You are on page 1of 302

l

.c s.c
Certificación / Certificación

kx rt
MTCNA

m pe
l
@ kx
os ti
rs kro MikroTik Xperts Chile
cu mi
www.mikrotikxperts.cl
Alejandro Teixeira G.
.

ateixeira@mikrotikxperts.cl
w

MikroTik Certified Trainer


w

MikroTik Trainer ID #TR0163


w

© MikroTik, www.mikrotik.cl All rights reserved. Reprinted with permission.


l
.c s.c
Instructor

kx rt
m pe
• Alejandro Teixeira G. (ateixeira@mikrotikxperts.cl)

l
@ kx
• Co-Fundador y CEO de MikroTik Xperts Chile
• MikroTik Certified Trainer

os ti
rs kro
• MTCNA, MTCTCE, MTCWE
• Ingeniero de Telecomunicaciones (Universidad
cu mi
Católica Andrés Bello, Caracas, Venezuela)
• Magister en Ingeniería de Negocios con TI (Universidad
.
w

de Chile, Santiago, Chile)


w
w

©MikroTik Xperts 2013 2


l
.c s.c
kx rt
m pe
l
www.mikrotikxperts.com
www.academyxperts.com
cursos@mikrotikxperts.com

@ kx
cursos@academyxperts.com
www.mikrotikxperts.cl
cursos@mikrotikxperts.cl

os ti
www.mikrotikxperts.cr

rs kro
cursos@mikrotikxperts.cr
www.mikrotikxperts.pe
cursos@mikrotikxperts.pe
cu mi
www.mikrotikxperts.com.ve
cursos@mikrotikxperts.com.ve
.
w
w

Academy Xperts MikroTik Xperts


w

©MikroTik Xperts 2013


l
Instructores Academy Xperts

.c s.c
kx rt
Alejandro Teixeira (Chile)
Miguel Ojeda (Ecuador)

m pe
(ateixeira@mikrotikxperts.cl)
• Co-Fundador y CEO de MikroTik Xperts Chile (miguel.ojeda@mikrotikxperts.com)

l
• Co-Fundador y CEO de Widuitcorp • Co-Fundador y CTO de MikroTik Xperts
• • MikroTik Certified Trainer

@ kx
Co-Fundador y CEO de TF Consulting LTDA
• MikroTik Certified Trainer • MTCNA, MTCTCE, MTCWE, MTCRE
• MTCNA, MTCTCE, MTCWE • DenwaIP Certified Trainer

os ti
rs kro
Gustavo Angulo (Venezuela)
(gangulo@mikrotikxperts.com.ve) Mauro Escalante (Ecuador)
• Co-Fundador y CEO de MikroTik Xperts Venezuela (mescalante@mikrotikxperts.com)
• Co-Fundador y CTO de Widuitcorp • Co-Fundador y CEO de MikroTik Xperts
cu mi
• MikroTik Certified Trainer • Co-Fundador y CEO de Network Xperts
• MTCNA, MTCTCE, MTCWE • MikroTik Certified Trainer
• Cisco CCNA Trainer • MTCNA, MTCTCE, MTCWE, MTCRE
.

• Ubiquiti airMAX Certified Trainer


w

• Observer/Sniffer Certified Engineer


Luis Cuadrado (Ecuador)
w

(luis.cuadrado@mikrotikxperts.com)
• Ubiquiti airMAX Certified Trainer
w

©MikroTik Xperts 2013 4 4


l
Consultores Academy Xperts

.c s.c
kx rt
Alejandro Teixeira (Chile) Luis Cuadrado (Ecuador)

m pe
(ateixeira@mikrotikxperts.cl) (luis.cuadrado@mikrotikxperts.com)
• MikroTik MTCNA, MTCTCE, MTCWE • MikroTik MTCNA, MTCTCE, MTCWE, MTCRE

l
• Ubiquiti airMAX Certified Admin

@ kx
Carlos Morales (Perú)
(cmorales@mikrotikxperts.pe) Miguel Ojeda (Ecuador)
• MikroTik MTCNA, MTCTCE (miguel.ojeda@mikrotikxperts.com)

os ti
• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE

rs kro
Gustavo Angulo (Venezuela) • DenwaIP Certified
(gangulo@mikrotikxperts.com.ve)
• MikroTik MTCNA, MTCTCE, MTCWE Mauro Escalante (Ecuador)
• Cisco CCNA, Cisco Security (mescalante@mikrotikxperts.com)
cu mi
• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE
Hamzah Haji (Panamá) • Ubiquiti airMAX Certified Admin
• Observer/Sniffer Certified Engineer
.

(hh@academyxperts.com)
w

• MikroTik MTCNA, MTCTCE, MTCRE


Pedro Toribio (Nicaragua, Costa Rica)
w

(ptoribio@mikrotikxperts.cr)
• MikroTik MTCNA, MTCTCE
w

©MikroTik Xperts 2013 5 5


l
.c s.c
Introducción personal

kx rt
m pe
• Presentarse individualmente

l
– Nombre

@ kx
– Compañía

os ti
– Conocimiento previo sobre RouterOS
rs kro
– Conocimiento previo sobre networking
– Qué espera de este curso?
cu mi
• Recuerde su número XY de clase
.
w

– (X = número de fila, Y = número de asiento en fila)


w

Mi número es: _____


w

www.mikrotikxperts.com 6
l
.c s.c
Objetivos del Curso

kx rt
m pe
l
• El sistema RouterOS y las capacidades del

@ kx
hardware RouterBoard

os ti
• Prácticas sobre el router MikroTik,
rs kro
configuración, mantenimiento y resolución
cu mi
de problemas.
.
w
w
w

©MikroTik Xperts 2013 7


l
Acerca de MikroTik

.c s.c
• Fabricante de Hardware y desarrollador de software

kx rt

m pe
Productos utilizados por ISP, WISP, compañías, etc.

l
• Hacer las tecnologías de Internet más rápidas,

@ kx
potentes y asequible para una gama más amplia de

os ti
usuarios
rs kro
• www.mikrotik.com
Industry
Founded
Networking hardware
1995
cu mi
Headquarters Riga, Latvia
• www.routerboard.com Key people John Tully, CEO
Arnis Riekstins, CTO
• wiki.mikrotik.com
.
w

Products Routers, Firewalls


• forum.mikrotik.com Revenue 62.5 million Euros (2011)
w

Net income 20.6 million Euros (2011)


• en.wikipedia.org/wiki/MikroTik Employees 80 (2012)
w

©MikroTik Xperts 2013 8


l
Donde está MikroTik ?

.c s.c
kx rt
Riga, LATVIA,

m pe
Noreste de Europa

l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 9


l
La Historia de MikroTik

.c s.c
• 1995: Fundación

kx rt
m pe
• 1997: Software RouterOS para x86 (PC)

l
@ kx
• 2002: Nacimiento de RouterBOARD

os ti
rs kro
• 2006: Primer MUM
cu mi
Evolución del RouterOS
• V6.1 - 2013-Jun-12
.

• v5 - Mar 2010
w

• v4 - Oct 2009
w

• v3 - Jan 2008
w

©MikroTik Xperts 2013 10


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
MikroTik RouterOS

kx rt
.c s.c
l l
11
l
¿ Qué es RouterOS ?

.c s.c

kx rt
RouterOS es un sistema operativo que

m pe
l
convierte a un dispositivo en:

@ kx
Un router dedicado

os ti
Un clasificador de tráfico
rs kro•

Filtro transparente de paquetes
cu mi
Un dispositivo inalámbrico
compatible con 802.11a,b,g/n
.


w

El sistema operativo de los RouterBOARD



w

Puede ser instalado en un PC


w

©MikroTik Xperts 2013 12


l
.c s.c
¿ Qué es RouterBOARD ?
• Un hardware creado por Mikrotik

kx rt
m pe
• Abarca un rango amplio desde routers

l
@ kx
caseros hasta routers de proveedores de

os ti
servicio.

rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 13


w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
MikroTik RouterBOARD
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
RouterBOARD

.c s.c
l l
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
RouterBOARD

.c s.c
l l
l
.c s.c
Links útiles

kx rt
m pe
• www.mikrotik.com

l
@ kx
Gestión de licencias, documentación

os ti
• forum.mikrotik.com
rs kro
Compartir experiencias con otros usuarios
cu mi
• wiki.mikrotik.com
.
w

Toneladas de ejemplos
w
w

©MikroTik Xperts 2013 17


l
Primer acceso

.c s.c
kx rt
m pe
l
@ kx
os ti
rs kro
Null Modem
Cable
Ethernet
cable
cu mi
.
w
w
w

©MikroTik Xperts 2013 18


l
Winbox

.c s.c

kx rt
Es la aplicación para la configuración del RouterOS

m pe
• Winbox es una herramienta que permite administrar un

l
Mikrotik utilizando una rápida y simple interfaz gráfica.

@ kx
• Es nativo de Windows, pero puede ser utilizado en Linux o Mac

os ti
mediante Wine.
• rs kro
Todas las funciones de Winbox son lo más cercano a configurar
lo por consola, razón por la cual no hay secciones específicas
cu mi
del Winbox en el manual.
• Algunas opciones avanzadas no son posibles vía Winbox, como
.
w

el cambio de MAC de una interfaz.



w

Puede ser descargado desde www.mikrotik.com/download.


w

©MikroTik Xperts 2013 19


l
.c s.c
Descarga del Winbox

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 20


l
.c s.c
Connectando

kx rt
m pe
l
@ kx
Haz click en el botón [...] para ver el router

os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 21


l
Conectando

.c s.c
kx rt
m pe
l
@ kx
os ti
Ethernet
rs kro Cable
cu mi
.
w

Winbox
w
w

©MikroTik Xperts 2013 22


l
.c s.c
Laboratorio de conexión

kx rt
m pe
l
@ kx
• Ingrese al Mikrotik mediante la Mac-Address
os ti
rs kro
• El usuario por defecto es "admin" sin
cu mi
password.
.
w
w
w

©MikroTik Xperts 2013 23


w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
Reiniciar equipo

.c s.c
l l
l
.c s.c
Diagrama de clase

kx rt
laptop1

m pe
WAN: 103.23.247.x (DHCP Cliente)

l
1 LAN: 192.168.N.x/24
laptop2

@ kx
os ti
laptop 2

rs kro Mikrotik
Principal Internet
cu mi
laptop 3 103.23.247.1
.
w

laptop 4
w
w

©MikroTik Xperts 2013 25


l
.c s.c
CIDR Subnet Mask Hosts CIDR Subnet Mask Hosts Disponibles
Disponibles

kx rt
/32 255.255.255.255 /23 255.255.254.0 512 – 2 = 510

m pe
/30 255.255.255.252 4–2=2 /22 255.255.252.0 1024 – 2= 1022
/29 255.255.255.248 8–2=6 /21 255.255.248.0 2048 – 2 = 2046

l
/28 255.255.255.240 16 – 2 = 14 /20 255.255.240.0 4096 – 2 = 4094

@ kx
/27 255.255.255.224 32 – 2 = 30 /19 255.255.224.0 8192 – 2 = 8190
/26 255.255.255.192 64 – 2 = 62 /18 255.255.192.0 16384 – 2= 16382

os ti
/25 255.255.255.128 128 – 2 = 126 /17 255.255.128.0 32768 – 2= 32766

rs kro
/24 255.255.255.0 256 – 2= 254 /16 255.255.0.0 65536 – 2= 65534

El prefijo es expresado en notación CIDR (Classless Inter-Domain


cu mi
Routing). Primero se escribe la dirección de la red seguida por el
.

