Curso Mikrotik

MIKROTIK Yony Richard Montoya Burgos
Universidad Mayor de San Simn
Contenido
Introduccin RouterOS Protocolos Internet Interfaces Tunneling Firewall Enrutamiento Utilidades del Sistema
RouterOS
Soporta
Firewall and NAT Routing Data Rate Management HotSpot Point-to-Point tunneling Simple tunnels IPsec Web proxy
RouterOS
Caching, DNS client DHCP, Universal Client VRRP - Virtual Router Redundancy Protocol UPnP NTP Monitoring/Accounting SNMP MNDP y CDP
telnet; SSH; packet sniffer
HERRAMIENTAS - ping; traceroute; bandwidth test;

RouterOS Formas de Acceso
Conexin via puerto serial

RS232 a 9600 8N1
Conexin Telnet o SSH Administracin WEB (Winbox)
Terminal de Consola
Permite acceder al enrutador en terminales tipo texto. Estructura de shell similar a Unix. Comandos Organizados en niveles de men jerrquicos. Estructura de directorios (/ indica la raiz o base, .. Indica el nivel posterior)
Terminal de Consola
/ / ..
IP SYSTEM
...
.. ...
ADDRESS
ROUTE
...
...
Terminal de Consola Sigue una estructura tipo unix, por lo que:

[TAB] permite completar comandos ?: Da ayuda acerca de los comandos comando ?: ayuda acerca de los parmetros de un comando comando parmetro ?: Informacin acerca del parmetro (o parmetros de un comando)
Comandos en RouterOS
Parmetro print da informacin acerca listas del comando
Identifica un Muchos comandos manejan
valor de la lista, Nmero [admin@MikroTik] > interface print identificador Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R Public 1 R Local ether 0 0 1500 ether 0 0 1500
El Orden no siempre es el mismo. Siempre se memoriza el ltimo comando print

Comandos en RouterOS
Opciones de borrado, insercin o modificacin requieren el Nmero Identificador Se puede acceder a los valores mediante el nombre
[admin@MikroTik] interface> set 0 mtu=1200 [admin@MikroTik] interface> set Local mtu=1300 [admin@MikroTik] interface> print Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R Public ether 0 0 1200 1 R Local ether 0 0 1300
Comandos Generales
Se pueden agrupar items con el smbolo ,
set 0,1,2 mtu=1200
Comandos Generales
Print: Muestra informacin accesible de algn comando. Set: Permite modificar informacin de un comando. Add: Permite aadir un nuevo item. Remove: Elimina un item de la lista. Move: Cambia el orden en la lista de items.
Comandos Generales
[admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # 0 DST-ADDRESS S 0.0.0.0/0 G GATEWAY r 192.168.2.1 r 0.0.0.0 DISTANCE INTERFACE 1 0 ether2 ether2
1 DC 192.168.2.0/24
[admin@MikroTik] ip route> add dst-address=192.168.1.0/24 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # 0 DST-ADDRESS S 0.0.0.0/0 G GATEWAY r 192.168.2.1 DISTANCE INTERFACE 1 1 r 0.0.0.0 0 ether2 ether2
1 IS 192.168.1.0/24 2 DC 192.168.2.0/24
Comandos Generales
[admin@MikroTik] ip route> set 1 gateway=192.168.2.1 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # 0 1 DST-ADDRESS S 0.0.0.0/0 S 192.168.1.0/24 G GATEWAY r 192.168.2.1 r 192.168.2.1 r 0.0.0.0 DISTANCE INTERFACE 1 1 0 ether2 ether2 ether2
2 DC 192.168.2.0/24
[admin@MikroTik] ip route> remove 1 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # 0 DST-ADDRESS S 0.0.0.0/0 G GATEWAY r 192.168.2.1 r 0.0.0.0 DISTANCE INTERFACE 1 0 ether2 ether2
2 DC 192.168.2.0/24
Protocolos y Servicios
Servicios Bsicos
Telnet: Servicio de Telnet, acceso al servidor FTP: Acceso FTP al servidor WWW: Servicio de WEB (necesario para el Winbox)
[admin@MikroTik] > ip service [admin@MikroTik] ip service> print Flags: X - disabled, I - invalid # 0 1 2 NAME telnet ftp www PORT 23 21 80 ADDRESS 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 CERTIFICATE
Los servicios slo pueden ser habilitados o deshabilitados Forman parte de algn paquete. Se pueden habilitar servicios para redes o ips especficos [admin@MikroTik] ip service> set 1 disabled=yes
[admin@MikroTik] ip service> set 0 address=192.168.2.0/24 Flags: X - disabled, I - invalid # 0 1 2 NAME telnet X ftp www PORT 23 21 80 ADDRESS 192.168.2.0/24 0.0.0.0/0 0.0.0.0/0 CERTIFICATE
Se pueden manejar:
IP EoIP VLAN PPPoE PPTP IPIP L2TP Prefix List IPSEC SNMP VRRP ARP OSPF RIP BGP UPnP
DHCP
Se pueden manejar Cliente y Servidor DHCP. Cliente DHCP se asigna a una interface
[admin@MikroTik] ip dhcp-client> set enabled=yes interface=ether1 [admin@MikroTik] ip dhcp-client> print enabled: yes interface: ether1 host-name: "" client-id: "" add-default-route: yes use-peer-dns: yes
DHCP
Para consultar el enlace se puede utilizar la opcion lease.

