• Author / Uploaded
• Rafael Amaya Ortiz

Citation preview

Presentación Presentarse individualmente • Nombre • Compañía • Conocimiento previo sobre RouterOS • Conocimiento previo sobre networking

• ¿Qué espera de este curso? Recuerde su número N de clase Mi número es: _____ ©MikroTik Xperts 2014

1

Cronograma 08:00 – 10:30 Sesión I 10:30 – 11:00 Receso

11:00 – 13:00 Sesión II 13:00 – 14:00 Hora de almuerzo

14:00 – 15:30 Sesión III 15:30 – 16:00 Receso

16:00 – 17:30+ Sesión IV ©MikroTik Xperts 2014

2

Objetivos del Curso

• El sistema RouterOS y las capacidades del hardware RouterBoard

• Prácticas sobre el router MikroTik, configuración, mantenimiento y resolución de problemas.

• Capacitar para dar servicios básicos a clientes ©MikroTik Xperts 2014

3

• • •

•

Durante el curso Ubicación de salida de emergencia , sanitarios y refrigerios. Hidratación Material del curso 

Equipo RB951-2n o RB751



2 Cables de red (uno corto y uno largo)



Guía de estudio con clip

Por respeto al entrenador y a sus compañeros favor: 

Colocar el teléfono celular en silencio



Tomar las llamadas fuera del salón



No está permitido tomar videos parcial o total de las clases. ©MikroTik Xperts 2014

4

Modulo 1 RouterOS y Routerboard

©MikroTik Xperts 2014

5

• • •

Acerca de MikroTik Fabricante de Hardware y desarrollador de software Productos utilizados por ISP, WISP, compañías, etc. Hacer las tecnologías de Internet más rápidas, potentes y asequible para una gama más amplia de usuarios

• www.mikrotik.com • www.routerboard.com • wiki.mikrotik.com • forum.mikrotik.com

• en.wikipedia.org/wiki/MikroTik

Industria

Networking hardware

Año de fundación

1995

Sede

Riga, Latvia

Directivos

John Tully, CEO Arnis Riekstins, CTO

Productos

Routers, Firewalls

Ingresos

62.5 million Euros (2011)

Ingresos Netos

20.6 million Euros (2011)

Empleados

80 (2012)

©MikroTik Xperts 2014

6

¿Dónde está MikroTik ? Riga, LATVIA, Letonia Noreste de Europa

©MikroTik Xperts 2014

7

La Historia de MikroTik • 1995: Fundación • 1997: Software RouterOS para x86 (PC) • 2002: Nacimiento de RouterBOARD • 2006: Primer MUM Evolución del RouterOS • v6 – Mayo 2013 • v5 - Mar 2010 • v4 - Oct 2009 • v3 - Jan 2008 ©MikroTik Xperts 2014

8

¿ Qué es RouterOS ? •

• •

RouterOS es un sistema operativo que convierte a un dispositivo en: Un router dedicado Un clasificador de tráfico Filtro transparente de paquetes Un dispositivo inalámbrico compatible con 802.11a,b/g,n Firewall Enlaces inalámbricos VPN Portal Cautivo El sistema opertativo de los RouterBOARD Puede ser instalado en un PC

• • • • • • • •

©MikroTik Xperts 2014

9

¿ Qué es RouterBOARD ? • •

Un hardware creado por Mikrotik

•

Todos operan con el sistema RouterOS

Abarca un rango amplio desde routers caseros hasta routers de proveedores de servicio.

©MikroTik Xperts 2014

10

Soluciones Integradas • Son productos que se entregan completos con su caja

•

y adaptador de corriente Listos y preconfigurados con las funcionalidades más básicas, solo es necesario conectarlos a internet o a la red corporativa

Tarjetas • Son vendidas por separadas, es necesario la compra

•

de caja, adaptador e interfaces por separado Perfectas para ensamblar sistemas con la mayor personalización ©MikroTik Xperts 2014

11

Nota de interés •

El nombre de los routers es seleccionado de acuerdo a las características del mismo. Ejemplos: o

CCR : Cloud Core Router

o

RB : RouterBoard

o

2, 5 : 2,4GHZ or 5GHz wifi radio

o

H : High powered radio

o

S : SFP

o

U : USB

o

i : Injector

o

G : Gigabit ethernet ©MikroTik Xperts 2014

12

Primer acceso

Null Modem Cable

Ethernet cable

©MikroTik Xperts 2014

13

Formas de acceso • • • • •

Vía RS232 (Sólo para ciertos RouterBoard) Vía WEB Vía Winbox (IP o MAC) Vía Telnet  

Disponible en casi todos los sistemas operativos Forma insegura

Vía SSH  Dispone de muchas erramientas gratuitas para su conexión, tales como PuTTY  Vía segura de acceso ©MikroTik Xperts 2014

14

Equipo de fábrica Conectar la laptop al puerto 5 del router El equipo entregará una IP del segmento 192.168.88.0/24

©MikroTik Xperts 2014

15

Descarga de Winbox Ingresamos al servidor web interno del router con la IP del router 192.168.88.1 Al tener usuario/clave por defecto ingresará directamente al menú webfig de gestión Descargar el winbox y guardar en el escritorio

©MikroTik Xperts 2014

16

Descarga del Winbox www.mikrotik.com

©MikroTik Xperts 2014

17

Winbox • • •

• • •

Es la aplicación para la configuración del RouterOS Winbox es una herramienta que permite administrar un Mikrotik utilizando una rápida y simple interfaz gráfica. Es nativo de Windows, pero puede ser utilizado en Linux o Mac mediante Wine. Todas las funciones de Winbox son lo mas parecidos a configuralo por cónsola, razón por la cual no hay secciones específicas del Winbox en el manual. Algunas opciones avanzadas no son posibles vía Winbox, como el cambio de MAC de una interfaz. Puede ser descargado desde www.mikrotik.com/download. ©MikroTik Xperts 2014

18

Conectando Haz click en el botón [...] para ver el router

©MikroTik Xperts 2014

19

Conectando

Ethernet Cable

Winbox ©MikroTik Xperts 2014

20

Laboratorio de conexión • Ingrese al Mikrotik mediante la Mac-Address • El usuario por defecto es “admin” sin password.

• Tome unos minutos para ver la ubicación de los menus

©MikroTik Xperts 2014

21

Laboratorio de conexión •

Borrar la configuración por defecto

Caso 1: desde el menú Remove Configuration v

v

o

Caso 2: desde el terminal system reset-configuration no-defaults=yes v

En este caso pedirá reinicio ©MikroTik Xperts 2014

22

Comunicación • El proceso de comunicación se divide en 7 capas.

• Abarca desde la más baja (capa física) hasta la más alta capa de aplicación.

©MikroTik Xperts 2014

23

©MikroTik Xperts 2014

24

7 Aplicación Especifica los métodos para llevar a cabo una tarea iniciada por el usuario. Los protocolos de la capa de aplicación tienden a ser concebidos y ejecutados por los desarrolladores de aplicaciones. Ejemplo: FTP, Skype, HTTP, etc. 6 Presentación Especifica los métodos para la expresión de los formatos de datos y normas de traducción para aplicaciones. La encriptación se asocia algunas veces con esta capa. Ejemplo: Conversión de EBCDIC a ASCII. Extensiones JPEG, Docx 5 Sesión Especifica métodos para múltiples conexiones que constituyen una sesión de comunicación. Esto puede incluir cerrar conexiones, reiniciar conexiones y puntos de control. Ejemplo: ISO X.25 4 Transporte Especifica los métodos para las conexiones entre múltiples programas que se ejecutan en el mismo PC. Esta capa puede implementar entregas seguras en caso de que no se apliquen en otros lados. Ejemplo: Internet TCP, ISO, TP4) 3 Red Para redes de paquetes, describe un formato de paquete abstracto y su estructura de direccionamiento estándar. Ejemplo: IP datagram, X.25 PLP, ISO CLNP 2 Enlace de datos Especifica los métodos para comuncarse a través de un enlace, incluyendo protocolos de “control de acceso al medio”. La detección de error se incluye comunmente en esta capa. Ejemplo: Ethernet, Wi-Fi, ISO 13239/HDLC.

1 Física Especifica los conectores, tasas de datos, y la forma en que los bits son codificados en algún medio. También describe detección y corrección de bajo nivel, más asignaciones de frecuencia. Ejemplo: V.92, Ethernet 1000BASE-T, SONET/SDH ©MikroTik Xperts 2014

25

MAC address • Dirección única de capa de enlace • Utilizada para comunicaciones dentro de la misma LAN

• Ejemplo: 00:0C:42:20:97:68 ©MikroTik Xperts 2014

26

IP • Es la dirección lógica para un dispositivo de red.

• Se utliza para comunicación entre distintas redes.