caracter (/), finalizando con la cantidad de bits del prefijo de red


w

y subred. Por ejemplo una 192.168.1.0/24 tiene 24 bits de red y


w

los restantes 8 bits son para host.


w

©MikroTik Xperts 2013 26


l
.c s.c
Laptop - Router

kx rt
m pe
1. Deshabilitar cualquier interfaz

l
@ kx
inalámbrica de la laptop
2. Colocar la dirección IP 192.168.N.2

os ti
rs kro
3. Colocar máscara 255.255.255.0
cu mi
4. Colocar 192.168.N.1 como puerta
de enlace predeterminada y DNS
.
w

preferido
w
w

©MikroTik Xperts 2013 27


l
.c s.c
Renombrar interfaces

kx rt
m pe
l
 Recomendaciones:

@ kx
 Mantener la identificación física de las interfaces

os ti
rs kro
 Agregar el nombre lógico
cu mi
.

wlan1/ether1 wlan1_wan/ether1_wan
w
w

ether5 ether5_lan
w
Laptop - Router

l
.c s.c
kx rt
1.Conectar al router

m pe
con MAC-Winbox

l
@ kx
os ti
rs kro
2.Agregar la IP
cu mi
192.168.N.1/24 al
.

puerto ether5_lan
w
w
w

©MikroTik Xperts 2013 29


l
.c s.c
Laptop - Router
• Cerrar el Winbox y conectar de nuevo

kx rt
m pe
utilizando la dirección IP.

l
@ kx
os ti
rs kro
cu mi
.
w

• El acceso vía MAC debe ser sólo usado


w

cuando el router no sea accesible vía IP.


w

©MikroTik Xperts 2013 30


l
.c s.c
Conexión WAN: Wireless

kx rt
m pe
 Emplearemos la interfaz wireless del equipo

l
@ kx
como conexión hacia internet

os ti
 Simularemos que nos encontramos

rs kro
conectados a un proveedor de servicio
inalámbrico WISP
cu mi
 Mas adelante profundizaremos el tema de
.
w

wireless
w
w
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Configuración: WAN (wireless)
l
.c s.c
Grupos: bridge

kx rt
m pe
l
 En caso de ser agrupados en parejas

@ kx
necesitaremos crear un bridge en el equipo

os ti
 Mas adelante profundizaremos en el tema de
rs kro
bridge
cu mi
.
w
w
w
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Creación de un bridge: LAN
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Creación de un bridge: LAN
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Creación de un bridge: LAN
l
.c s.c
Router - Internet

kx rt
m pe
DHCP-Client: wlan1_wan / ether1_wan

l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 37


l
.c s.c
Router - Internet

kx rt
m pe
l
Revisar la conectividad hacia internet.

@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 38


l
.c s.c
Router Internet

kx rt
m pe
l
@ kx
Class AP

os ti
Your Laptop Your Router

rs kro
cu mi
DHCP-Client
.
w

Wireless
w
w

©MikroTik Xperts 2013 39


l
.c s.c
Laptop - Internet

kx rt
m pe
l
@ kx
os ti
208.67.222.123
208.67.220.123

rs kro
cu mi
.
w
w

Su router puede ser el servidor DNS de su red


w

local (laptop)
©MikroTik Xperts 2013 40
l
.c s.c
Laptop - Internet

kx rt
m pe
• La laptop puede acceder al router y el router

l
@ kx
puede acceder a internet, para que su laptop

os ti
acceda a internet es necesario un paso

rs kro
adicional.
• Es necesario crear una regla de Masquerade
cu mi
en el Firewall Filter para ocultar su red
.
w

privada detrás del router y poder ser


w

enrutable hacia internet.


w

©MikroTik Xperts 2013 41


l
IPs privadas y públicas

.c s.c
kx rt
m pe
l
@ kx
os ti
• El Masquerade es utilizado para acceso a redes públicas,
rs kro
donde no son enrutables IP privadas.
cu mi
• Según el RFC 1918 de la IETF las redes privadas son:
• 10.0.0.0 - 10.255.255.255 (10.0.0.0 /8)
.
w

• 172.16.0.0 - 172.31.255.255 (172.16.0.0 /12)


w

• 192.168.0.0 - 192.168.255.255 (192.168.0.0 /16)


w

©MikroTik Xperts 2013 42


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
kx rt
Laptop - Internet

.c s.c
l l
43
l
.c s.c
Probar conectividad

kx rt
m pe
l
Ping www.mikrotik.com desde su laptop

@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 44


l
.c s.c
TroubleShooting

kx rt
• Su router puede hacer ping al AP?

m pe
l
• Puede su router resolver nombres?

@ kx
• Puede llegar a redes más alla de su router?

os ti
rs kro
• Su Laptop puede resolver nombres?
• Colocó correctamente la regla de
cu mi
.

Masquerade?
w

• Verificar que la laptop tenga puerta de


w
w

enlace y DNS configurados correctamente.


©MikroTik Xperts 2013 45
l
.c s.c
Diagrama de red

kx rt
m pe
l
@ kx
Class AP

os ti
Your Laptop Your Router
rs kro
cu mi
192.168.X.2 192.168.X.1
.
w

DHCP-Client
w
w

©MikroTik Xperts 2013 46


l
Gestión de usuarios

.c s.c
• Control de usuarios

kx rt
• Se pueden crear diferentes tipos de usuarios

m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 47


w
w
w
Colocar: 1234

.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
Crear contraseña

.c s.c
l l
l
Laboratorio de gestión

.c s.c
kx rt
de usuarios

m pe
l
@ kx
• Crear un nuevo usuarios con acceso full

os ti
• Recordar el nombre de usuario
rs kro
• Cambiar la cuenta admin a sólo lectura
cu mi
• Logearse con el nuevo usuario
.
w
w

PREGUNTA DE EXAMEN
w

©MikroTik Xperts 2013 49


w
w
w
.
cu mi
rs kro
os ti
@ kx
WebFig

m pe
kx rt
.c s.c
l l
l
.c s.c
Actualizando el router

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 51


l
Laboratorio de

.c s.c
kx rt
actualización de ROS

m pe
• Descargar los paquetes desde

l
@ kx
http://www.mkx.cl/

os ti
• Subir los archivos desde el winbox vía IP
rs kro
• Reiniciar el router con el comando reboot.
cu mi

• Las actualizaciones siempre están disponibles en


.
w

www.mikrotik.com
w
w

©MikroTik Xperts 2013 52


l
.c s.c
Gestión de paquetes

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 53


l
Información de paquetes

.c s.c
kx rt
http://wiki.mikrotik.com/wiki/Manual:System/Packages

m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 54


l
.c s.c
Router Identity

kx rt
m pe
l
Opción para colocarle nombre al router

@ kx
X_NOMBRE

os ti
rs kro
Ejemplo: 2_ALEJANDRO
cu mi
.
w
w
w

©MikroTik Xperts 2013 55


l
.c s.c
Router Identity

kx rt
m pe
El nombre puede ser visto en diferentes sitios.

l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 56


l
.c s.c
Router Identity Lab

kx rt
m pe
l
@ kx
os ti
rs kro
Colocarle al nombre del router su nombre + su número
cu mi
.
w
w
w

©MikroTik Xperts 2013 57


l
.c s.c
NTP

kx rt
m pe
l
@ kx
• Network Time Protocol, para sincronizar hora
os ti
rs kro
• Son soportados el Servidor NTP y el cliente
cu mi
NTP en RouterOS
.
w
w
w

©MikroTik Xperts 2013 58


l
.c s.c
¿Por qué NTP?

kx rt
m pe
l
@ kx
• Para obtener la hora correcta

os ti
• En el caso de routers sin memoria interna
rs kro
pueda preservar la información de la hora
cu mi
• Disponible en todos los RouterBOARDs
.
w
w
w

©MikroTik Xperts 2013 59


l
.c s.c
Cliente NTP

kx rt
El paquete NTP no es requerido

m pe
l
ntp.shoa.cl

@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 60


l
.c s.c
Laboratorio de paquetes

kx rt
m pe
l
@ kx
• Deshabilitar NTP (Pregunta de exámen)
os ti
rs kro
• Reiniciar con reboot
cu mi
• Revisar que NTP Client cambio a SNTP Client
.
w
w

PREGUNTA DE EXAMEN
w

©MikroTik Xperts 2013 61


l
.c s.c
Respaldo de configuración

kx rt
• Se pueden hacer respaldos y restaurar

m pe
l
configuraciones en el menú file de Winbox.

@ kx
• Los archivos de backup no son editables

os ti
• Son archivos encriptados.
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 62


l
.c s.c
Respaldo de configuración

kx rt
• Otros comandos de respaldo export e import.

m pe
l
• Estos archivos son editables

@ kx
• Las contraseñas no son guardadas con el export
os ti
rs kro
cu mi
/export file=conf-august-2012
/ip firewall filter export file=firewall-aug-2012
.
w

/file print
w

/import [Tab]
w

©MikroTik Xperts 2013 63


l
.c s.c
Laboratorio de Backup

kx rt
m pe
l
@ kx
• Crear archivos de backup export
os ti
rs kro
• Descargarlos a la laptop.
cu mi
• Abrir el archivo de export con un editor de texto
.
w
w
w

©MikroTik Xperts 2013 64


l
.c s.c
Netinstall

kx rt
m pe
l
• Usar para instalar o reinstalar el RouterOS

@ kx
• Corre en computadores Windows
os ti
rs kro
• La conexión directa con el router es
cu mi
preferida o sobre un switch
• Disponible en www.mikrotik.com
.
w
w
w

©MikroTik Xperts 2013 65


l
.c s.c
Netinstall

kx rt
m pe
1.Listado de routers

l
@ kx
2.Net Booting

os ti
3.Mantener la
rs kro
configuración
cu mi
antigua
4.Paquetes
.
w

5.Instalar
w
w

©MikroTik Xperts 2013 66


l
.c s.c
Licencias RouterOS

kx rt
m pe
l
• Todos los RouterBOARDs se venden con licencia.