[admin@MikroTik] ip dhcp-client lease> print status: bounded address: 180.232.241.15/21 dhcp-server: 10.1.0.172 expires: oct/20/2002 09:43:50 gateway: 180.232.240.1 primary-dns: 195.13.160.52 secondary-dns: 195.122.1.59 [admin@MikroTik] ip dhcp-client lease> Universidad Mayor de San Simn
DHCP
Utilice renew para re-enlazar el IP. Si la operacin no es exitosa se intenta enlazar automaticamente.
DHCP Server
Puede trabajar como servidor DHCP Se requiere configurar gateway, dns (primario, secundario), servidor WINS, pool de direcciones IP Se activa con /ip dhcp-server
DHCP Server
Se puede habilitar DHCP server por cada interfaz. Habiltar el DHCP una vez creada.
[admin@MikroTik] ip dhcp-server> add name=oficina \ \... address-pool=clientes interface=ether1 lease-time=2h [admin@MikroTik] ip dhcp-server> enable oficina [admin@MikroTik] ip dhcp-server> print Flags: X - disabled, I - invalid # NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP clientes 2h no
0 oficina ether1
[admin@MikroTik] ip dhcp-server>
DHCP Server
Habilitar Opciones para los clientes

[admin@MikroTik] ip dhcp-server network> add netmask=0 \ \... gateway=192.168.1.1 \ \... dns-server=166.114.109.226,166.114.109.227 \ \... wins=server=192.168.1.11 [admin@MikroTik] ip dhcp-server network>
DHCP Server
Pool de direcciones IP
Se puede utilizar rangos, o valores sencillos agrupados por comas Para ver los valores usados del pool de Ips utilizar used print
[admin@MikroTik] ip pool> add name=clientes \ \... ranges=192.168.1.32-192.168.1.64 [admin@MikroTik] ip pool> print # NAME RANGES
0 clientes 192.168.1.32-192.168.1.64 [admin@MikroTik] ip pool> used print

DHCP Server
Si se tiene otro servidor DHCP se pueden hacer relay

[admin@MikroTik] ip dhcp-relay> add name=relay interface=ether1 \ \... dhcp-server=10.0.0.1 disabled=no [admin@MikroTik] ip dhcp-relay> print Flags: X - disabled, I - invalid # NAME INTERFACE DHCP-SERVER LOCAL-ADDRESS 10.0.0.1 0.0.0.0
0 relay ether1
DNS Cliente y Servidor
Habilitar DNS con la opcion /ip dns

[admin@MikroTik] ip dns> set primary-dns=167.157.1.5\ \... secondary-server=167.157.1.11 \ \... allow-remote-requests: no [admin@MikroTik] ip pool> print primary-dns: 167.157.1.5 secondary-dns: 167.157.1.11 allow-remote-requests: no cache-size: 2048 kB cache-max-ttl: 7d cache-used: 11 kB Universidad Mayor de San Simn
IP y ARP
Nivel de identificacin en la red mediante TCP/IP Se pueden asignar mltiples IP a una interface. Si se usa Bridge una niterfaz puedo no tener direccin IP.
IP y ARP
Se pueden tener direcciones:

Estticas: manualmente asignadas a la interface. Dinmicas: automticamente asignadas a la interface si se usa ppp, ppptp o pppoe.
No se pueden tener asignados Ips del mismo segmento de red en las interfaces
IP y ARP
Indicar mnimamente la direccin y la interface

