Mtcna_v7.3_2print.pdf

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Certificación / Certificación MTCNA

MikroTik Xperts Chile www.mikrotikxperts.cl

Alejandro Teixeira G. [email protected] MikroTik Certified Trainer MikroTik Trainer ID #TR0163

© MikroTik, www.mikrotik.cl All rights reserved. Reprinted with permission.

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Instructor

• Alejandro Teixeira G. ([email protected]) • Co-Fundador y CEO de MikroTik Xperts Chile • MikroTik Certified Trainer • MTCNA, MTCTCE, MTCWE • Ingeniero de Telecomunicaciones (Universidad Católica Andrés Bello, Caracas, Venezuela) • Magister en Ingeniería de Negocios con TI (Universidad de Chile, Santiago, Chile) ©MikroTik Xperts 2013

2

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

www.academyxperts.com [email protected]

www.mikrotikxperts.com [email protected] www.mikrotikxperts.cl [email protected] www.mikrotikxperts.cr [email protected] www.mikrotikxperts.pe [email protected] www.mikrotikxperts.com.ve [email protected]

Academy Xperts

MikroTik Xperts

©MikroTik Xperts 2013

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Instructores Academy Xperts

Alejandro Teixeira (Chile)

Miguel Ojeda (Ecuador)

([email protected])

• • • •

Co-Fundador y CEO de MikroTik Xperts Chile Co-Fundador y CEO de Widuitcorp Co-Fundador y CEO de TF Consulting LTDA MikroTik Certified Trainer • MTCNA, MTCTCE, MTCWE

Gustavo Angulo (Venezuela)

• Co-Fundador y CTO de MikroTik Xperts • MikroTik Certified Trainer • MTCNA, MTCTCE, MTCWE, MTCRE • DenwaIP Certified Trainer

Mauro Escalante (Ecuador)

([email protected])

• Co-Fundador y CEO de MikroTik Xperts Venezuela • Co-Fundador y CTO de Widuitcorp • MikroTik Certified Trainer • MTCNA, MTCTCE, MTCWE • Cisco CCNA Trainer

Luis Cuadrado (Ecuador)

([email protected])

([email protected])

• Co-Fundador y CEO de MikroTik Xperts • Co-Fundador y CEO de Network Xperts • MikroTik Certified Trainer • MTCNA, MTCTCE, MTCWE, MTCRE • Ubiquiti airMAX Certified Trainer • Observer/Sniffer Certified Engineer

([email protected])

• Ubiquiti airMAX Certified Trainer

©MikroTik Xperts 2013

4

4

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Consultores Academy Xperts

Alejandro Teixeira (Chile)

Luis Cuadrado (Ecuador)

([email protected])

([email protected])

• MikroTik MTCNA, MTCTCE, MTCWE

Carlos Morales (Perú) ([email protected])

• MikroTik MTCNA, MTCTCE

Gustavo Angulo (Venezuela)

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE • Ubiquiti airMAX Certified Admin

Miguel Ojeda (Ecuador)

([email protected])

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE • DenwaIP Certified

([email protected])

• MikroTik MTCNA, MTCTCE, MTCWE • Cisco CCNA, Cisco Security

Hamzah Haji (Panamá) ([email protected])

Mauro Escalante (Ecuador) ([email protected])

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE • Ubiquiti airMAX Certified Admin • Observer/Sniffer Certified Engineer

• MikroTik MTCNA, MTCTCE, MTCRE

Pedro Toribio (Nicaragua, Costa Rica) ([email protected])

• MikroTik MTCNA, MTCTCE

©MikroTik Xperts 2013

5

5

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Introducción personal

• Presentarse individualmente

– Nombre – Compañía – Conocimiento previo sobre RouterOS – Conocimiento previo sobre networking – Qué espera de este curso?

