Professional Documents
Culture Documents
.c s.c
Certificación / Certificación
kx rt
MTCNA
m pe
l
@ kx
os ti
rs kro MikroTik Xperts Chile
cu mi
www.mikrotikxperts.cl
Alejandro Teixeira G.
.
ateixeira@mikrotikxperts.cl
w
kx rt
m pe
• Alejandro Teixeira G. (ateixeira@mikrotikxperts.cl)
l
@ kx
• Co-Fundador y CEO de MikroTik Xperts Chile
• MikroTik Certified Trainer
os ti
rs kro
• MTCNA, MTCTCE, MTCWE
• Ingeniero de Telecomunicaciones (Universidad
cu mi
Católica Andrés Bello, Caracas, Venezuela)
• Magister en Ingeniería de Negocios con TI (Universidad
.
w
@ kx
cursos@academyxperts.com
www.mikrotikxperts.cl
cursos@mikrotikxperts.cl
os ti
www.mikrotikxperts.cr
rs kro
cursos@mikrotikxperts.cr
www.mikrotikxperts.pe
cursos@mikrotikxperts.pe
cu mi
www.mikrotikxperts.com.ve
cursos@mikrotikxperts.com.ve
.
w
w
.c s.c
kx rt
Alejandro Teixeira (Chile)
Miguel Ojeda (Ecuador)
m pe
(ateixeira@mikrotikxperts.cl)
• Co-Fundador y CEO de MikroTik Xperts Chile (miguel.ojeda@mikrotikxperts.com)
l
• Co-Fundador y CEO de Widuitcorp • Co-Fundador y CTO de MikroTik Xperts
• • MikroTik Certified Trainer
@ kx
Co-Fundador y CEO de TF Consulting LTDA
• MikroTik Certified Trainer • MTCNA, MTCTCE, MTCWE, MTCRE
• MTCNA, MTCTCE, MTCWE • DenwaIP Certified Trainer
os ti
rs kro
Gustavo Angulo (Venezuela)
(gangulo@mikrotikxperts.com.ve) Mauro Escalante (Ecuador)
• Co-Fundador y CEO de MikroTik Xperts Venezuela (mescalante@mikrotikxperts.com)
• Co-Fundador y CTO de Widuitcorp • Co-Fundador y CEO de MikroTik Xperts
cu mi
• MikroTik Certified Trainer • Co-Fundador y CEO de Network Xperts
• MTCNA, MTCTCE, MTCWE • MikroTik Certified Trainer
• Cisco CCNA Trainer • MTCNA, MTCTCE, MTCWE, MTCRE
.
(luis.cuadrado@mikrotikxperts.com)
• Ubiquiti airMAX Certified Trainer
w
.c s.c
kx rt
Alejandro Teixeira (Chile) Luis Cuadrado (Ecuador)
m pe
(ateixeira@mikrotikxperts.cl) (luis.cuadrado@mikrotikxperts.com)
• MikroTik MTCNA, MTCTCE, MTCWE • MikroTik MTCNA, MTCTCE, MTCWE, MTCRE
l
• Ubiquiti airMAX Certified Admin
@ kx
Carlos Morales (Perú)
(cmorales@mikrotikxperts.pe) Miguel Ojeda (Ecuador)
• MikroTik MTCNA, MTCTCE (miguel.ojeda@mikrotikxperts.com)
os ti
• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE
rs kro
Gustavo Angulo (Venezuela) • DenwaIP Certified
(gangulo@mikrotikxperts.com.ve)
• MikroTik MTCNA, MTCTCE, MTCWE Mauro Escalante (Ecuador)
• Cisco CCNA, Cisco Security (mescalante@mikrotikxperts.com)
cu mi
• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE
Hamzah Haji (Panamá) • Ubiquiti airMAX Certified Admin
• Observer/Sniffer Certified Engineer
.
(hh@academyxperts.com)
w
(ptoribio@mikrotikxperts.cr)
• MikroTik MTCNA, MTCTCE
w
kx rt
m pe
• Presentarse individualmente
l
– Nombre
@ kx
– Compañía
os ti
– Conocimiento previo sobre RouterOS
rs kro
– Conocimiento previo sobre networking
– Qué espera de este curso?
cu mi
• Recuerde su número XY de clase
.
w
www.mikrotikxperts.com 6
l
.c s.c
Objetivos del Curso
kx rt
m pe
l
• El sistema RouterOS y las capacidades del
@ kx
hardware RouterBoard
os ti
• Prácticas sobre el router MikroTik,
rs kro
configuración, mantenimiento y resolución
cu mi
de problemas.
.
w
w
w
.c s.c
• Fabricante de Hardware y desarrollador de software
kx rt
•
m pe
Productos utilizados por ISP, WISP, compañías, etc.
l
• Hacer las tecnologías de Internet más rápidas,
@ kx
potentes y asequible para una gama más amplia de
os ti
usuarios
rs kro
• www.mikrotik.com
Industry
Founded
Networking hardware
1995
cu mi
Headquarters Riga, Latvia
• www.routerboard.com Key people John Tully, CEO
Arnis Riekstins, CTO
• wiki.mikrotik.com
.
w
.c s.c
kx rt
Riga, LATVIA,
m pe
Noreste de Europa
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
.c s.c
• 1995: Fundación
kx rt
m pe
• 1997: Software RouterOS para x86 (PC)
l
@ kx
• 2002: Nacimiento de RouterBOARD
os ti
rs kro
• 2006: Primer MUM
cu mi
Evolución del RouterOS
• V6.1 - 2013-Jun-12
.
• v5 - Mar 2010
w
• v4 - Oct 2009
w
• v3 - Jan 2008
w
kx rt
.c s.c
l l
11
l
¿ Qué es RouterOS ?
.c s.c
•
kx rt
RouterOS es un sistema operativo que
m pe
l
convierte a un dispositivo en:
•
@ kx
Un router dedicado
•
os ti
Un clasificador de tráfico
rs kro•
•
Filtro transparente de paquetes
cu mi
Un dispositivo inalámbrico
compatible con 802.11a,b,g/n
.
•
w
kx rt
m pe
• Abarca un rango amplio desde routers
l
@ kx
caseros hasta routers de proveedores de
os ti
servicio.
rs kro
cu mi
.
w
w
w
.c s.c
l l
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
RouterBOARD
.c s.c
l l
l
.c s.c
Links útiles
kx rt
m pe
• www.mikrotik.com
l
@ kx
Gestión de licencias, documentación
os ti
• forum.mikrotik.com
rs kro
Compartir experiencias con otros usuarios
cu mi
• wiki.mikrotik.com
.
w
Toneladas de ejemplos
w
w
.c s.c
kx rt
m pe
l
@ kx
os ti
rs kro
Null Modem
Cable
Ethernet
cable
cu mi
.
w
w
w
.c s.c
•
kx rt
Es la aplicación para la configuración del RouterOS
m pe
• Winbox es una herramienta que permite administrar un
l
Mikrotik utilizando una rápida y simple interfaz gráfica.
@ kx
• Es nativo de Windows, pero puede ser utilizado en Linux o Mac
os ti
mediante Wine.
• rs kro
Todas las funciones de Winbox son lo más cercano a configurar
lo por consola, razón por la cual no hay secciones específicas
cu mi
del Winbox en el manual.
• Algunas opciones avanzadas no son posibles vía Winbox, como
.
w
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
Haz click en el botón [...] para ver el router
os ti
rs kro
cu mi
.
w
w
w
.c s.c
kx rt
m pe
l
@ kx
os ti
Ethernet
rs kro Cable
cu mi
.
w
Winbox
w
w
kx rt
m pe
l
@ kx
• Ingrese al Mikrotik mediante la Mac-Address
os ti
rs kro
• El usuario por defecto es "admin" sin
cu mi
password.