• Ejemplo: 159.148.60.20 ©MikroTik Xperts 2014

27

Subredes • Rango de IP que divide la porción de red en varios segmentos

• Ejemplo: 255.255.255.0 o /24 ©MikroTik Xperts 2014

28

Subredes • • •

•

La dirección de red es la primera dirección de la subred. (no se puede utilizar) Ej: 192.168.1.0/24 La primera dirección disponible de host corresponde con el consecutivo de la dirección de red. Ej: 192.168.1.1/24 La última dirección disponible de host corresponde con la dirección anterior al broadcast. Ej: 192.168.1.254/24

La dirección de broadcast es la última IP de la subred (no se puede utilizar). Ej: 192.168.1.255/24 ©MikroTik Xperts 2014

29

Estructura de direccionamiento IP

• Cada PC conectado a una red TCP/IP debe tener al menos una IP para comunicarse.(Capa 3) • IP: 32 bits = 4 octectos •1 octeto = 8 dígitos binarios = 1 Byte • Se representa con decimales por sencillez.

©MikroTik Xperts 2014

30

CIDR

Subnet Mask

/32 /30 /29 /28 /27 /26 /25 /24

255.255.255.255 255.255.255.252 255.255.255.248 255.255.255.240 255.255.255.224 255.255.255.192 255.255.255.128 255.255.255.0

Hosts Disponibles 4–2=2 8–2=6 16 – 2 = 14 32 – 2 = 30 64 – 2 = 62 128 – 2 = 126 256 – 2= 254

CIDR

Subnet Mask

Hosts Disponibles

/23 /22 /21 /20 /19 /18 /17 /16

255.255.254.0 255.255.252.0 255.255.248.0 255.255.240.0 255.255.224.0 255.255.192.0 255.255.128.0 255.255.0.0

512 – 2 = 510 1024 – 2= 1022 2048 – 2 = 2046 4096 – 2 = 4094 8192 – 2 = 8190 16384 – 2= 16382 32768 – 2= 32766 65536 – 2= 65534

El prefijo es expresado en notación CIDR (Classless Inter-Domain Routing). Primero se escribe la dirección de la red seguida por el caracter (/), finalizando con la cantidad de bits del prefijo de red y subred. Por ejemplo una 192.168.1.0/24 tiene 24 bits de red y los restantes 8 bits son para host. ©MikroTik Xperts 2014

31

Seleccionando la dirección IP • Seleccione una dirección IP del mismo segmento de su red local

• Especialmente en redes grandes con segmentos múltiples.

©MikroTik Xperts 2014

32

Escogiendo una IP RANNGO

Dirección de Red: 192.0.0.0/16 1 Host válido: 192.0.0.1 .... Último host válido: 192.0.255.254 Broadcast: 192.0.255.255

©MikroTik Xperts 2014

33

Topología de clase ether1-wan

ether5-laptop

laptop

Router1

wan: 103.23.247.x (DHCP Cliente)

lan: 192.168.N.1/24

Mikrotik Principal lan: 192.168.N.1/24

laptop

Internet

103.23.247.1

Router 2

wan: 103.23.247.x (DHCP Cliente)

©MikroTik Xperts 2014

34

Laptop - Router 1. Deshabilitar cualquier interfaz inalámbrica de la laptop

2. Colocar la dirección IP 192.168.N.1

3. Colocar máscara 255.255.255.0 4. Colocar 192.168.N.254 como puerta de enlace predeterminada y DNS preferido ©MikroTik Xperts 2014

35

Etiquetar interfaces (TIP) 1.Ingresar al router 2.Ir a interfaces 3.Hacer doble click sobre una interfaz

4.Cambiar el nombre ©MikroTik Xperts 2014

36

Laptop - Router 1.Conectar al router con MAC-Winbox

2.Agregar la IP 192.168.N.254/24 al puerto ether5

©MikroTik Xperts 2014

37

Laptop - Router • Cerrar el Winbox y conectar de nuevo utilizando la dirección IP.

• El acceso vía MAC debe ser sólo usado cuando el router no sea accesible vía IP. ©MikroTik Xperts 2014

38

Router - Internet • El Gateway a internet de la clase será accesible vía cable UTP.

• El router del instructor será su proveedor de internet.

©MikroTik Xperts 2014

39

Router - Internet

©MikroTik Xperts 2014

40

Router - Internet

Revisar la conectividad hacia internet.

©MikroTik Xperts 2014

41

Router Internet Class AP Your Laptop

Your Router

DHCP-Client Ether1-wan ©MikroTik Xperts 2014

42

Laptop - Internet • Cambie el DNS de su laptop con la IP de su router. (192.168.N.254)

©MikroTik Xperts 2014

43

Laptop - Internet • La laptop puede acceder al router y el router puede acceder a internet, para que su laptop acceda a internet es necesario un paso adicional.

• Es necesario crear una regla de Masquerade en el Firewall Filter para ocultar su red privada detrás del router y que pueda ser enrutable hacia internet. ©MikroTik Xperts 2014

44

IPs privadas y públicas

• El Masquerade es utilizado para acceso a redes públicas, donde no son enrutables IP privadas.

• Según el RFC 1918 de la IETF las redes privadas son: • 10.0.0.0 - 10.255.255.255 (10.0.0.0 /8) • 172.16.0.0 - 172.31.255.255 (172.16.0.0 /12) • 192.168.0.0 - 192.168.255.255 (192.168.0.0 /16) ©MikroTik Xperts 2014

45

Laptop - Internet

©MikroTik Xperts 2014

46

Laptop - Internet

Su router puede ser el servidor DNS de su red local (laptop) ©MikroTik Xperts 2014

47

Probar conectividad Ping www.mikrotik.com desde su laptop

©MikroTik Xperts 2014

48

TroubleShooting • • • • • •

¿Su router puede hacer ping al AP? ¿Puede su router resolver nombres? ¿Puede llegar a redes más alla de su router? ¿Su Laptop puede resolver nombres? ¿Colocó correctamente la regla de Masquerade? Verificar que la laptop tenga puerta de enlace y DNS configurados correctamente. ©MikroTik Xperts 2014

49

Diagrama de red Your Laptop

Your Router

Class AP

192.168.N.1 192.168.N.254 DHCP-Client ©MikroTik Xperts 2014

50

Gestión de usuarios

• Control de usuarios • Se pueden crear diferentes tipos de usuarios

©MikroTik Xperts 2014

51

Laboratorio de gestión de usuarios

• Crear un nuevo usuarios con acceso de lectura • Recordar el nombre/contraseña de usuario • Logearse con el nuevo usuario y ver las limitaciones de la nueva cuenta.

• Ingresar como Admin y cambie la cuenta creada a privilegios Full ©MikroTik Xperts 2014

52

•

Antes de actualizar El procedimiento requiere planificación  Paso a paso en orden preciso

•

Requiere probar  Recomendable realizarlo en una ventana de mantenimiento  Puede que ciertas características o sintaxis de la configuración anterior no coincidan con la nueva versión  Estar preparado para retornar a la versión previa si es necesario ©MikroTik Xperts 2014

53

Antes de actualizar •

Revisar la arquitectura que corresponde con el sistema operativo (mipsbe, pcc, X86, misple, tile)

 Si dudas es posible revisar la arquitectura en la esquina izquierda del Winbox

•

Conocer los archivos que requiero:  NPK : Sistema base RouterOS con los paquetes estándar.  ZIP: Contiene todos los paquetes (básicos y adicionales)

 Changelog: Indica los cambios y mejoras entre versiones ©MikroTik Xperts 2014

54

Laboratorio de actualización de RoS • Descargar los paquetes .zip desde http://103.23.247.7 • Descomprimir el archivo .zip en una carpeta • Subir los archivos desde el winbox vía IP • Reiniciar el router con el comando reboot. • Las actualizaciones siempre están disponibles en www.mikrotik.com ©MikroTik Xperts 2014

55

Actualizando el router

• Utilizar el combinado de paquetes de RouterOS • Arrastrar los archivos a files. ©MikroTik Xperts 2014

56

Laboratorio de actualización de RoS

• En nuevas versiones de RoS se habilita la descarga automática.

©MikroTik Xperts 2014

57

Downgrade Si en el algún momento necesitamos bajar a una versión anterior:

• • •

Subimos los archivos de la versión en el files

Y en el package List clickeamos Downgrade También es posible vía terminal con el comando

system package downgrade

©MikroTik Xperts 2014

58

Gestión de paquetes

Las funcionalidades del RouterOS son habilitadas mediante paquetes ©MikroTik Xperts 2014

59

Información de paquetes

©MikroTik Xperts 2014

60

NTP • Network Time Protocol, para sincronizar hora • Son soportados el Servidor NTP y el cliente NTP en RouterOS

©MikroTik Xperts 2014

61

¿Por qué NTP? • Para obtener la hora correcta • En el caso de routers sin memoria interna pueda preservar la información de la hora

• Disponible en todos los RouterBOARDs ©MikroTik Xperts 2014

62

Cliente NTP El paquete NTP no es requerido

©MikroTik Xperts 2014

63

Laboratorio de paquetes • Deshabilitar NTP (Pregunta de exámen) • Reiniciar con reboot • Revisar que NTP Client cambio a SNTP Client ©MikroTik Xperts 2014

64

Actualización del RouterBoot

• Revisamos la versión actual • De ser necesario actualizar ©MikroTik Xperts 2014

65

Router Identity Opción para colocarle nombre al router

©MikroTik Xperts 2014

66

Router Identity Lab

Colocarle al nombre del router su su número N_nombre

©MikroTik Xperts 2014

67

Router Identity El nombre puede ser visto en diferentes sitios.