@ kx
• Hay varios Niveles y no son modificables
os ti
rs kro
• Para ver el nivel ir a System, License, Level
cu mi
• Licencias para PC pueden ser compradas a distribuidores
.
w

o en www.mikrotik.com
w
w

©MikroTik Xperts 2013 67


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
Licencia

m pe
kx rt
.c s.c
l l
68
w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
kx rt
Tipos de Licencia

.c s.c
l l
69
w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
Firewall

m pe
kx rt
.c s.c
l l
70
l
.c s.c
Firewall

kx rt
m pe
l
@ kx
• Protege al router y sus clientes de acceso no

os ti
rs kro
autorizado
• Puede hacerse mediante creación de reglas
cu mi
en Firewall filter y NAT
.
w
w
w

©MikroTik Xperts 2013 71


l
.c s.c
Firewall Filter

kx rt
m pe
l
@ kx
• Consiste en reglas definidas por el usuario

os ti
basadas en el principio de IF-Then
rs kro
• Las reglas son ordenadas en cadenas
cu mi
• Existen cadenas predefinidas y cadenas
.

creadas por los usuarios.


w
w
w

©MikroTik Xperts 2013 72


l
.c s.c
Filter Chains

kx rt
m pe
l
@ kx
• Las reglas pueden ser colocadas en 3 cadenas:

os ti
• input (hacia el router)
rs kro
• output (desde el router)
cu mi
• forward (atravesando el router)
.
w
w
w

©MikroTik Xperts 2013 73


l
.c s.c
Firewall Chains

kx rt
m pe
l
@ kx
Output
Ping from Router

os ti
Input
rs kro
Winbox
cu mi
Forward
.
w

WWW E-Mail
w
w

©MikroTik Xperts 2013 74


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
Conexiones

kx rt
.c s.c
l l
75
w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
kx rt
Firewall Chains

.c s.c
l l
76
l
.c s.c
Input

kx rt
m pe
l
@ kx
• Esta cadena contiene las reglas del filter que
os ti
rs kro
protegen al mismo router
• Bloqueemos a todos excepto su laptop.
cu mi
.
w
w
w

©MikroTik Xperts 2013 77


l
.c s.c
Input

kx rt
m pe
l
@ kx
os ti
Agragar una

rs kro
regla de accept
para la IP de su
cu mi
laptop
.
w
w
w

©MikroTik Xperts 2013 78


l
.c s.c
Input

kx rt
m pe
l
@ kx
Agregar un regla
drop de la cadena

os ti
rs kro
input para
descarcartar a los
cu mi
demás
.
w
w
w

©MikroTik Xperts 2013 79


l
.c s.c
Input Lab

kx rt
m pe
• Cambie la dirección IP de su laptop a

l
@ kx
192.168.N.15

os ti
• Trate de conectarse. El firewall está
rs kro
funcionado!!!
cu mi
• Aún se puede establecer conexión vía
.

direcciones MAC dado que el Firewall Filter


w

funciona sólo en capa 3


w
w

©MikroTik Xperts 2013 80


l
.c s.c
Input

kx rt
m pe
l
• El acceso a su router es bloqueado

@ kx
• No tiene internet
os ti
rs kro
• Se están bloqueando las peticiones DNS también
cu mi
• Cambia la configuración para retomar la
.
w

conexión a internet
w
w

©MikroTik Xperts 2013 81


l
.c s.c
Input

kx rt
m pe
• Se puede

l
@ kx
deshabilitar el

os ti
acceso vía MAC

rs kro
en Tools/MAC
Server
cu mi
• Cambiar la IP de
.
w

la laptop a la IP
w

anterior
w

192.168.N.1
©MikroTik Xperts 2013 82
l
Address-List

.c s.c
kx rt
m pe
l
• Address-list permite filtrar un grupo de

@ kx
direcciones con una sola regla

os ti
rs kro
• También se pueden agregar direcciones de
forma automática y luego bloquearlas.
cu mi
.
w
w
w

©MikroTik Xperts 2013 83


l
Address-List

.c s.c
• Crear varias address-list

kx rt
m pe
• Se pueden agregar: Subredes, rangos

l
@ kx
separados, un sólo host.

os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 84


l
Address-List

.c s.c
kx rt
m pe
l
• Agregar un host

@ kx
os ti
específico al

rs kro
address-list
• Indicar un
cu mi
timeout para un
.
w

servicio temporal
w
w

©MikroTik Xperts 2013 85


l
Address-List in Firewall

.c s.c
kx rt
m pe
l
• Se pueden hacer

@ kx
os ti
bloqueos por

rs kro
listas de acceso
tanto en origen
cu mi
como en destino
.
w
w
w

©MikroTik Xperts 2013 86


l
Address-List Lab

.c s.c
kx rt
m pe
l
@ kx
• Crear address-list con direcciones IP permitidas
os ti
rs kro
• Añadir una regla para aceptar estas direcciones
cu mi
permitidas.
.
w
w
w

©MikroTik Xperts 2013 87


l
.c s.c
Forward

kx rt
m pe
l
@ kx
• Esta cadena contiene reglas para controlar
os ti
rs kro
paquetes que van atravesar el router
• Se controla tráfico hacia y desde los clientes.
cu mi
.
w
w
w

©MikroTik Xperts 2013 88


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
Conexiones

kx rt
.c s.c
l l
89
l
.c s.c
Estado de la conexión

kx rt
m pe
l
• Consejo: hacer drop a conexiones inválidas

@ kx
• El firewall solo procesará nuevos paquetes,
os ti
rs kro
es recomendable excluir otro tipo de
estados.
cu mi
• Las reglas de Filter tienen “connection state”
.
w

que revisan el propósito de la conexión.


w
w

©MikroTik Xperts 2013 90


l
.c s.c
Forward

kx rt
• Crear una regla

m pe
l
para bloquear el

@ kx
puerto TCP 80

os ti
(Navegador Web)
rs kro
• Es necesrio
cu mi
seleccionar el
.

protocolo al hacer
w

bloqueo por
w

puertos.
w

©MikroTik Xperts 2013 91


l
.c s.c
Forward

kx rt
m pe
l
@ kx
• Probar abriendo www.mikrotik.com

os ti
• Probar abriendo http://192.168.N.1
rs kro
• Se puede mostrar la página web del router ya
cu mi
que el bloqueo es aplicado en la cadena de
.

forward
w
w
w

©MikroTik Xperts 2013 92


l
Lista de puertos bien conocidos

.c s.c
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 93


l
.c s.c
Firewall Log
• Veamos los pings

kx rt
m pe
que el cliente envía

l
al router

@ kx
• Esta regla debe ser

os ti
rs kro
agregada antes de
las demás acciones.
cu mi
.
w
w
w

©MikroTik Xperts 2013 94


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
Firewall Log

kx rt
.c s.c
l l
95
Firewall Actions

l
.c s.c
kx rt
m pe
• Accept

l
• Drop

@ kx
• Reject
os ti
rs kro
• Tarpit
• log
cu mi
• add-src-to-address-list
.

• add-dst-to-address-list
w
w
w

©MikroTik Xperts 2013 96


l
.c s.c
Firewall Tips

kx rt
m pe
l
@ kx
• Se recomienda agregar comentarios para
os ti
rs kro
recordar el objeto de cada regla
• Utilizar tracking connection y torch
cu mi
.
w
w
w

©MikroTik Xperts 2013 97


l
.c s.c
Herramienta: Torch

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w

Detalla el reporte de tráfico actual de una interfaz


w

PREGUNTA DE EXAMEN ©MikroTik Xperts 2013 98


l
.c s.c
Connection Tracking

kx rt
m pe
l
@ kx
• Connection tracking muestra la información

os ti
rs kro
de todas las conexiones activas.
• Debe ser habilitado para que funcione el
cu mi
Filter y el NAT.
.
w
w
w

©MikroTik Xperts 2013 99


l
.c s.c
Connection Tracking

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

PREGUNTA DE EXAMEN ©MikroTik Xperts 2013 100


l
.c s.c
Estado de la conexión

kx rt
• Agregue una regla para descartar paquetes

m pe
l
inválidos

@ kx
• Agregue una regla para aceptar conexiones

os ti
rs kro
establecidas
• Agregue una regla para aceptar conexiones
cu mi
relacionadas.
.

• De esta manera el Firewall sólo trabajara con


w
w

paquetes nuevos.
w

©MikroTik Xperts 2013 101


l
.c s.c
Ejemplo: Firewall base

kx rt
m pe
l
 Crear listas de acceso:

@ kx
 Bogons

os ti
 Direcciones permitidas localmente: "privadas“
 rs kroDetectar escaneo de puertos y "supuestos ataques"
cu mi
 Agregarlos a listas negras: usar "tarpit" o "drop“
.

 Permitir: icmp code 8 / code 3


w


w

Permitir input: 8291 y bloquear el resto


w

 Permitir forward: accesos a internet y bloquear MTCTCE


w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Ejemplo: Firewall base

MTCTCE
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Ejemplo: Firewall base

MTCTCE
w

forward

MTCTCE
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
input
Ejemplo: Firewall base
l
.c s.c
Firewall base: input/forward

kx rt
m pe
http://www.mkx.cl/fw_base/

l
@ kx
 Analizar: fw_base_simple.rsc

os ti
 Modificar: ":global wan XXXXX"
rs kro
 Cargar usando comando import
cu mi
 Realizar pruebas de ataque SSH, telnet, FTP
.
w

 Usar Nmap
w
w

 Revisar listas de acceso MTCTCE


l
.c s.c
kx rt
m pe
l
@ kx
Network Address
os ti
rs kro
Translation
cu mi
.
w
w
w

©MikroTik Xperts 2013 107


l
.c s.c
NAT

kx rt
m pe
l
@ kx
• El router es capaz de cambiar dirección

os ti
rs kro
Origen o Destino en el flujo de paquetes a
través del mismo.
cu mi
• Este proceso es llamado src-nat o dst-nat
.
w
w
w

©MikroTik Xperts 2013 108


l
.c s.c
SRC-NAT

kx rt
m pe
l
New

@ kx
SRC-Address
SRC-Address

os ti
rs kro
cu mi
Laptop Servidor Remoto
.
w
w
w

©MikroTik Xperts 2013 109


l
.c s.c
DST-NAT

kx rt
m pe
l
@ kx
Servidor con IP Host con IP

os ti
privada pública
rs kro
cu mi
.
w

New DST-Address DST-Address


w
w

©MikroTik Xperts 2013 110


l
.c s.c
NAT Chains

kx rt
m pe
l
@ kx
• Para conseguir estos escenarios es necesario

os ti
colocar las cadenas adecuadas: dstnat o
rs kro
srcnat
• Las reglas de nat funcionan con el principio
cu mi
.

IF-THEN
w
w
w

©MikroTik Xperts 2013 111


l
.c s.c
DST-NAT

kx rt
m pe
l
@ kx
• DST-NAT cambia la dirección destino y

os ti
puerto del paquete.
rs kro
• Se utiliza para que usuarios de internet
cu mi
puedan acceder a servicios en servidores de
.

una red privada.


w
w
w

©MikroTik Xperts 2013 112


l
.c s.c
DST-NAT Example

kx rt
m pe
l
@ kx
Servidor WEB
Algún PC

os ti
192.168.1.1
rs kro
cu mi
.