[admin@MikroTik] ip address> add address=10.10.10.1/24 interface=ether2 [admin@MikroTik] ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS 0 2.2.2.1/24 1 10.5.7.244/24 2 10.10.10.1/24 NETWORK 2.2.2.0 10.5.7.0 10.10.10.0 BROADCAST 2.2.2.255 10.5.7.255 10.10.10.255 INTERFACE ether2 ether1 ether2
IP y ARP
ARP
Protocolo de Resolucin de Direcciones Permite mapear el nivel 3 de OSI (direcciones IP) con el nivel 2 (direccin MAC)
El router maneja la table de direcciones ARP. Tabla dinmica, mas para seguridad se puede manejar estticamente. Se usa con /ip arp
IP y ARP
[admin@MikroTik] ip arp> add address=10.10.10.1 interface=ether2 macaddress=06 \ \... :21:00:56:00:12 [admin@MikroTik] ip arp> print Flags: X - disabled, I - invalid, H - DHCP, D - dynamic # ADDRESS 0 D 2.2.2.2 MAC-ADDRESS INTERFACE
00:30:4F:1B:B3:D9 ether2
1 D 10.5.7.242 00:A0:24:9D:52:A4 ether1 2 10.10.10.1 06:21:00:56:00:12 ether2
[admin@MikroTik] ip arp>
IP y ARP
Se puede habilitar o deshabilitar ARP en cada interface

[admin@MikroTik] ip arp> /interface ethernet set ether2 arp=reply-only [admin@MikroTik] ip arp> print Flags: X - disabled, I - invalid, H - DHCP, D dynamic # ADDRESS MAC-ADDRESS INTERFACE
0 D 10.5.7.242 1 10.10.10.10
00:A0:24:9D:52:A4 ether1 06:21:00:56:00:12 ether2
IP y ARP
Con arp=disabled los clientes tambin deben tener arp esttico asociado Con arp=reply-only slo se responden a mapeos estticos. Si se quiere que todas las solicitudes sean respondidas con el MAC del router usar arp=proxy-arp
Enrutamiento
Mikrotik maneja dos tipos de rutas:

Rutas Conectadas: Red que puede ser accedida directamente por la interface, se aaden automticamente Rutas Estticas: Rutas aadidas manualmente que indican como ser enviado el trfico de la red
Enrutamiento
El balanceo de carga se maneja con la caracetrstica de Equal-Cost Multi-Path.

[admin@MikroTik] ip route> add dst-address=192.168.0.0/16 gateway=10.10.10.2 [admin@MikroTik] ip route> add gateway 10.10.10.1 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - stati c, r - rip, o - ospf, b - bgp # 0 S 1 S DST-ADDRESS G GATEWAY 10.10.10.2 10.10.10.1 0.0.0.0 DISTANCE 1 1 0 INTERFACE Local Public Public
192.168.0.0/16 r 0.0.0.0/0 r r
2 DC 10.10.10.0/24
Enrutamiento
Balanceo de carga
[admin@MikroTik] ip route> set 0 gateway=10.10.10.2,10.10.10.254 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # 0 S DST-ADDRESS 192.168.0.0/16 G r r 1 S 0.0.0.0/0 r r GATEWAY 10.10.10.2 10.10.10.254 10.10.10.1 0.0.0.0 1 0 DISTANCE 1 INTERFACE Local Local Public Public
2 DC 10.10.10.0/24
Enrutamiento
Tablas de Rutas, permiten seleccionar rutas para variar el uso de la red. Manejo de mltiples tablas y reglas de cmo manejar las tablas Se pueden manejar direccin destino y fuente.
Enrutamiento
/ip policy-routing permite agrupar las rutas en grupos Se pueden agregar nuevas tablas de rutas
[admin@MikroTik] ip policy-routing> add name=mt [admin@MikroTik] ip policy-routing> print Flags: D - dynamic # 0 NAME mt
1 D main
Enrutamiento
Cada tabla tiene informacin de rutas independientes

[admin@MikroTik] ip policy-routing> table main [admin@MikroTik] ip policy-routing table main> print Flags: X - disabled, I - invalid, D - dynamic, R - rejected # 0 1 TYPE static static DST-ADDRESS 192.168.1.0/24 0.0.0.0/0 G r r r r GATEWAY 192.168.0.50 10.0.0.1 0.0.0.0 0.0.0.0 DISTANCE INTERFACE 1 1 0 0 Local Public Local Public
2 D connect 192.168.0.0/24 3 D connect 10.0.0.0/24
Enrutamiento Reglas de enrutamiento

