Sunteți pe pagina 1din 312

Presentación

Presentarse individualmente

Nombre

Compañía

Conocimiento previo sobre RouterOS

Conocimiento previo sobre networking

¿Qué espera de este curso?

Recuerde su número N de clase

Mi número es:

Cronograma

08:00 10:30 Sesión I

10:30 11:00 Receso

11:00 13:00 Sesión II

13:00 14:00 Hora de almuerzo

14:00 15:30 Sesión III

15:30 16:00 Receso

16:00 17:30+ Sesión IV

Objetivos del Curso

El sistema RouterOS y las capacidades del hardware RouterBoard

Prácticas sobre el router MikroTik,

configuración, mantenimiento y resolución de problemas.

Capacitar para dar servicios básicos a

clientes

Durante el curso

Ubicación de salida de emergencia , sanitarios y refrigerios.

Hidratación

Material del curso

Equipo RB951-2n o RB751

2 Cables de red (uno corto y uno largo)

Guía de estudio con clip

Por respeto al entrenador y a sus compañeros favor:

Colocar el teléfono celular en silencio

Tomar las llamadas fuera del salón

No está permitido tomar videos parcial o total de las clases.

Modulo 1

RouterOS y Routerboard

Acerca de MikroTik

Fabricante de Hardware y desarrollador de software
Productos utilizados por ISP, WISP, compañías, etc.

Hacer las tecnologías de Internet más rápidas,

potentes y asequible para una gama más amplia de

usuarios

www.mikrotik.com

www.routerboard.com

wiki.mikrotik.com

forum.mikrotik.com

en.wikipedia.org/wiki/MikroTik

Industria

Networking hardware

Año de fundación

1995

Sede

Riga, Latvia

Directivos

John Tully, CEO Arnis Riekstins, CTO

Productos

Routers, Firewalls

Ingresos

62.5 million Euros (2011)

Ingresos Netos

20.6 million Euros (2011)

Empleados

80 (2012)

¿Dónde está MikroTik ?

¿Dónde está MikroTik ? Riga, LATVIA , Letonia Noreste de Europa ©MikroTik Xperts 2014 7
¿Dónde está MikroTik ? Riga, LATVIA , Letonia Noreste de Europa ©MikroTik Xperts 2014 7

Riga, LATVIA , Letonia Noreste de Europa

¿Dónde está MikroTik ? Riga, LATVIA , Letonia Noreste de Europa ©MikroTik Xperts 2014 7

La Historia de MikroTik

1995: Fundación
1997: Software RouterOS para x86 (PC)

2002: Nacimiento de RouterBOARD

2006: Primer MUM

Evolución del RouterOS •
Evolución del RouterOS

v6 Mayo 2013

v5 - Mar 2010

v4 - Oct 2009

v3 - Jan 2008

¿ Qué es RouterOS ?

RouterOS es un sistema operativo que convierte a un dispositivo en:

Un router dedicado

Un clasificador de tráfico

Filtro transparente de paquetes

Un dispositivo inalámbrico compatible con 802.11a,b/g,n

Firewall
Enlaces inalámbricos
VPN

Portal Cautivo

El sistema opertativo de los RouterBOARD

Puede ser instalado en un PC

¿ Qué es RouterBOARD ?

Un hardware creado por Mikrotik

Abarca un rango amplio desde routers caseros

hasta routers de proveedores de servicio.

Todos operan con el sistema RouterOS

caseros hasta routers de proveedores de servicio. • Todos operan con el sistema RouterOS ©MikroTik Xperts

Soluciones

Integradas

Son productos que se entregan completos con su caja y adaptador de corriente

Listos y preconfigurados con las funcionalidades más básicas, solo es necesario conectarlos a internet o a la red corporativa

Tarjetas

Son vendidas por separadas, es necesario la compra

de caja, adaptador e interfaces por separado

Perfectas para ensamblar sistemas con la mayor personalización

e interfaces por separado • Perfectas para ensamblar sistemas con la mayor personalización ©MikroTik Xperts 2014
e interfaces por separado • Perfectas para ensamblar sistemas con la mayor personalización ©MikroTik Xperts 2014
e interfaces por separado • Perfectas para ensamblar sistemas con la mayor personalización ©MikroTik Xperts 2014

Nota de interés

El nombre de los routers es seleccionado de

acuerdo a las características del mismo. Ejemplos:

o

CCR : Cloud Core Router

o

RB : RouterBoard

o

2, 5 : 2,4GHZ or 5GHz wifi radio

o

H : High powered radio

o

S : SFP

o

U : USB

o

i : Injector

o

G : Gigabit ethernet

Primer acceso

Null Modem

Cable

Primer acceso Null Modem Cable Ethernet cable ©MikroTik Xperts 2014 13

Ethernet

cable

Formas de acceso

Vía RS232 (Sólo para ciertos RouterBoard)

Vía WEB

Vía Winbox (IP o MAC)

Vía Telnet

Disponible en casi todos los sistemas operativos

Forma insegura

Vía SSH

Dispone de muchas erramientas gratuitas para su conexión, tales como

PuTTY

Vía segura de acceso

Equipo de fábrica

Conectar la laptop al puerto 5 del router

El equipo entregará una IP del segmento 192.168.88.0/24

la laptop al puerto 5 del router El equipo entregará una IP del segmento 192.168.88.0/24 ©MikroTik

Descarga de Winbox

Ingresamos al servidor web interno del router con la IP del router 192.168.88.1

Al tener usuario/clave por defecto ingresará directamente al menú webfig de

gestión Descargar el winbox y guardar en el escritorio

directamente al menú webfig de gestión Descargar el winbox y guardar en el escritorio ©MikroTik Xperts

Descarga del Winbox

www.mikrotik.com

Descarga del Winbox www.mikrotik.com ©MikroTik Xperts 2014 17

Winbox

Es la aplicación para la configuración del RouterOS

Winbox es una herramienta que permite administrar un

Mikrotik utilizando una rápida y simple interfaz gráfica.

Es nativo de Windows, pero puede ser utilizado en Linux o Mac mediante Wine.

Todas las funciones de Winbox son lo mas parecidos a

configuralo por cónsola, razón por la cual no hay secciones específicas del Winbox en el manual.

Algunas opciones avanzadas no son posibles vía Winbox, como

el cambio de MAC de una interfaz.

Puede ser descargado desde www.mikrotik.com/download.

Conectando

Haz click en el botón [

]

para ver el router

Conectando Haz click en el botón [ ] para ver el router ©MikroTik Xperts 2014 19
Conectando Haz click en el botón [ ] para ver el router ©MikroTik Xperts 2014 19

Conectando

Conectando Ethernet Cable Winbox ©MikroTik Xperts 2014 20

Ethernet

Cable

Winbox

Conectando Ethernet Cable Winbox ©MikroTik Xperts 2014 20

Laboratorio de conexión

Ingrese al Mikrotik mediante la Mac-Address

El usuario por defecto es “admin” sin password.

• El usuario por defecto es “admin” sin password. • Tome unos minutos para ver la

Tome unos minutos para ver la ubicación de

los menus

Laboratorio de conexión

Laboratorio de conexión • Borrar la configuración por defecto Caso 1: desde el menú Remove Configuration

Borrar la configuración por defecto

Caso 1: desde el menú Remove Configuration

o

Caso 2: desde el terminal

v v v
v
v
v
Remove Configuration o Caso 2: desde el terminal v v v system reset-configuration no-defaults=yes En este

system reset-configuration no-defaults=yes

En este caso pedirá reinicio

Comunicación

El proceso de comunicación se divide en 7 capas.