• Recuerde su número XY de clase

– (X = número de fila, Y = número de asiento en fila)

Mi número es: _____

www.mikrotikxperts.com

6

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Objetivos del Curso

• El sistema RouterOS y las capacidades del hardware RouterBoard

• Prácticas sobre el router MikroTik,

configuración, mantenimiento y resolución de problemas.

©MikroTik Xperts 2013

7

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

• • •

Acerca de MikroTik

Fabricante de Hardware y desarrollador de software Productos utilizados por ISP, WISP, compañías, etc. Hacer las tecnologías de Internet más rápidas, potentes y asequible para una gama más amplia de usuarios

• www.mikrotik.com

• www.routerboard.com • wiki.mikrotik.com

• forum.mikrotik.com

• en.wikipedia.org/wiki/MikroTik

Industry

Networking hardware

Founded

1995

Headquarters

Riga, Latvia

Key people

John Tully, CEO Arnis Riekstins, CTO

Products

Routers, Firewalls

Revenue

62.5 million Euros (2011)

Net income

20.6 million Euros (2011)

Employees

80 (2012)

©MikroTik Xperts 2013

8

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Donde está MikroTik ? Riga, LATVIA, Noreste de Europa

©MikroTik Xperts 2013

9

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

La Historia de MikroTik

• 1995: Fundación • 1997: Software RouterOS para x86 (PC) • 2002: Nacimiento de RouterBOARD • 2006: Primer MUM Evolución del RouterOS • V6.1 - 2013-Jun-12 • v5 - Mar 2010 • v4 - Oct 2009 • v3 - Jan 2008

©MikroTik Xperts 2013

10

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l MikroTik RouterOS

©MikroTik Xperts 2013 11

l

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

¿ Qué es RouterOS ?

•

RouterOS es un sistema operativo que convierte a un dispositivo en: Un router dedicado Un clasificador de tráfico Filtro transparente de paquetes Un dispositivo inalámbrico compatible con 802.11a,b,g/n El sistema operativo de los RouterBOARD Puede ser instalado en un PC

• • • •

• •

©MikroTik Xperts 2013

12

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

¿ Qué es RouterBOARD ? • Un hardware creado por Mikrotik • Abarca un rango amplio desde routers

caseros hasta routers de proveedores de servicio.

©MikroTik Xperts 2013

13

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l MikroTik RouterBOARD

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l RouterBOARD

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l RouterBOARD

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Links útiles

• www.mikrotik.com Gestión de licencias, documentación • forum.mikrotik.com Compartir experiencias con otros usuarios • wiki.mikrotik.com Toneladas de ejemplos ©MikroTik Xperts 2013

17

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Primer acceso

Null Modem Cable

Ethernet cable

©MikroTik Xperts 2013

18

• • • •

• •

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Winbox

Es la aplicación para la configuración del RouterOS Winbox es una herramienta que permite administrar un Mikrotik utilizando una rápida y simple interfaz gráfica. Es nativo de Windows, pero puede ser utilizado en Linux o Mac mediante Wine. Todas las funciones de Winbox son lo más cercano a configurar lo por consola, razón por la cual no hay secciones específicas del Winbox en el manual. Algunas opciones avanzadas no son posibles vía Winbox, como el cambio de MAC de una interfaz. Puede ser descargado desde www.mikrotik.com/download. ©MikroTik Xperts 2013

19

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Descarga del Winbox

©MikroTik Xperts 2013

20

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Connectando

Haz click en el botón [...] para ver el router

©MikroTik Xperts 2013

21

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Conectando

Ethernet Cable

Winbox

©MikroTik Xperts 2013

22

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio de conexión • Ingrese al Mikrotik mediante la Mac-Address • El usuario por defecto es "admin" sin password.