©MikroTik Xperts 2014

68

Tipos de respaldo • Respaldo Binario (.backup) • Exportar la configuración (.rsc)

©MikroTik Xperts 2014

69

Respaldo Binario •

• • •

Se pueden hacer respaldos y restaurar configuraciones en el menú file de Winbox.

Se garantiza la restauración en un router idéntico en Software y Hardware

Son archivos encriptados por lo que no son editables También se pueden hacer y restaurar respaldos desde el terminal permitiendo personalización del archivo. Ejemplos:

 

system backup save name=mirespaldo_RB750_5.26 (Creación) system backup load name=mirespaldo_RB750_5.26 (Restauración) ©MikroTik Xperts 2014

70

• • • • •

Respaldo con Export Se pueden hacer respaldo parciales o totales de la configuración

Estos archivos son editables Las contraseñas no son guardadas con el export Se puede utilizar “compact” para que muestre sólo la configuración que no es por defecto. Para importar una configuración tener en cuenta no sobreescribir comandos

/export file=conf_RB750_Dic-12 (Respaldo completo) /export compact file=conf_RB750_Dic-12 ( Respaldo limpio) / ip firewall filter export file=firewall-aug-2012 (Respaldo parcial) /import file-name=conf_RB750_Dic-12 (Restauración) ©MikroTik Xperts 2014

71

Laboratorio de Backup • Crear archivos de backup y export • Descargarlos a la laptop. o Nota: tener los respaldos en el files unicamente no es una buena estrategia

• Abrir el archivo de export con un editor de texto ©MikroTik Xperts 2014

72

Licencias 6 Niveles de Licencia  0 : Demo (24 horas)

 1 : Free (muy limitada)  3 : WISP CPE (Cliente Wi-Fi)

 4 : WISP (Requerida para colocar en modo AP el router)  5 : WISP (Mayor capacidad de usuarios, VPNs,etc)

 6 : Controller (Capacidade ilimitadas) ©MikroTik Xperts 2014

73

Licencias

©MikroTik Xperts 2014

74

Obtener una licencia Tips:  La licencia se puede utilizar para un único dispositivo

Login to your account

 Todos los RouterBoard vienen con una licencia preinstalada

 Se recomienda no formatear la unidad con herramientas que no sean de MikroTik

©MikroTik Xperts 2014

75

Netinstall • Usar para instalar o reinstalar el RouterOS • Se utiliza cuando se pierde el password de acceso o se corrompe el RouterOS

• Corre en computadores Windows • La conexión directa con el router es preferida o sobre un Switch

• Disponible en www.mikrotik.com ©MikroTik Xperts 2014

76

Procedimiento Netinstall 1. Descargar el Netinstall y el archivo .npk de la versión 5.26 2. Desactive firewall y antivirus del computador

3. Conectar el computador en el puerto 1 4. Colóquele a su computador una IP estática 5. Abra la aplicación Netinstall 1. Haga click en Net-booting y coloque una IP en el mismo segmento de su computador 2. En la sección de Package, haga click en Browse y ubique el directorio con el archivo NPK correcto ©MikroTik Xperts 2014

77

Procedimiento Netinstall 5. Desconecte la alimentación y presione el botón reset 6. Conecte el la alimentación y libere el botón reset cuando el led ACT se apague (unos 10 seg)

7. Seleccione el router luego que aparezca en Routers/Drive Cuidado: no aplique este procedimiento a los disco duros de su computador, podría formatear la unidad. 8. Seleccione el RouterOS requerido en Packages. 9. Presionar el botton Install y esperar a que cargue

©MikroTik Xperts 2014

78

Links útiles • • • •

www.mikrotik.com – gestión de licencias, documentación forum.mikrotik.com – compartir experiencias con otros usuarios, foro moderado por el equipo de MikroTik wiki.mikrotik.com – toneladas de ejemplos www.tiktube.com – Videos de presentaciones de trainers, partners, ISPs durante, etc durante los MUMs

©MikroTik Xperts 2014

79

Módulo 2 Enrutamiento

©MikroTik Xperts 2014

80

Conceptos de enrutamiento

• Enrutamiento es un proceso de la capa 3 del modelo OSI.

• Define a donde será reenviado el tráfico • Es requerido para que diferentes redes se comuniquen entre sí.

• Es necesario rutas bidireccionales para que haya comunicación entre 2 redes. ©MikroTik Xperts 2014

81

Significado de flags

• Las rutas tienen diferentes estatus. En este curso conoceremos los siguientes: ⁻ X : Deshabilitado ⁻ A : Activo ⁻ D : Dinámico ⁻ C : Conectado ⁻ S : Estático ©MikroTik Xperts 2014

82

Rutas estáticas • Las rutas a subredes que ya existen en el router son creadas automáticamente a penas se agrega una IP a la interfaz (rutas conectadas)

• Para subredes que están conectadas a otros routers necesitaremos rutas estáticas ©MikroTik Xperts 2014

83

Rutas • Validar la configuración • Pruebe hacer ping a su laptop • Pruebe hacer ping al laptop del vecino 192.168.N.1

• Configuraremos rutas estáticas para poder llegar a su vecino. ©MikroTik Xperts 2014

84

Entendiendo los campos Flags: El estado de cada ruta como fue explicado anteriormente. Destination address: define las redes que pueden ser alcanzables Gateway : La IP del próximo salto (router para poder alcanzar red destino)

Distancia: Valor utilizado para la selección de la ruta. En las configuraciones que tenemos varias distancias posibles, la ruta preferida es la ruta con el menor valor. Pref. Source : La dirección IP de la interfaz local que es responsible de enviar los paquetes de una red anunciada ©MikroTik Xperts 2014

85

Gateway por defecto Gateway por defecto: El próximo salto donde todos los paquetes cuyas rutas no se conozcan serán enviados ©MikroTik Xperts 2014

86

Laboratorio de gateway por defecto • En estos momentos su router recibe el gateway por DHCP

• Deshabilite que se reciba vía DHCP • Agregue la puerta de enlace predeterminada manualmente.

©MikroTik Xperts 2014

87

Enrutamiento

• Revise las otras rutas

• Las rutas marcadas con DAC son agregadas automáticamente

• La ruta DAC viene de las interfaces activas con dirección IP

©MikroTik Xperts 2014

88

Enrutamiento estático • El objetivo es hacerle ping a la laptop del vecino

• Lo conseguiremos mediante rutas estáticas ©MikroTik Xperts 2014

89

Enrutamiento estático • Las rutas estáticas definen como alcanzar una red destino

• El Default gateway también es una ruta estática hacia 0.0.0.0, envía todo el tráfico cuya ruta desconoce

©MikroTik Xperts 2014

90

Enrutamiento estático • Deshabilitaremos la regla de masquerade que “esconde” nuestra red privada

• Es necesaria una ruta estática para alcanzar la laptop del vecino dado que el gateway (router del instructor) no tiene información de las redes privadas de los estudiantes. ©MikroTik Xperts 2014

91

Ruta hacia su vecino • Recuerda la topología de red • La red de su vecino tiene el formato 192.168.N.0/24

• Preguntele al vecino la dirección IP de su interfaz wan.

©MikroTik Xperts 2014

92

Rutas •

•

Las reglas del ip route indica a donde van a ser enviados los paquetes

Para ver las rutas:

/ip route

/print ©MikroTik Xperts 2014

93

Ruta al vecino • Agregue una ruta • Indique la red destino, la red local de su vecino

• Indique el gateway, la dirección que es usada para alcanzar el destino, corresponde con la IP de la interfaz wan del router vecino ©MikroTik Xperts 2014

94

Ruta al vecino • Agregue ruta • Coloque el gateway

• Haga ping a la laptop de su vecino

•

Nota: Recuerde que debe haber una ruta de regreso ©MikroTik Xperts 2014

95

Enrutamiento dinámico • La misma configuración es posible con enrutamiento dinámico

• Imagine que tiene que crear rutas estáticas a cada vecino de su red.

• En lugar de crear cientos de rutas, los protocolos dinámicos intercambian paquetes y ejecutan algoritmos que les permite encontrar y divulgar mejores rutas hacia algún destino. ©MikroTik Xperts 2014

96

Enrutamiento dinámico • Fácil de configurar, difícil de gestionar y hacer troubleshooting

• Utiliza mayores recursos de RAM y CPU del router

©MikroTik Xperts 2014

97

Enrutamiento dinámico • Veremos uno sólo de los protocolos de enrutamiento dinámicos: OSPF

• OSPF es de rápida convergencia y obtiene rutas óptimas.