Abarca desde la más baja (capa física) hasta la más alta capa de aplicación.

©MikroTik Xperts 2014 24

©MikroTik Xperts 2014

24

7 Aplicación
7 Aplicación

Especifica los métodos para llevar a cabo una tarea iniciada por el usuario. Los protocolos de la capa de aplicación tienden a ser concebidos y ejecutados por los desarrolladores de aplicaciones. Ejemplo: FTP, Skype, HTTP, etc.

6 Presentación
6 Presentación

Especifica los métodos para la expresión de los formatos de datos y normas de traducción para aplicaciones. La encriptación se asocia algunas veces con esta capa. Ejemplo: Conversión de EBCDIC a ASCII. Extensiones JPEG, Docx

5 Sesión
5 Sesión

Especifica métodos para múltiples conexiones que constituyen una sesión de comunicación. Esto puede incluir cerrar conexiones, reiniciar conexiones y puntos de control. Ejemplo: ISO X.25

4 Transporte
4 Transporte

Especifica los métodos para las conexiones entre múltiples programas que se ejecutan en el mismo PC. Esta capa puede implementar entregas seguras en caso de que no se apliquen en otros lados. Ejemplo: Internet TCP, ISO,

TP4)

3 Red
3 Red

Para redes de paquetes, describe un formato de paquete abstracto y su estructura de direccionamiento estándar.

Ejemplo: IP datagram, X.25 PLP, ISO CLNP

2 Enlace de datos
2 Enlace de datos

Especifica los métodos para comuncarse a través de un enlace, incluyendo protocolos de “control de acceso al

medio”. La detección de error se incluye comunmente en esta capa. Ejemplo: Ethernet, Wi-Fi, ISO 13239/HDLC.

1 Física
1 Física

Especifica los conectores, tasas de datos, y la forma en que los bits son codificados en algún medio. También describe detección y corrección de bajo nivel, más asignaciones de frecuencia. Ejemplo: V.92, Ethernet 1000BASE-T, SONET/SDH

MAC address

Dirección única de capa de enlace

Utilizada para comunicaciones dentro de la

misma LAN

Ejemplo: 00:0C:42:20:97:68

IP

Es la dirección lógica para un dispositivo de

red.

Se utliza para comunicación entre distintas

redes.

Ejemplo: 159.148.60.20

Subredes

Rango de IP que divide la porción de red en varios segmentos

Ejemplo: 255.255.255.0 o /24

Subredes

La dirección de red es la primera dirección de la subred. (no se puede utilizar) Ej: 192.168.1.0/24

La primera dirección disponible de host corresponde con

el consecutivo de la dirección de red. Ej: 192.168.1.1/24

La última dirección disponible de host corresponde con la dirección anterior al broadcast. Ej: 192.168.1.254/24

La dirección de broadcast es la última IP de la subred (no

se puede utilizar). Ej: 192.168.1.255/24

©MikroTik Xperts 2014

29

Estructura de direccionamiento IP

Cada PC conectado a una red TCP/IP debe tener al

menos una IP para comunicarse.(Capa 3) IP: 32 bits = 4 octectos

1 octeto = 8 dígitos binarios = 1 Byte

Se representa con decimales por sencillez.

CIDR

Subnet Mask

Hosts

Disponibles

/32

255.255.255.255

/30

/29

/28

/27

/26

/25

/24

255.255.255.252

4 2 = 2

255.255.255.248

8

2 = 6

255.255.255.240

16

2 = 14

255.255.255.224

32

2 = 30

255.255.255.192

64

2 = 62

255.255.255.128 128 2 = 126

255.255.255.0 256 2= 254

2 = 30 255.255.255.192 64 – 2 = 62 255.255.255.128 128 – 2 = 126 255.255.255.0

CIDR

Subnet Mask

Hosts Disponibles

CIDR Subnet Mask Hosts Disponibles /23 255.255.254.0 512 – 2 = 510 /22 255.255.252.0 1024 –
CIDR Subnet Mask Hosts Disponibles /23 255.255.254.0 512 – 2 = 510 /22 255.255.252.0 1024 –

/23

255.255.254.0

512 2 = 510

/22

255.255.252.0

1024 2= 1022

/21

255.255.248.0

2048

2 = 2046

/20

255.255.240.0

4096

2 = 4094

/19

255.255.224.0

8192

2 = 8190

/18

255.255.192.0

16384

2= 16382

/17

255.255.128.0

32768

2= 32766

/16

255.255.0.0

65536

2= 65534

El prefijo es expresado en notación CIDR (Classless Inter-Domain

Routing). Primero se escribe la dirección de la red seguida por el caracter (/), finalizando con la cantidad de bits del prefijo de red y subred. Por ejemplo una 192.168.1.0/24 tiene 24 bits de red y

los restantes 8 bits son para host.

Seleccionando la

dirección IP

Seleccione una dirección IP del mismo segmento de su red local

Especialmente en redes grandes con segmentos múltiples.

Escogiendo una IP

Escogiendo una IP RANNGO Dirección de Red: 192.0.0.0/16 1 Host válido: 192.0.0.1 Último host válido: 192.0.255.254
RANNGO
RANNGO

Dirección de Red: 192.0.0.0/16 1 Host válido: 192.0.0.1

Último host válido: 192.0.255.254 Broadcast: 192.0.255.255

Topología de clase

ether1-wan

ether5-laptop

Topología de clase ether1-wan ether5-laptop laptop Router1 Mikrotik Principal 103.23.247.1 Router laptop 2 wan:
Topología de clase ether1-wan ether5-laptop laptop Router1 Mikrotik Principal 103.23.247.1 Router laptop 2 wan:
laptop Router1 Mikrotik Principal 103.23.247.1 Router laptop 2
laptop
Router1
Mikrotik
Principal
103.23.247.1
Router
laptop
2

wan: 103.23.247.x (DHCP Cliente)

lan: 192.168.N.1/24

Internet
Internet

lan: 192.168.N.1/24

wan: 103.23.247.x (DHCP Cliente)

Laptop - Router

1. Deshabilitar cualquier interfaz inalámbrica de la laptop

2. Colocar la dirección IP

192.168.N.1

3. Colocar máscara 255.255.255.0

4. Colocar 192.168.N.254 como puerta de enlace predeterminada y DNS preferido

255.255.255.0 4. Colocar 192.168.N.254 como puerta de enlace predeterminada y DNS preferido ©MikroTik Xperts 2014 35

Etiquetar interfaces (TIP)

1.Ingresar al router

2.Ir a interfaces

3.Hacer doble click sobre una interfaz

4.Cambiar el nombre

al router 2. Ir a interfaces 3. Hacer doble click sobre una interfaz 4. Cambiar el

Laptop - Router

1.Conectar al router con MAC-Winbox

2.Agregar la IP 192.168.N.254/24 al puerto ether5

1. Conectar al router con MAC-Winbox 2. Agregar la IP 192.168. N .254/24 al puerto ether5
1. Conectar al router con MAC-Winbox 2. Agregar la IP 192.168. N .254/24 al puerto ether5
1. Conectar al router con MAC-Winbox 2. Agregar la IP 192.168. N .254/24 al puerto ether5

Laptop - Router

Cerrar el Winbox y conectar de nuevo utilizando la dirección IP.

el Winbox y conectar de nuevo utilizando la dirección IP. • El acceso vía MAC debe

El acceso vía MAC debe ser sólo usado

cuando el router no sea accesible vía IP.