©MikroTik Xperts 2013

23

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Reiniciar equipo

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Diagrama de clase

laptop1

laptop2

1

laptop

2

laptop

3

laptop

4

WAN: 103.23.247.x (DHCP Cliente) LAN: 192.168.N.x/24

Mikrotik Principal

Internet

103.23.247.1

©MikroTik Xperts 2013

25

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

CIDR

Subnet Mask

/32 /30 /29 /28 /27 /26 /25 /24

255.255.255.255 255.255.255.252 255.255.255.248 255.255.255.240 255.255.255.224 255.255.255.192 255.255.255.128 255.255.255.0

Hosts Disponibles

4–2=2 8–2=6 16 – 2 = 14 32 – 2 = 30 64 – 2 = 62 128 – 2 = 126 256 – 2= 254

CIDR

Subnet Mask

Hosts Disponibles

/23 /22 /21 /20 /19 /18 /17 /16

255.255.254.0 255.255.252.0 255.255.248.0 255.255.240.0 255.255.224.0 255.255.192.0 255.255.128.0 255.255.0.0

512 – 2 = 510 1024 – 2= 1022 2048 – 2 = 2046 4096 – 2 = 4094 8192 – 2 = 8190 16384 – 2= 16382 32768 – 2= 32766 65536 – 2= 65534

El prefijo es expresado en notación CIDR (Classless Inter-Domain Routing). Primero se escribe la dirección de la red seguida por el caracter (/), finalizando con la cantidad de bits del prefijo de red y subred. Por ejemplo una 192.168.1.0/24 tiene 24 bits de red y los restantes 8 bits son para host. ©MikroTik Xperts 2013

26

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Laptop - Router

1. Deshabilitar cualquier interfaz inalámbrica de la laptop

2. Colocar la dirección IP 192.168.N.2 3. Colocar máscara 255.255.255.0 4. Colocar 192.168.N.1 como puerta de enlace predeterminada y DNS preferido

©MikroTik Xperts 2013

27

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Renombrar interfaces

 Recomendaciones:

 Mantener la identificación física de las interfaces  Agregar el nombre lógico

wlan1/ether1 ether5

wlan1_wan/ether1_wan

ether5_lan

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Laptop - Router

1.Conectar al router con MAC-Winbox

2.Agregar la IP

192.168.N.1/24 al puerto ether5_lan

©MikroTik Xperts 2013

29

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Laptop - Router

• Cerrar el Winbox y conectar de nuevo utilizando la dirección IP.

• El acceso vía MAC debe ser sólo usado

cuando el router no sea accesible vía IP. ©MikroTik Xperts 2013

30

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Conexión WAN: Wireless

 Emplearemos la interfaz wireless del equipo como conexión hacia internet  Simularemos que nos encontramos conectados a un proveedor de servicio inalámbrico WISP

 Mas adelante profundizaremos el tema de wireless

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Configuración: WAN (wireless)

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Grupos: bridge

 En caso de ser agrupados en parejas necesitaremos crear un bridge en el equipo

 Mas adelante profundizaremos en el tema de bridge

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Creación de un bridge: LAN

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Creación de un bridge: LAN

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Creación de un bridge: LAN

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Router - Internet

DHCP-Client: wlan1_wan / ether1_wan

©MikroTik Xperts 2013

37

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Router - Internet

Revisar la conectividad hacia internet.

©MikroTik Xperts 2013

38

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Router Internet Class AP

Your Laptop

Your Router

DHCP-Client Wireless

©MikroTik Xperts 2013

39

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Laptop - Internet 208.67.222.123 208.67.220.123

Su router puede ser el servidor DNS de su red local (laptop) ©MikroTik Xperts 2013

40

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Laptop - Internet

• La laptop puede acceder al router y el router puede acceder a internet, para que su laptop acceda a internet es necesario un paso adicional.

• Es necesario crear una regla de Masquerade en el Firewall Filter para ocultar su red privada detrás del router y poder ser enrutable hacia internet. ©MikroTik Xperts 2013

41

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

IPs privadas y públicas

• El Masquerade es utilizado para acceso a redes públicas, donde no son enrutables IP privadas.