• Fácil de configurar ©MikroTik Xperts 2014

98

Configuración OSPF • •

Agregue su red LAN y su red WAN en la pestaña Networks de OSPF El protocolo se habilitará

Nota: Lo único necesario para activar OSPF es agregar una red Networks ©MikroTik Xperts 2014

99

OSPF LAB • Revisar las rutas • Hacer ping al PC de su vecino • Recuerde, son necesarios conocimientos adicionales para administrar redes con OSPF

©MikroTik Xperts 2014

100

Módulo 3 Bridging

©MikroTik Xperts 2014

101

• • • • • •

Bridge

Los puentes son dispositivos de la capa 2 del modelo OSI. Son utilizados para unir dos segmentos diferentes (o similares) Para crear un bridge se debe crear una interfaz de bridge Luego añadir las interfaces correspondientes a ese bridge.

Son utilizados para crear dominios de colisión más pequeños. Los Switches son conocidos como puentes multi puertos. 

Cada puerto es un dominio de colisión de un dispositivo.

©MikroTik Xperts 2014

102

Ejemplo 1 • •

Todas las computadoras se pueden comunicar entre si Todas tienen que esperar que todas esten calladas antes de empezar a transmitir

©MikroTik Xperts 2014

103

• • •

Ejemplo 2 Todas las computadoras aún necesitan “escuchar” al otro Todas las computadoras ahora sólo comparten la mitad del “cable” Aún todas tienen que esperar que todas estén calladas, pero ahora el grupo es de la mitad del tamaño.

©MikroTik Xperts 2014

104

Utilizando bridge en Mikrotik •

Está opción está por defecto en los routers MikroTik, los puertos Ethernet están asociados (en modo esclavo) a un puerto master.

 Ventaja: Conmutación cableada de alta velocidad (a través de chip de switch, conmutación de hardware)  Desventaja: El tráfico de los puertos esclavos no es visible. No es deseable si se utiliza SNMP para monitorear el uso de los puertos.

©MikroTik Xperts 2014

105

Utilizando bridge en Mikrotik •

Removiendo la configuración maestro y esclavo, es necesario utilizar interfaz de bridge para “unir” los puertos requeridos en una misma LAN  Ventaja: Visibilidad completa de todas las estadísticas de los puertos dentro del bridge  Desventaja: La conmutación es realizada a través del software lo que requiere mayor procesamiento de CPU. La velocidad de transmisión será inferior a la óptima velocidad de tranferencia

©MikroTik Xperts 2014

106

Creando el Bridge

• El bridge se configura desde el menú /interface bridge

• Por estabilidad utilizar rstp y una MAC Fija

©MikroTik Xperts 2014

107

Agregar puertos al Bridge •

•

Las interfaces son agregadas una a una al Bridge

Ahora es necesario colocarle la IP del puerto 5 al bridge_lan ©MikroTik Xperts 2014

108

Bridge • Se pueden agregar interfaces Ethernet, wlan sin problemas

• Los clientes inalámbricos en (mode=station) no soportan bridge dada las limitaciones de 802.11

• La configuración de bridge en interfaces

inalámbricas se verá en el próximo módulo. ©MikroTik Xperts 2014

109

Módulo 4 Redes Inalámbricas

©MikroTik Xperts 2014

110

Redes inalámbricas • RouterOS soporta varios módulos de radio para comunicación inalámbrica en 2.4Ghz y 5Ghz

• MikroTik RouterOS brinda completo soporte a estándares 802.11a/b/g/n

©MikroTik Xperts 2014

111

Estándares inalámbricos • IEEE 802.11b - 2.4GHz , 11Mbps • IEEE 802.11g - 2.4GHz , 54Mbps • IEEE 802.11a - 5GHz, 54Mbps • IEEE 802.11n - 2.4GHz o 5GHz hasta 300 Mbps ©MikroTik Xperts 2014

112

Canales 802.11 b/g 1

2

3

4

5

6

7

8

9

10

11

2483

2400

• (11) Canales de 22 MHz (US)‫‏‬ • 3 canales que no se solapan • 3 puntos de acceso pueden ocupar la misma área sin causarse interferencia (1,6,11) ©MikroTik Xperts 2014

113

Canales 802.11a 36

40

42

44

48

5210

5150

5180 149

5220

153

157

5760

5735

5745

5765

52

56

5250

5200 152

50

5240 160

58

60

64

5300

5320

5290

5260

5280

5350

161

5800

5785

5805

5815

• (12) canales de 20 MHz • (5) canales de 40MHz (wide turbo channels) ©MikroTik Xperts 2014

114

Bandas soportadas Todos los canales 5GHz (802.11a) y

2.4GHz (802.11b/g)

©MikroTik Xperts 2014

115

Frecuencias soportadas • Dependiendo de las regulaciones por país las tarjetas inalámbricas funcionan en el rango: o 2.4GHz: 2312 - 2499 MHz o 5GHz: 4920 - 6100 MHz

©MikroTik Xperts 2014

116

Regulaciones del país

©MikroTik Xperts 2014

117

Nombre del radio • Utilizaremos el nombre del radio para el mismo propósito que el router identity

• Colocar en el nombre del radio: Su número + nombre

©MikroTik Xperts 2014

118

Red inalámbrica

©MikroTik Xperts 2014

119

Configuración de estación • Fijar mode=station • Selecione la banda • Indicar el SSID • El canal se puede seleccionar haciendo un Scan ©MikroTik Xperts 2014

120

Connect List • Indica los parámetros para que el cliente seleccione el punto de acceso donde se va a conectar ©MikroTik Xperts 2014

121

Connect List Lab • Ahora su router está conectado al punto de acceso de la clase

• Cree una regla para no permitir la conexión al AP de la clase

• Utilice los parámetros del Connect-list ©MikroTik Xperts 2014

122

Configuración de AP • Coloque el modo mode=ap-bridge

• Seleccione la Banda • Indique el SSID • Fije la frecuencia ©MikroTik Xperts 2014

123

Snooper monitor inalámbrico • Se utiliza para obtener una vista global de las redes inalámbricas en la banda seleccionada

• La interfaz

inalámbrica se desconecta para usar esta herramienta ©MikroTik Xperts 2014

124

Tabla de registros • Ve todo los dispositivos conectados a las interfaces inalámbricas

©MikroTik Xperts 2014

125

Seguridad del punto de acceso • Access-list: para ver clientes y en que condiciones se conectarán

• Deshabilitando el DefaultAuthentication se conectan solo los usuarios del AccessList

©MikroTik Xperts 2014

126

Default Authentication • Habilitada, las reglas del Access-List el cliente se puede conectar a menos que haya una regla que lo niegue.

• Deshabilitada, sólo se revisan los usuarios en el Access-List

©MikroTik Xperts 2014

127

Laboratorio de Access-List • Este laboratorio lo hará el instructor en el punto de acceso de la clase

• Deshabilitar conexión a un usuario específico • Permitir conexión para sólo ciertos clientes ©MikroTik Xperts 2014

128

Seguridad • Habilitemos la encriptación en nuestra red inalámbrica

• Utilizar encriptación WPA o WPA2 • Todos los dispositivos de la red deben tener las mismas opciones de seguridad

©MikroTik Xperts 2014

129

Seguridad •

Crear un nuevo perfil llamado profile1

•

Habilitar las opciones WPA y WPA2 PSK

•

La contraseña es mikrotikmtcna

©MikroTik Xperts 2014

130

Tip de configuración • Para ver la contraseña deshabilitar la opción Hide Password

• Se pueden ver otras

contraseñas excepto la de los usuarios del MikroTik ©MikroTik Xperts 2014

131

Aislar clientes inalámbricos El Default-Forwarding se utiliza para deshabilitar tráfico entre clientes conectados al mismo punto de acceso

©MikroTik Xperts 2014

132

Default Forwarding • Las reglas del Access-List tienen mayor prioridad

• Revisar si las reglas están funcionando para controlar los clientes

©MikroTik Xperts 2014

133

Nstreme • Protocólo propietario de MikroTik • Mejora enlaces inalámbricos, especialmente los de largo alcance

• Para utilizarlo en la red es necesario habilitarlo en todos los dispositivos inalámbricos dentro de la red

©MikroTik Xperts 2014

134

NV2 (Nstreme Version 2) • Protocólo propietario de MikroTik • Para utilizar con chip Atheros 802.11 • Basado en TDMA (Time Division Multiple Access) en reemplazo de CSMA (Carrier Sense Multiple Access)

• Utilizado para mejorar el desempeño en largas distancias ©MikroTik Xperts 2014

135

NV2 (Nstreme Version 2) • Beneficios de NV2  Incrementa la velocidad del enlace  Más clientes conectados en ambientes punto-multipunto (limitado a 511 clientes)  Menor latencia  No hay limitaciones de distancias ©MikroTik Xperts 2014

136

Redes inalámbricas en bridge • El modo Station-Bridge: Es un modo propietario para crear bridge en capa 2 de forma segura entre routers MikroTik.