Router - Internet

El Gateway a internet de la clase será accesible vía cable UTP.

El router del instructor será su proveedor de internet.

Router - Internet

Router - Internet ©MikroTik Xperts 2014 40

Router - Internet

Revisar la conectividad hacia

internet.

Router - Internet Revisar la conectividad hacia internet. ©MikroTik Xperts 2014 41

Router Internet

Class AP Your Laptop Your Router DHCP-Client Ether1-wan
Class AP
Your Laptop
Your Router
DHCP-Client
Ether1-wan

Laptop - Internet

Cambie el DNS de su laptop con la IP de su

router. (192.168.N.254)

Laptop - Internet

La laptop puede acceder al router y el router

puede acceder a internet, para que su laptop

acceda a internet es necesario un paso adicional.

Es necesario crear una regla de Masquerade en el Firewall Filter para ocultar su red privada detrás del router y que pueda ser

enrutable hacia internet.

IPs privadas y públicas

IPs privadas y públicas • El Masquerade es utilizado para acceso a redes públicas, donde no

El Masquerade es utilizado para acceso a redes públicas,

donde no son enrutables IP privadas.

Según el RFC 1918 de la IETF las redes privadas son:

10.0.0.0 - 10.255.255.255 (10.0.0.0 /8)

172.16.0.0 - 172.31.255.255 (172.16.0.0 /12)

192.168.0.0 - 192.168.255.255 (192.168.0.0 /16)

©MikroTik Xperts 2014

45

Laptop - Internet

Laptop - Internet ©MikroTik Xperts 2014 46

Laptop - Internet

Laptop - Internet Su router puede ser el servidor DNS de su red local (laptop) ©MikroTik

Su router puede ser el servidor DNS de su red local (laptop)

Probar conectividad

Ping www.mikrotik.com desde su laptop

Probar conectividad Ping www.mikrotik.com desde su laptop ©MikroTik Xperts 2014 48

TroubleShooting

¿Su router puede hacer ping al AP?

¿Puede su router resolver nombres?

¿Puede llegar a redes más alla de su router?

¿Su Laptop puede resolver nombres?

¿Colocó correctamente la regla de Masquerade?

Verificar que la laptop tenga puerta de enlace y DNS configurados correctamente.

Diagrama de red

Class AP

Your Router 192.168.N.254
Your Router
192.168.N.254

Your Laptop

192.168.N.1

DHCP-Client

Gestión de usuarios

Control de usuarios

Se pueden crear diferentes tipos de usuarios

Gestión de usuarios • Control de usuarios • Se pueden crear diferentes tipos de usuarios ©MikroTik

Laboratorio de gestión

de usuarios

Laboratorio de gestión de usuarios • Crear un nuevo usuarios con acceso de lectura • Recordar

Crear un nuevo usuarios con acceso de lectura

Recordar el nombre/contraseña de usuario

Logearse con el nuevo usuario y ver las

limitaciones de la nueva cuenta.

Ingresar como Admin y cambie la cuenta creada a privilegios Full

Antes de actualizar

Antes de actualizar • El procedimiento requiere planificación  Paso a paso en orden preciso •

El procedimiento requiere planificación

Paso a paso en orden preciso

Requiere probar

Recomendable realizarlo en una ventana de mantenimiento

Puede que ciertas características o sintaxis de la configuración anterior no coincidan con la nueva versión

Estar preparado para retornar a la versión previa si es necesario

Antes de actualizar

Antes de actualizar • Revisar la arquitectura que corresponde con el sistema operativo ( mipsbe, pcc,

Revisar la arquitectura que corresponde con el sistema operativo (mipsbe, pcc, X86, misple, tile)

Si dudas es posible revisar la arquitectura en la esquina

izquierda del Winbox

Conocer los archivos que requiero:

NPK : Sistema base RouterOS con los paquetes estándar.

ZIP: Contiene todos los paquetes (básicos y adicionales)

Changelog: Indica los cambios y mejoras entre versiones

Laboratorio de

actualización de RoS

Laboratorio de actualización de RoS • Descargar los paquetes .zip desde http://103.23.247.7 • Descomprimir el

Descargar los paquetes .zip desde http://103.23.247.7

Descomprimir el archivo .zip en una carpeta

Subir los archivos desde el winbox vía IP

Reiniciar el router con el comando reboot.

Las actualizaciones siempre están disponibles en www.mikrotik.com

Actualizando el router

Actualizando el router • Utilizar el combinado de paquetes de RouterOS • Arrastrar los archivos a

Utilizar el combinado de paquetes de RouterOS
Arrastrar los archivos a files.

Laboratorio de

actualización de RoS

Laboratorio de actualización de RoS • En nuevas versiones de RoS se habilita la descarga automática.

En nuevas versiones de RoS se habilita la descarga

automática.

de actualización de RoS • En nuevas versiones de RoS se habilita la descarga automática. ©MikroTik

©MikroTik Xperts 2014

57

Downgrade

Si en el algún momento necesitamos bajar a una versión anterior:

Subimos los archivos de la versión en el files

Y en el package List clickeamos Downgrade

También es posible vía terminal con el comando

system package downgrade

Gestión de paquetes

Gestión de paquetes Las funcionalidades del RouterOS son habilitadas mediante paquetes ©MikroTik Xperts 2014 59

Las funcionalidades del RouterOS son habilitadas

mediante paquetes

Información de paquetes

Información de paquetes ©MikroTik Xperts 2014 60

©MikroTik Xperts 2014

60

NTP

Network Time Protocol, para sincronizar hora

Son soportados el Servidor NTP y el cliente NTP en RouterOS

¿Por qué NTP?

Para obtener la hora correcta

En el caso de routers sin memoria interna

pueda preservar la información de la hora

Disponible en todos los RouterBOARDs

Cliente NTP

El paquete NTP no es requerido

Cliente NTP El paquete NTP no es requerido ©MikroTik Xperts 2014 63

Laboratorio de paquetes

Laboratorio de paquetes • Deshabilitar NTP (Pregunta de exámen) • Reiniciar con reboot • Revisar que

Deshabilitar NTP (Pregunta de exámen)
Reiniciar con reboot

Revisar que NTP Client cambio a SNTP Client

Actualización del

RouterBoot

Actualización del RouterBoot • Revisamos la versión actual • De ser necesario actualizar ©MikroTik Xperts 2014

Revisamos la versión actual

del RouterBoot • Revisamos la versión actual • De ser necesario actualizar ©MikroTik Xperts 2014 65

De ser necesario actualizar

del RouterBoot • Revisamos la versión actual • De ser necesario actualizar ©MikroTik Xperts 2014 65

Router Identity

Opción para colocarle nombre al router

Router Identity Opción para colocarle nombre al router ©MikroTik Xperts 2014 66

Router Identity Lab

Router Identity Lab Colocarle al nombre del router su su número N_nombre ©MikroTik Xperts 2014 67

Colocarle al nombre del router su su número N_nombre

Router Identity

El nombre puede ser visto en diferentes sitios.