• Según el RFC 1918 de la IETF las redes privadas son: • 10.0.0.0 - 10.255.255.255 (10.0.0.0 /8) • 172.16.0.0 - 172.31.255.255 (172.16.0.0 /12) • 192.168.0.0 - 192.168.255.255 (192.168.0.0 /16) ©MikroTik Xperts 2013

42

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Laptop - Internet

©MikroTik Xperts 2013 43

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Probar conectividad

Ping www.mikrotik.com desde su laptop

©MikroTik Xperts 2013

44

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l TroubleShooting

• Su router puede hacer ping al AP? • Puede su router resolver nombres? • Puede llegar a redes más alla de su router? • Su Laptop puede resolver nombres? • Colocó correctamente la regla de Masquerade?

• Verificar que la laptop tenga puerta de

enlace y DNS configurados correctamente. ©MikroTik Xperts 2013

45

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Diagrama de red

Your Laptop

192.168.X.2

Your Router

Class AP

192.168.X.1 DHCP-Client ©MikroTik Xperts 2013

46

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Gestión de usuarios

• Control de usuarios • Se pueden crear diferentes tipos de usuarios

©MikroTik Xperts 2013

47

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Crear contraseña

Colocar: 1234

l

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio de gestión de usuarios

• Crear un nuevo usuarios con acceso full • Recordar el nombre de usuario • Cambiar la cuenta admin a sólo lectura • Logearse con el nuevo usuario PREGUNTA DE EXAMEN

©MikroTik Xperts 2013

49

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l WebFig

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Actualizando el router

©MikroTik Xperts 2013

51

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio de actualización de ROS

• Descargar los paquetes desde

http://www.mkx.cl/

• Subir los archivos desde el winbox vía IP • Reiniciar el router con el comando reboot. • Las actualizaciones siempre están disponibles en www.mikrotik.com

©MikroTik Xperts 2013

52

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Gestión de paquetes

©MikroTik Xperts 2013

53

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Información de paquetes

http://wiki.mikrotik.com/wiki/Manual:System/Packages

©MikroTik Xperts 2013

54

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Router Identity

Opción para colocarle nombre al router X_NOMBRE

Ejemplo: 2_ALEJANDRO

©MikroTik Xperts 2013

55

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Router Identity

El nombre puede ser visto en diferentes sitios.

©MikroTik Xperts 2013

56

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Router Identity Lab

Colocarle al nombre del router su nombre + su número

©MikroTik Xperts 2013

57

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l NTP

• Network Time Protocol, para sincronizar hora • Son soportados el Servidor NTP y el cliente NTP en RouterOS

©MikroTik Xperts 2013

58

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l ¿Por qué NTP?

• Para obtener la hora correcta • En el caso de routers sin memoria interna pueda preservar la información de la hora

• Disponible en todos los RouterBOARDs ©MikroTik Xperts 2013

59

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Cliente NTP

El paquete NTP no es requerido ntp.shoa.cl

©MikroTik Xperts 2013

60

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio de paquetes • Deshabilitar NTP (Pregunta de exámen) • Reiniciar con reboot • Revisar que NTP Client cambio a SNTP Client PREGUNTA DE EXAMEN

©MikroTik Xperts 2013

61

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Respaldo de configuración • Se pueden hacer respaldos y restaurar

configuraciones en el menú file de Winbox.

• Los archivos de backup no son editables • Son archivos encriptados.

©MikroTik Xperts 2013

62

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Respaldo de configuración • Otros comandos de respaldo export e import. • Estos archivos son editables • Las contraseñas no son guardadas con el export /export file=conf-august-2012 /ip firewall filter export file=firewall-aug-2012 /file print /import [Tab] ©MikroTik Xperts 2013

63

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio de Backup

• Crear archivos de backup export • Descargarlos a la laptop. • Abrir el archivo de export con un editor de texto ©MikroTik Xperts 2013

64

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Netinstall

• Usar para instalar o reinstalar el RouterOS • Corre en computadores Windows • La conexión directa con el router es preferida o sobre un switch