Se pueden manejar por destino o fuente del paquete. Pueden configurarse de una interface o de todas las interfaces. Si se usa marcado de paquetes se puede encaminar paquetes por su marca. Se puede eliminar, enrutar o dar como desconocida una ruta
Enrutamiento
Polticas de Enrutamiento
[admin@MikroTik] ip policy-routing rule> add src-address=10.0.0.144/32 \ \... table=mt action=lookup [admin@MikroTik] ip policy-routing rule> print Flags: X - disabled, I - invalid # SRC-ADDRESS 0 0.0.0.0/0 1 10.0.0.144/32 DST-ADDRESS INTE... FLOW ACTION TABLE 0.0.0.0/0 0.0.0.0/0 all all lookup main lookup mt
Enruta los paquetes de la direccin 10.0.0.144 por las rutas de la tabla mt

Enrutamiento
Configuracin Bsica de Polticas

Paquetes de la red 1.1.1.0/24 usan el gateway 10.0.0.1 Paquetes de la rd 2.2.2.0/24 usan el gateway 10.0.0.2 El resto usa el gateway 10.0.0.254
Web Proxy
Se pueden usar:
Proxy HTTP regular Proxy Transparente. Listas de Acceso por fuente, destino, URL y mtodos de consulta Cache access list (indica que objetos almacenar y cuales no) Direct Access List (Recurosos que puedes accederse directamente y cuales con otro proxy) Facilidad de Autentificacin
Web Proxy
Se maneja con /ip web-proxy

[admin@MikroTik] ip web-proxy> set enabled=yes port=8080 [admin@MikroTik] ip web-proxy> print enabled: no src-address: 0.0.0.0 port: 8080 hostname: proxy transparent-proxy: no parent-proxy: 0.0.0.0:0 cache-administrator: webmaster ....
Web Proxy
Monitoreo del Proxy

[admin@MikroTik] > ip web-proxy monitor status: running uptime: 4d19h8m14s clients: 9 requests: 10242 hits: 3839 cache-size: 328672 kB received-from-servers: 58108 kB sent-to-clients: 65454 kB hits-sent-to-clients: 7552 kB
Web Proxy
Listas de acceso
Las reglas se utilizan de arriba hacia abajo. Se pueden manejar accesos mediante direccin destino, fuente, puerto, subcadena URL. Se usa mediante /ip web-proxy access
Web Proxy
Deshabilitar la bajada de MP3, y conexiones FTP excepto del servidor 10.0.0.1

[admin@MikroTik] ip web-proxy access> add url=".mp3" action=deny [admin@MikroTik] ip web-proxy access> add src-address=10.0.0.1/32 action=allow [admin@MikroTik] ip web-proxy access> add url="ftp://" action=deny
Web Proxy
Listas de Acceso Directas

Se usa con parent-proxy habilitado. Se puede pasar la solicitud al servidor proxy principal o manejar directamente la conexin. Se usa mediante /ip web-proxy direct
Web Proxy
Manejar directamente las conexiones al servidor 167.157.4.1 y las conexiones seguras redirigirlas al proxy principal
[admin@MikroTik] ip web-proxy direct> add dst-address=167.157.4.1/32 action=allow [admin@MikroTik] ip web-proxy direct> add url=https://" action=deny
Web Proxy
Cache Access List

Permite indicar que solicitudes (pginas, servidores, dominios) son almacenadas o no. Por defecto se almacenan los objetos si no se encuentra una regla especfica. Se usa con /ip web-proxy cache
Web Proxy
No almacenar pginas de los directorios cgibin (dinamicas) o que tengan un ? en el URL

[admin@MikroTik] ip web-proxy cache> print Flags: X - disabled 0 src-address=0.0.0.0/0 dst-address=0.0.0.0/0 dst-port="" url="cgi-bin \?" method=any action=deny
Web Proxy
Reconstruyendo el Cache
Si existen problemas con el cache el sistema intentar reparar la estructura de directorios. Si no fuese posible se debe borrar y recrear la estructura.
Web Proxy
Para borrar el cache el web-proxy debe estar deshabilitado

[admin@MikroTik] ip web-proxy> set enabled=no [admin@MikroTik] ip web-proxy> clear-cache Clear all web proxy cache, yes? [y/N]: y cache will be cleared shortly [admin@MikroTik] ip web-proxy>
Web Proxy
Proxy Transparente
Solo se puede manejar el protocolo HTTP de forma transparente. Se debe usar una regla de NAT de destino. Especificar que conexiones (puertos) deben de ser transparentemente redirigidos
Web Proxy
Redirigir todo el trfico al puerto 80 en la interface ether1 al proxy (puerto 8080)