Router Identity El nombre puede ser visto en diferentes sitios. ©MikroTik Xperts 2014 68

Tipos de respaldo

Respaldo Binario (.backup)
Exportar la configuración (.rsc)

Respaldo Binario

Se pueden hacer respaldos y restaurar configuraciones en el menú file de Winbox.

y restaurar configuraciones en el menú file de Winbox. • Se garantiza la restauración en un

Se garantiza la restauración en un router idéntico en Software y Hardware

Son archivos encriptados por lo que no son editables

También se pueden hacer y restaurar respaldos desde el terminal permitiendo personalización del archivo. Ejemplos:

system backup save name=mirespaldo_RB750_5.26 (Creación)

system backup load name=mirespaldo_RB750_5.26 (Restauración)

Respaldo con Export

Se pueden hacer respaldo parciales o totales de la configuración

Estos archivos son editables

Las contraseñas no son guardadas con el export

Se puede utilizar “compact” para que muestre sólo la configuración que no es por defecto.

Para importar una configuración tener en cuenta no sobreescribir comandos

/export file=conf_RB750_Dic-12 (Respaldo completo) /export compact file=conf_RB750_Dic-12 ( Respaldo limpio) / ip firewall filter export file=firewall-aug-2012 (Respaldo parcial)

/import file-name=conf_RB750_Dic-12 (Restauración)

Laboratorio de Backup

Laboratorio de Backup • Crear archivos de backup y export • Descargarlos a la laptop. o

Crear archivos de backup y export

Descargarlos a la laptop.

o Nota: tener los respaldos en el files unicamente no es

una buena estrategia

Abrir el archivo de export con un editor de texto

Licencias

6 Niveles de Licencia

0 : Demo (24 horas)

1 : Free (muy limitada)

3 : WISP CPE (Cliente Wi-Fi)

4 : WISP (Requerida para colocar en modo AP el router)

5 : WISP (Mayor capacidad de usuarios, VPNs,etc)

6 : Controller (Capacidade ilimitadas)

5 : WISP (Mayor capacidad de usuarios, VPNs,etc)  6 : Controller (Capacidade ilimitadas) ©MikroTik Xperts

Licencias

Licencias ©MikroTik Xperts 2014 74

Obtener una licencia

Login to your account
Login to
your account

Tips:

La licencia se puede utilizar

para un único dispositivo

Todos los RouterBoard vienen con una licencia preinstalada

Se recomienda no formatear

la unidad con herramientas que no sean de MikroTik

Netinstall

Usar para instalar o reinstalar el RouterOS

Se utiliza cuando se pierde el password de

acceso o se corrompe el RouterOS

Corre en computadores Windows

La conexión directa con el router es preferida o sobre un Switch

Disponible en www.mikrotik.com

Procedimiento Netinstall

1.

Descargar el Netinstall y el archivo .npk de la versión 5.26

2.

Desactive firewall y antivirus del computador

3.

Conectar el computador en el puerto 1

4.

Colóquele a su computador una IP estática

5.

Abra la aplicación Netinstall

1. Haga click en Net-booting y coloque una IP en el mismo segmento de su computador

2. En la sección de Package, haga click en Browse y ubique el directorio con el archivo NPK correcto

Procedimiento Netinstall

5. Desconecte la alimentación y presione el botón reset

6. Conecte el la alimentación y libere el botón reset cuando el

led ACT se apague (unos 10 seg)

7. Seleccione el router luego que aparezca en Routers/Drive

Cuidado: no aplique este procedimiento a los disco duros de su computador, podría formatear la unidad.

8. Seleccione el RouterOS requerido en Packages. 9. Presionar

el botton Install y esperar a que cargue

Links útiles

www.mikrotik.com gestión de licencias, documentación

forum.mikrotik.com compartir experiencias con otros usuarios, foro moderado por el equipo de MikroTik

wiki.mikrotik.com toneladas de ejemplos

www.tiktube.com Videos de presentaciones de trainers, partners, ISPs durante, etc durante los MUMs

Módulo 2

Enrutamiento

Conceptos de

enrutamiento

Enrutamiento es un proceso de la capa 3 del

modelo OSI.

Define a donde será reenviado el tráfico

Es requerido para que diferentes redes se comuniquen entre sí.

Es necesario rutas bidireccionales para que

haya comunicación entre 2 redes.

Significado de flags

Las rutas tienen diferentes estatus. En este curso conoceremos los siguientes:

X : Deshabilitado

A : Activo

D : Dinámico

C : Conectado

S : Estático

X : Deshabilitado ⁻ A : Activo ⁻ D : Dinámico ⁻ C : Conectado ⁻

Rutas estáticas

Las rutas a subredes que ya existen en el

router son creadas automáticamente a penas se agrega una IP a la interfaz (rutas conectadas)

Para subredes que están conectadas a otros routers necesitaremos rutas estáticas

Rutas

Validar la configuración

Pruebe hacer ping a su laptop

Pruebe hacer ping al laptop del vecino

192.168.N.1

Configuraremos rutas estáticas para poder llegar a su vecino.

Entendiendo los campos

Entendiendo los campos Flags : El estado de cada ruta como fue explicado anteriormente. Destination address

Flags: El estado de cada ruta como fue explicado anteriormente.

Destination address: define las redes que pueden ser alcanzables

Gateway : La IP del próximo salto (router para poder alcanzar red destino)

Distancia: Valor utilizado para la selección de la

ruta. En las configuraciones que tenemos varias distancias posibles, la ruta preferida es la ruta con el menor valor.

Pref. Source : La dirección IP de la interfaz

local que es responsible de enviar los paquetes de una red anunciada

Gateway por defecto

Gateway por defecto:

El próximo salto donde todos los paquetes cuyas rutas no se conozcan serán enviados

defecto: El próximo salto donde todos los paquetes cuyas rutas no se conozcan serán enviados ©MikroTik

Laboratorio de gateway por

defecto

En estos momentos su router recibe el

gateway por DHCP

Deshabilite que se reciba vía DHCP

Agregue la puerta de enlace predeterminada

manualmente.

Enrutamiento

Revise las otras

rutas

Las rutas marcadas con

DAC son

agregadas

automáticamente

La ruta DAC viene

de las interfaces activas con

• La ruta DAC viene de las interfaces activas con d i r e c c

Enrutamiento estático

El objetivo es hacerle ping a la laptop del vecino

Lo conseguiremos mediante rutas estáticas

Enrutamiento estático

Las rutas estáticas definen como alcanzar

una red destino

El Default gateway también es una ruta estática hacia 0.0.0.0, envía todo el tráfico

cuya ruta desconoce

Enrutamiento estático

Deshabilitaremos la regla de masquerade

que escondenuestra red privada

Es necesaria una ruta estática para alcanzar

la laptop del vecino dado que el gateway

(router del instructor) no tiene información de las redes privadas de los estudiantes.

Ruta hacia su vecino

Recuerda la topología de red

La red de su vecino tiene el formato

192.168.N.0/24

Preguntele al vecino la dirección IP de su

interfaz wan.