.
w
w
w
.c s.c
l l
l
.c s.c
Diagrama de clase
kx rt
laptop1
m pe
WAN: 103.23.247.x (DHCP Cliente)
l
1 LAN: 192.168.N.x/24
laptop2
@ kx
os ti
laptop 2
rs kro Mikrotik
Principal Internet
cu mi
laptop 3 103.23.247.1
.
w
laptop 4
w
w
kx rt
/32 255.255.255.255 /23 255.255.254.0 512 – 2 = 510
m pe
/30 255.255.255.252 4–2=2 /22 255.255.252.0 1024 – 2= 1022
/29 255.255.255.248 8–2=6 /21 255.255.248.0 2048 – 2 = 2046
l
/28 255.255.255.240 16 – 2 = 14 /20 255.255.240.0 4096 – 2 = 4094
@ kx
/27 255.255.255.224 32 – 2 = 30 /19 255.255.224.0 8192 – 2 = 8190
/26 255.255.255.192 64 – 2 = 62 /18 255.255.192.0 16384 – 2= 16382
os ti
/25 255.255.255.128 128 – 2 = 126 /17 255.255.128.0 32768 – 2= 32766
rs kro
/24 255.255.255.0 256 – 2= 254 /16 255.255.0.0 65536 – 2= 65534
kx rt
m pe
1. Deshabilitar cualquier interfaz
l
@ kx
inalámbrica de la laptop
2. Colocar la dirección IP 192.168.N.2
os ti
rs kro
3. Colocar máscara 255.255.255.0
cu mi
4. Colocar 192.168.N.1 como puerta
de enlace predeterminada y DNS
.
w
preferido
w
w
kx rt
m pe
l
Recomendaciones:
@ kx
Mantener la identificación física de las interfaces
os ti
rs kro
Agregar el nombre lógico
cu mi
.
wlan1/ether1 wlan1_wan/ether1_wan
w
w
ether5 ether5_lan
w
Laptop - Router
l
.c s.c
kx rt
1.Conectar al router
m pe
con MAC-Winbox
l
@ kx
os ti
rs kro
2.Agregar la IP
cu mi
192.168.N.1/24 al
.
puerto ether5_lan
w
w
w
kx rt
m pe
utilizando la dirección IP.
l
@ kx
os ti
rs kro
cu mi
.
w
kx rt
m pe
Emplearemos la interfaz wireless del equipo
l
@ kx
como conexión hacia internet
os ti
Simularemos que nos encontramos
rs kro
conectados a un proveedor de servicio
inalámbrico WISP
cu mi
Mas adelante profundizaremos el tema de
.
w
wireless
w
w
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Configuración: WAN (wireless)
l
.c s.c
Grupos: bridge
kx rt
m pe
l
En caso de ser agrupados en parejas
@ kx
necesitaremos crear un bridge en el equipo
os ti
Mas adelante profundizaremos en el tema de
rs kro
bridge
cu mi
.
w
w
w
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Creación de un bridge: LAN
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Creación de un bridge: LAN
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Creación de un bridge: LAN
l
.c s.c
Router - Internet
kx rt
m pe
DHCP-Client: wlan1_wan / ether1_wan
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
Revisar la conectividad hacia internet.
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
Class AP
os ti
Your Laptop Your Router
rs kro
cu mi
DHCP-Client
.
w
Wireless
w
w
kx rt
m pe
l
@ kx
os ti
208.67.222.123
208.67.220.123
rs kro
cu mi
.
w
w
local (laptop)
©MikroTik Xperts 2013 40
l
.c s.c
Laptop - Internet
kx rt
m pe
• La laptop puede acceder al router y el router
l
@ kx
puede acceder a internet, para que su laptop
os ti
acceda a internet es necesario un paso
rs kro
adicional.
• Es necesario crear una regla de Masquerade
cu mi
en el Firewall Filter para ocultar su red
.
w
.c s.c
kx rt
m pe
l
@ kx
os ti
• El Masquerade es utilizado para acceso a redes públicas,
rs kro
donde no son enrutables IP privadas.
cu mi
• Según el RFC 1918 de la IETF las redes privadas son:
• 10.0.0.0 - 10.255.255.255 (10.0.0.0 /8)
.
w
.c s.c
l l
43
l
.c s.c
Probar conectividad
kx rt
m pe
l
Ping www.mikrotik.com desde su laptop
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
• Su router puede hacer ping al AP?
m pe
l
• Puede su router resolver nombres?
@ kx
• Puede llegar a redes más alla de su router?
os ti
rs kro
• Su Laptop puede resolver nombres?
• Colocó correctamente la regla de
cu mi
.
Masquerade?
w
kx rt
m pe
l
@ kx
Class AP
os ti
Your Laptop Your Router
rs kro
cu mi
192.168.X.2 192.168.X.1
.
w
DHCP-Client
w
w
.c s.c
• Control de usuarios
kx rt
• Se pueden crear diferentes tipos de usuarios
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
Crear contraseña
.c s.c
l l
l
Laboratorio de gestión
.c s.c
kx rt
de usuarios
m pe
l
@ kx
• Crear un nuevo usuarios con acceso full
os ti
• Recordar el nombre de usuario
rs kro
• Cambiar la cuenta admin a sólo lectura
cu mi
• Logearse con el nuevo usuario
.
w
w
PREGUNTA DE EXAMEN
w
m pe
kx rt
.c s.c
l l
l
.c s.c
Actualizando el router
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
.c s.c
kx rt
actualización de ROS
m pe
• Descargar los paquetes desde
l
@ kx
http://www.mkx.cl/
os ti
• Subir los archivos desde el winbox vía IP
rs kro
• Reiniciar el router con el comando reboot.
cu mi
www.mikrotik.com
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
.c s.c
kx rt
http://wiki.mikrotik.com/wiki/Manual:System/Packages
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
Opción para colocarle nombre al router
@ kx
X_NOMBRE
os ti
rs kro
Ejemplo: 2_ALEJANDRO
cu mi
.
w
w
w
kx rt
m pe
El nombre puede ser visto en diferentes sitios.
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
Colocarle al nombre del router su nombre + su número
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
• Network Time Protocol, para sincronizar hora
os ti
rs kro
• Son soportados el Servidor NTP y el cliente
cu mi
NTP en RouterOS
.
w
w
w
kx rt
m pe
l
@ kx
• Para obtener la hora correcta
os ti
• En el caso de routers sin memoria interna
rs kro
pueda preservar la información de la hora
cu mi
• Disponible en todos los RouterBOARDs
.
w
w
w
kx rt
El paquete NTP no es requerido
m pe
l
ntp.shoa.cl
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
• Deshabilitar NTP (Pregunta de exámen)
os ti
rs kro
• Reiniciar con reboot
cu mi
• Revisar que NTP Client cambio a SNTP Client
.
w
w
PREGUNTA DE EXAMEN
w
kx rt
• Se pueden hacer respaldos y restaurar
m pe
l
configuraciones en el menú file de Winbox.
@ kx
• Los archivos de backup no son editables
os ti
• Son archivos encriptados.
rs kro
cu mi
.
w
w
w
kx rt
• Otros comandos de respaldo export e import.
m pe
l
• Estos archivos son editables
@ kx
• Las contraseñas no son guardadas con el export
os ti
rs kro
cu mi
/export file=conf-august-2012
/ip firewall filter export file=firewall-aug-2012
.
w
/file print
w
/import [Tab]
w
kx rt
m pe
l
@ kx
• Crear archivos de backup export
os ti
rs kro
• Descargarlos a la laptop.
cu mi
• Abrir el archivo de export con un editor de texto
.
w
w
w
kx rt
m pe
l
• Usar para instalar o reinstalar el RouterOS
@ kx
• Corre en computadores Windows
os ti
rs kro
• La conexión directa con el router es
cu mi
preferida o sobre un switch
• Disponible en www.mikrotik.com
.
w
w
w
kx rt
m pe
1.Listado de routers
l
@ kx
2.Net Booting
os ti
3.Mantener la
rs kro
configuración
cu mi
antigua
4.Paquetes
.
w
5.Instalar
w
w
kx rt
m pe
l
• Todos los RouterBOARDs se venden con licencia.