• Disponible en www.mikrotik.com ©MikroTik Xperts 2013

65

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Netinstall

1.Listado de routers 2.Net Booting 3.Mantener la configuración antigua

4.Paquetes 5.Instalar

©MikroTik Xperts 2013

66

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Licencias RouterOS

• Todos los RouterBOARDs se venden con licencia. • Hay varios Niveles y no son modificables • Para ver el nivel ir a System, License, Level • Licencias para PC pueden ser compradas a distribuidores o en www.mikrotik.com

©MikroTik Xperts 2013

67

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Licencia

©MikroTik Xperts 2013 68

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Tipos de Licencia

©MikroTik Xperts 2013 69

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall

©MikroTik Xperts 2013 70

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall

• Protege al router y sus clientes de acceso no autorizado

• Puede hacerse mediante creación de reglas en Firewall filter y NAT

©MikroTik Xperts 2013

71

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall Filter

• Consiste en reglas definidas por el usuario basadas en el principio de IF-Then

• Las reglas son ordenadas en cadenas • Existen cadenas predefinidas y cadenas creadas por los usuarios.

©MikroTik Xperts 2013

72

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Filter Chains

• Las reglas pueden ser colocadas en 3 cadenas: • input (hacia el router) • output (desde el router) • forward (atravesando el router) ©MikroTik Xperts 2013

73

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall Chains

Input Winbox

Output Ping from Router

Forward WWW E-Mail ©MikroTik Xperts 2013

74

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Conexiones

©MikroTik Xperts 2013 75

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall Chains

©MikroTik Xperts 2013 76

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Input

• Esta cadena contiene las reglas del filter que protegen al mismo router

• Bloqueemos a todos excepto su laptop. ©MikroTik Xperts 2013

77

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Input

Agragar una regla de accept para la IP de su laptop

©MikroTik Xperts 2013

78

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Input

Agregar un regla drop de la cadena input para descarcartar a los demás

©MikroTik Xperts 2013

79

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Input Lab

• Cambie la dirección IP de su laptop a 192.168.N.15

• Trate de conectarse. El firewall está funcionado!!!

• Aún se puede establecer conexión vía

direcciones MAC dado que el Firewall Filter funciona sólo en capa 3 ©MikroTik Xperts 2013

80

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Input

• El acceso a su router es bloqueado • No tiene internet • Se están bloqueando las peticiones DNS también • Cambia la configuración para retomar la conexión a internet

©MikroTik Xperts 2013

81

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Input

• Se puede

deshabilitar el acceso vía MAC en Tools/MAC Server

• Cambiar la IP de la laptop a la IP anterior 192.168.N.1

©MikroTik Xperts 2013

82

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Address-List

• Address-list permite filtrar un grupo de direcciones con una sola regla

• También se pueden agregar direcciones de forma automática y luego bloquearlas.

©MikroTik Xperts 2013

83

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Address-List

• Crear varias address-list • Se pueden agregar: Subredes, rangos separados, un sólo host.

©MikroTik Xperts 2013

84

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Address-List

• Agregar un host específico al address-list

• Indicar un

timeout para un servicio temporal

©MikroTik Xperts 2013

85

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Address-List in Firewall

• Se pueden hacer

bloqueos por listas de acceso tanto en origen como en destino

©MikroTik Xperts 2013

86

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Address-List Lab

• Crear address-list con direcciones IP permitidas • Añadir una regla para aceptar estas direcciones permitidas.

©MikroTik Xperts 2013

87

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Forward

• Esta cadena contiene reglas para controlar paquetes que van atravesar el router

• Se controla tráfico hacia y desde los clientes. ©MikroTik Xperts 2013

88

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Conexiones

©MikroTik Xperts 2013 89

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Estado de la conexión

• Consejo: hacer drop a conexiones inválidas • El firewall solo procesará nuevos paquetes, es recomendable excluir otro tipo de estados.

• Las reglas de Filter tienen “connection state” que revisan el propósito de la conexión. ©MikroTik Xperts 2013

90

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Forward

• Crear una regla

para bloquear el puerto TCP 80 (Navegador Web)

• Es necesrio

seleccionar el protocolo al hacer bloqueo por puertos.