Rutas

Rutas • Las reglas del ip route indica a donde van a ser enviados los paquetes

Las reglas del ip route

indica a

donde van a ser enviados

los paquetes

Para ver las

rutas:

/ip route

/print

Ruta al vecino

Ruta al vecino • Agregue una ruta • Indique la red destino, la red local de

Agregue una ruta

Indique la red destino, la red local de su vecino

Indique el gateway, la dirección que es usada

para alcanzar el destino, corresponde con la IP de la interfaz wan del router vecino

Ruta al vecino

Agregue ruta

Ruta al vecino • Agregue ruta • Coloque el gateway • Haga ping a la laptop
Ruta al vecino • Agregue ruta • Coloque el gateway • Haga ping a la laptop

Coloque el gateway

Haga ping a la laptop de su vecino

Coloque el gateway • Haga ping a la laptop de su vecino • Nota: Recuerde que

Nota: Recuerde que debe haber una ruta de regreso

Haga ping a la laptop de su vecino • Nota: Recuerde que debe haber una ruta

Enrutamiento dinámico

La misma configuración es posible con enrutamiento dinámico

Imagine que tiene que crear rutas estáticas a

cada vecino de su red.

En lugar de crear cientos de rutas, los

protocolos dinámicos intercambian paquetes y ejecutan algoritmos que les permite

encontrar y divulgar mejores rutas hacia

algún destino.

Enrutamiento dinámico

Fácil de configurar, difícil de gestionar y

hacer troubleshooting

Utiliza mayores recursos de RAM y CPU del router

Enrutamiento dinámico

Veremos uno sólo de los protocolos de enrutamiento dinámicos: OSPF

OSPF es de rápida convergencia y obtiene

rutas óptimas.

Fácil de configurar

Configuración OSPF

Agregue su red

LAN y su red WAN en la pestaña Networks de OSPF

El protocolo se habilitará

Nota: Lo único necesario para activar OSPF es agregar una red Networks

se habilitará Nota: Lo único necesario para activar OSPF es agregar una red Networks ©MikroTik Xperts

OSPF LAB

OSPF LAB • Revisar las rutas • Hacer ping al PC de su vecino • Recuerde,

Revisar las rutas

Hacer ping al PC de su vecino

Recuerde, son necesarios conocimientos adicionales para administrar redes con OSPF

Módulo 3

Bridging

Bridge

Los puentes son dispositivos de la capa 2 del modelo OSI.

Son utilizados para unir dos segmentos diferentes (o similares)

Para crear un bridge se debe crear una interfaz de bridge

Luego añadir las interfaces correspondientes a ese bridge.

Son utilizados para crear dominios de colisión más pequeños.

Los Switches son conocidos como puentes multi puertos.

Cada puerto es un dominio de colisión de un dispositivo.

como puentes multi puertos.  Cada puerto es un dominio de colisión de un dispositivo. ©MikroTik

Ejemplo 1

Todas las computadoras se pueden comunicar entre si

Todas tienen que esperar que todas esten calladas antes de

empezar a transmitir

entre si • Todas tienen que esperar que todas esten calladas antes de empezar a transmitir

Ejemplo 2

Todas las computadoras aún necesitan escuchar” al otro

Todas las computadoras ahora sólo comparten la mitad del “cable”

Aún todas tienen que esperar que todas estén calladas, pero ahora el grupo es de la mitad del tamaño.

tienen que esperar que todas estén calladas, pero ahora el grupo es de la mitad del

Utilizando bridge en Mikrotik

Está opción está por defecto en los routers MikroTik, los puertos Ethernet están asociados (en modo esclavo) a un puerto master.

Ventaja: Conmutación cableada de alta velocidad (a través

de chip de switch, conmutación de hardware)

Desventaja: El tráfico de los puertos esclavos no es visible. No es deseable si se utiliza SNMP para monitorear el uso de los puertos.

Utilizando bridge en Mikrotik

Removiendo la configuración maestro y esclavo, es necesario

utilizar interfaz de bridge para unir” los puertos requeridos

en una misma LAN

Ventaja: Visibilidad completa de todas las estadísticas de los puertos dentro del bridge

Desventaja: La conmutación es realizada a través del software lo que requiere mayor procesamiento de CPU. La velocidad de transmisión será inferior a la óptima velocidad

de tranferencia

Creando el Bridge

El bridge se configura desde el menú /interface bridge

Por estabilidad utilizar rstp y una MAC Fija

desde el menú / interface bridge • Por estabilidad utilizar rstp y una MAC Fija ©MikroTik

©MikroTik Xperts 2014

desde el menú / interface bridge • Por estabilidad utilizar rstp y una MAC Fija ©MikroTik

107

Agregar puertos al Bridge

Las interfaces son agregadas una a una al Bridge

Bridge • Las interfaces son agregadas una a una al Bridge • Ahora es necesario colocarle

Ahora es necesario colocarle la IP del puerto 5 al bridge_lan

Bridge

Se pueden agregar interfaces Ethernet, wlan

sin problemas

Los clientes inalámbricos en (mode=station) no soportan bridge dada las limitaciones de

802.11

La configuración de bridge en interfaces

inalámbricas se verá en el próximo módulo.

Módulo 4

Redes

Inalámbricas

Redes inalámbricas

RouterOS soporta varios módulos de radio

para comunicación inalámbrica en 2.4Ghz y

5Ghz

MikroTik RouterOS brinda completo soporte

a estándares 802.11a/b/g/n

Estándares inalámbricos

IEEE 802.11b - 2.4GHz , 11Mbps

IEEE 802.11g - 2.4GHz , 54Mbps
IEEE 802.11a - 5GHz, 54Mbps
IEEE 802.11n - 2.4GHz o 5GHz hasta 300 Mbps

Canales 802.11 b/g

1 2 3 6 4 5 7 8 9 10 11 2483 2400
1
2
3
6
4
5
7
8
9
10
11
2483
2400

(11) Canales de 22 MHz (US)

3 canales que no se solapan

3 puntos de acceso pueden ocupar la misma área sin causarse interferencia (1,6,11)

Canales 802.11a

36 40 42 44 48 50 52 56 58 60 64 5210 5250 5290 5150
36
40
42
44
48
50
52
56
58
60
64
5210
5250
5290
5150
5180
5200
5220
5240
5260
5280
5300
5320
5350
149
152
153
157
160
161
5760 5800 5735 5745 5765 5785 5805 5815
5760
5800
5735
5745
5765
5785
5805
5815

(12) canales de 20 MHz

(5) canales de 40MHz (wide turbo channels)

Bandas soportadas

Todos los canales 5GHz (802.11a) y

2.4GHz (802.11b/g)

Frecuencias soportadas

Dependiendo de las regulaciones por país las tarjetas inalámbricas funcionan en el rango:

o

2.4GHz: 2312 - 2499 MHz

o

5GHz: 4920 - 6100 MHz

Regulaciones del país

Regulaciones del país ©MikroTik Xperts 2014 117

Nombre del radio

Utilizaremos el nombre del radio para el mismo

propósito que el router identity

Colocar en el nombre del radio: Su número + nombre

Red inalámbrica

Red inalámbrica ©MikroTik Xperts 2014 119

Configuración de estación

Fijar mode=station

Selecione la banda

Indicar el SSID

El canal se puede

seleccionar haciendo

un Scan

Selecione la banda • Indicar el SSID • El canal se puede seleccionar haciendo un Scan

Connect List

Indica los parámetros para que el cliente seleccione el

punto de acceso

donde se va a conectar

los parámetros para que el cliente seleccione el punto de acceso donde se va a conectar