New DST-Address DST-Address


w

192.168.1.1:80 207.141.27.45:80
w
w

©MikroTik Xperts 2013 113


w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Deshabilitar Firewall Windows
l
.c s.c
DST-NAT LAB

kx rt
 Intente acceder desde una red vecina a su

m pe
l
dirección ip publica. Observe lo que ocurre.

@ kx
 Crear una regla de dst-nat hacia su laptop.

os ti
rs kro
 Descargar: http://www.mkx.cl/mongoose-3.7.exe
 Observe lo que ocurre.
cu mi
.

¿Qué ha ocurrido?, ¿Conclusión?


w
w

EL NAT se procesa antes que el filter


w

MTCTCE
l
.c s.c
Redirect

kx rt
m pe
l
@ kx
• Tipo especial de DST-NAT

os ti
• Esta acción redirecciona paquetes al mismo
rs kro
router.
cu mi
• Puede ser utilizado para servicios de proxy
.

(DNS, HTTP)
w
w
w

©MikroTik Xperts 2013 116


l
.c s.c
Ejemplo de Redirect

kx rt
m pe
l
DST-Address

@ kx
Configured_DNS_Server:53

os ti
rs kro
cu mi
New DST-Address
Router:53
.
w

DNS Cache
w
w

©MikroTik Xperts 2013 117


l
Ejemplo de Redirect

.c s.c
kx rt
m pe
l
• Hagamos que los

@ kx
os ti
usuarios locales

rs kro
utilicen el DNS
cache del router
cu mi
• La regla se hace
.
w

en protocolo UDP
w
w

©MikroTik Xperts 2013 118


l
.c s.c
DNS: bloqueo de chat

kx rt
m pe
 Bloquear el chat de Gmail usando DNS

l
@ kx
 DNS Estático --> 127.0.0.1

os ti
chatenabled.mail.google.com
rs kro
talkgadget.google.com
cu mi
talk.google.com
.
w

talkx.l.google.com
w
w

MTCTCE
l
.c s.c
SRC-NAT

kx rt
m pe
l
@ kx
• SRC-NAT cambia la dirección origen del

os ti
paquete
rs kro
• Se puede utilizar para que toda una red
cu mi
privada salga con la misma dirección pública
• Masquerade es un tipo de SRC-NAT
.
w
w
w

©MikroTik Xperts 2013 120


l
.c s.c
Masquerade

kx rt
m pe
l
Src Address Src Address

@ kx
192.168.X.1 router address

os ti
rs kro
cu mi
.

192.168.X.1 Public Server


w
w
w

©MikroTik Xperts 2013 121


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
NAT Helpers

kx rt
.c s.c
l l
122
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
FTP: NAT Helper

.c s.c
l l
MTCTCE
l
.c s.c
FTP: NAT Helper

kx rt
 Liberar puerto 21 en filter: cadena forward

m pe
l
 Agregar una regla de log antes del drop en

@ kx
forward

os ti
rs kro
 Ver que ocurre usando el log
 Agregar regla de forward: related
cu mi
 Agregar log de forward: related
.
w
w

 Ver que ocurre usando el log


w

MTCTCE
l
.c s.c
NAT Actions

kx rt
m pe
l
@ kx
• Accept

os ti
• DST-NAT
rs kro
• Redirect
cu mi
• Masquerade
.
w
w
w

©MikroTik Xperts 2013 125


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
kx rt
Bandwidth Limit

.c s.c
l l
126
l
.c s.c
Colas Simples

kx rt
m pe
l
• Es la forma más simple de limitar ancho de

@ kx
os ti
banda:

rs kro
• Descarga del cliente (Download)
• Carga del cliente (Upload)
cu mi

• Agregado de cliente, download+upload


.
w
w
w

©MikroTik Xperts 2013 127


l
.c s.c
Colas Simples

kx rt
m pe
l
@ kx
os ti
• Es necesario o utilizar Target-Address
rs kro
• El orden de las colas es tomado en cuenta.
cu mi
.
w
w
w

©MikroTik Xperts 2013 128


l
.c s.c
Colas Simples

kx rt
m pe
• Creamos

l
@ kx
una

os ti
limitación

rs kro
a su
laptop.
cu mi
• 64k
.
w

Upload, Client’s Limits


w

128k address to configure


w

Download
©MikroTik Xperts 2013 129
l
.c s.c
Priorización de tráfico

kx rt
m pe
l
@ kx
• Prioridad 1 es más
os ti
rs kro
alta que 8
• La prioridad debe
cu mi
Priority
Select is in
Queue
estar al menos en 2 Advanced Tab
.
w

Set Higher Priority


w
w

©MikroTik Xperts 2013 130


w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
Tipos de cola

kx rt
.c s.c
l l
l
.c s.c
Tipos de cola

kx rt
m pe
l
@ kx
FIFO: First-In First-Out (paquetes y bytes)

os ti
rs kro
RED: Random Early Drop
cu mi
SFQ: Stochastic Fairness Queuing
.

PCQ: Per Connection Queuing


w
w
w
l
.c s.c
Tipo de cola: PCQ
• PCQ es un tipo de cola

kx rt
m pe
avanzada

l
• PCQ se utiliza para clasificar

@ kx
tráfico (desde el punto de

os ti
rs kro
vista del cliente)
• Los clasificadores dividen el
cu mi
tráfico (desde el punto de
.

vista del cliente src-address


w

es carga y dst-addres es
w

descarga)
w

©MikroTik Xperts 2013 133


l
.c s.c
PCQ, uno limita a todos

kx rt
m pe
• PCQ permite fijar un límite a todos los usuaros

l
@ kx
con una misma cola

os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 134


l
.c s.c
PCQ, uno limita a todos

kx rt
m pe
l
• Múltiples colas reemplazadas por una sola

@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 135


l
.c s.c
PCQ, ecualiza el ancho de banda

kx rt
m pe
l
• Distribuye equitativamente entre los usuarios

@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 136


l
Ecualiza ancho de banda

.c s.c
kx rt
m pe
• 1M de carga y 2M de descarga son compartidos

l
@ kx
entre varios usuarios del segmento 192.168.N.0/24

os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 137


l
.c s.c
PCQ Lab

kx rt
m pe
l
@ kx
os ti
• El instructor hará una cola de PCQ en el router
rs kro
• Dos escenarios serán usados en el mangle
cu mi
.
w
w
w

©MikroTik Xperts 2013 138


l
.c s.c
Bandwidth Test Utility

kx rt
m pe
• La prueba del ancho de banda puede ser

l
@ kx
utilizada para monitorear el rendimiento hacia

os ti
un dispositivo remoto.
rs kro
• La prueba de ancho de banda funciona entre
cu mi
dos routers MikroTik
• Existe una aplicación para windows,
.
w

descargable en www.MikroTik.com
w
w

©MikroTik Xperts 2013 139


l
.c s.c
Bandwidth Test on Router

kx rt
m pe
l
• Fijar Test To como dirección para

@ kx
la prueba

os ti
• Seleccionar el protocolo
rs kro
• TCP soporta multiples conexiones
cu mi
• Hay que autenticarse con el
.
w

router remoto
w
w

©MikroTik Xperts 2013 140


l
.c s.c
Bandwidth Test

kx rt
m pe
l
@ kx
• El servidor debe ser habilitado

os ti
rs kro
• Es recomendable dejar
cu mi
habilitada la autenticación
.
w
w
w

©MikroTik Xperts 2013 141


l
.c s.c
Monitor de colas

kx rt
m pe
l
@ kx
os ti
rs kro
Habilitemos los gráficos
de las colas
cu mi
.
w
w
w

©MikroTik Xperts 2013 142


l
.c s.c
Simple Queue Monitor

kx rt
m pe
l
• Las gráficas

@ kx
os ti
están
rs kro
disponibles en el
servidor web del
cu mi
mikrotik
.
w
w
w

©MikroTik Xperts 2013 143


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
Bridging

m pe
kx rt
.c s.c
l l
144
l
.c s.c
 MikroTik permite hacer un

kx rt
"merge" de sus puertos

m pe
ethernet e inalámbricos

l

@ kx
Importante: STP o RSTP

os ti
 El bridge trae habilitado un
rs kro firewall propio, el cual se
puede integrar al firewall
cu mi
general del MikroTik
.
w
w

PREGUNTA DE EXAMEN
w
l
.c s.c
Bridge

kx rt
m pe
l
@ kx
• Colocaremos en el mismo bridge la interfaz

os ti
Ethernet y la interfaz inalámbrica
rs kro
• El bridge unifica redes físicas diferentes en el
cu mi
mismo segmento lógico
• Todas las laptops estarán en la misma red
.
w
w
w

©MikroTik Xperts 2013 146


l
.c s.c
Bridge

kx rt
m pe
l
@ kx
• Para crear un bridge de debe crear

os ti
rs kro
interfaz de bridge
• Y luego añadir las interfaces
cu mi
correspondientes a ese bridge
.
w
w
w

©MikroTik Xperts 2013 147


l
.c s.c
Creando el Bridge

kx rt
m pe
• El bridge se configura desde el menú

l
@ kx
/interface bridge

os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 148


l
.c s.c
Agregar puertos al Bridge

kx rt
m pe
• Las interfaces son agregadas una a una al

l
@ kx
Bridge

os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 149


l
.c s.c
Bridge

kx rt
• Se pueden agregar interfaces Ethernet sin

m pe
l
problemas

@ kx
• Los clientes inalámbricos en (mode=station)

os ti
rs kro
no soportan bridge dada las limitaciones de
802.11
cu mi
Se debe usar WDS
.

• Para usar bridge nativo en wireless: usar


w
w

(mode=station-bridge)
w

©MikroTik Xperts 2013 150


w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
Servidor DHCP

.c s.c
l l
l
.c s.c
Servidor DHCP

kx rt
m pe
l
@ kx
• Dynamic Host Configuration Protocol

os ti
• Usado para entregar de forma automática
rs kro
direcciones en una red local
cu mi
• Usar DHCP sólo en redes seguras
.
w
w
w

©MikroTik Xperts 2013 152


l
.c s.c
Servidor DHCP

kx rt
m pe
l
@ kx
• Para configurar el servidor DHCP es necesario

os ti
tener una IP en la intefaz
rs kro
• Utilice el comando setup para habilitar el
cu mi
servidor DHCP
• Serán preguntados los datos necesarios
.
w
w
w

©MikroTik Xperts 2013 153


l
Configurando el Servidor

.c s.c
kx rt
DHCP

m pe
l
@ kx
os ti
rs kro Click on DHCP Setup
cu mi
TimeDNS
Set
SetSet that
Addresses
server
Networkclient
Gateway address
may
that
for for use
DHCP,
that to run
will
willbebe
IPSetup
given
assigned
addresstoWizard
offered
DHCP forclients
automatically
clients to clients
.