@ kx
• Hay varios Niveles y no son modificables
os ti
rs kro
• Para ver el nivel ir a System, License, Level
cu mi
• Licencias para PC pueden ser compradas a distribuidores
.
w
o en www.mikrotik.com
w
w
m pe
kx rt
.c s.c
l l
68
w
w
w
.
cu mi
rs kro
os ti
.c s.c
l l
69
w
w
w
.
cu mi
rs kro
os ti
m pe
kx rt
.c s.c
l l
70
l
.c s.c
Firewall
kx rt
m pe
l
@ kx
• Protege al router y sus clientes de acceso no
os ti
rs kro
autorizado
• Puede hacerse mediante creación de reglas
cu mi
en Firewall filter y NAT
.
w
w
w
kx rt
m pe
l
@ kx
• Consiste en reglas definidas por el usuario
os ti
basadas en el principio de IF-Then
rs kro
• Las reglas son ordenadas en cadenas
cu mi
• Existen cadenas predefinidas y cadenas
.
kx rt
m pe
l
@ kx
• Las reglas pueden ser colocadas en 3 cadenas:
os ti
• input (hacia el router)
rs kro
• output (desde el router)
cu mi
• forward (atravesando el router)
.
w
w
w
kx rt
m pe
l
@ kx
Output
Ping from Router
os ti
Input
rs kro
Winbox
cu mi
Forward
.
w
WWW E-Mail
w
w
kx rt
.c s.c
l l
75
w
w
w
.
cu mi
rs kro
os ti
.c s.c
l l
76
l
.c s.c
Input
kx rt
m pe
l
@ kx
• Esta cadena contiene las reglas del filter que
os ti
rs kro
protegen al mismo router
• Bloqueemos a todos excepto su laptop.
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
os ti
Agragar una
rs kro
regla de accept
para la IP de su
cu mi
laptop
.
w
w
w
kx rt
m pe
l
@ kx
Agregar un regla
drop de la cadena
os ti
rs kro
input para
descarcartar a los
cu mi
demás
.
w
w
w
kx rt
m pe
• Cambie la dirección IP de su laptop a
l
@ kx
192.168.N.15
os ti
• Trate de conectarse. El firewall está
rs kro
funcionado!!!
cu mi
• Aún se puede establecer conexión vía
.
kx rt
m pe
l
• El acceso a su router es bloqueado
@ kx
• No tiene internet
os ti
rs kro
• Se están bloqueando las peticiones DNS también
cu mi
• Cambia la configuración para retomar la
.
w
conexión a internet
w
w
kx rt
m pe
• Se puede
l
@ kx
deshabilitar el
os ti
acceso vía MAC
rs kro
en Tools/MAC
Server
cu mi
• Cambiar la IP de
.
w
la laptop a la IP
w
anterior
w
192.168.N.1
©MikroTik Xperts 2013 82
l
Address-List
.c s.c
kx rt
m pe
l
• Address-list permite filtrar un grupo de
@ kx
direcciones con una sola regla
os ti
rs kro
• También se pueden agregar direcciones de
forma automática y luego bloquearlas.
cu mi
.
w
w
w
.c s.c
• Crear varias address-list
kx rt
m pe
• Se pueden agregar: Subredes, rangos
l
@ kx
separados, un sólo host.
os ti
rs kro
cu mi
.
w
w
w
.c s.c
kx rt
m pe
l
• Agregar un host
@ kx
os ti
específico al
rs kro
address-list
• Indicar un
cu mi
timeout para un
.
w
servicio temporal
w
w
.c s.c
kx rt
m pe
l
• Se pueden hacer
@ kx
os ti
bloqueos por
rs kro
listas de acceso
tanto en origen
cu mi
como en destino
.
w
w
w
.c s.c
kx rt
m pe
l
@ kx
• Crear address-list con direcciones IP permitidas
os ti
rs kro
• Añadir una regla para aceptar estas direcciones
cu mi
permitidas.
.
w
w
w
kx rt
m pe
l
@ kx
• Esta cadena contiene reglas para controlar
os ti
rs kro
paquetes que van atravesar el router
• Se controla tráfico hacia y desde los clientes.
cu mi
.
w
w
w
kx rt
.c s.c
l l
89
l
.c s.c
Estado de la conexión
kx rt
m pe
l
• Consejo: hacer drop a conexiones inválidas
@ kx
• El firewall solo procesará nuevos paquetes,
os ti
rs kro
es recomendable excluir otro tipo de
estados.
cu mi
• Las reglas de Filter tienen “connection state”
.
w
kx rt
• Crear una regla
m pe
l
para bloquear el
@ kx
puerto TCP 80
os ti
(Navegador Web)
rs kro
• Es necesrio
cu mi
seleccionar el
.
protocolo al hacer
w
bloqueo por
w
puertos.
w
kx rt
m pe
l
@ kx
• Probar abriendo www.mikrotik.com
os ti
• Probar abriendo http://192.168.N.1
rs kro
• Se puede mostrar la página web del router ya
cu mi
que el bloqueo es aplicado en la cadena de
.
forward
w
w
w
.c s.c
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
que el cliente envía
l
al router
@ kx
• Esta regla debe ser
os ti
rs kro
agregada antes de
las demás acciones.
cu mi
.
w
w
w
kx rt
.c s.c
l l
95
Firewall Actions
l
.c s.c
kx rt
m pe
• Accept
l
• Drop
@ kx
• Reject
os ti
rs kro
• Tarpit
• log
cu mi
• add-src-to-address-list
.
• add-dst-to-address-list
w
w
w
kx rt
m pe
l
@ kx
• Se recomienda agregar comentarios para
os ti
rs kro
recordar el objeto de cada regla
• Utilizar tracking connection y torch
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
kx rt
m pe
l
@ kx
• Connection tracking muestra la información
os ti
rs kro
de todas las conexiones activas.
• Debe ser habilitado para que funcione el
cu mi
Filter y el NAT.
.
w
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
• Agregue una regla para descartar paquetes
m pe
l
inválidos
@ kx
• Agregue una regla para aceptar conexiones
os ti
rs kro
establecidas
• Agregue una regla para aceptar conexiones
cu mi
relacionadas.
.
paquetes nuevos.
w
kx rt
m pe
l
Crear listas de acceso:
@ kx
Bogons
os ti
Direcciones permitidas localmente: "privadas“
rs kroDetectar escaneo de puertos y "supuestos ataques"
cu mi
Agregarlos a listas negras: usar "tarpit" o "drop“
.
w
MTCTCE
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Ejemplo: Firewall base
MTCTCE
w
forward
MTCTCE
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
input
Ejemplo: Firewall base
l
.c s.c
Firewall base: input/forward
kx rt
m pe
http://www.mkx.cl/fw_base/
l
@ kx
Analizar: fw_base_simple.rsc
os ti
Modificar: ":global wan XXXXX"
rs kro
Cargar usando comando import
cu mi
Realizar pruebas de ataque SSH, telnet, FTP
.
w
Usar Nmap
w
w
kx rt
m pe
l
@ kx
• El router es capaz de cambiar dirección
os ti
rs kro
Origen o Destino en el flujo de paquetes a
través del mismo.
cu mi
• Este proceso es llamado src-nat o dst-nat
.
w
w
w
kx rt
m pe
l
New
@ kx
SRC-Address
SRC-Address
os ti
rs kro
cu mi
Laptop Servidor Remoto
.
w
w
w
kx rt
m pe
l
@ kx
Servidor con IP Host con IP
os ti
privada pública
rs kro
cu mi
.
w
kx rt
m pe
l
@ kx
• Para conseguir estos escenarios es necesario
os ti
colocar las cadenas adecuadas: dstnat o
rs kro
srcnat
• Las reglas de nat funcionan con el principio
cu mi
.