Connect List Lab

Connect List Lab • Ahora su router está conectado al punto de acceso de la clase

Ahora su router está conectado al punto de

acceso de la clase

Cree una regla para no permitir la conexión al AP de la clase

Utilice los parámetros del Connect-list

Configuración de AP

Coloque el modo mode=ap-bridge

Seleccione la Banda

Indique el SSID

Fije la frecuencia

el modo mode=ap-bridge • Seleccione la Banda • Indique el SSID • Fije la frecuencia ©MikroTik

Snooper monitor inalámbrico

Se utiliza para

obtener una vista

global de las redes inalámbricas en la

banda seleccionada

La interfaz inalámbrica se

desconecta para

usar esta herramienta

la banda seleccionada • La interfaz inalámbrica se desconecta para usar esta herramienta ©MikroTik Xperts 2014

Tabla de registros

Ve todo los dispositivos

conectados a

las interfaces inalámbricas

Tabla de registros • Ve todo los dispositivos conectados a las interfaces inalámbricas ©MikroTik Xperts 2014

Seguridad del punto de acceso

Access-list: para ver clientes y en que

condiciones se

conectarán

Deshabilitando el

Default-

Authentication se conectan solo los

usuarios del Access-

List

©MikroTik Xperts 2014
©MikroTik Xperts 2014

126

Default Authentication

Habilitada, las reglas del Access-List el

cliente se puede conectar a menos que haya

una regla que lo niegue.

Deshabilitada, sólo se revisan los usuarios

en el Access-List

Laboratorio de

Access-List

Laboratorio de Access-List • Este laboratorio lo hará el instructor en el punto de acceso de

Este laboratorio lo hará el instructor en el punto de acceso de la clase

Deshabilitar conexión a un usuario específico

Permitir conexión para sólo ciertos clientes

Seguridad

Habilitemos la encriptación en nuestra red

inalámbrica

Utilizar encriptación WPA o WPA2

Todos los dispositivos de la red deben tener

las mismas opciones de seguridad

Seguridad

Seguridad • Crear un nuevo perfil llamado profile1 • Habilitar las opciones WPA y WPA2 PSK

Crear un nuevo perfil llamado profile1

Habilitar las opciones

WPA y WPA2 PSK

La contraseña es

mikrotikmtcna

profile1 • Habilitar las opciones WPA y WPA2 PSK • La contraseña es mikrotikmtcna ©MikroTik Xperts

Tip de configuración

Para ver la

contraseña deshabilitar la opción

Hide Password

Se pueden ver otras contraseñas excepto

la de los usuarios del

MikroTik

Hide Password • Se pueden ver otras contraseñas excepto la de los usuarios del MikroTik ©MikroTik

Aislar clientes inalámbricos

El Default-Forwarding se utiliza para deshabilitar tráfico entre clientes conectados al mismo punto de acceso

se utiliza para deshabilitar tráfico entre clientes conectados al mismo punto de acceso ©MikroTik Xperts 2014

Default Forwarding

Las reglas del Access-List tienen mayor prioridad

Revisar si las reglas están funcionando para controlar los clientes

Nstreme

Protocólo propietario de MikroTik

Mejora enlaces inalámbricos, especialmente los de largo alcance

Para utilizarlo en la red es necesario

habilitarlo en todos los dispositivos inalámbricos dentro de la red

NV2 (Nstreme Version 2)

Protocólo propietario de MikroTik

Para utilizar con chip Atheros 802.11

Basado en TDMA (Time Division Multiple Access) en reemplazo de CSMA (Carrier Sense Multiple Access)

Utilizado para mejorar el desempeño en

largas distancias

NV2 (Nstreme Version 2)

Beneficios de NV2

Incrementa la velocidad del enlace

Más clientes conectados en ambientes

punto-multipunto (limitado a 511 clientes)

Menor latencia

No hay limitaciones de distancias

Redes inalámbricas en

bridge

El modo Station-Bridge: Es un modo

propietario para crear bridge en capa 2 de

forma segura entre routers MikroTik.

Pueden ser utilizados para expandir subredes

inalámbricas a más clientes.

Módulo 5

Gestión de Red Local

Planeación de la red local

Planifique su red cuidadosamente

Tome cuidado de los usuarios locales que tienen acceso a su red

Implemete las características de RouterOS

para asegurar los recursos dentro de su red

ARP

Address Resolution Protocol

ARP se encarga de encontrar la dirección MAC que le corresponde a una IP determinada

ARP funciona de manera dinámica pero

también puede ser manejado estáticamente

La tabla de ARP muestra la IP,

MAC y puerto

donde está conectado un

dispositivo

ARP Table

La tabla de ARP muestra la IP, MAC y puerto donde está conectado un dispositivo ARP

Tabla estática de ARP

Para mejorar la seguridad local, las entradas ARP pueden ser creadas manualmente

De esta manera los clientes no podrían tener acceso a Internet si se cambia la dirección IP

Modos ARP

Los modos ARP le indican al RouterOS como el ARP va a funcionar

o

Estos modos son configurados por interfaz

Los modos son:

o

Enabled: Modo por defecto. Las peticiones ARP son respondidas y la tabla ARP será llenada de forma automática

o

Disabled: La interfaz no enviará o reposderá peticiones ARP de otros

hosts. Será necesario indicarle al router las MAC

o

Proxy ARP: El router responde las peticiones ARP provenientes de su red directamente conectada (sin importar el origen)

o

Reply-only: El router sólo responderá peticiones ARP. La tabla ARP debe ser llenada de forma estática

Configuración de ARP estático

Configuración de ARP estático • Agregar una entrada estática en la tabla ARP • Fije la

Agregar una entrada estática en la tabla ARP

Fije la interfaz arp=reply- only para deshabilitar creación dinámica vía

ARP

Dehabiltar y habilitar la interfaz o reinicie el

router

©MikroTik Xperts 2014

144

Laboratorio de ARP estático • Coloca la MAC de tu laptop como entrada estática •

Laboratorio de ARP estático

Coloca la MAC de tu laptop como entrada

estática

En la configuración del puerto Ethernet coloca arp=reply-only

Cambia la IP de tu PC (dentro del mismo

segmento)

Prueba la conectividad a Intenet

Servidor DHCP

Dynamic Host Configuration Protocol

Usado para entregar de forma automática

direcciones en una red local

Usar DHCP sólo en redes seguras

Servidor DHCP

Para configurar el servidor DHCP es necesario

tener una IP en la intefaz

Utilice el comando setup para habilitar el

servidor DHCP

Serán preguntados los datos necesarios

Configurando el Servidor

DHCP

Click on DHCP Setup Time that client may use Set Addresses that DNS server address
Click on DHCP Setup
Time that client may use
Set Addresses that
DNS server address
Set Network for DHCP,
Set Gateway for
to run Setup Wizard
that will be assigned to clients
will be given to clients
IP address
offered automatically
DHCP clients
Select interface for
DHCP server

Importante

Para configurar el servidor DHCP en un bridge, fija el servidor en la intefaz de bridge

Si se configura en uno de los puertos del bridge, el servidor aparecerá inválido

Servidor DHCP

Servidor DHCP • Configure el servidor DHCP en la interfaz ethernet donde está conectada la laptop

Configure el servidor DHCP en la interfaz

ethernet donde está conectada la laptop

Cambiar la configuración de la laptop para

que tome dirección de forma dinámica

Revise la conexión a internet

Información de DHCP

El “lease” muestra información de las

direcciones

entregadas .