Select interface
w

DHCP server
w
w

©MikroTik Xperts 2013 154


l
.c s.c
Importante

kx rt
m pe
l
@ kx
• Para configurar el servidor DHCP en un

os ti
bridge, fija el servidor en la intefaz de bridge
rs kro
o ethernet, segun corresponda
• Si se configura en uno de los puertos del
cu mi
.

bridge, el servidor aparecerá inválido


w
w
w

©MikroTik Xperts 2013 155


l
.c s.c
Servidor DHCP

kx rt
m pe
l
@ kx
• Configure el servidor DHCP en la interfaz

os ti
ethernet donde está conectada la laptop
rs kro
• Cambiar la configuración de la laptop para
cu mi
que tome dirección de forma dinámica
• Revise la conexión a internet
.
w
w
w

©MikroTik Xperts 2013 156


l
.c s.c
Información de DHCP

kx rt
m pe
l
@ kx
os ti
El lease muestra
rs kro
información de las
direcciones
cu mi
entregadas .
.
w
w
w

©MikroTik Xperts 2013 157


l
.c s.c
Tip de winbox

kx rt
m pe
l
@ kx
Mostrar

os ti
rs kro
campos
adicionales
cu mi
con nuevas
columnas
.
w
w
w

©MikroTik Xperts 2013 158


l
.c s.c
Lease estático

kx rt
m pe
l
@ kx
• Podemos hacer un

os ti
lease estático
rs kro
• El cliente no podrá
cu mi
obtener otra
.

dirección
w
w
w

©MikroTik Xperts 2013 159


l
.c s.c
Lease estático

kx rt
m pe
l
@ kx
• El servidor DHCP puede correr sin lease

os ti
rs kro
dinámico
• Los clientes recibirán las direcciones pre-
cu mi
configuradas
.
w
w
w

©MikroTik Xperts 2013 160


l
.c s.c
Lease estático

kx rt
m pe
l
@ kx
os ti
• Fijar el Address-Pool a
rs kro
sólo estático
cu mi
• Crear el lease estático
.
w
w
w

©MikroTik Xperts 2013 161


l
.c s.c
ARP

kx rt
m pe
l
@ kx
• Address Resolution Protocol

os ti
• ARP se encarga de encontrar la dirección MAC
rs kro
que le corresponde a una IP determinada
cu mi
• ARP funciona de manera dinámica pero
.

también puede ser manejado estáticamente


w
w
w

©MikroTik Xperts 2013 162


l
.c s.c
ARP Table

kx rt
m pe
l
@ kx
os ti
La tabla de ARP
rs kro
muestra la IP,
MAC y puerto
cu mi
donde está
.

conectado un
w

dispositivo
w
w

©MikroTik Xperts 2013 163


l
.c s.c
Tabla estática de ARP

kx rt
m pe
l
@ kx
• Para mejorar la seguridad local, las entradas

os ti
rs kro
ARP pueden ser creadas manualmente
• De esta manera los clientes no podrían tener
cu mi
acceso a Internet si se cambia la dirección IP
.
w
w
w

©MikroTik Xperts 2013 164


w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
DHCP Rouge

kx rt
ARP: reply-only

.c s.c
l l
MTCTCE
l
.c s.c
Configuración de ARP estático

kx rt
m pe
• Agregar una entrada

l
@ kx
estática en la tabla ARP
• Fije la interfaz arp=reply-
os ti
rs kro
only para deshabilitar
creación dinámica vía
cu mi
ARP
.

• Dehabiltar y habilitar la
w
w

interfaz o reinicie el
w

router ©MikroTik Xperts 2013 166


l
.c s.c
Laboratorio de ARP estático

kx rt
m pe
• Coloca la MAC de tu laptop como entrada

l
@ kx
estática
• En la configuración del puerto Ethernet
os ti
rs kro
coloca arp=reply-only
• Cambia la IP de tu PC (dentro del mismo
cu mi
.

segmento)
w

• Prueba la conectividad a Intenet


w
w

©MikroTik Xperts 2013 167


l
.c s.c
Backup

kx rt
m pe
l
@ kx
Hacer Backup de su configuración.

os ti
rs kro
Luego la usaremos de nuevo.
cu mi
.

/system backup save name=parte1


w
w
w
w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
kx rt
Enrutamiento

.c s.c
l l
169
l
.c s.c
Diagrama de clase

kx rt
Masquerade

m pe
Eliminar masquerade

l
laptop 1

@ kx
wan: 103.23.247.x (DHCP Cliente)
lan: 192.168.N.x/24

os ti
rs kro Mikrotik
Principal Internet
cu mi
lan: 192.168.N.x/24 103.23.247.1
.

laptop 2
w

wan: 103.23.247.x (DHCP Cliente)


w
w

©MikroTik Xperts 2013 170


l
.c s.c
Rutas

kx rt
m pe
l
• Validar la configuración

@ kx
• Pruebe hacer ping a su laptop
os ti
rs kro
• Pruebe hacer ping a su vecino 192.168.N.1
cu mi
• Configuraremos rutas estáticas para poder
.
w

llegar a su vecino.
w
w

©MikroTik Xperts 2013 171


l
.c s.c
Rutas

kx rt
m pe
l
@ kx
• Las reglas del ip route indica a donde van a
os ti
rs kro
ser enviados los paquetes
• Para ver las rutas: /ip route rule
cu mi
.
w
w
w

©MikroTik Xperts 2013 172


l
.c s.c
Rutas
• Destination:

kx rt
m pe
networks define

l
las redes que

@ kx
pueden ser

os ti
alcanzables
rs kro
• Gateway:
cu mi
La IP del
próximo salto
.
w

(router para
w

poder alcanzar
w

red destino) ©MikroTik Xperts 2013 173


l
.c s.c
Gateway por defecto

kx rt
m pe
l
@ kx
Gateway por defecto:

os ti
rs kro
El próximo salto
donde todos los
cu mi
paquetes cuyas rutas
.
w

no se conozcan
w

serán enviados
w

©MikroTik Xperts 2013 174


l
.c s.c
Laboratorio de gateway por

kx rt
defecto

m pe
l
@ kx
• En estos momentos su router recibe el

os ti
gateway por DHCP
rs kro
• Deshabilite que se reciba vía DHCP
cu mi
• Agregue la puerta de enlace predeterminada
.

manualmente.
w
w
w

©MikroTik Xperts 2013 175


l
Enrutamiento

.c s.c
• Revise las otras

kx rt
rutas

m pe
l
• Las rutas

@ kx
marcadas con

os ti
DAC son
rs kro
agregadas
cu mi
automáticamente
• La ruta DAC viene
.
w

de las interfaces
w

activas con
w

dirección IP ©MikroTik Xperts 2013 176


l
.c s.c
Rutas

kx rt
m pe
l
@ kx
• A - active

os ti
• D - dynamic
rs kro
• C - connected
cu mi
• S - static
.
w
w
w

©MikroTik Xperts 2013 177


l
.c s.c
Enrutamiento estático

kx rt
m pe
l
@ kx
• El objetivo es hacerle ping a la laptop del
os ti
rs kro
vecino
• Lo conseguiremos mediante rutas estáticas
cu mi
.
w
w
w

©MikroTik Xperts 2013 178


l
.c s.c
Enrutamiento estático

kx rt
m pe
l
@ kx
• Las rutas estáticas define como alcanzar una

os ti
rs kro
red destino
• El Default gateway también es una ruta
cu mi
estática hacia 0.0.0.0, envía todo el tráfico
.

cuya ruta desconoce


w
w
w

©MikroTik Xperts 2013 179


l
.c s.c
Enrutamiento estático

kx rt
m pe
l
@ kx
• Es necesaria una ruta estática para alcanzar

os ti
la laptop vecina
rs kro
• Debido a que el gateway (router del
cu mi
instructor) no tiene información de las redes
.

privadas de los estudiantes


w
w
w

©MikroTik Xperts 2013 180


l
.c s.c
Ruta hacia su vecino

kx rt
m pe
l
@ kx
• Recuerda la topología de red

os ti
• La red de su vecino tiene el formato
rs kro
192.168.N.0/24
cu mi
• Preguntele al vecino la dirección IP de su
.

interfaz inalámbrica
w
w
w

©MikroTik Xperts 2013 181


l
.c s.c
Estructura de red

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 182


l
.c s.c
Ruta al vecino

kx rt
m pe
• Agregue una ruta

l
@ kx
• Indique la red destino, la red local de su

os ti
rs kro
vecino
• Indique el gateway, la dirección que es usada
cu mi
para alcanzar el destino, corresponde con la
.

IP de la interfaz inalámbrica del router


w

vecino
w
w

©MikroTik Xperts 2013 183


l
.c s.c
Route Your Neighbor

kx rt
m pe
l
• Agregue ruta

@ kx
• Coloque el
192.168.X.0/24

os ti
192.168.Y.Z

rs kro
gateway
• Haga ping a la
cu mi
laptop de su
.
w

vecino
w
w

©MikroTik Xperts 2013 184


l
.c s.c
Enrutamiento dinámico

kx rt
• La misma configuración es posible con

m pe
l
enrutamiento dinámico

@ kx
• Imagine que tiene que crear rutas estáticas a

os ti
rs kro
cada vecino de su red.
• En lugar de crear cientos de rutas, los
cu mi
protocolos dinámicos intercambian paquetes
.

y ejecutan algoritmos que les permite


w

encontrar y divulgar mejores rutas hacia


w

algún destino.
w

©MikroTik Xperts 2013 185


l
.c s.c
Enrutamiento dinámico

kx rt
m pe
l
@ kx
os ti
• Fácil de configurar, difícil de gestionar y
rs kro
hacer troubleshooting
cu mi
• Utiliza mayores recursos de RAM y CPU del
.

router
w
w
w

©MikroTik Xperts 2013 186


l
.c s.c
Enrutamiento dinámico

kx rt
m pe
l
@ kx
• Veremos uno sólo de los protocolos de

os ti
rs kro
enrutamiento dinámicos: OSPF
• OSPF es de rápida convergencia y obtiene
cu mi
rutas óptimas.
.

• Fácil de configurar
w
w
w

©MikroTik Xperts 2013 187


l
.c s.c
Configuración OSPF

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 188


l
.c s.c
OSPF LAB

kx rt
m pe
l
@ kx
• Revisar las rutas

os ti
• Hacer ping al PC de su vecino
rs kro
• Recuerde, son necesarios conocimientos
cu mi
adicionales para administrar redes con OSPF
.
w
w
w

©MikroTik Xperts 2013 189


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
Tuneles

m pe
kx rt
.c s.c
l l
190
l
.c s.c
Tipos de Túneles / VPN

kx rt
m pe
 PPTP  IPIP

l
@ kx
 L2TP  IPSec

os ti
rs kro
 SSTP  PPPoE
 OVPN  PPP
cu mi
 EoIP  GRE
.
w
w
w
l
.c s.c
Túneles: características

kx rt
m pe
PPTP EoIP

l
TCP: 1724 Túnel GRE con soporte para

@ kx
GRE bridge extendido
L2TP IPIP

os ti
UDP:1701 Túnel sobre IP sin encriptación

rs kro
SSTP
TCP: 443 (puede modificarse)
PPPoE
Solo funciona en un mismo
cu mi
Uso opcional de certificado dominio de broadcast
Encriptación habilitada Usado por muchos ISP
.