IF-THEN
w
w
w
kx rt
m pe
l
@ kx
• DST-NAT cambia la dirección destino y
os ti
puerto del paquete.
rs kro
• Se utiliza para que usuarios de internet
cu mi
puedan acceder a servicios en servidores de
.
kx rt
m pe
l
@ kx
Servidor WEB
Algún PC
os ti
192.168.1.1
rs kro
cu mi
.
192.168.1.1:80 207.141.27.45:80
w
w
kx rt
Intente acceder desde una red vecina a su
m pe
l
dirección ip publica. Observe lo que ocurre.
@ kx
Crear una regla de dst-nat hacia su laptop.
os ti
rs kro
Descargar: http://www.mkx.cl/mongoose-3.7.exe
Observe lo que ocurre.
cu mi
.
MTCTCE
l
.c s.c
Redirect
kx rt
m pe
l
@ kx
• Tipo especial de DST-NAT
os ti
• Esta acción redirecciona paquetes al mismo
rs kro
router.
cu mi
• Puede ser utilizado para servicios de proxy
.
(DNS, HTTP)
w
w
w
kx rt
m pe
l
DST-Address
@ kx
Configured_DNS_Server:53
os ti
rs kro
cu mi
New DST-Address
Router:53
.
w
DNS Cache
w
w
.c s.c
kx rt
m pe
l
• Hagamos que los
@ kx
os ti
usuarios locales
rs kro
utilicen el DNS
cache del router
cu mi
• La regla se hace
.
w
en protocolo UDP
w
w
kx rt
m pe
Bloquear el chat de Gmail usando DNS
l
@ kx
DNS Estático --> 127.0.0.1
os ti
chatenabled.mail.google.com
rs kro
talkgadget.google.com
cu mi
talk.google.com
.
w
talkx.l.google.com
w
w
MTCTCE
l
.c s.c
SRC-NAT
kx rt
m pe
l
@ kx
• SRC-NAT cambia la dirección origen del
os ti
paquete
rs kro
• Se puede utilizar para que toda una red
cu mi
privada salga con la misma dirección pública
• Masquerade es un tipo de SRC-NAT
.
w
w
w
kx rt
m pe
l
Src Address Src Address
@ kx
192.168.X.1 router address
os ti
rs kro
cu mi
.
kx rt
.c s.c
l l
122
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
FTP: NAT Helper
.c s.c
l l
MTCTCE
l
.c s.c
FTP: NAT Helper
kx rt
Liberar puerto 21 en filter: cadena forward
m pe
l
Agregar una regla de log antes del drop en
@ kx
forward
os ti
rs kro
Ver que ocurre usando el log
Agregar regla de forward: related
cu mi
Agregar log de forward: related
.
w
w
MTCTCE
l
.c s.c
NAT Actions
kx rt
m pe
l
@ kx
• Accept
os ti
• DST-NAT
rs kro
• Redirect
cu mi
• Masquerade
.
w
w
w
.c s.c
l l
126
l
.c s.c
Colas Simples
kx rt
m pe
l
• Es la forma más simple de limitar ancho de
@ kx
os ti
banda:
rs kro
• Descarga del cliente (Download)
• Carga del cliente (Upload)
cu mi
kx rt
m pe
l
@ kx
os ti
• Es necesario o utilizar Target-Address
rs kro
• El orden de las colas es tomado en cuenta.
cu mi
.
w
w
w
kx rt
m pe
• Creamos
l
@ kx
una
os ti
limitación
rs kro
a su
laptop.
cu mi
• 64k
.
w
Download
©MikroTik Xperts 2013 129
l
.c s.c
Priorización de tráfico
kx rt
m pe
l
@ kx
• Prioridad 1 es más
os ti
rs kro
alta que 8
• La prioridad debe
cu mi
Priority
Select is in
Queue
estar al menos en 2 Advanced Tab
.
w
kx rt
.c s.c
l l
l
.c s.c
Tipos de cola
kx rt
m pe
l
@ kx
FIFO: First-In First-Out (paquetes y bytes)
os ti
rs kro
RED: Random Early Drop
cu mi
SFQ: Stochastic Fairness Queuing
.
kx rt
m pe
avanzada
l
• PCQ se utiliza para clasificar
@ kx
tráfico (desde el punto de
os ti
rs kro
vista del cliente)
• Los clasificadores dividen el
cu mi
tráfico (desde el punto de
.
es carga y dst-addres es
w
descarga)
w
kx rt
m pe
• PCQ permite fijar un límite a todos los usuaros
l
@ kx
con una misma cola
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
• Múltiples colas reemplazadas por una sola
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
• Distribuye equitativamente entre los usuarios
@ kx
os ti
rs kro
cu mi
.
w
w
w
.c s.c
kx rt
m pe
• 1M de carga y 2M de descarga son compartidos
l
@ kx
entre varios usuarios del segmento 192.168.N.0/24
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
os ti
• El instructor hará una cola de PCQ en el router
rs kro
• Dos escenarios serán usados en el mangle
cu mi
.
w
w
w
kx rt
m pe
• La prueba del ancho de banda puede ser
l
@ kx
utilizada para monitorear el rendimiento hacia
os ti
un dispositivo remoto.
rs kro
• La prueba de ancho de banda funciona entre
cu mi
dos routers MikroTik
• Existe una aplicación para windows,
.
w
descargable en www.MikroTik.com
w
w
kx rt
m pe
l
• Fijar Test To como dirección para
@ kx
la prueba
os ti
• Seleccionar el protocolo
rs kro
• TCP soporta multiples conexiones
cu mi
• Hay que autenticarse con el
.
w
router remoto
w
w
kx rt
m pe
l
@ kx
• El servidor debe ser habilitado
os ti
rs kro
• Es recomendable dejar
cu mi
habilitada la autenticación
.
w
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
Habilitemos los gráficos
de las colas
cu mi
.
w
w
w
kx rt
m pe
l
• Las gráficas
@ kx
os ti
están
rs kro
disponibles en el
servidor web del
cu mi
mikrotik
.
w
w
w
m pe
kx rt
.c s.c
l l
144
l
.c s.c
MikroTik permite hacer un
kx rt
"merge" de sus puertos
m pe
ethernet e inalámbricos
l
@ kx
Importante: STP o RSTP
os ti
El bridge trae habilitado un
rs kro firewall propio, el cual se
puede integrar al firewall
cu mi
general del MikroTik
.
w
w
PREGUNTA DE EXAMEN
w
l
.c s.c
Bridge
kx rt
m pe
l
@ kx
• Colocaremos en el mismo bridge la interfaz
os ti
Ethernet y la interfaz inalámbrica
rs kro
• El bridge unifica redes físicas diferentes en el
cu mi
mismo segmento lógico
• Todas las laptops estarán en la misma red
.
w
w
w
kx rt
m pe
l
@ kx
• Para crear un bridge de debe crear
os ti
rs kro
interfaz de bridge
• Y luego añadir las interfaces
cu mi
correspondientes a ese bridge
.
w
w
w
kx rt
m pe
• El bridge se configura desde el menú
l
@ kx
/interface bridge
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
• Las interfaces son agregadas una a una al
l
@ kx
Bridge
os ti
rs kro
cu mi
.
w
w
w
kx rt
• Se pueden agregar interfaces Ethernet sin
m pe
l
problemas
@ kx
• Los clientes inalámbricos en (mode=station)
os ti
rs kro
no soportan bridge dada las limitaciones de
802.11
cu mi
Se debe usar WDS
.