• Pueden ser utilizados para expandir subredes inalámbricas a más clientes.

©MikroTik Xperts 2014

137

Módulo 5 Gestión de Red Local

©MikroTik Xperts 2014

138

Planeación de la red local • Planifique su red cuidadosamente • Tome cuidado de los usuarios locales que tienen acceso a su red

• Implemete las características de RouterOS para asegurar los recursos dentro de su red

©MikroTik Xperts 2014

139

ARP • Address Resolution Protocol • ARP se encarga de encontrar la dirección MAC que le corresponde a una IP determinada

• ARP funciona de manera dinámica pero

también puede ser manejado estáticamente

©MikroTik Xperts 2014

140

ARP Table La tabla de ARP muestra la IP, MAC y puerto donde está conectado un dispositivo ©MikroTik Xperts 2014

141

Tabla estática de ARP • Para mejorar la seguridad local, las entradas ARP pueden ser creadas manualmente

• De esta manera los clientes no podrían tener acceso a Internet si se cambia la dirección IP

©MikroTik Xperts 2014

142

•

Modos ARP Los modos ARP le indican al RouterOS como el ARP va a funcionar o

•

Estos modos son configurados por interfaz

Los modos son: o

Enabled: Modo por defecto. Las peticiones ARP son respondidas y la tabla ARP será llenada de forma automática

o

Disabled: La interfaz no enviará o reposderá peticiones ARP de otros hosts. Será necesario indicarle al router las MAC

o

Proxy ARP: El router responde las peticiones ARP provenientes de su red directamente conectada (sin importar el origen)

o

Reply-only: El router sólo responderá peticiones ARP. La tabla ARP debe ser llenada de forma estática ©MikroTik Xperts 2014

143

Configuración de ARP estático • Agregar una entrada estática en la tabla ARP

• Fije la interfaz arp=replyonly para deshabilitar creación dinámica vía ARP

• Dehabiltar y habilitar la interfaz o reinicie el router

©MikroTik Xperts 2014

144

Laboratorio de ARP estático • Coloca la MAC de tu laptop como entrada estática

• En la configuración del puerto Ethernet coloca arp=reply-only

• Cambia la IP de tu PC (dentro del mismo segmento)

• Prueba la conectividad a Intenet ©MikroTik Xperts 2014

145

Servidor DHCP • Dynamic Host Configuration Protocol • Usado para entregar de forma automática direcciones en una red local

• Usar DHCP sólo en redes seguras ©MikroTik Xperts 2014

146

Servidor DHCP • Para configurar el servidor DHCP es necesario tener una IP en la intefaz

• Utilice el comando setup para habilitar el servidor DHCP

• Serán preguntados los datos necesarios ©MikroTik Xperts 2014

147

Configurando el Servidor DHCP

Click on DHCP Setup Time DNS Set that Addresses server client address may that use SetSet Network Gateway for for DHCP, to run Setup Wizard that will will be be IP given assigned address to to clients offered DHCP automatically clients Select interface forclients DHCP server ©MikroTik Xperts 2014

148

Importante • Para configurar el servidor DHCP en un bridge, fija el servidor en la intefaz de bridge

• Si se configura en uno de los puertos del bridge, el servidor aparecerá inválido

©MikroTik Xperts 2014

149

Servidor DHCP • Configure el servidor DHCP en la interfaz ethernet donde está conectada la laptop

• Cambiar la configuración de la laptop para que tome dirección de forma dinámica

• Revise la conexión a internet ©MikroTik Xperts 2014

150

Información de DHCP El “lease” muestra información de las direcciones entregadas .

©MikroTik Xperts 2014

151

Tip de winbox Mostrar campos adicionales con nuevas columnas

©MikroTik Xperts 2014

152

Lease estático • Podemos hacer un lease estático

• El cliente no podrá obtener otra dirección

©MikroTik Xperts 2014

153

Lease estático • El servidor DHCP puede correr sin lease dinámico

• Los clientes recibirán las direcciones preconfiguradas

©MikroTik Xperts 2014

154

Lease estático • Fijar el Address-Pool a sólo estático

• Crear el lease estático ©MikroTik Xperts 2014

155

Herramientas RouterOS

©MikroTik Xperts 2014

156

E-mail • Esta herramienta permite enviar correos desde el router

• Puede ser utilizada en combinación de otras herramientas, como por ejemplo enviar respaldos períodicos al administrador de la red

• Para acceder

/tools e-mail ©MikroTik Xperts 2014

157

Ejemplo de E-mail

• Configurar el servidor SMTP /tool e-mail

set address=173.194.75.108 [email protected] password=CL4V3 port=587 starttls=no [email protected]

• Enviar el archivo de configuración vía mail /export file=export /tool e-mail send tls=yes to="[email protected]" subject=oficina body="$[/system clock get date] configuration file" file=export.rsc ©MikroTik Xperts 2014

158

Netwatch

• Esta herramienta permite monitorear el estado de dispositivos

• Para cada entrada se puede especificar:  Dirección IP  Intervalo de ping  Scripts de Up y Down

• Para acceder

/tools netwatch ©MikroTik Xperts 2014

159

Netwatch • De gran utilidad para:  Notificaciones de caída en la red  Cambios automáticos en el caso de una avería, ejemplo: caida del router principal  Chequeo rápido de enlaces activos  Cualquier cosa que puedas arreglar para simplificar y hacer rápido tu trabajo (te hará ver mas eficente!) ©MikroTik Xperts 2014

160

Ping • • •

•

Herramienta de conectividad básica, utiliza ICPM para determinar la accesibilidad de host remotos y retardos Una de las herramientas de resolución de problemas básica. Si responde al ping el host está activo (al menos en capa de red) Es un buen comienzo para diagnosticar un problema, pero no es la última herramienta. Para detener será necesario CTRL-C

©MikroTik Xperts 2014

161

Traceroute •

• •

Usada para mostrar todos los routers “saltados” para alcanzar el destino.

Indica el retardo para alcanzar un router en el paso al destino Muy bueno para ubicar el nodo que pone lenta la transmisión.

©MikroTik Xperts 2014

162

Traceroute

©MikroTik Xperts 2014

163

• • •

Profiler (Carga de CPU) Herramienta que muestra la carga del CPU.

Muestra los procesos y su carga en el CPU Nota: “idle” no es un proceso. Esto significa que el CPU no está siendo utilizado

©MikroTik Xperts 2014

164

Módulo 6 Firewall

©MikroTik Xperts 2014

165

Firewall • Protege al router y sus clientes de acceso no autorizado

• Es una barrera entre 2 redes, ejemplo LAN (red confiable) e Internet (red no confiable)

• Puede hacerse mediante creacion de reglas en Firewall filter y NAT

©MikroTik Xperts 2014

166

Firewall Filter

• Consiste en reglas definidas por el usuario basadas en el principio de IF-Then. Tienen 2 partes  Condiciones marcadas: Las condiciones que deben chequearse.  Acción: Que se hará si se encontraron las coincidencias.

• Las reglas son ordenadas en cadenas • Existen cadenas predefinidas y cadenas creadas por los usuarios. ©MikroTik Xperts 2014

167

Filter Chains • Las reglas pueden ser colocadas en 3 cadenas: • input (hacia el router) • output (desde el router) • forward (atravesando el router) ©MikroTik Xperts 2014

168

Firewall Chains Input Winbox

Output Ping from Router

Forward WWW E-Mail ©MikroTik Xperts 2014

169

Firewall Chains

©MikroTik Xperts 2014

170

Input • Esta cadena contiene las reglas del filter que protegen al mismo router

• Bloqueemos a todos excepto su laptop. ©MikroTik Xperts 2014

171

Input Agregar una regla de accept para la IP de su laptop

©MikroTik Xperts 2014

172

Input Agregar un regla drop de la cadena input para descarcartar a los demás ©MikroTik Xperts 2014

173

Input Lab • Cambie la dirección IP de su laptop a 192.168.x.y

• Trate de conectarse. ¡El firewall está funcionado!!!

• Aún se puede establecer conexión vía direcciones MAC dado que el Firewall Filter funciona sólo en capa 3 ©MikroTik Xperts 2014

174

Input • El acceso a su router es bloqueado • No tiene internet • Se están bloqueando las peticiones DNS también • Cambia la configuración para retomar la conexión a internet ©MikroTik Xperts 2014

175

Input • Se puede deshabilitar el acceso vía MAC en Tools/MAC Server

• Cambiar la IP de la laptop a la IP anterior 192.168.N.1 ©MikroTik Xperts 2014

176

Address-List • Address-list permite filtrar un grupo de direcciones con una sola regla

• También se pueden agregar direcciones de forma automática y luego bloquearlas.