Información de DHCP El “lease” muestra información de las direcciones entregadas . ©MikroTik Xperts 2014 151

Tip de winbox

Mostrar

campos

adicionales

con nuevas

columnas

Tip de winbox Mostrar campos adicionales con nuevas columnas ©MikroTik Xperts 2014 152

Lease estático

Podemos hacer un

lease estático

El cliente no podrá obtener otra dirección

• Podemos hacer un lease estático • El cliente no podrá obtener otra dirección ©MikroTik Xperts

Lease estático

El servidor DHCP puede correr sin lease dinámico

Los clientes recibirán las direcciones preconfiguradas

Lease estático

Lease estático • Fijar el Address-Pool a sólo estático • Crear el lease estático ©MikroTik Xperts

Fijar el Address-Pool a sólo estático

Crear el lease estático

Lease estático • Fijar el Address-Pool a sólo estático • Crear el lease estático ©MikroTik Xperts

Herramientas RouterOS

E-mail

Esta herramienta permite enviar correos desde el router

Puede ser utilizada en combinación de otras

herramientas, como por ejemplo enviar respaldos períodicos al administrador de la red

Para acceder

/tools e-mail

Ejemplo de E-mail

Configurar el servidor SMTP

/tool e-mail

set address=173.194.75.108 from=mail@academyxperts.com.ve password=CL4V3 port=587 starttls=no user=mail@academyxperts.com.ve

port=587 starttls=no user=mail@academyxperts.com.ve • Enviar el archivo de configuración vía mail /export

Enviar el archivo de configuración vía mail

/export file=export

/tool e-mail send tls=yes to="gangulo@academyxperts.com.ve" subject=oficina body="$[/system clock get date] configuration file" file=export.rsc

Netwatch

Esta herramienta permite monitorear el estado de dispositivos

Para cada entrada se puede especificar:

Dirección IP

Intervalo de ping

Scripts de Up y Down

Para acceder

/tools netwatch

Netwatch

De gran utilidad para:

Notificaciones de caída en la red

Cambios automáticos en el caso de una avería, ejemplo: caida del router

principal

Chequeo rápido de enlaces activos

Cualquier cosa que puedas arreglar

para simplificar y hacer rápido tu

trabajo (te hará ver mas eficente!)

que puedas arreglar para simplificar y hacer rápido tu trabajo (te hará ver mas eficente!) ©MikroTik
que puedas arreglar para simplificar y hacer rápido tu trabajo (te hará ver mas eficente!) ©MikroTik

Ping

Herramienta de conectividad básica, utiliza ICPM para

determinar la accesibilidad de host remotos y retardos

Una de las herramientas de resolución de problemas básica. Si

responde al ping el host está activo (al menos en capa de red)

Es un buen comienzo para diagnosticar un problema, pero no es la última herramienta.

Para detener será necesario CTRL-C

un problema, pero no es la última herramienta. • Para detener será necesario CTRL-C ©MikroTik Xperts

Traceroute

Usada para mostrar todos los routers “saltadospara alcanzar el destino.

Indica el retardo para alcanzar un router en el paso al destino

Muy bueno para ubicar el nodo que pone lenta la transmisión.

Traceroute

Traceroute ©MikroTik Xperts 2014 163

Profiler (Carga de CPU)

Herramienta que muestra la carga del CPU.

Muestra los procesos y su carga en el CPU

Nota: “idle” no es un proceso. Esto significa que el CPU no está siendo utilizado

• Nota: “idle” no es un proceso. Esto significa que el CPU no está siendo utilizado

Módulo 6

Firewall

Firewall

Protege al router y sus clientes de acceso no autorizado

Es una barrera entre 2 redes, ejemplo LAN

(red confiable) e Internet (red no confiable)

Puede hacerse mediante creacion de reglas en Firewall filter y NAT

Firewall Filter

Consiste en reglas definidas por el usuario basadas en el principio de IF-Then. Tienen 2

partes

Condiciones marcadas: Las condiciones que deben chequearse.

Acción: Que se hará si se encontraron las coincidencias.

Las reglas son ordenadas en cadenas

Existen cadenas predefinidas y cadenas creadas por los usuarios.

Filter Chains

Las reglas pueden ser colocadas en 3 cadenas:

input (hacia el router)
output (desde el router)
forward (atravesando el router)

Firewall Chains

Output Ping from Router Input Winbox
Output
Ping from Router
Input
Winbox

Forward WWW E-Mail

Firewall Chains

Firewall Chains ©MikroTik Xperts 2014 170

Input

Esta cadena contiene las reglas del filter que protegen al mismo router

Bloqueemos a todos excepto su laptop.

Input

Agregar una regla de accept para la IP de su laptop

Input Agregar una regla de accept para la IP de su laptop ©MikroTik Xperts 2014 172

Agregar un regla

drop de la

cadena input para

descarcartar a

los demás

Input

Agregar un regla drop de la cadena input para descarcartar a los demás Input ©MikroTik Xperts

Input Lab

Input Lab • Cambie la dirección IP de su laptop a 192.168.x.y • Trate de conectarse.

Cambie la dirección IP de su laptop a

192.168.x.y

Trate de conectarse. ¡El firewall está funcionado!!!

Aún se puede establecer conexión vía

direcciones MAC dado que el Firewall Filter

funciona sólo en capa 3

Input

El acceso a su router es bloqueado

No tiene internet

Se están bloqueando las peticiones DNS también

Cambia la configuración para retomar la conexión a internet

Se puede

deshabilitar el acceso vía MAC en Tools/MAC

Server

Cambiar la IP de

la laptop a la IP

anterior

192.168.N.1

Input

MAC en Tools/MAC Server • Cambiar la IP de la laptop a la IP anterior 192.168.N.1

Address-List

Address-list permite filtrar un grupo de

direcciones con una sola regla

También se pueden agregar direcciones de forma automática y luego bloquearlas.

Address-List

Crear varias address-list

Se pueden agregar: Subredes, rangos separados, un sólo host.

Crear varias address-list • Se pueden agregar: Subredes, rangos separados, un sólo host. ©MikroTik Xperts 2014

Address-List

Agregar un host específico al

address-list

Indicar un timeout para un

servicio temporal

Agregar un host específico al address-list • Indicar un timeout para un servicio temporal ©MikroTik Xperts

Address-List in Firewall

Se pueden hacer bloqueos por

listas de acceso

tanto en origen como en destino

Firewall • Se pueden hacer bloqueos por listas de acceso tanto en origen como en destino

Address-List Lab

Address-List Lab • Crear address-list con direcciones IP permitidas • Añadir una regla para aceptar estas

Crear address-list con direcciones IP permitidas

Añadir una regla para aceptar estas direcciones

permitidas.

Forward

Esta cadena contiene reglas para controlar paquetes que van atravesar el router

Se controla tráfico hacia y desde los clientes.

Forward

Crear una regla

Forward • Crear una regla para bloquear el puerto TCP 80 (Navegador Web) • Es necesario

para bloquear el

puerto TCP 80 (Navegador Web)

Es necesario

seleccionar el protocolo al hacer

bloqueo por puertos.