(mode=station-bridge)
w
.c s.c
l l
l
.c s.c
Servidor DHCP
kx rt
m pe
l
@ kx
• Dynamic Host Configuration Protocol
os ti
• Usado para entregar de forma automática
rs kro
direcciones en una red local
cu mi
• Usar DHCP sólo en redes seguras
.
w
w
w
kx rt
m pe
l
@ kx
• Para configurar el servidor DHCP es necesario
os ti
tener una IP en la intefaz
rs kro
• Utilice el comando setup para habilitar el
cu mi
servidor DHCP
• Serán preguntados los datos necesarios
.
w
w
w
.c s.c
kx rt
DHCP
m pe
l
@ kx
os ti
rs kro Click on DHCP Setup
cu mi
TimeDNS
Set
SetSet that
Addresses
server
Networkclient
Gateway address
may
that
for for use
DHCP,
that to run
will
willbebe
IPSetup
given
assigned
addresstoWizard
offered
DHCP forclients
automatically
clients to clients
.
Select interface
w
DHCP server
w
w
kx rt
m pe
l
@ kx
• Para configurar el servidor DHCP en un
os ti
bridge, fija el servidor en la intefaz de bridge
rs kro
o ethernet, segun corresponda
• Si se configura en uno de los puertos del
cu mi
.
kx rt
m pe
l
@ kx
• Configure el servidor DHCP en la interfaz
os ti
ethernet donde está conectada la laptop
rs kro
• Cambiar la configuración de la laptop para
cu mi
que tome dirección de forma dinámica
• Revise la conexión a internet
.
w
w
w
kx rt
m pe
l
@ kx
os ti
El lease muestra
rs kro
información de las
direcciones
cu mi
entregadas .
.
w
w
w
kx rt
m pe
l
@ kx
Mostrar
os ti
rs kro
campos
adicionales
cu mi
con nuevas
columnas
.
w
w
w
kx rt
m pe
l
@ kx
• Podemos hacer un
os ti
lease estático
rs kro
• El cliente no podrá
cu mi
obtener otra
.
dirección
w
w
w
kx rt
m pe
l
@ kx
• El servidor DHCP puede correr sin lease
os ti
rs kro
dinámico
• Los clientes recibirán las direcciones pre-
cu mi
configuradas
.
w
w
w
kx rt
m pe
l
@ kx
os ti
• Fijar el Address-Pool a
rs kro
sólo estático
cu mi
• Crear el lease estático
.
w
w
w
kx rt
m pe
l
@ kx
• Address Resolution Protocol
os ti
• ARP se encarga de encontrar la dirección MAC
rs kro
que le corresponde a una IP determinada
cu mi
• ARP funciona de manera dinámica pero
.
kx rt
m pe
l
@ kx
os ti
La tabla de ARP
rs kro
muestra la IP,
MAC y puerto
cu mi
donde está
.
conectado un
w
dispositivo
w
w
kx rt
m pe
l
@ kx
• Para mejorar la seguridad local, las entradas
os ti
rs kro
ARP pueden ser creadas manualmente
• De esta manera los clientes no podrían tener
cu mi
acceso a Internet si se cambia la dirección IP
.
w
w
w
kx rt
ARP: reply-only
.c s.c
l l
MTCTCE
l
.c s.c
Configuración de ARP estático
kx rt
m pe
• Agregar una entrada
l
@ kx
estática en la tabla ARP
• Fije la interfaz arp=reply-
os ti
rs kro
only para deshabilitar
creación dinámica vía
cu mi
ARP
.
• Dehabiltar y habilitar la
w
w
interfaz o reinicie el
w
kx rt
m pe
• Coloca la MAC de tu laptop como entrada
l
@ kx
estática
• En la configuración del puerto Ethernet
os ti
rs kro
coloca arp=reply-only
• Cambia la IP de tu PC (dentro del mismo
cu mi
.
segmento)
w
kx rt
m pe
l
@ kx
Hacer Backup de su configuración.
os ti
rs kro
Luego la usaremos de nuevo.
cu mi
.
.c s.c
l l
169
l
.c s.c
Diagrama de clase
kx rt
Masquerade
m pe
Eliminar masquerade
l
laptop 1
@ kx
wan: 103.23.247.x (DHCP Cliente)
lan: 192.168.N.x/24
os ti
rs kro Mikrotik
Principal Internet
cu mi
lan: 192.168.N.x/24 103.23.247.1
.
laptop 2
w
kx rt
m pe
l
• Validar la configuración
@ kx
• Pruebe hacer ping a su laptop
os ti
rs kro
• Pruebe hacer ping a su vecino 192.168.N.1
cu mi
• Configuraremos rutas estáticas para poder
.
w
llegar a su vecino.
w
w
kx rt
m pe
l
@ kx
• Las reglas del ip route indica a donde van a
os ti
rs kro
ser enviados los paquetes
• Para ver las rutas: /ip route rule
cu mi
.
w
w
w
kx rt
m pe
networks define
l
las redes que
@ kx
pueden ser
os ti
alcanzables
rs kro
• Gateway:
cu mi
La IP del
próximo salto
.
w
(router para
w
poder alcanzar
w
kx rt
m pe
l
@ kx
Gateway por defecto:
os ti
rs kro
El próximo salto
donde todos los
cu mi
paquetes cuyas rutas
.
w
no se conozcan
w
serán enviados
w
kx rt
defecto
m pe
l
@ kx
• En estos momentos su router recibe el
os ti
gateway por DHCP
rs kro
• Deshabilite que se reciba vía DHCP
cu mi
• Agregue la puerta de enlace predeterminada
.
manualmente.
w
w
w
.c s.c
• Revise las otras
kx rt
rutas
m pe
l
• Las rutas
@ kx
marcadas con
os ti
DAC son
rs kro
agregadas
cu mi
automáticamente
• La ruta DAC viene
.
w
de las interfaces
w
activas con
w
kx rt
m pe
l
@ kx
• A - active
os ti
• D - dynamic
rs kro
• C - connected
cu mi
• S - static
.
w
w
w
kx rt
m pe
l
@ kx
• El objetivo es hacerle ping a la laptop del
os ti
rs kro
vecino
• Lo conseguiremos mediante rutas estáticas
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
• Las rutas estáticas define como alcanzar una
os ti
rs kro
red destino
• El Default gateway también es una ruta
cu mi
estática hacia 0.0.0.0, envía todo el tráfico
.
kx rt
m pe
l
@ kx
• Es necesaria una ruta estática para alcanzar
os ti
la laptop vecina
rs kro
• Debido a que el gateway (router del
cu mi
instructor) no tiene información de las redes
.
kx rt
m pe
l
@ kx
• Recuerda la topología de red
os ti
• La red de su vecino tiene el formato
rs kro
192.168.N.0/24
cu mi
• Preguntele al vecino la dirección IP de su
.
interfaz inalámbrica
w
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
• Agregue una ruta
l
@ kx
• Indique la red destino, la red local de su
os ti
rs kro
vecino
• Indique el gateway, la dirección que es usada
cu mi
para alcanzar el destino, corresponde con la
.
vecino
w
w
kx rt
m pe
l
• Agregue ruta
@ kx
• Coloque el
192.168.X.0/24
os ti
192.168.Y.Z
rs kro
gateway
• Haga ping a la
cu mi
laptop de su
.
w
vecino
w
w
kx rt
• La misma configuración es posible con
m pe
l
enrutamiento dinámico
@ kx
• Imagine que tiene que crear rutas estáticas a
os ti
rs kro
cada vecino de su red.
• En lugar de crear cientos de rutas, los
cu mi
protocolos dinámicos intercambian paquetes
.
algún destino.
w
kx rt
m pe
l
@ kx
os ti
• Fácil de configurar, difícil de gestionar y
rs kro
hacer troubleshooting
cu mi
• Utiliza mayores recursos de RAM y CPU del
.
router
w
w
w
kx rt
m pe
l
@ kx
• Veremos uno sólo de los protocolos de
os ti
rs kro
enrutamiento dinámicos: OSPF
• OSPF es de rápida convergencia y obtiene
cu mi
rutas óptimas.