OVPN PPP
w

TCP:1194 (puede modificarse) Banda Ancha Móvil


w

Uso opcional de certificado


w

Encriptación habilitada
l
.c s.c
PPPoE

kx rt
m pe
l
@ kx
• Point to Point Protocol over Ethernet es

os ti
amenudo utilizado para controlar conexiones
rs kro
DSL, cable modems y redes Ethernet
• MikroTik RouterOS soporta PPPoE cliente y
cu mi
.

PPPoE servidor
w
w
w

©MikroTik Xperts 2013 193


l
.c s.c
Configuración de Cliente PPPoE

kx rt
• Añadir un

m pe
l
cliente PPoE

@ kx
• Es necesario

os ti
rs kro
crear la
interfaz
cu mi
• Colocar
.
w

login y
w

contraseña
w

©MikroTik Xperts 2013 194


l
.c s.c
Laboratorio Cliente PPPoE

kx rt
m pe
• El instructor creará un servidor PPPoE en el

l
@ kx
router
• Deshabilitar el cliente DHCP en la interfaz de
os ti
rs kro
salida del router
• Configurar el cliente PPPoE en la interfaz de
cu mi
.

salida
w

• Colocar usuario class y contraseña class


w
w

©MikroTik Xperts 2013 195


l
.c s.c
kx rt
Configuración de Cliente PPPoE

m pe
l
• Revisar la conexión PPP

@ kx
• Deshabilitar el cliente PPPoE
os ti
rs kro
• Disable PPPoE client
cu mi
• Habilitar el cliente DHCP y volver a la
.
w

configuración anterior
w
w

©MikroTik Xperts 2013 196


l
Configuración del

.c s.c
kx rt
servidor PPPoE

m pe
l
@ kx
• Seleccione la
os ti
rs kro
interfaz
• Seleccionar el
cu mi
perfil
.
w
w
w

©MikroTik Xperts 2013 197


l
.c s.c
PPP Secret

kx rt
• Base de datos de

m pe
l
usuarios

@ kx
• Colocar usuario y

os ti
contraseña
rs kro
• Seleccionar el
cu mi
servicio
• La configuración
.
w
w

se toma desde el
w

perfil
©MikroTik Xperts 2013 198
l
.c s.c
Perfiles PPP

kx rt
m pe
l
@ kx
• Colocar las reglas de los clientes usados para PPP
os ti
rs kro
• La mejor manera es tener las mismas
cu mi
configuraciones para clientes diferentes
.
w
w
w

©MikroTik Xperts 2013 199


l
.c s.c
Perfil PPP

kx rt
m pe
l
@ kx
• Local address –
os ti
rs kro
Dirección del servidor
• Remote Address –
cu mi
.

Dirección del cliente


w
w
w

©MikroTik Xperts 2013 200


l
.c s.c
PPPoE

kx rt
m pe
l
• Importante,el servidor PPPoE corre en la

@ kx
interfaz

os ti
• La interfaz PPPoE puede ser utilizada sin
rs kro
asignarle una IP
cu mi
• Por seguridad, es recomendable dejar las
.
w

interfaces PPPoE sin dirección IP


w
w

©MikroTik Xperts 2013 201


l
.c s.c
Pools

kx rt
m pe
l
• El Pool define el rango de direcciones para PPP,

@ kx
DHCP, y clientes de portal cautivo

os ti
• Se utilizará un pool, puesto que se tendrá más
rs kro
de un cliente
cu mi
• Las direcciones son tomadas del pool
.
w

automaticamente
w
w

©MikroTik Xperts 2013 202


w
w
w
.
cu mi
rs kro
os ti
Pool

©MikroTik Xperts 2013


@ kx
m pe
kx rt
.c s.c
l l
203
w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
m pe
kx rt
Estado de PPP

.c s.c
l l
204
l
.c s.c
PPTP

kx rt
• Túnel punto a punto para encriptar tuneles

m pe
l
sobre IP

@ kx
• MikroTik RouterOS incluye soporte para

os ti
rs kro
cliente y servidor PPTP
• Utilizado para resguardar enlaces entre redes
cu mi
locales sobre Internet
.

• También para acceso a clientes o trabajadores


w
w

remotos a los recursos de una red local


w

©MikroTik Xperts 2013 205


l
PPTP

.c s.c
kx rt
m pe
l
@ kx
• Site to Site

os ti
rs kro
cu mi
• Client to Site
.
w
w
w

©MikroTik Xperts 2013 206


l
.c s.c
Configuración PPTP

kx rt
m pe
l
@ kx
• La configuración PPTP es muy similar a la de
os ti
rs kro
PPPoE
• L2TP se configura de forma similar también
cu mi
.
w
w
w

©MikroTik Xperts 2013 207


l
.c s.c
Cliente PPTP

kx rt
• Cree una

m pe
l
@ kx
interfaz PPTP
• Indicar la

os ti
rs kro
dirección del
servidor PPTP
cu mi
• Indique el
.
w

usuario y la
w

contraseña
w

©MikroTik Xperts 2013 208


l
.c s.c
Cliente PPTP

kx rt
m pe
l
@ kx
• Use una ruta por defecto para enrutar todo

os ti
rs kro
el tráfico hacia el túnel PPTP
• Use enrutamiento estático para enviar
cu mi
tráfico específico al túnel PPTP
.
w
w
w

©MikroTik Xperts 2013 209


l
.c s.c
PPTP Server

kx rt
m pe
• Habilitar el

l
@ kx
servidor

os ti
PPTP

rs kro
• El servidor
cu mi
PPTP puede
soportar
.
w

múltiples
w

clientes
w

©MikroTik Xperts 2013 210


l
.c s.c
PPTP

kx rt
m pe
l
• Las configuraciones del cliente PPTP están

@ kx
almacenadas en PPP secret

os ti
• El PPP secret es utilizado para los clientes
rs kro
PPTP, L2TP, PPoE
cu mi
• La base de datos de PPP es configurada en el
.
w

servidor
w
w

©MikroTik Xperts 2013 211


l
.c s.c
Perfil PPP

kx rt
m pe
l
@ kx
os ti
• El mismo perfil es usado indistintamente
rs kro
para clientes PPTP, PPPoE, L2TP y clientes
cu mi
PPP
.
w
w
w

©MikroTik Xperts 2013 212


l
.c s.c
Laboratorio PPTP

kx rt
m pe
l
• El instructor creará un servidor PPTP en el

@ kx
os ti
router de la clase

rs kro
• Crear un cliente en una interfaz de salida
• Usar usuario class contraseña class
cu mi

• Deshabilitar el servicio PPTP


.
w
w
w

©MikroTik Xperts 2013 213


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
HotSpot

m pe
kx rt
.c s.c
l l
214
l
.c s.c
HotSpot

kx rt
m pe
l
@ kx
• Herramienta para conexión rápida a internet

os ti
• El Portal cautivo permite autenticación de
rs kro
los clientes antes del ingreso a la red pública
cu mi
• El servidor de portal cautivo provee manejo
.

de cuentas de usuarios
w
w
w

©MikroTik Xperts 2013 215


l
.c s.c
Uso de portal cautivo

kx rt
m pe
l
@ kx
• Puntos de acceso abiertos, Internet Cafes,

os ti
Aeropuertos, campus universitarios, centros
rs kro
comerciales, etc.
• Diferentes maneras de autorización
cu mi

• Gestión de usuarios sencilla


.
w
w
w

©MikroTik Xperts 2013 216


l
Requerimientos de portal

.c s.c
kx rt
cautivo

m pe
l
@ kx
• Dirección IP válida en internet y dirección IP

os ti
rs kro
local
• Servidores DNS
cu mi
• Al menos un usuario del portal
.
w
w
w

©MikroTik Xperts 2013 217


l
Configuración de portal

.c s.c
kx rt
cautivo

m pe
l
@ kx
os ti
• La configuración del portal es sencilla
rs kro
• La configuración es similar al servidor DHCP
cu mi
.
w
w
w

©MikroTik Xperts 2013 218


l
Configuración de portal

.c s.c
kx rt
cautivo

m pe
• Correr Hotspot

l
@ kx
Setup

os ti
• Seleccionar la
rs kro
interfaz
cu mi
• Proceder a
.

responder las IP
Añadir address
Addresses
Masquerade
HotSpot
DNS
Whether
un toHotSpot
servers
usuario redirect
address
that
to use
address
will
del SMTP
certificate
will
be network
assigned
portal cautivo
w

Selectfor
DNS name Interface
HotSpottoserver
preguntas be(e-mails)
together
selectedto
for HotSpotyour SMTP
toautomatically
HotSpot
with
automatically
HotSpot
clients server
clientsor not
w

run HotSpot on
w

©MikroTik Xperts 2013 219


l
.c s.c
Notas importantes

kx rt
m pe
l
@ kx
• Usuarios conectados al portal cautivo serán

os ti
rs kro
desconectados de internet hasta autenticarse
• Los clientes tienen que ser autorizados por el
cu mi
portal para ingresar a Internet.
.
w
w
w

©MikroTik Xperts 2013 220


l
.c s.c
Notas importantes

kx rt
m pe
l
@ kx
• La configuración básica del portal cautivo crea:

os ti
• Un servidor DHCP en la interfaz del portal
rs kro
• Un pool de direcciones para los clientes
cu mi
• Reglas dinámicas de firewall (Filter y NAT)
.
w
w
w

©MikroTik Xperts 2013 221


l
.c s.c
Ayuda del portal cautivo

kx rt
m pe
l
@ kx
• El login del portal se muestra cuando el

os ti
usuario intenta de ingresar a cualquier
rs kro
página web
• Para salir del portal cautivo es necesario ir a
cu mi
.

la IP o DNS del router para hacer logout


w
w
w

©MikroTik Xperts 2013 222


l
.c s.c
Laboratorio de Hotspot

kx rt
m pe
l
@ kx
• Crea un un HotSpot en la intefaz local
os ti
rs kro
• No olvides el usuario y contraseña, de otra
cu mi
forma no se podrá ingresar a Internet
.
w
w
w

©MikroTik Xperts 2013 223


l
.c s.c
Usuarios del portal cautivo

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

Muestra información de los equipos en la red del hotspot


©MikroTik Xperts 2013 224
l
.c s.c
Tabla de host activos

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w

Muestra información de los dispositivos que se logearon


w

satisfactoriamente
©MikroTik Xperts 2013 225
l
.c s.c
Gestión de usuarios

kx rt
m pe
l
@ kx
os ti
rs kro
Para añadir, editar
o eliminar usuarios
cu mi
.
w
w
w

©MikroTik Xperts 2013 226


l
.c s.c
HotSpot Walled-Garden

kx rt
m pe
l
@ kx
• Permite acceso a determinados recursos sin

os ti
necesidad de autenticarse en el portal
rs kro
• Sirve para HTTP y HTTPS
cu mi
• También funciona para otros recursos
.