[admin@MikroTik] ip firewall dst-nat> add in-interface=ether1 protocol=tcp \ dst-address=!192.168.2.1/32:80 action=redirect to-dst-port=8080 [admin@MikroTik] ip firewall dst-nat> print Flags: X - disabled, I - invalid 0 src-address=0.0.0.0/0:0-65535 in-interface=ether1 dst-address=!192.168.2.1/32:80 protocol=tcp icmp-options=any:any flow="" src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=redirect to-dst-address=0.0.0.0 to-dst-port=8080
Ancho de Banda
Mikrotik soporta:
PFIFO - Packets First-In First-Out BFIFO - Bytes First-In First-Out SFQ - Stochastic Fair Queuing RED - Random Early Detection HTB - Hierarchical Token Bucket PCQ - Per Connection Queue
Ancho de Banda Se pueden usar las colas para limitar el ancho de banda de direcciones IP, protocolos o puertos. Se configuran generalmente en interfaces de salida. Se pueden manejar paquetes de entrada (global-in) o de salida (globalout)
Ancho de Banda
Se pueden manejar mediante colas simples con /queue simple

[admin@MikroTik] queue simple> add dst-address=192.168.2.0/24 interface=ether1\ \... max-limit=64000/128000 [admin@MikroTik] queue simple> print Flags: X - disabled, I - invalid, D - dynamic 0 name="queue1" target-address=0.0.0.0/0 dst-address=192.168.2.0/24 interface=ether1 queue=default priority=8 limit-at=0/0 max-limit=64000/128000 [admin@MikroTik] queue simple>
Ancho de Banda
Controles especiales de ancho de banda por puerto, protocolo, rangos de IP, etc. Usar Arboles de Colas. Manejar con /queue tree
Ancho de Banda
Limitar el trfico http (puerto 80)
[admin@MikroTik] queue tree> add name=HTTP parent=ether1 flow=http1 \ max-limit=128000 [admin@MikroTik] queue tree> print Flags: X - disabled, I - invalid, D - dynamic 0 name="HTTP" parent=ether1 flow=http1 limit-at=0 queue=default priority=8 max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0 [admin@MikroTik] queue tree>
Ancho de Banda
Se debe marcar todo el trfico HTTP
[admin@MikroTik] ip firewall mangle> add action=passthrough mark-flow=http1 \ \... protocol=tcp target-port=80 [admin@MikroTik] ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic 0 target-address=:80 protocol=tcp action=passthrough mark-flow=http1 [admin@MikroTik] ip firewall mangle>
Ancho de Banda
Se puede monitorear el trfico que se esta limitando.

[admin@MikroTik] queue simple> print bytes Flags: X - disabled, I - invalid, D - dynamic # 0 1 2 TARGET-ADDRESS 192.168.2.11/32 192.168.2.21/32 192.168.2.22/32 DST-ADDRESS 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 BYTES TOTAL-BYTES
1696036619/2048966230 3745004349 2949768/5241093 2621795/95592983 8191101 98215402
[admin@MikroTik] queue simple>
Ancho de Banda
Simular una lnea de 128Kb de bajada y 64 de Subida, excluir al servidor de la limitacin
Interfaces
Se manejan una serie de Interfaces Se pueden revisar con el comando /interface
Interfaces
[admin@MikroTik] interface> print Flags: X - disabled, D - dynamic, R - running # MTU NAME TYPE ether ether ether ether ether RX-RATE 0 0 0 0 0 TX-RATE 0 0 0 0 0
0 R ADSL-2 1500 1 R TX 1500 2 R SETBOL 1500 3 R Supernet 1500 4 R ADSL-1 Universidad Mayor de San Simn 1500
Interfaces
Para monitorear el trfico de la interface utilizar:

[admin@MikroTik] interface> numbers: 0 received-packets-per-second: 9 received-bits-per-second: 20.3kbps sent-packets-per-second: 12 sent-bits-per-second: 11.1kbps [admin@MikroTik] interface> monitor-traffic
Interfaces Ethernet
Se maneja la informacin de las interfaces tipo Ethernet. Usar /interface ethernet Se puede monitorear el estadao de las interfaces con:
/inteface ethernet monitor
Interfaces Wireless Opera usando IEEE 802.11 Se puede configurar como clientes wireless (station), bridge wireless (bridge) y como puntos de acceso (apbridge). El control de posicionamiento puede ser manejado. Soporta 802.11a, 802.11b y 802.11g
Interfaces Wireless
Maneja el protocolo Nstrem (propietario de Mikrotik) Beneficios del protocolo nstreme:
Client polling Poca sobrecarga del protocolo, premitiendo transmisiones altas. Sin limites de protocolo en grandes distancias No existe degradacion para grandes distancias Ajustes dinmicos dependiendo del tipo de trfico y los recursos usados
Interfaces Wireless
Se puede usar:
Conexiones Punto a Punto: Con antenas en ambos lados Punto a Punto Dual (Nstreme2): Se pueden usar 2 radios en ambos lados simultaneamente, uno para transmisin y otro para recepcin. Punto Multipunto.
Interfaces Wireless
Se maneja mediante /interface wireless Manjear mnimamente el ssid (Service Set Identifier), la frecuencia y la nada de operacin.
Interfaces Wireless
Mostrar informacin
[admin@MikroTik] interface wireless> print Flags: X - disabled, R - running 0 R name="WLAN" mtu=1500 mac-address=00:01:24:70:4B:BF arp=proxy-arp disable-running-check=no interface-type=Atheros AR5211 mode=ap-bridge ssid="umss" frequency=5805 band=5GHz scan-list=default-ism supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=1Mbps basic-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps max-station-count=2007 ack-timeout=dynamic tx-power=20 802.1x-mode=none noise-floor-threshold=default burst-time=disabled fast-frames=no dfs-mode=none antenna-mode=ant-a wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no default-authentication=yes default-forwarding=yes hide-ssid=no
Interfaces Wireless
Tablas de registro. Informacin de los clientes conectados. /interface wireless registration-table

[admin@MikroTik] interface wireless registration-table> print # INTERFACE MAC-ADDRESS 0 WLAN 1 WLAN AP SIGNAL-STRENGTH TX-RATE UPTIME -75 -78 24Mbps 24Mbps 1d02:47:16 1d02:47:15 00:01:24:70:4B:AB no 00:01:24:70:4B:B7 no
[admin@MikroTik] interface wireless registration-table> print stats 0 interface=WLAN mac-address=00:01:24:70:4B:AB ap=no rx-rate=24Mbps tx-rate=24Mbps packets=560115,628954 bytes=79808969,536159406 uptime=1d02:47:31 last-activity=00:00:00 signal-strength=-75 ack-timeout=56 distance=56
Interfaces Wireless
Control de Acceso mediante acess list (en AP Bridge)

[admin@MikroTik] interface wireless access-list> add mac-address= \ \... 00:01:24:70:3A:BB interface=wlan1 private-algo=40bit-wep private-key=1234567890 [admin@MikroTik] interface wireless access-list> print Flags: X - disabled 0 mac-address=00:01:24:70:3A:BB interface=wlan1 authentication=yes forwarding=yes skip-802.1x=yes private-algo=40bit-wep private-key="1234567890 [admin@MikroTik] interface wireless access-list>
Interfaces Wireless
Informacin adicional de la tarjeta

[admin@MikroTik] interface wireless> info print 0 interface-type=Atheros AR5211 tx-power-control=yes ack-timeout-control=yes alignment-mode=yes virtual-aps=yes noise-floor-control=yes scan-support=yes burst-support=yes supported-bands=2GHz-B,5GHz,5GHz-turbo 2GHz-B-channels=2412,2417,2422,2427,2432,2437,2442,2447,2452,2457,2462,2467, 2472,2512,2532,2552,2572,2592,2612,2632,2652,2672,2692,2712, 2732,2484 5GHz-channels=5120,5125,5130,5135,5140,5145,5150,5155,5160,5165,5170,5175, 5180,5185,5190,5195,5200,5205,5210,... Universidad Mayor de San Simn
Interfaces Wireless
WDS (Wireless Distribution System)

Permite pasar los paquetes de un AP a otro como si estos estuviesen en un etherneth Switch. Pueden ser dinmicos o estticos. Los AP deben estar en la misma nada y trabajar en la misma frecuencia.
Interfaces Wireless
Usar con /interface wireless wds MAC address

del AP remoto
[admin@MikroTik] interface wireless wds> add master-interface=wlan1 \ \... wds-address=00:0B:6B:30:2B:27 disabled=no [admin@MikroTik] interface wireless wds> print Flags: X - disabled, R - running, D - dynamic 0 R name="wds1" mtu=1500 mac-address=00:0B:6B:30:2B:23 arp=enabled disable-running-check=no master-inteface=wlan1 wds-address=00:0B:6B:30:2B:27
Interfaces Wireless Funcin de Alineamiento