.
• Fácil de configurar
w
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
• Revisar las rutas
os ti
• Hacer ping al PC de su vecino
rs kro
• Recuerde, son necesarios conocimientos
cu mi
adicionales para administrar redes con OSPF
.
w
w
w
m pe
kx rt
.c s.c
l l
190
l
.c s.c
Tipos de Túneles / VPN
kx rt
m pe
PPTP IPIP
l
@ kx
L2TP IPSec
os ti
rs kro
SSTP PPPoE
OVPN PPP
cu mi
EoIP GRE
.
w
w
w
l
.c s.c
Túneles: características
kx rt
m pe
PPTP EoIP
l
TCP: 1724 Túnel GRE con soporte para
@ kx
GRE bridge extendido
L2TP IPIP
os ti
UDP:1701 Túnel sobre IP sin encriptación
rs kro
SSTP
TCP: 443 (puede modificarse)
PPPoE
Solo funciona en un mismo
cu mi
Uso opcional de certificado dominio de broadcast
Encriptación habilitada Usado por muchos ISP
.
OVPN PPP
w
Encriptación habilitada
l
.c s.c
PPPoE
kx rt
m pe
l
@ kx
• Point to Point Protocol over Ethernet es
os ti
amenudo utilizado para controlar conexiones
rs kro
DSL, cable modems y redes Ethernet
• MikroTik RouterOS soporta PPPoE cliente y
cu mi
.
PPPoE servidor
w
w
w
kx rt
• Añadir un
m pe
l
cliente PPoE
@ kx
• Es necesario
os ti
rs kro
crear la
interfaz
cu mi
• Colocar
.
w
login y
w
contraseña
w
kx rt
m pe
• El instructor creará un servidor PPPoE en el
l
@ kx
router
• Deshabilitar el cliente DHCP en la interfaz de
os ti
rs kro
salida del router
• Configurar el cliente PPPoE en la interfaz de
cu mi
.
salida
w
m pe
l
• Revisar la conexión PPP
@ kx
• Deshabilitar el cliente PPPoE
os ti
rs kro
• Disable PPPoE client
cu mi
• Habilitar el cliente DHCP y volver a la
.
w
configuración anterior
w
w
.c s.c
kx rt
servidor PPPoE
m pe
l
@ kx
• Seleccione la
os ti
rs kro
interfaz
• Seleccionar el
cu mi
perfil
.
w
w
w
kx rt
• Base de datos de
m pe
l
usuarios
@ kx
• Colocar usuario y
os ti
contraseña
rs kro
• Seleccionar el
cu mi
servicio
• La configuración
.
w
w
se toma desde el
w
perfil
©MikroTik Xperts 2013 198
l
.c s.c
Perfiles PPP
kx rt
m pe
l
@ kx
• Colocar las reglas de los clientes usados para PPP
os ti
rs kro
• La mejor manera es tener las mismas
cu mi
configuraciones para clientes diferentes
.
w
w
w
kx rt
m pe
l
@ kx
• Local address –
os ti
rs kro
Dirección del servidor
• Remote Address –
cu mi
.
kx rt
m pe
l
• Importante,el servidor PPPoE corre en la
@ kx
interfaz
os ti
• La interfaz PPPoE puede ser utilizada sin
rs kro
asignarle una IP
cu mi
• Por seguridad, es recomendable dejar las
.
w
kx rt
m pe
l
• El Pool define el rango de direcciones para PPP,
@ kx
DHCP, y clientes de portal cautivo
os ti
• Se utilizará un pool, puesto que se tendrá más
rs kro
de un cliente
cu mi
• Las direcciones son tomadas del pool
.
w
automaticamente
w
w
.c s.c
l l
204
l
.c s.c
PPTP
kx rt
• Túnel punto a punto para encriptar tuneles
m pe
l
sobre IP
@ kx
• MikroTik RouterOS incluye soporte para
os ti
rs kro
cliente y servidor PPTP
• Utilizado para resguardar enlaces entre redes
cu mi
locales sobre Internet
.
.c s.c
kx rt
m pe
l
@ kx
• Site to Site
os ti
rs kro
cu mi
• Client to Site
.
w
w
w
kx rt
m pe
l
@ kx
• La configuración PPTP es muy similar a la de
os ti
rs kro
PPPoE
• L2TP se configura de forma similar también
cu mi
.
w
w
w
kx rt
• Cree una
m pe
l
@ kx
interfaz PPTP
• Indicar la
os ti
rs kro
dirección del
servidor PPTP
cu mi
• Indique el
.
w
usuario y la
w
contraseña
w
kx rt
m pe
l
@ kx
• Use una ruta por defecto para enrutar todo
os ti
rs kro
el tráfico hacia el túnel PPTP
• Use enrutamiento estático para enviar
cu mi
tráfico específico al túnel PPTP
.
w
w
w
kx rt
m pe
• Habilitar el
l
@ kx
servidor
os ti
PPTP
rs kro
• El servidor
cu mi
PPTP puede
soportar
.
w
múltiples
w
clientes
w
kx rt
m pe
l
• Las configuraciones del cliente PPTP están
@ kx
almacenadas en PPP secret
os ti
• El PPP secret es utilizado para los clientes
rs kro
PPTP, L2TP, PPoE
cu mi
• La base de datos de PPP es configurada en el
.
w
servidor
w
w
kx rt
m pe
l
@ kx
os ti
• El mismo perfil es usado indistintamente
rs kro
para clientes PPTP, PPPoE, L2TP y clientes
cu mi
PPP
.
w
w
w
kx rt
m pe
l
• El instructor creará un servidor PPTP en el
@ kx
os ti
router de la clase
rs kro
• Crear un cliente en una interfaz de salida
• Usar usuario class contraseña class
cu mi
m pe
kx rt
.c s.c
l l
214
l
.c s.c
HotSpot
kx rt
m pe
l
@ kx
• Herramienta para conexión rápida a internet
os ti
• El Portal cautivo permite autenticación de
rs kro
los clientes antes del ingreso a la red pública
cu mi
• El servidor de portal cautivo provee manejo
.
de cuentas de usuarios
w
w
w
kx rt
m pe
l
@ kx
• Puntos de acceso abiertos, Internet Cafes,
os ti
Aeropuertos, campus universitarios, centros
rs kro
comerciales, etc.
• Diferentes maneras de autorización
cu mi
.c s.c
kx rt
cautivo
m pe
l
@ kx
• Dirección IP válida en internet y dirección IP
os ti
rs kro
local
• Servidores DNS
cu mi
• Al menos un usuario del portal
.
w
w
w
.c s.c
kx rt
cautivo
m pe
l
@ kx
os ti
• La configuración del portal es sencilla
rs kro
• La configuración es similar al servidor DHCP
cu mi
.
w
w
w
.c s.c
kx rt
cautivo
m pe
• Correr Hotspot
l
@ kx
Setup
os ti
• Seleccionar la
rs kro
interfaz
cu mi
• Proceder a
.
responder las IP
Añadir address
Addresses
Masquerade
HotSpot
DNS
Whether
un toHotSpot
servers
usuario redirect
address
that
to use
address
will
del SMTP
certificate
will
be network
assigned
portal cautivo
w
Selectfor
DNS name Interface
HotSpottoserver
preguntas be(e-mails)
together
selectedto
for HotSpotyour SMTP
toautomatically
HotSpot
with
automatically
HotSpot
clients server
clientsor not
w
run HotSpot on
w
kx rt
m pe
l
@ kx
• Usuarios conectados al portal cautivo serán
os ti
rs kro
desconectados de internet hasta autenticarse
• Los clientes tienen que ser autorizados por el
cu mi
portal para ingresar a Internet.