©MikroTik Xperts 2014

177

Address-List

• Crear varias address-list • Se pueden agregar: Subredes, rangos separados, un sólo host.

©MikroTik Xperts 2014

178

Address-List • Agregar un host específico al address-list

• Indicar un

timeout para un servicio temporal ©MikroTik Xperts 2014

179

Address-List in Firewall • Se pueden hacer bloqueos por listas de acceso tanto en origen como en destino

©MikroTik Xperts 2014

180

Address-List Lab • Crear address-list con direcciones IP permitidas • Añadir una regla para aceptar estas direcciones permitidas.

©MikroTik Xperts 2014

181

Forward • Esta cadena contiene reglas para controlar paquetes que van atravesar el router

• Se controla tráfico hacia y desde los clientes. ©MikroTik Xperts 2014

182

Forward • Crear una regla para bloquear el puerto TCP 80 (Navegador Web)

• Es necesario

seleccionar el protocolo al hacer bloqueo por puertos. ©MikroTik Xperts 2014

183

Forward • Probar abriendo www.mikrotik.com • Probar abriendo http://192.168.N.254 • Se puede mostrar la página web del router ya que el bloqueo es aplicado en la cadena de Forward

©MikroTik Xperts 2014

184

Lista de puertos bien conocidos

©MikroTik Xperts 2014

185

Firewall Log

• Veamos los pings

que el cliente envía al router

• Esta regla debe ser

agregada antes de las demás acciones.

©MikroTik Xperts 2014

186

Firewall Log

©MikroTik Xperts 2014

187

Firewall chains • Se pueden crear cadenas personalizadas a excepción de las ya creadas (input, forward, output)

• Permite crear la estructura de firewall más simple • Disminuye la carga de procesamiento del router

©MikroTik Xperts 2014

188

Cadenas de Firewall en acción

• Secuencia de las cadenas personalizadas

• Las cadenas

personalizadas pueden utilizarse para virus,protocolos TCP, UDP, etc. ©MikroTik Xperts 2014

189

• •

• •

Laboratorio de Firewall Descargar el archivo viruses.rsc desde el servidor WEB y subirlo al files. Carga la configuración con el comando import

• •

New terminal Import viruses.rsc

Revisar que se hayan cargado las sentencias en el firewall. Ahora aplique para las setencias input y forward un jump hacia la cadena personalizada. ©MikroTik Xperts 2014

190

Conexiones

©MikroTik Xperts 2014

191

Estado de la conexión • Consejo: hacer drop a conexiones inválidas • El firewall solo procesará nuevos paquetes, es recomendable excluir otro tipo de estados.

• Las reglas de Filter tienen “connection state” que revisan el propósito de la conexión. ©MikroTik Xperts 2014

192

Estado de la conexión

• Agregue una regla para descartar conexiones inválidas

• Agregue una regla para aceptar conexiones establecidas

• Agregue una regla para aceptar conexiones relacionadas.

• De esta manera el Firewall sólo trabajara con paquetes nuevos. ©MikroTik Xperts 2014

193

Limitaciones de SRC-NAT • Conectarse a servidores internos desde afuera no es posible (se requiere DST-NAT)

• Algunos protocolos requieren NAT helpers para funcionar correctamente.

©MikroTik Xperts 2014

194

NAT Helpers

©MikroTik Xperts 2014

195

Connection Tracking • Connection tracking muestra la información de todas las conexiones activas.

• Debe ser habilitado para que funcione el Filter y el NAT.

©MikroTik Xperts 2014

196

Connection Tracking

197 ©MikroTik Xperts 2014

Network Address Translation

©MikroTik Xperts 2014

198

NAT • El router es capaz de cambiar dirección Origen o Destino en el flujo de paquetes a través del mismo.

• Este proceso es llamado src-nat o dst-nat

©MikroTik Xperts 2014

199

SRC-NAT SRC-Address

Laptop

New SRC-Address

Servidor Remoto

©MikroTik Xperts 2014

200

DST-NAT Servidor con IP privada

Host con IP pública

New DST-Address

DST-Address ©MikroTik Xperts 2014

201

NAT Chains • Para conseguir estos escenarios es necesario colocar las cadenas adecuadas: dstnat o srcnat

• Las reglas de nat funcionan con el principio IF-THEN

©MikroTik Xperts 2014

202

DST-NAT • DST-NAT cambia la dirección destino y puerto del paquete.

• Se utiliza para que usuarios de internet puedan acceder a servicios en servidores de una red privada.

©MikroTik Xperts 2014

203

DST-NAT Example Servidor WEB 192.168.1.1

Algún PC

New DST-Address 192.168.1.1:80 ©MikroTik Xperts 2014

DST-Address 207.141.27.45:80 204

Ejemplo DST-NAT Crear una regla para enviar todo el tráfico web de la red privada hacia el MikroTik.

©MikroTik Xperts 2014

205

Redirect • Tipo especial de DST-NAT • Esta acción redirecciona paquetes al mismo router.

• Puede ser utilizado para servicios de proxy (DNS, HTTP)

• Útil para bloqueos con OpenDNS ©MikroTik Xperts 2014

206

Ejemplo de Redirect DST-Address Configured_DNS_Server:53

New DST-Address Router:53

DNS Cache ©MikroTik Xperts 2014

207

Ejemplo de Redirect • Hagamos que los usuarios locales utilicen el DNS cache del router

• La regla se hace

en protocolo UDP

©MikroTik Xperts 2014

208

SRC-NAT • SRC-NAT cambia la dirección origen del paquete

• Se puede utilizar para que toda una red privada salga con la misma dirección pública

• Masquerade es un tipo de SRC-NAT ©MikroTik Xperts 2014

209

Masquerade Src Address 192.168.X.1

Src Address router address

192.168.X.1

Public Server

©MikroTik Xperts 2014

210

Firewall Tips • Se recomienda agregar comentarios para recordar el objeto de cada regla

• Utilizar tracking connection y torch ©MikroTik Xperts 2014

211

Torch

Detallar el reporte de tráfico actual de una interfaz ©MikroTik Xperts 2014

212

Acciones en Firewall  Accept

Acepta el paquete. El paquete no pasará a la próxima regla de firewall

 Add-dst-to-address-list: Agrega la IP destino al address-list especificado. El paquete pasa a la próxima regla  Add-src-to-address-list : Agrega la IP origen al address-list especificado. El paquete pasa a la próxima regla  Drop: Descarta el paquete de forma silenciosa. El paquete no pasará a la próxima regla de firewall  Jump: Salta a la cadena especificada en jump-target. El paquete pasa a la próxima regla ( en la cadena definida por el usuario)  Log Agrega el mensaje al system log conteniendo la data: in-interface, out-interface, src-mac, protocol, srcip:port->dst-ip:port and length of the packet. El paquete pasa a la próxima regla  Passthrough: Esta regla es ignorada y pasa a la próxma regla (útil para estadísticas)  Reject: Descarta el paquete enviando el mensaje de rechazo ICMP. El paquete no pasará a la próxima regla de firewall

 Return: Pasa de vuelta a la cadena donde el salto tuvo lugar. El paquete pasa a la próxima regla (en la cadena original, si no hubo una coincidencia previa que detuviera el análisis del paquete)  Tarpit: Captura y deja en espera las conexiones TCP (responde con syn/ack a las conexiones entrantes TCP SYN). El paquete no pasará a la próxima regla de firewall ©MikroTik Xperts 2014

213

NAT Actions • • • • • •

accept add-dst-to-address-list add-src-to-address-list dst-nat

jump log

• • • • • • •

masquerade netmap

passthrough redirect

return same src-nat

©MikroTik Xperts 2014

214

Mangle • El mangle es usado para marcar paquetes • Separa el tráfico en diferentes tipos • Las marcas son sólo utlizadas dentro del router • Se utilizan en las colas para diferenciar tipos de limitaciones y prioridades

• El mangle no cambia la estructura del paquete (a excepción de DSCP y TTL) ©MikroTik Xperts 2014

215

Acciones del Mangle • Mark-connection usa el connection tracking • La información acerca de las nuevas conexiones es añadida a la tabla de conection tracking

• El router sigue cada paquete para aplicar el mark-packet

©MikroTik Xperts 2014

216

Mangle • Las colas solo tienen marca de paquetes

©MikroTik Xperts 2014

217

Módulo 7 Calidad de Servicio (QoS)

©MikroTik Xperts 2014

218

Calidad de servicio • QoS: Comprende el arte de administrar los recursos de ancho de banda de forma eficiente

• QoS puede priorizar el trafico basado en ciertas métricas:

• Aplicaciones críticas • Tráfico sensible como voz o video en streams. ©MikroTik Xperts 2014

219

Colas Simples • Es la forma más simple de limitar ancho de banda:

• Descarga del cliente (Download) • Carga del cliente (Upload) • Agregado de cliente, download+upload ©MikroTik Xperts 2014

220

Colas Simples • Es necesario utilizar Target-Address. Puede ser:  Una dirección IP  Una subred  Una interfaz

• El orden de las colas es tomado en cuenta. Cada paquete debe ir por cada cola simple hasta que coincida con alguna ©MikroTik Xperts 2014

221

Colas Simples • Creamos una limitación a su laptop.