(Telnet, SSH, Winbox, etc)


w
w
w

©MikroTik Xperts 2013 227


l
.c s.c
HotSpot Walled-Garden

kx rt
m pe
l
@ kx
os ti
Permita acceso
rs kro
sólo a
www.mikrotik.com
cu mi
.
w
w
w

©MikroTik Xperts 2013 228


l
.c s.c
Bypass HotSpot

kx rt
m pe
l
• Menú IP binding

@ kx
• Permite clientes
os ti
rs kro
puntuales sobre el
portal cautivo
cu mi
• Teléfonos IP,
.
w

impresoras,
w

superusuarios
w

©MikroTik Xperts 2013 229


l
Control de ancho de banda en

.c s.c
kx rt
portal cautivo

m pe
l
@ kx
• Es posible asignar de forma dinámica cada
os ti
rs kro
usuario del portal
• Una cola simple es creada por cada usuario
cu mi
.
w
w
w

©MikroTik Xperts 2013 230


l
.c s.c
Perfil del portal cautivo

kx rt
m pe
l
@ kx
os ti
Se crean
rs kro
opciones
personalizadas
cu mi
del portal cautivo
.
w
w
w

©MikroTik Xperts 2013 231


l
Laboratorio avanzado de

.c s.c
kx rt
portal cautivo

m pe
l
@ kx
os ti
A cada cliente se le
rs kro
entregará 64kb para
la subida y 128kb
cu mi
para la bajada
.
w
w
w

©MikroTik Xperts 2013 232


l
Laboratorio de

.c s.c
kx rt
portal cautivo

m pe
l
@ kx
• Añadir un segundo usuario

os ti
• Permitir acceso a www.mikrotik.com sin que
rs kro
sea necesario autenticarse en el portal
cu mi
• Coloque la tasa de transferencia a 1M/1M a
.

la laptop
w
w
w

©MikroTik Xperts 2013 233


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
Proxy

m pe
kx rt
.c s.c
l l
234
l
.c s.c
Que es el Proxy?

kx rt
m pe
l
@ kx
• Mejora la velocidad de navegación web
os ti
rs kro
almacenando datos.
• Firewall HTTP
cu mi
.
w
w
w

©MikroTik Xperts 2013 235


l
.c s.c
Enable Proxy

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w

El check de Enable tiene que estar marcado, las otros


w

Campos son opcionales


w

©MikroTik Xperts 2013 236


l
.c s.c
Proxy

kx rt
m pe
l
@ kx
• Proxy forzado: El usuario debe configurar su

os ti
navegador para poder navegar por el proxy
rs kro
• Proxy transparente: las conexiones HTTP son
cu mi
redireccionadas al proxy del MikroTik
.

automáticamente
w
w
w

©MikroTik Xperts 2013 237


Proxy transparente

l
.c s.c
kx rt
• Es necesaria una

m pe
l
regla DST-NAT

@ kx
para el proxy

os ti
transparente
rs kro
• El tráfico HTTP
cu mi
será
redirecionado
.
w

hacia el router
w
w

©MikroTik Xperts 2013 238


l
.c s.c
Firewall HTTP

kx rt
m pe
l
@ kx
• Las listas de acceso del proxy permiten una

os ti
rs kro
opción para filtrar nombres de dominio
• Se pueden hacer redirecciones a páginas
cu mi
específicas
.
w
w
w

©MikroTik Xperts 2013 239


l
.c s.c
Firewall HTTP

kx rt
m pe
l
@ kx
• Dst-Host, una página

os ti
rs kro
web (http://test.com)
• Path, un subdirectorio
cu mi
de esa página
http://test.com/PATH
.
w
w
w

©MikroTik Xperts 2013 240


l
.c s.c
Firewall HTTP

kx rt
m pe
l
@ kx
• Crear una regla para bloquear acceso a

os ti
una página web específica
rs kro
• Crear una regla que rediriga el tráfico de
cu mi
la página no deseada a la página de su
.

compañía
w
w
w

©MikroTik Xperts 2013 241


l
.c s.c
Web-proxy

kx rt
m pe
l
@ kx
• El proxy lleva el registro de las páginas web

os ti
visitadas por los usuarios
rs kro
• Es necesario revisar que se disponen de
cu mi
suficientes recursos para almacenar los logs
.

(es mejor enviarlos a un syslog remoto)


w
w
w

©MikroTik Xperts 2013 242


l
.c s.c
Web-Proxy

kx rt
m pe
l
• Añadir el log para

@ kx
el Web-Proxy

os ti
• Revisar logs
rs kro
cu mi
.
w
w
w

PREGUNTA DE EXAMEN
©MikroTik Xperts 2013 243
l
Cache en dispositivos

.c s.c
kx rt
externos

m pe
l
@ kx
• El cache puede ser almacenado en

os ti
rs kro
dispositivos de almacenamiento externos
• Store gestiona todos los discos externos.
cu mi
• Soporte para IDE, SATA, USB, CF, MicroSD
.
w
w
w

©MikroTik Xperts 2013 244


Almacenamiento

l
.c s.c
• Gestión de las unidades externas

kx rt
m pe
• Las unidades deben ser formateadas

l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 245


Añadir almacenamiento

l
.c s.c
• Se agrega un dispositivo de almacenamiento para

kx rt
m pe
guardar los datos del proxy en una memoria externa

l
• El almacenamiento puede ser utilzado para proxy, user-

@ kx
manager y dude

os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 246


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


@ kx
Wireless

m pe
kx rt
.c s.c
l l
247
MTCWE
l
.c s.c
Redes inalámbricas

kx rt
m pe
l
@ kx
• RouterOS soporta varios módulos de radio

os ti
para comunicación inalámbrica en 2.4Ghz y
rs kro
5Ghz
• MikroTik RouterOS brinda completo soporte
cu mi
.

a estandares 802.11a/b/g/n
w
w
w

©MikroTik Xperts 2013


MTCWE248
l
.c s.c
Estándares inalámbricos

kx rt
m pe
l
@ kx
• IEEE 802.11b - 2.4GHz , 11Mbps

os ti
• IEEE 802.11g - 2.4GHz , 54Mbps
rs kro
• IEEE 802.11a - 5GHz, 54Mbps
cu mi
• IEEE 802.11n - 2.4GHz - 5GHz
.
w
w
w

©MikroTik Xperts 2013


MTCWE
249
l
.c s.c
Canales 802.11 b/g

kx rt
m pe
1 2 3 4 5 6 7 8 9 10 11

l
2483
2400

@ kx
os ti
rs kro
cu mi
• (11) Canales de 22 MHz (US)‫‏‬
.

• 3 canales que no se solapan


w

• 3 puntos de acceso pueden ocupar la misma área sin


w
w

causarse interferencia (1,6,11) MTCWE


©MikroTik Xperts 2013 250
l
.c s.c
Canales 802.11a

kx rt
36 40 42 44 48 50 52 56 58 60 64

m pe
5210 5250 5290

l
@ kx
os ti
5150 5180 5200 5220 5240 5260 5280 5300 5320 5350

rs kro
149 152 153 157 160 161

5760 5800
cu mi
.

5735 5745 5765 5785 5805 5815


w

• (12) canales de 20 MHz


w

• (5) canales de 40MHz (wide turbo channels)


w

©MikroTik Xperts 2013


MTCWE 251
l
.c s.c
Bandas soportadas

kx rt
m pe
l
@ kx
os ti
rs kro
Todos los canales 5GHz (802.11a) y 2.4GHz (802.11b/g)
cu mi
.
w
w
w

©MikroTik Xperts 2013


MTCWE 252
l
.c s.c
Frecuencias soportadas

kx rt
m pe
l
@ kx
• Dependiendo de las regulaciones por país las

os ti
rs kro
tarjetas inalámbricas funcionan en el rango:
• 2.4GHz: 2312 - 2499 MHz
cu mi
• 5GHz: 4920 - 6100 MHz
.
w
w
w

©MikroTik Xperts 2013


MTCWE 253
Regulaciones del país

l
.c s.c
kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013


MTCWE
254
l
.c s.c
Nombre del radio

kx rt
m pe
l
@ kx
• Utilizaremos el nombre del radio para el

os ti
rs kro
mismo propósito que el router identity
• Colocar en el nombre del radio: Su
cu mi
número+Nombre
.
w
w
w

©MikroTik Xperts 2013


MTCWE
255
l
.c s.c
Red inalámbrica

kx rt
m pe
l
@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013


MTCWE
256
l
.c s.c
Configuración de estación

kx rt
m pe
• Fijar mode=station

l
@ kx
• Selecione la banda

os ti
• Indicar el SSID
rs kro
• El canal se puede
cu mi
seleccionar haciendo
.
w

un Scan
w
w

©MikroTik Xperts 2013


MTCWE
257
l
.c s.c
Configuración de AP

kx rt
m pe
l
• Coloque el modo

@ kx
mode=ap-bridge

os ti
• Seleccione la Banda
rs kro
• Indique el SSID
cu mi
• Fije la frecuencia
.
w
w
w

©MikroTik Xperts 2013


MTCWE
258
l
.c s.c
Station Modes

kx rt
m pe
l
@ kx
802.11 ROS 802.11 nstreme nv2

os ti
station V V V V

rs kro
station-wds V V V
cu mi
station-pseudobridge V V V
.
w

station-pseudobridge-clone V V V
w

station-bridge V V V
w
l
Transparent Wireless

.c s.c
kx rt
Links Setups

m pe
l
@ kx
Bridge <-> Station-pseudobridge

os ti
Bridge <-> Station using EOIP
rs kro
Bridge <-> Bridge
cu mi
Bridge <-> Station-wds
.
w