.
w
w
w
kx rt
m pe
l
@ kx
• La configuración básica del portal cautivo crea:
os ti
• Un servidor DHCP en la interfaz del portal
rs kro
• Un pool de direcciones para los clientes
cu mi
• Reglas dinámicas de firewall (Filter y NAT)
.
w
w
w
kx rt
m pe
l
@ kx
• El login del portal se muestra cuando el
os ti
usuario intenta de ingresar a cualquier
rs kro
página web
• Para salir del portal cautivo es necesario ir a
cu mi
.
kx rt
m pe
l
@ kx
• Crea un un HotSpot en la intefaz local
os ti
rs kro
• No olvides el usuario y contraseña, de otra
cu mi
forma no se podrá ingresar a Internet
.
w
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
satisfactoriamente
©MikroTik Xperts 2013 225
l
.c s.c
Gestión de usuarios
kx rt
m pe
l
@ kx
os ti
rs kro
Para añadir, editar
o eliminar usuarios
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
• Permite acceso a determinados recursos sin
os ti
necesidad de autenticarse en el portal
rs kro
• Sirve para HTTP y HTTPS
cu mi
• También funciona para otros recursos
.
kx rt
m pe
l
@ kx
os ti
Permita acceso
rs kro
sólo a
www.mikrotik.com
cu mi
.
w
w
w
kx rt
m pe
l
• Menú IP binding
@ kx
• Permite clientes
os ti
rs kro
puntuales sobre el
portal cautivo
cu mi
• Teléfonos IP,
.
w
impresoras,
w
superusuarios
w
.c s.c
kx rt
portal cautivo
m pe
l
@ kx
• Es posible asignar de forma dinámica cada
os ti
rs kro
usuario del portal
• Una cola simple es creada por cada usuario
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
os ti
Se crean
rs kro
opciones
personalizadas
cu mi
del portal cautivo
.
w
w
w
.c s.c
kx rt
portal cautivo
m pe
l
@ kx
os ti
A cada cliente se le
rs kro
entregará 64kb para
la subida y 128kb
cu mi
para la bajada
.
w
w
w
.c s.c
kx rt
portal cautivo
m pe
l
@ kx
• Añadir un segundo usuario
os ti
• Permitir acceso a www.mikrotik.com sin que
rs kro
sea necesario autenticarse en el portal
cu mi
• Coloque la tasa de transferencia a 1M/1M a
.
la laptop
w
w
w
m pe
kx rt
.c s.c
l l
234
l
.c s.c
Que es el Proxy?
kx rt
m pe
l
@ kx
• Mejora la velocidad de navegación web
os ti
rs kro
almacenando datos.
• Firewall HTTP
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
kx rt
m pe
l
@ kx
• Proxy forzado: El usuario debe configurar su
os ti
navegador para poder navegar por el proxy
rs kro
• Proxy transparente: las conexiones HTTP son
cu mi
redireccionadas al proxy del MikroTik
.
automáticamente
w
w
w
l
.c s.c
kx rt
• Es necesaria una
m pe
l
regla DST-NAT
@ kx
para el proxy
os ti
transparente
rs kro
• El tráfico HTTP
cu mi
será
redirecionado
.
w
hacia el router
w
w
kx rt
m pe
l
@ kx
• Las listas de acceso del proxy permiten una
os ti
rs kro
opción para filtrar nombres de dominio
• Se pueden hacer redirecciones a páginas
cu mi
específicas
.
w
w
w
kx rt
m pe
l
@ kx
• Dst-Host, una página
os ti
rs kro
web (http://test.com)
• Path, un subdirectorio
cu mi
de esa página
http://test.com/PATH
.
w
w
w
kx rt
m pe
l
@ kx
• Crear una regla para bloquear acceso a
os ti
una página web específica
rs kro
• Crear una regla que rediriga el tráfico de
cu mi
la página no deseada a la página de su
.
compañía
w
w
w
kx rt
m pe
l
@ kx
• El proxy lleva el registro de las páginas web
os ti
visitadas por los usuarios
rs kro
• Es necesario revisar que se disponen de
cu mi
suficientes recursos para almacenar los logs
.
kx rt
m pe
l
• Añadir el log para
@ kx
el Web-Proxy
os ti
• Revisar logs
rs kro
cu mi
.
w
w
w
PREGUNTA DE EXAMEN
©MikroTik Xperts 2013 243
l
Cache en dispositivos
.c s.c
kx rt
externos
m pe
l
@ kx
• El cache puede ser almacenado en
os ti
rs kro
dispositivos de almacenamiento externos
• Store gestiona todos los discos externos.
cu mi
• Soporte para IDE, SATA, USB, CF, MicroSD
.
w
w
w
l
.c s.c
• Gestión de las unidades externas
kx rt
m pe
• Las unidades deben ser formateadas
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
l
.c s.c
• Se agrega un dispositivo de almacenamiento para
kx rt
m pe
guardar los datos del proxy en una memoria externa
l
• El almacenamiento puede ser utilzado para proxy, user-
@ kx
manager y dude
os ti
rs kro
cu mi
.
w
w
w
m pe
kx rt
.c s.c
l l
247
MTCWE
l
.c s.c
Redes inalámbricas
kx rt
m pe
l
@ kx
• RouterOS soporta varios módulos de radio
os ti
para comunicación inalámbrica en 2.4Ghz y
rs kro
5Ghz
• MikroTik RouterOS brinda completo soporte
cu mi
.
a estandares 802.11a/b/g/n
w
w
w
kx rt
m pe
l
@ kx
• IEEE 802.11b - 2.4GHz , 11Mbps
os ti
• IEEE 802.11g - 2.4GHz , 54Mbps
rs kro
• IEEE 802.11a - 5GHz, 54Mbps
cu mi
• IEEE 802.11n - 2.4GHz - 5GHz
.
w
w
w
kx rt
m pe
1 2 3 4 5 6 7 8 9 10 11
l
2483
2400
@ kx
os ti
rs kro
cu mi
• (11) Canales de 22 MHz (US)
.
kx rt
36 40 42 44 48 50 52 56 58 60 64
m pe
5210 5250 5290
l
@ kx
os ti
5150 5180 5200 5220 5240 5260 5280 5300 5320 5350
rs kro
149 152 153 157 160 161
5760 5800
cu mi
.
kx rt
m pe
l
@ kx
os ti
rs kro
Todos los canales 5GHz (802.11a) y 2.4GHz (802.11b/g)
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
• Dependiendo de las regulaciones por país las
os ti
rs kro
tarjetas inalámbricas funcionan en el rango:
• 2.4GHz: 2312 - 2499 MHz
cu mi
• 5GHz: 4920 - 6100 MHz
.
w
w
w
l
.c s.c
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
l
@ kx
• Utilizaremos el nombre del radio para el
os ti
rs kro
mismo propósito que el router identity
• Colocar en el nombre del radio: Su
cu mi
número+Nombre
.
w
w
w
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w
kx rt
m pe
• Fijar mode=station
l
@ kx
• Selecione la banda
os ti
• Indicar el SSID
rs kro
• El canal se puede
cu mi
seleccionar haciendo
.
w
un Scan
w
w
kx rt
m pe
l
• Coloque el modo
@ kx
mode=ap-bridge
os ti
• Seleccione la Banda
rs kro
• Indique el SSID
cu mi
• Fije la frecuencia
.
w
w
w
kx rt
m pe
l
@ kx
802.11 ROS 802.11 nstreme nv2
os ti
station V V V V
rs kro
station-wds V V V
cu mi
station-pseudobridge V V V
.
w
station-pseudobridge-clone V V V
w
station-bridge V V V
w
l
Transparent Wireless
.c s.c
kx rt
Links Setups
m pe
l
@ kx
Bridge <-> Station-pseudobridge
os ti
Bridge <-> Station using EOIP
rs kro
Bridge <-> Bridge
cu mi
Bridge <-> Station-wds
.
w
kx rt
• Se utiliza para
m pe
l
obtener una vista
@ kx
global de las redes
os ti
inalámbricas en la
rs kro
banda seleccionada
• La interfaz
cu mi
inalámbrica se
.
w
desconecta para
w
usar esta
w
herramienta MTCWE
©MikroTik Xperts 2013 263
l
.c s.c
Tabla de registros
kx rt
m pe
l
@ kx
• Ve todo los
os ti
rs kro
dispisitivos
conectados a
cu mi
las interfaces
inalámbricas
.
w
w
w
kx rt
• Access-list se utiliza
m pe
l
los clientes y en que
@ kx
condiciones se
os ti
conectarán
rs kro
• Deshabilitando el
cu mi
Default-
Authentication se
.
w
kx rt
m pe
l
@ kx
• Habilitada, las reglas del Access-List el
os ti
cliente se puede conectar a menos que haya
rs kro
una regla que lo niegue.
