlan 100 y 200
4. Bloquear Facebook a la VLAN 100
5. Conectar al switch administrable

Ether 5 Troncal Ether 1

GRACIAS
Howard Smith Vsquez Palacios
Correo: eventos@mikrotik.com.pe
Cel: 994154792