Bridge <-> Station-bridge


w
w
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
l
.c s.c
Snooper monitor inalámbrico

kx rt
• Se utiliza para

m pe
l
obtener una vista

@ kx
global de las redes

os ti
inalámbricas en la

rs kro
banda seleccionada
• La interfaz
cu mi
inalámbrica se
.
w

desconecta para
w

usar esta
w

herramienta MTCWE
©MikroTik Xperts 2013 263
l
.c s.c
Tabla de registros

kx rt
m pe
l
@ kx
• Ve todo los

os ti
rs kro
dispisitivos
conectados a
cu mi
las interfaces
inalámbricas
.
w
w
w

©MikroTik Xperts 2013


MTCWE
264
l
.c s.c
Seguridad del punto de acceso

kx rt
• Access-list se utiliza

m pe
l
los clientes y en que

@ kx
condiciones se

os ti
conectarán
rs kro
• Deshabilitando el
cu mi
Default-
Authentication se
.
w

conectan solo los


w

usuarios del Access-


w

List ©MikroTik Xperts 2013


MTCWE
265
l
.c s.c
Default Authentication

kx rt
m pe
l
@ kx
• Habilitada, las reglas del Access-List el

os ti
cliente se puede conectar a menos que haya
rs kro
una regla que lo niegue.
• Deshabilitada, sólo se revisan los usuarios
cu mi
.

en el Access-List
w
w
w

©MikroTik Xperts 2013


MTCWE
266
l
.c s.c
Connect List

kx rt
m pe
l
• Indica los

@ kx
parámetros para

os ti
rs kro
que el cliente
seleccione el
cu mi
punto de acceso
donde se va a
.
w

conectar
w
w

©MikroTik Xperts 2013


MTCWE
267
l
Laboratorio de

.c s.c
kx rt
Access-List

m pe
l
@ kx
• Este laboratorio la hará el instructor en el

os ti
rs kro
punto de acceso de la clase
• Deshabilitar conexión a un usuario específico
cu mi
• Permitir conexión para solo ciertos clientes
.
w
w
w

©MikroTik Xperts 2013


MTCWE 268
l
.c s.c
Connect List Lab

kx rt
m pe
l
• Ahora su router está conectado al punto de

@ kx
acceso de la clase

os ti
• Cree una regla para no permitir la conexión
rs kro
al AP de la clase
cu mi
• Utilice los parámetros del Connect-list
.
w
w
w

©MikroTik Xperts 2013


MTCWE
269
l
.c s.c
Seguridad

kx rt
m pe
l
@ kx
• Habilitemos la encriptación en nuestra red

os ti
inalámbrica
rs kro
• Utilizar encriptación WPA o WPA2
cu mi
• Todos los dispositivos de la red deben tener
.

las mismas opciones de seguridad


w
w
w

©MikroTik Xperts 2013


MTCWE 270
Seguridad

l
.c s.c
kx rt
m pe
l

@ kx
Habilitar las opciones
WPA y WPA2 PSK

os ti

rs kro
La contraseña es
mikrotiktraining
cu mi
.
w
w
w

©MikroTik Xperts 2013


MTCWE
271
l
.c s.c
Tip de configuración

kx rt
• Para ver la

m pe
l
contraseña

@ kx
deshabilitar la opción

os ti
Hide Password
rs kro
• Se pueden ver otras
cu mi
contraseñas excepto
la de los usuarios del
.
w

MikroTik
w
w

©MikroTik Xperts 2013


MTCWE
272
l
.c s.c
Aislar clientes inalámbricos

kx rt
m pe
l
@ kx
El Default-Forwarding se

os ti
rs kro
utiliza para deshabilitar
tráfico entre clientes
cu mi
conectados al mismo punto
de acceso
.
w
w
w

©MikroTik Xperts 2013


MTCWE
273
l
.c s.c
Default Forwarding

kx rt
m pe
l
@ kx
• Las reglas del Access-List tienen mayor

os ti
rs kro
prioridad
• Revisar si las reglas están funcionando para
cu mi
controlar los clientes
.
w
w
w

©MikroTik Xperts 2013


MTCWE274
l
.c s.c
Nstreme

kx rt
m pe
l
• Protocolo propietario de MikroTik

@ kx
• Mejora enlaces inalámbricos, especialmente
os ti
rs kro
los de largo alcance
• Para utilizarlo en la red es necesario
cu mi
habilitarlo en todos los dispositivos
.
w

inalámbricos dentro de la red


w
w

©MikroTik Xperts 2013


MTCWE
275
l
.c s.c
Nstreme Lab

kx rt
m pe
• Habilitar Nstreme

l
@ kx
en su router

os ti
• Verificar que haya
rs kro
levantado el enlace
cu mi
• Nstreme debe ser
.

habilitado en
w

ambos routers
w
w

©MikroTik Xperts 2013


MTCWE
276
l
.c s.c
Nv2

kx rt
m pe
l
• Protocolo propietario de MikroTik

@ kx
• Mejora enlaces inalámbricos, especialmente
os ti
rs kro
los de largo alcance
• No usa CDMA
cu mi

• Usa TDMA
.
w
w
w

©MikroTik Xperts 2013


MTCWE277
l
.c s.c
Nv2 Lab

kx rt
m pe
• Habilitar Nv2 en su

l
@ kx
router

os ti
• Verificar que haya
rs kro
levantado el enlace
cu mi
• Nv2 debe ser
.

habilitado en
w

ambos routers
w
w

©MikroTik Xperts 2013


MTCWE
278
l
.c s.c
Bridge Inalámbrico

kx rt
m pe
l
@ kx
• WDS permite agregar un clientes

os ti
inalámbricos a un bridge
rs kro
• WDS (Wireless Distribution System) habilita
cu mi
la opción para conectarse entre puntos de
.

accesos.
w
w
w

©MikroTik Xperts 2013


MTCWE 279
w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l
Bridge Inalámbrico: MESH

MTCWE
280
l
Redes inalámbricas en

.c s.c
kx rt
bridge

m pe
l
@ kx
Class AP
Your Laptop Your Router

os ti
rs kro
cu mi
192.168.N.2 192.168.N.1
.

DHCP-Client
w
w
w

©MikroTik Xperts 2013


MTCWE
281
l
.c s.c
Redes inalámbricas en bridge

kx rt
Crearemos una gran red

m pe
l
Con todos los dispositivos

@ kx
os ti
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013


MTCWE 282
Set WDS Mode

l
.c s.c
kx rt
m pe
l
• Station-WDS es

@ kx
os ti
modo especial
rs kro
para permitir el
WDS
cu mi
.
w
w
w

©MikroTik Xperts 2013


MTCWE
283
l
Agregar puertos al bridge

.c s.c
kx rt
m pe
l
• Agregar la interfaz

@ kx
os ti
pública y local al
rs kro
bridge
• Ether1 (local),
cu mi
wlan1 (public)
.
w
w
w

©MikroTik Xperts 2013


MTCWE
284
l
Punto de acceso WDS

.c s.c
kx rt
• Habilitar WDS en modo AP-Bridge, utilizar

m pe
l
dynamic-mesh

@ kx
• Las interfaces WDS son creadas

os ti
rs kro
automáticamente
• Utilice el bridge por defecto para las
cu mi
interfaces WDS
.

• Añadir la interfaz inalámbrica al Bridge


w
w
w

©MikroTik Xperts 2013


MTCWE
285
AP-bridge

l
.c s.c
kx rt
m pe
l
@ kx
• Colocar el modo en

os ti
rs kro
AP-Bridge
• Añadir la interfaz
cu mi
inalámbrica al bridge
.
w
w
w

©MikroTik Xperts 2013


MTCWE
286
Configuración WDS

l
.c s.c
kx rt
• Usar el modo dynamic-

m pe
l
@ kx
mesh
• No es necesario crear las
os ti
rs kro
intefaces WDS se crearán
automáticamente
cu mi
• Los otros AP también se
.
w

deben colocar en modo


w

dinámico
w

©MikroTik Xperts 2013


MTCWE
287
l
WDS

.c s.c
kx rt
m pe
l
• Enlace WDS

@ kx
establecido

os ti
• La D denota que la
rs kro
interfaz fue creada
cu mi
dinámicamente
.
w
w
w

©MikroTik Xperts 2013


MTCWE
288
l
Laboratorio WDS

.c s.c
kx rt
Red MESH

m pe
l

@ kx
Eliminar la regla masquerade

os ti
Eliminar el DHCP-Client en la interfaz inalámbrica
•rs kro
Coloque el modo=ap-bridge en el router

cu mi
Usar el mismo SSID que sus vecinos

.

Usae la misma frecuencia que sus vecinos


w


w

Habilitar: dynamic-mesh y asociar al brige


w

©MikroTik Xperts 2013


MTCWE 289
w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


Dude

@ kx
m pe
kx rt
.c s.c
l l
290
l
.c s.c
Dude

kx rt
m pe
l
• Programa de monitoreo de red

@ kx
• Descubre automáticamente dispositivos
os ti
rs kro
• Dibuja y documenta mapas de la red
cu mi
• Servicio de monitoreo y alertas
.

• El software es gratuito
w
w
w

©MikroTik Xperts 2013 291


l
.c s.c
Dude

kx rt
m pe
l
• El dude consiste en dos partes:

@ kx
1.Servidor Dude: no tiene interfaz gráfica.
os ti
rs kro
Se puede correr el dude inclusive en un
RouterOS
cu mi
2.Cliente Dude: se conecta al servidor y
.
w

muestra toda la información que recibe


w
w

©MikroTik Xperts 2013 292


l
.c s.c
Instalación de Dude

kx rt
m pe
l
@ kx
• Disponible en
os ti
rs kro
www.mikrotik.com
• Instalación sencilla
cu mi
.
w
w

Instalar Dude Server en el PC


w

©MikroTik Xperts 2013 293


l
.c s.c
Dude

kx rt
m pe
l
@ kx
os ti
• El dude se tradujo en diferentes idiomas
rs kro
• Disponible en wiki.mikrotik.com
cu mi
.
w
w
w

©MikroTik Xperts 2013 294


l
.c s.c
Dude

kx rt
m pe
l
• La opción de

@ kx
Discover se

os ti
rs kro
muestra al
inicio
cu mi
• Se puede
.

descubrir la
w

red local
w
w

©MikroTik Xperts 2013 295


w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


Dude

@ kx
m pe
kx rt
.c s.c
l l
296
w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


Dude

@ kx
m pe
kx rt
.c s.c
l l
297
w
w
w
.
cu mi
rs kro
os ti

©MikroTik Xperts 2013


Dude

@ kx
m pe
kx rt
.c s.c
l l
298
l
.c s.c
kx rt
m pe
l
@ kx
os ti
Exámen de certificación
rs kro
cu mi
.
w
w
w

©MikroTik Xperts 2013 299


l
Antes del exámen de

.c s.c
kx rt
certificación

m pe
l
@ kx
os ti
• Resetear el router
rs kro
• Revisar conexión a internet
cu mi
.
w
w
w

©MikroTik Xperts 2013 300


l
.c s.c
Examen de Certificación

kx rt
m pe
l
• Ir a http://training.mikrotik.com

@ kx
• Iniciar sesión con su cuenta o crear una
os ti
rs kro
nueva cuenta
• Revisar que su nombre salga completo
cu mi

• Tomar el examen de certificación MTCNA


.
w
w
w

©MikroTik Xperts 2013 301


w
w
w
.
cu mi
rs kro
os ti
@ kx
m pe
kx rt
.c s.c
l l

You might also like