• Deshabilitada, sólo se revisan los usuarios
cu mi
.
en el Access-List
w
w
w
kx rt
m pe
l
• Indica los
@ kx
parámetros para
os ti
rs kro
que el cliente
seleccione el
cu mi
punto de acceso
donde se va a
.
w
conectar
w
w
.c s.c
kx rt
Access-List
m pe
l
@ kx
• Este laboratorio la hará el instructor en el
os ti
rs kro
punto de acceso de la clase
• Deshabilitar conexión a un usuario específico
cu mi
• Permitir conexión para solo ciertos clientes
.
w
w
w
kx rt
m pe
l
• Ahora su router está conectado al punto de
@ kx
acceso de la clase
os ti
• Cree una regla para no permitir la conexión
rs kro
al AP de la clase
cu mi
• Utilice los parámetros del Connect-list
.
w
w
w
kx rt
m pe
l
@ kx
• Habilitemos la encriptación en nuestra red
os ti
inalámbrica
rs kro
• Utilizar encriptación WPA o WPA2
cu mi
• Todos los dispositivos de la red deben tener
.
l
.c s.c
kx rt
m pe
l
•
@ kx
Habilitar las opciones
WPA y WPA2 PSK
os ti
•
rs kro
La contraseña es
mikrotiktraining
cu mi
.
w
w
w
kx rt
• Para ver la
m pe
l
contraseña
@ kx
deshabilitar la opción
os ti
Hide Password
rs kro
• Se pueden ver otras
cu mi
contraseñas excepto
la de los usuarios del
.
w
MikroTik
w
w
kx rt
m pe
l
@ kx
El Default-Forwarding se
os ti
rs kro
utiliza para deshabilitar
tráfico entre clientes
cu mi
conectados al mismo punto
de acceso
.
w
w
w
kx rt
m pe
l
@ kx
• Las reglas del Access-List tienen mayor
os ti
rs kro
prioridad
• Revisar si las reglas están funcionando para
cu mi
controlar los clientes
.
w
w
w
kx rt
m pe
l
• Protocolo propietario de MikroTik
@ kx
• Mejora enlaces inalámbricos, especialmente
os ti
rs kro
los de largo alcance
• Para utilizarlo en la red es necesario
cu mi
habilitarlo en todos los dispositivos
.
w
kx rt
m pe
• Habilitar Nstreme
l
@ kx
en su router
os ti
• Verificar que haya
rs kro
levantado el enlace
cu mi
• Nstreme debe ser
.
habilitado en
w
ambos routers
w
w
kx rt
m pe
l
• Protocolo propietario de MikroTik
@ kx
• Mejora enlaces inalámbricos, especialmente
os ti
rs kro
los de largo alcance
• No usa CDMA
cu mi
• Usa TDMA
.
w
w
w
kx rt
m pe
• Habilitar Nv2 en su
l
@ kx
router
os ti
• Verificar que haya
rs kro
levantado el enlace
cu mi
• Nv2 debe ser
.
habilitado en
w
ambos routers
w
w
kx rt
m pe
l
@ kx
• WDS permite agregar un clientes
os ti
inalámbricos a un bridge
rs kro
• WDS (Wireless Distribution System) habilita
cu mi
la opción para conectarse entre puntos de
.
accesos.
w
w
w
MTCWE
280
l
Redes inalámbricas en
.c s.c
kx rt
bridge
m pe
l
@ kx
Class AP
Your Laptop Your Router
os ti
rs kro
cu mi
192.168.N.2 192.168.N.1
.
DHCP-Client
w
w
w
kx rt
Crearemos una gran red
m pe
l
Con todos los dispositivos
@ kx
os ti
rs kro
cu mi
.
w
w
w
l
.c s.c
kx rt
m pe
l
• Station-WDS es
@ kx
os ti
modo especial
rs kro
para permitir el
WDS
cu mi
.
w
w
w
.c s.c
kx rt
m pe
l
• Agregar la interfaz
@ kx
os ti
pública y local al
rs kro
bridge
• Ether1 (local),
cu mi
wlan1 (public)
.
w
w
w
.c s.c
kx rt
• Habilitar WDS en modo AP-Bridge, utilizar
m pe
l
dynamic-mesh
@ kx
• Las interfaces WDS son creadas
os ti
rs kro
automáticamente
• Utilice el bridge por defecto para las
cu mi
interfaces WDS
.
l
.c s.c
kx rt
m pe
l
@ kx
• Colocar el modo en
os ti
rs kro
AP-Bridge
• Añadir la interfaz
cu mi
inalámbrica al bridge
.
w
w
w
l
.c s.c
kx rt
• Usar el modo dynamic-
m pe
l
@ kx
mesh
• No es necesario crear las
os ti
rs kro
intefaces WDS se crearán
automáticamente
cu mi
• Los otros AP también se
.
w
dinámico
w
.c s.c
kx rt
m pe
l
• Enlace WDS
@ kx
establecido
os ti
• La D denota que la
rs kro
interfaz fue creada
cu mi
dinámicamente
.
w
w
w
.c s.c
kx rt
Red MESH
m pe
l
•
@ kx
Eliminar la regla masquerade
•
os ti
Eliminar el DHCP-Client en la interfaz inalámbrica
•rs kro
Coloque el modo=ap-bridge en el router
•
cu mi
Usar el mismo SSID que sus vecinos
•
.
•
w
@ kx
m pe
kx rt
.c s.c
l l
290
l
.c s.c
Dude
kx rt
m pe
l
• Programa de monitoreo de red
@ kx
• Descubre automáticamente dispositivos
os ti
rs kro
• Dibuja y documenta mapas de la red
cu mi
• Servicio de monitoreo y alertas
.
• El software es gratuito
w
w
w
kx rt
m pe
l
• El dude consiste en dos partes:
@ kx
1.Servidor Dude: no tiene interfaz gráfica.
os ti
rs kro
Se puede correr el dude inclusive en un
RouterOS
cu mi
2.Cliente Dude: se conecta al servidor y
.
w
kx rt
m pe
l
@ kx
• Disponible en
os ti
rs kro
www.mikrotik.com
• Instalación sencilla
cu mi
.
w
w
kx rt
m pe
l
@ kx
os ti
• El dude se tradujo en diferentes idiomas
rs kro
• Disponible en wiki.mikrotik.com
cu mi
.
w
w
w
kx rt
m pe
l
• La opción de
@ kx
Discover se
os ti
rs kro
muestra al
inicio
cu mi
• Se puede
.
descubrir la
w
red local
w
w
@ kx
m pe
kx rt
.c s.c
l l
296
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
297
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
298
l
.c s.c
kx rt
m pe
l
@ kx
os ti
Exámen de certificación
rs kro
cu mi
.
w
w
w
.c s.c
kx rt
certificación
m pe
l
@ kx
os ti
• Resetear el router
rs kro
• Revisar conexión a internet
cu mi
.
w
w
w
kx rt
m pe
l
• Ir a http://training.mikrotik.com
@ kx
• Iniciar sesión con su cuenta o crear una
os ti
rs kro
nueva cuenta
• Revisar que su nombre salga completo
cu mi