80 (Navegador Web) • Es necesario seleccionar el protocolo al hacer bloqueo por puertos. ©MikroTik Xperts

Forward

Probar abriendo www.mikrotik.com

Probar abriendo http://192.168.N.254

Se puede mostrar la página web del router ya que el bloqueo es aplicado en la cadena de Forward

puede mostrar la página web del router ya que el bloqueo es aplicado en la cadena

Lista de puertos bien conocidos

Lista de puertos bien conocidos ©MikroTik Xperts 2014 1 8 5

©MikroTik Xperts 2014

185

Firewall Log

Veamos los pings

que el cliente envía

al router

Esta regla debe ser

agregada antes de

las demás acciones.

el cliente envía al router • Esta regla debe ser agregada antes de las demás acciones.
el cliente envía al router • Esta regla debe ser agregada antes de las demás acciones.

©MikroTik Xperts 2014

186

Firewall Log

Firewall Log ©MikroTik Xperts 2014 187

Firewall chains

Se pueden crear cadenas personalizadas a excepción

de las ya creadas (input, forward, output)

Permite crear la estructura de firewall más simple

Disminuye la carga de procesamiento del router

Cadenas de Firewall en

acción

Secuencia de las cadenas

personalizadas

Las cadenas personalizadas pueden utilizarse para virus,protocolos TCP, UDP, etc.

• Las cadenas personalizadas pueden utilizarse para virus,protocolos TCP, UDP, etc. ©MikroTik Xperts 2014 189

Laboratorio de Firewall

Laboratorio de Firewall • Descargar el archivo viruses.rsc desde el servidor WEB y subirlo al files.

Descargar el archivo viruses.rsc desde el servidor

WEB y subirlo al files.

Carga la configuración con el comando import

New terminal

Import viruses.rsc

Revisar que se hayan cargado las sentencias en el

firewall.

Ahora aplique para las setencias input y forward un jump hacia la cadena personalizada.

Conexiones

Conexiones ©MikroTik Xperts 2014 191

Estado de la conexión

Consejo: hacer drop a conexiones inválidas

El firewall solo procesará nuevos paquetes, es recomendable excluir otro tipo de

estados.

Las reglas de Filter tienen “connection state” que revisan el propósito de la conexión.

Estado de la conexión

Estado de la conexión • Agregue una regla para descartar conexiones inválidas • Agregue una regla

Agregue una regla para descartar conexiones inválidas

Agregue una regla para aceptar conexiones

establecidas

Agregue una regla para aceptar conexiones relacionadas.

De esta manera el Firewall sólo trabajara con paquetes nuevos.

Limitaciones de SRC-NAT

Conectarse a servidores internos desde afuera no es posible (se requiere DST-NAT)

Algunos protocolos requieren NAT helpers

para funcionar correctamente.

NAT Helpers

NAT Helpers ©MikroTik Xperts 2014 195

Connection Tracking

Connection tracking muestra la información

de todas las conexiones activas.

Debe ser habilitado para que funcione el Filter y el NAT.

Connection Tracking

Connection Tracking ©MikroTik Xperts 2014 197

©MikroTik Xperts 2014

197

Network Address

Translation

NAT

El router es capaz de cambiar dirección Origen o Destino en el flujo de paquetes a través del mismo.

Este proceso es llamado src-nat o dst-nat

SRC-NAT

New SRC-Address SRC-Address Laptop
New
SRC-Address
SRC-Address
Laptop

Servidor Remoto

DST-NAT

Servidor con IP privada Host con IP pública New DST-Address DST-Address
Servidor con IP
privada
Host con IP
pública
New DST-Address
DST-Address

NAT Chains

Para conseguir estos escenarios es necesario

colocar las cadenas adecuadas: dstnat o

srcnat

Las reglas de nat funcionan con el principio

IF-THEN

DST-NAT

DST-NAT cambia la dirección destino y puerto del paquete.

Se utiliza para que usuarios de internet puedan acceder a servicios en servidores de

una red privada.

DST-NAT Example

Algún PC 192.168.1.1 New DST-Address DST-Address 192.168.1.1:80 207.141.27.45:80
Algún PC
192.168.1.1
New DST-Address
DST-Address
192.168.1.1:80
207.141.27.45:80

Servidor WEB

Ejemplo DST-NAT

Crear una regla para enviar todo el tráfico web de la red privada hacia el MikroTik.

Crear una regla para enviar todo el tráfico web de la red privada hacia el MikroTik.

©MikroTik Xperts 2014

205

Redirect

Tipo especial de DST-NAT

Esta acción redirecciona paquetes al mismo

router.

Puede ser utilizado para servicios de proxy (DNS, HTTP)

Útil para bloqueos con OpenDNS

Ejemplo de Redirect

DST-Address

Configured_DNS_Server:53

Ejemplo de Redirect DST-Address Configured_DNS_Server:53 DNS Cache New DST-Address Router:53 ©MikroTik Xperts 2014 207

DNS Cache

New DST-Address

Router:53

Ejemplo de Redirect

Hagamos que los usuarios locales

utilicen el DNS

cache del router

La regla se hace

en protocolo UDP

los usuarios locales utilicen el DNS cache del router • La regla se hace en protocolo
los usuarios locales utilicen el DNS cache del router • La regla se hace en protocolo

SRC-NAT

SRC-NAT cambia la dirección origen del

paquete

Se puede utilizar para que toda una red

privada salga con la misma dirección pública

Masquerade es un tipo de SRC-NAT

Masquerade

Src Address Src Address 192.168.X.1 router address 192.168.X.1
Src Address
Src Address
192.168.X.1
router address
192.168.X.1

Public Server

Firewall Tips

Se recomienda agregar comentarios para recordar el objeto de cada regla

Utilizar tracking connection y torch

Torch

Torch Detallar el reporte de tráfico actual de una interfaz ©MikroTik Xperts 2014 212

Detallar el reporte de tráfico actual de una interfaz

Acciones en Firewall

Accept

Acepta el paquete. El paquete no pasará a la próxima regla de firewall

Add-dst-to-address-list: Agrega la IP destino al address-list especificado. El paquete pasa a la próxima regla

Add-src-to-address-list : Agrega la IP origen al address-list especificado. El paquete pasa a la próxima regla

Drop: Descarta el paquete de forma silenciosa. El paquete no pasará a la próxima regla de firewall

Jump: Salta a la cadena especificada en jump-target. El paquete pasa a la próxima regla ( en la cadena definida por el usuario)

Log

Agrega el mensaje al system log conteniendo la data: in-interface, out-interface, src-mac, protocol, src-

ip:port->dst-ip:port and length of the packet. El paquete pasa a la próxima regla

Passthrough: Esta regla es ignorada y pasa a la próxma regla (útil para estadísticas)

Reject: Descarta el paquete enviando el mensaje de rechazo ICMP. El paquete no pasará a la próxima regla de firewall

Return: Pasa de vuelta a la cadena donde el salto tuvo lugar. El paquete pasa a la próxima regla (en la cadena

original, si no hubo una coincidencia previa que detuviera el análisis del paquete)

Tarpit: Captura y deja en espera las conexiones TCP (responde con syn/ack a las conexiones entrantes TCP SYN). El paquete no pasará a la próxima regla de firewall

NAT Actions

accept

add-dst-to-address-list

add-src-to-address-list

dst-nat

jump

log

masquerade

netmap

passthrough

redirect

return

same

src-nat

Mangle