Se puede usar el alineamiento para el apuntamiento de los equipos. Se usa con la opcin /interface wireless align. Slo se puede manejar si el modo de la interface es alignment-only Si se usa align monitor el modo de la tarjeta se modifica automticamente
Interfaces Wireless
Datos de alineamiento
[admin@MikroTik] interface wireless align> print frame-size: 300 active-mode: yes receive-all: yes audio-monitor: 00:00:00:00:00:00 filter-mac: 00:00:00:00:00:00 ssid-all: yes frames-per-second: 25 audio-min: -100 audio-max: -20
Interface Wireless
Monitoreo del alineamiento

Muestra informacin del alineamiento, para una seal estable se aconseja tener un Signal Strength (RXQ) mayor a -80
[admin@MikroTik] interface wireless align> monitor WLAN ADDRESS SSID RXQ AVG-RXQ LAST-RX TXQ LAST-TX CORRECT -74 -75 0.04
00:01:24:70:4B:BF umss
Interface Wireless
Escaneo de la Red
Se puede verificar que equipos existen en la red. Todos los enlaces se pierden mientras se hace un scan, al igual que con el alineamiento. Si se encuentra enlazado se pierde la conexin mientras se hace el escaneo.
Interfaces Wireless
Se muestra la informacin de los equipos Wireless encontrados con las caractersticas mas importantes
[admin@MikroTik] interface wireless> scan WLAN refresh-interval=1s ADDRESS SSID BAND 5GHz FREQ BSS PRIVACY SIGNAL-STRENGTH 5805 yes no -75
00:01:24:70:4B:BF umss
Interfaces Wireless Seguridad Wireless

Maneja protocolo WEP (Wired Equivalent Privacy) Algoritmos de encriptacion de 64bits (40bit), 128bits y AES-CCM (Advanced Encryption Standard with Counter with CBC-MAC). Se usa mediante /interface wireless security
Interfaces Wireless
Se puede definir seguridad opcional o requerida.

[admin@MikroTik] interface wireless security> print 0 name="WLAN" security=none algo-0=none key-0="" algo-1=none key-1="" algo-2=none key-2="" algo-3=none key-3="" transmit-key=key-0 sta-private-algo=none sta-private-key="" radius-mac-authentication=no
Interfaces Wireless
WDS (Wireless Distribution System)

Permite conectar APs con el mismo SSID Permite compartir la red entre APs
DOS UNO
192.168.0.1 192.168.0.2
Interface Wireless
MAC Adress del Host Remoto (DOS)
Configurar el AP UNO
\... master-inteface=wlan1 disabled=no [admin@Home] interface wireless wds> print Flags: X - disabled, R - running, D - dynamic
[admin@Home] interface wireless wds> add wds-address=00:01:24:70:3B:AE \
0 name="wds1" mtu=1500 mac-address=00:01:24:70:3A:83 arp=enabled disablerunning-check=no master-inteface=wlan1 wds-address=00:01:24:70:3B:AE [admin@Home] ip address> add address=192.168.25.2/24 interface=wds1 [admin@Home] ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.25.2/24 192.168.25.0 192.168.25.255 wds1
Interface Wireless
Configurar AP DOS
[admin@Home] interface wireless>set wlan1 mode=ap-bridge ssid=wds-test \ \... wds-mode=static disabled=no [admin@Home] interface wireless wds> add wds-address=00:01:24:70:3A:83 \ \... master-inteface=wlan1 disabled=no
[admin@Home] ip address> add address=192.168.25.1/24 interface=wds1 [admin@Home] ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.25.1/24 192.168.25.0 192.168.25.255 wds1
Interface Bridge
Se pueden crear una interface lgica que maneja transparentemente mas de una interface Soporta
STP Firewall en la interfaces bridge Mltiples Interfaces Bridge
Interface Bridge
Para poder manejar varias interfaces se debe crear una interface bridge
Usar /interface bridge add
Manejar los puertos (interfaces) componentes del bridge

/interface bridge port set ether1,ether2,... bridge=....
Interface Bridge
Se puede asignar un nico a la interface Se puede monitorear la interface usando