• 64k

Upload, 128k Download

Client’s Limits address to configure ©MikroTik Xperts 2014

222

Colas Simples • Revisar los limítes de carga y descarga

• Activar Rx Av. Rate y Tx Avg Rate • El torch mostrará la rata de trasmisión y recepción. ©MikroTik Xperts 2014

223

Limitar basado en destino • Ip address: El filtrado es basado en la IP destino a la cual el tráfico será enviado

• Interface: A través de cual interfaz pasará el tráfico • Útil para limitar tráfico hacia recursos internos de la red: Ejemplo: un servidor.

©MikroTik Xperts 2014

224

Limitar al server • Ping a www.mikrotik.com

• Poner la dirección de MikroTik en DST-address

MikroTik.com Address ©MikroTik Xperts 2014

225

Bandwidth Test Utility • La prueba del ancho de banda puede ser utilizada para monitorear el rendimiento hacia un dispositivo remoto.

• La prueba de ancho de banda funciona entre dos routers MikroTik

• Existe una aplicación para windows, descargable en www.MikroTik.com ©MikroTik Xperts 2014

226

Bandwidth Test on Router • Menú tools Bandwidth Test • Fijar Test To como dirección para la prueba

• Seleccionar el protocolo • TCP soporta multiples conexiones • Hay que autenticarse con el router remoto ©MikroTik Xperts 2014

227

Bandwidth Test • El servidor debe ser habilitado • Es recomendable dejar habilitada la autenticación

©MikroTik Xperts 2014

228

Priorización de tráfico • Prioridad 1 es más alta que 8

• La prioridad debe estar al menos en 2

Priority is in Select Queue Advanced Tab Set Higher Priority ©MikroTik Xperts 2014

229

PCQ • Per Connection Queue PCQ es una forma dinámica de ecualizar tráfico para múltiples usuarios utilizando una configuración simple.

• El parámetro pcq-rate limita la máxima rata de datos para cada sub-stream

©MikroTik Xperts 2014

230

• •

PCQ-Limit

Este parámetro es medido en paquetes. Un PCQ-Limit bajo  Incrementará los paquetes descartados (desde que es reducido el el buffer) y forzará al origen reenviar los paquetes reduciendo la latencia  Provocará un ajuste en la ventana TCP, indicando al origen que se ha reducido la tasa de transmisión

•

Un PCQ-Limit alto:  Creará un buffer grande, reduciendo paquetes descartados  Incrementará la latencia ©MikroTik Xperts 2014

231

• PCQ es un tipo de cola

PCQ

avanzada

• PCQ se utiliza para clasificar tráfico (desde el punto de vista del cliente)

• Los clasificadores dividen el tráfico (desde el punto de vista del cliente src-address es carga y dst-addres es descarga) ©MikroTik Xperts 2014

232

PCQ, uno limita a todos • PCQ permite fijar un límite a todos los usuarios con una misma cola

©MikroTik Xperts 2014

233

PCQ, uno limita a todos • Múltiples colas reemplazadas por una sola

©MikroTik Xperts 2014

234

PCQ, ecualiza el ancho de banda • Distribuye equitativamente entre los usuarios

©MikroTik Xperts 2014

235

Ecualiza ancho de banda • 1M de carga y 2M de descarga son compartidos entre varios usuarios del segmento 192.168.0.0/24

©MikroTik Xperts 2014

236

PCQ Lab • El instructor hará una cola PCQ en el router principal.

• Los estudiantes probarán su velocidad de transferencia hacia internet.

©MikroTik Xperts 2014

237

Monitor de colas simples • Se puede ver el gráfico de cada cola simple. • Las gráficas muestran que tan bueno es el desempeño de cada cola.

©MikroTik Xperts 2014

238

Monitor de colas

Habilitemos los gráficos de las colas

©MikroTik Xperts 2014

239

Simple Queue Monitor • Las gráficas están disponibles en el servidor web del mikrotik

©MikroTik Xperts 2014

240

Colas avanzadas • Reemplaza cientos de cola en sólo pocas

• Fija el mismo límite a cualquier usuario

• Ecualiza el ancho de banda disponible entre los usuarios activos ©MikroTik Xperts 2014

241

Módulo 8 Túneles

©MikroTik Xperts 2014

242

Túneles •

• •

Los túneles son una forma de expandir la red privada a través de la red pública como internet

También está referido a VPNs (Virtual private networks) Existen 2 tipos de redes VPN:

• •

Remote Access: utilizado para conectar a empleados desde internet a la red corporativa (teletrabajo) Site-to-site: conecta dos redes privadas separadas por una red pública (son necesarios al menos 2 routers) ©MikroTik Xperts 2014

243

PPPoE • Point to Point Protocol over Ethernet es amenudo utilizado para controlar conexiones DSL, cable modems y redes Ethernet

• MikroTik RouterOS soporta PPPoE cliente y PPPoE servidor

©MikroTik Xperts 2014

244

Configuración de Cliente PPPoE • Añadir un cliente PPoE

• Es necesario crear la interfaz

• Colocar

login y contraseña ©MikroTik Xperts 2014

245

Laboratorio Cliente PPPoE • El instructor creará un servidor PPPoE en el router

• Deshabilitar el cliente DHCP en la interfaz de salida del router

• Configurar el cliente PPPoE en la interfaz de salida

• Colocar usuario class y contraseña class ©MikroTik Xperts 2014

246

Configuración de Cliente PPPoE • Revisar la conexión PPP • Deshabilitar el cliente PPPoE • Disable PPPoE client • Habilitar el cliente DHCP y volver a la configuración anterior ©MikroTik Xperts 2014

247

Configuración del servidor PPPoE • Seleccione la interfaz

• Seleccionar el perfil

©MikroTik Xperts 2014

248

PPP Secret

• Base de datos de usuarios

• Colocar usuario y contraseña

• Seleccionar el servicio

• La configuración se toma desde el perfil ©MikroTik Xperts 2014

249

Perfiles PPP • Colocar las reglas de los clientes usados para PPP • La mejor manera es tener las mismas configuraciones para clientes diferentes

©MikroTik Xperts 2014

250

Perfil PPP • Local address – Dirección del servidor

• Remote Address –

Dirección del cliente

©MikroTik Xperts 2014

251

PPPoE • Importante, el servidor PPPoE corre en la interfaz

• La interfaz PPPoE puede ser utilizada sin asignarle una IP

• Por seguridad, es recomendable dejar las interfaces PPPoE sin dirección IP ©MikroTik Xperts 2014

252

Pools • El Pool define el rango de direcciones para PPP, DHCP, y clientes de portal cautivo

• Se utilizará un pool, puesto que se tendrá más de un cliente

• Las direcciones son tomadas del pool automaticamente ©MikroTik Xperts 2014

253

Pool

©MikroTik Xperts 2014

254

Estado de PPP

©MikroTik Xperts 2014

255

PPTP • Túnel punto a punto para encriptar tuneles sobre IP

• MikroTik RouterOS incluye soporte para cliente y servidor PPTP

• Utilizado para resguardar enlaces entre redes locales sobre Internet

• También para acceso a clientes o trabajadores remotos a los recursos de una red local ©MikroTik Xperts 2014

256

PPTP

©MikroTik Xperts 2014

257

Configuración PPTP • La configuración PPTP es muy similar a la de PPPoE

• L2TP también se configura de forma similar ©MikroTik Xperts 2014

258

Cliente PPTP

• Cree una

interfaz PPTP

• Indicar la

dirección del servidor PPTP

• Indique el

usuario y la contraseña ©MikroTik Xperts 2014

259

Cliente PPTP • Use una ruta por defecto para enrutar todo el tráfico hacia el túnel PPTP

• Use enrutamiento estático para enviar tráfico específico al túnel PPTP

©MikroTik Xperts 2014

260

PPTP Server • Habilitar el servidor PPTP

• El servidor PPTP puede soportar múltiples clientes ©MikroTik Xperts 2014

261

PPTP • Las configuraciones del cliente PPTP están almacenadas en PPP secret

• El PPP secret es utilizado para los clientes PPTP, L2TP, PPoE

• La base de datos de PPP es configurada en el servidor ©MikroTik Xperts 2014

262

Perfil PPP • El mismo perfil es usado indistintamente para clientes PPTP, PPPoE, L2TP y clientes PPP

©MikroTik Xperts 2014

263

Laboratorio PPTP • El instructor creará un servidor PPTP en el router de la clase

• Crear un cliente en una interfaz de salida • Usar usuario class contraseña class • Deshabilitar el servicio PPTP ©MikroTik Xperts 2014

264

Módulo 9 Tópicos especiales

©MikroTik Xperts 2014

265

HotSpot • Herramienta para conexión rápida a internet • El Portal cautivo permite autenticación de los clientes antes del ingreso a la red pública

• El servidor de portal cautivo provee manejo de cuentas de usuarios

©MikroTik Xperts 2014

266

Uso de portal cautivo • Puntos de acceso abiertos, Internet Cafes, Aeropuertos, campus universitarios, centros comerciales, etc.

• Diferentes maneras de autorización • Gestión de usuarios sencilla ©MikroTik Xperts 2014

267

Requerimientos de portal cautivo • Dirección IP válida en internet y dirección IP local

• Servidores DNS • Al menos un usuario del portal ©MikroTik Xperts 2014

268

Configuración de portal cautivo • La configuración del portal es sencilla • La configuración es similar al servidor DHCP

©MikroTik Xperts 2014

269

Configuración de portal cautivo

• Correr Hotspot Setup

• Seleccionar la interfaz

• Proceder a responder las preguntas

IP address toHotSpot redirect SMTP Addresses Masquerade HotSpot DNS Whether servers address that to use address will certificate will be network assigned Añadir un usuario del portal cautivo Selectfor Interface DNS name HotSpottoserver to your SMTP server be(e-mails) together selected for HotSpot toautomatically HotSpot with automatically HotSpot clients clientsor not run HotSpot on ©MikroTik Xperts 2014

270

Notas importantes • Usuarios conectados al portal cautivo serán desconectados de internet hasta autenticarse

• Los clientes tienen que ser autorizados por el portal para ingresar a Internet.

©MikroTik Xperts 2014

271

Notas importantes • La configuración básica del portal cautivo crea: • Un servidor DHCP en la interfaz del portal • Un pool de direcciones para los clientes • Reglas dinámicas de firewall (Filter y NAT) ©MikroTik Xperts 2014

272

Ayuda del portal cautivo • El login del portal se muestra cuando el usuario intenta de ingresar a cualquier página web

• Para salir del portal cautivo es necesario ir a la IP o DNS del router para hacer logout

©MikroTik Xperts 2014

273

Laboratorio de Hotspot • Crea un un HotSpot en la intefaz local • No olvides el usuario y contraseña, de otra forma no se podrá ingresar a Internet

©MikroTik Xperts 2014

274

Usuarios del portal cautivo

Muestra información de los equipos en la red del hotspot ©MikroTik Xperts 2014

275

Tabla de host activos

Muestra información de los dispositivos que se logearon satisfactoriamente ©MikroTik Xperts 2014

276

Gestión de usuarios

Para añadir, editar o eliminar usuarios

©MikroTik Xperts 2014

277

HotSpot Walled-Garden • Permite acceso a determinados recursos sin necesidad de autenticarse en el portal

• Sirve para HTTP y HTTPS • También funciona para otros recursos (Telnet, SSH, Winbox, etc)

©MikroTik Xperts 2014

278

HotSpot Walled-Garden Permita acceso sólo a www.mikrotik.com

©MikroTik Xperts 2014

279

Bypass HotSpot • Menú IP binding • Permite clientes puntuales sobre el portal cautivo

• Teléfonos IP,

impresoras, superusuarios ©MikroTik Xperts 2014

280

Control de ancho de banda en portal cautivo • Es posible asignar de forma dinámica cada usuario del portal

• Una cola simple es creada por cada usuario ©MikroTik Xperts 2014

281

Perfil del portal cautivo Se crean opciones personalizadas del portal cautivo

©MikroTik Xperts 2014

282

Laboratorio avanzado de portal cautivo

A cada cliente se le entregará 64kb para la subida y 128kb para la bajada

©MikroTik Xperts 2014

283

Laboratorio de portal cautivo • Añadir un segundo usuario • Permitir acceso a www.mikrotik.com sin que sea necesario autenticarse en el portal

• Coloque la tasa de transferencia a 1M/1M a la laptop

©MikroTik Xperts 2014

284

Proxy

©MikroTik Xperts 2014

285

¿Qué es el Proxy? • Mejora la velocidad de navegación web almacenando datos.

• Firewall HTTP

©MikroTik Xperts 2014

286

Enable Proxy

El check de Enable tiene que estar marcado, las otros Campos son opcionales ©MikroTik Xperts 2014

287

Proxy • Proxy forzado: El usuario debe configurar su navegador para poder navegar por el proxy

• Proxy transparente: las conexiones HTTP son redireccionadas al proxy del MikroTik automáticamente

©MikroTik Xperts 2014

288

Proxy transparente • Es necesaria una regla DST-NAT para el proxy transparente

• El tráfico HTTP será redirecionado hacia el router ©MikroTik Xperts 2014

289

Firewall HTTP • Las listas de acceso del proxy permiten una opción para filtrar nombres de dominio

• Se pueden hacer redirecciones a páginas específicas

©MikroTik Xperts 2014

290

Firewall HTTP • •

Dst-Host, una página web (http://test.com) Path, un subdirectorio de esa página http://test.com/PATH

©MikroTik Xperts 2014

291

Firewall HTTP • Crear una regla para bloquear acceso a una página web específica

• Crear una regla que rediriga el tráfico de la página no deseada a la página de su compañía

©MikroTik Xperts 2014

292

Web-proxy • El proxy lleva el registro de las páginas web visitadas por los usuarios

• Es necesario revisar que se dispone de suficientes recursos para almacenar los logs (es mejor enviarlos a un syslog remoto)

©MikroTik Xperts 2014

293

Web-Proxy • Añadir el log para el Web-Proxy

• Revisar logs

©MikroTik Xperts 2014

294

Cacheando en dispositivos externos • El cache puede ser almacenado en dispositivos de almacenamiento externos

• Store gestiona todos los discos externos. • Soporte para IDE, SATA, USB, CF, MicroSD ©MikroTik Xperts 2014

295

Almacenamiento • Gestión de las unidades externas • Las unidades deben ser formateadas

©MikroTik Xperts 2014

296

Añadir almacenamiento

• Se agrega un dispositivo de almacenamiento para

guardar los datos del proxy en una memoria externa

• El almacenamiento puede ser utilzado para proxy, usermanager y dude

©MikroTik Xperts 2014

297

Dude

©MikroTik Xperts 2014

298

Dude • Programa de monitoreo de red • Descubre automáticamente dispositivos • Dibuja y documenta mapas de la red • Servicio de monitoreo y alertas • El software es gratuito • Disponible en varios idiomas en www.mikrotik.com ©MikroTik Xperts 2014

299

Dude • El dude consiste en dos partes: 1. Servidor Dude: no tiene interfaz gráfica. Se puede correr el dude inclusive en un RouterOS (ya no disponible para descargar) 2. Cliente Dude: se conecta al servidor y muestra toda la información que recibe ©MikroTik Xperts 2014

300

Instalación de Dude • Disponible en www.mikrotik.com

• Instalación sencilla

Instalar Dude Server en el PC ©MikroTik Xperts 2014

301

Dude • La opción de Discover se muestra al inicio

• Se puede

descubrir la red local ©MikroTik Xperts 2014

302

Dude Lab • Descargar el Dude de http:// 103.23.247.7 • Instalar Dude • Descubrir la red • Añadir la laptop y el Router • Desconectar la laptop del router ©MikroTik Xperts 2014

303

Dude

©MikroTik Xperts 2014

304

Dude

©MikroTik Xperts 2014

305

Troubleshooting

©MikroTik Xperts 2014

306

Perdida de contraseña • La única solución es resetear el router

©MikroTik Xperts 2014

307

Licencia RouterBOARD • Todas las ordenes para compra de licencia son posibles desde la cuenta de MikroTik.

• Si el router pierde el Key por alguna razón, se puede obtener nuevamente de la lista logeandose en mikrotik.com

• Si el Key no está en la lista, se puede solicitar ©MikroTik Xperts 2014

308

Mala señal inalámbrica

• Revisar que el conector de la antena esté conectado correctamente

• Chequear que no haya agua u obstrucciones en el cable.

• Revisar si se utilizaron los valores por defecto del radio

• En último caso utilizar el botón de reseteo de la configuración inalámbrica ©MikroTik Xperts 2014

309

No hay conexión • Probar un puerto Ethernet diferente • Usar el jumper de reset en el RouterBoard • Ver cualquier mensaje en la cónsola. • Utilizar netinstall si es posible • Contacte soporte ([email protected]) ©MikroTik Xperts 2014

310

• • • •

Antes del exámen de certificación Resetear el router

Restaurar el backup. Revisar conexión a internet Recomendaciones:  Responder todas las preguntas del examen.  En las preguntas de selección múltiple no se indica la cantidad de respuestas, colocar sólo las que este bien seguro ©MikroTik Xperts 2014

311

Examen de Certificación • Ir a http://www.mikrotik.com • Logearse en su cuenta o Ir a my training sessions o Ubicar el curso MTCNA

o Tomar el examen de certificación MTCNA ©MikroTik Xperts 2014

312