/interface bridge
Interface Bridge
Configurar una interface bridge, aadirle Ip si fuese necesario
Tunneling
EoIP (Ethernet over IP)

Permite crear un tunel entre dos enrutadores. Todo el trafico se pasa entre los equipos como si se tuviera una conexin fsica directa La meta es crear un canal seguro entre los equipos
Tunneling
Tunneling
EoIP
[admin@Our_GW] interface eoip> add name="eoip-remote" tunnel-id=0 \ \... remote-address=10.0.0.2 [admin@Our_GW] interface eoip> enable eoip-remote [admin@Our_GW] interface eoip> print Flags: X - disabled, R - running 0 name=eoip-remote mtu=1500 arp=enabled remote-address=10.0.0.2 tunnel-id=0 [admin@Remote] interface eoip> add name="eoip" tunnel-id=0 \ \... remote-address=10.0.0.1 [admin@Remote] interface eoip> enable eoip-main [admin@Remote] interface eoip> print Flags: X - disabled, R - running 0 name=eoip mtu=1500 arp=enabled remote-address=10.0.0.1 tunnel-id=0
VLAN
Se pueden crear VLAN en cada interface Se usa mediante:

/interface vlan
Firewall
Firewall
Se tienen 3 niveles de seguridad

Entrada Interna Salida
Todo se maneja en funcin a reglas Usar /ip firewall rule ....
Firewall
Se puede manejar el trfico P2P Marcar paquetes para uso posterior Hacer Nat de destino o Nat fuente.
Manejo de Configuracin
Copias de Respaldo
/system backup
load name=... Permite recuperar la configuracin de un archivo.
Todos los archivos se guardan en el sistema y puede ser bajados via FTP. Se pueden ver los archivos con /file print
Manejo de Configuracin
Se puede exportar la configuracin a un archivo de texto

Usar /export
Si se exporta a un archivo se puede manejar la configuracin importando la misma.

Usar /import nombre_archivo
Scripts
Se pueden crear scripts para configurar cierta funcionalidad Usar con /system script Todos los scripts creados pueden ser manejados mediante tareas. Usar /system script job Una ves creadas las tareas se las puede colocar en un calendario
Usar /system scheduler

Curso Mikrotik

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Curso Mikrotik

Încărcat de

Drepturi de autor:

Formate disponibile

MIKROTIK Yony Richard Montoya Burgos

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Universidad Mayor de San Simn

HERRAMIENTAS - ping; traceroute; bandwidth test;

RouterOS Formas de Acceso

Conexin via puerto serial

Conexin Telnet o SSH Administracin WEB (Winbox)

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Terminal de Consola Sigue una estructura tipo unix, por lo que:

Identifica un Muchos comandos manejan

El Orden no siempre es el mismo. Siempre se memoriza el ltimo comando print

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Para consultar el enlace se puede utilizar la opcion lease.

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Habilitar Opciones para los clientes

Universidad Mayor de San Simn

0 clientes 192.168.1.32-192.168.1.64 [admin@MikroTik] ip pool> used print

Si se tiene otro servidor DHCP se pueden hacer relay

Universidad Mayor de San Simn

DNS Cliente y Servidor

Habilitar DNS con la opcion /ip dns

Universidad Mayor de San Simn

Se pueden tener direcciones:

Indicar mnimamente la direccin y la interface

Universidad Mayor de San Simn

1 D 10.5.7.242 00:A0:24:9D:52:A4 ether1 2 10.10.10.1 06:21:00:56:00:12 ether2

Universidad Mayor de San Simn

Se puede habilitar o deshabilitar ARP en cada interface

00:A0:24:9D:52:A4 ether1 06:21:00:56:00:12 ether2

Universidad Mayor de San Simn

Mikrotik maneja dos tipos de rutas:

Universidad Mayor de San Simn

El balanceo de carga se maneja con la caracetrstica de Equal-Cost Multi-Path.

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Cada tabla tiene informacin de rutas independientes

2 D connect 192.168.0.0/24 3 D connect 10.0.0.0/24

Universidad Mayor de San Simn

Enrutamiento Reglas de enrutamiento

Enruta los paquetes de la direccin 10.0.0.144 por las rutas de la tabla mt

Configuracin Bsica de Polticas

Se maneja con /ip web-proxy

Universidad Mayor de San Simn

Monitoreo del Proxy

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Deshabilitar la bajada de MP3, y conexiones FTP excepto del servidor 10.0.0.1

Universidad Mayor de San Simn

Listas de Acceso Directas

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Cache Access List