©MikroTik Xperts 2013

91

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Forward

• Probar abriendo www.mikrotik.com • Probar abriendo http://192.168.N.1 • Se puede mostrar la página web del router ya que el bloqueo es aplicado en la cadena de forward

©MikroTik Xperts 2013

92

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Lista de puertos bien conocidos

©MikroTik Xperts 2013

93

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall Log

• Veamos los pings

que el cliente envía al router

• Esta regla debe ser

agregada antes de las demás acciones.

©MikroTik Xperts 2013

94

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall Log

©MikroTik Xperts 2013 95

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Firewall Actions

• Accept • Drop • Reject • Tarpit • log • add-src-to-address-list • add-dst-to-address-list ©MikroTik Xperts 2013

96

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall Tips

• Se recomienda agregar comentarios para recordar el objeto de cada regla

• Utilizar tracking connection y torch ©MikroTik Xperts 2013

97

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Herramienta: Torch

Detalla el reporte de tráfico actual de una interfaz

PREGUNTA DE EXAMEN

©MikroTik Xperts 2013

98

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Connection Tracking

• Connection tracking muestra la información de todas las conexiones activas.

• Debe ser habilitado para que funcione el Filter y el NAT.

©MikroTik Xperts 2013

99

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Connection Tracking

PREGUNTA DE EXAMEN

©MikroTik Xperts 2013

100

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Estado de la conexión

• Agregue una regla para descartar paquetes inválidos

• Agregue una regla para aceptar conexiones establecidas

• Agregue una regla para aceptar conexiones relacionadas.

• De esta manera el Firewall sólo trabajara con paquetes nuevos.

©MikroTik Xperts 2013

101

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Ejemplo: Firewall base



Crear listas de acceso:



Bogons



Direcciones permitidas localmente: "privadas“



Detectar escaneo de puertos y "supuestos ataques"



Agregarlos a listas negras: usar "tarpit" o "drop“



Permitir: icmp code 8 / code 3



Permitir input: 8291 y bloquear el resto



Permitir forward: accesos a internet y bloquear

MTCTCE

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Ejemplo: Firewall base

MTCTCE

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Ejemplo: Firewall base

MTCTCE

l

input

forward

MTCTCE

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Ejemplo: Firewall base

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Firewall base: input/forward http://www.mkx.cl/fw_base/

 Analizar: fw_base_simple.rsc

 Modificar: ":global wan XXXXX"

 Cargar usando comando import

 Realizar pruebas de ataque SSH, telnet, FTP  Usar Nmap

 Revisar listas de acceso

MTCTCE

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Network Address Translation

©MikroTik Xperts 2013

107

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l NAT

• El router es capaz de cambiar dirección

Origen o Destino en el flujo de paquetes a través del mismo.

• Este proceso es llamado src-nat o dst-nat ©MikroTik Xperts 2013

108

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l SRC-NAT

SRC-Address

Laptop

New SRC-Address

Servidor Remoto

©MikroTik Xperts 2013

109

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l DST-NAT

Servidor con IP privada

Host con IP pública

New DST-Address

DST-Address

©MikroTik Xperts 2013

110

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l NAT Chains

• Para conseguir estos escenarios es necesario colocar las cadenas adecuadas: dstnat o srcnat

• Las reglas de nat funcionan con el principio IF-THEN

©MikroTik Xperts 2013

111

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l DST-NAT

• DST-NAT cambia la dirección destino y puerto del paquete.

• Se utiliza para que usuarios de internet

puedan acceder a servicios en servidores de una red privada.

©MikroTik Xperts 2013

112

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l DST-NAT Example

Servidor WEB 192.168.1.1

Algún PC

New DST-Address 192.168.1.1:80

©MikroTik Xperts 2013

DST-Address 207.141.27.45:80 113

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Deshabilitar Firewall Windows

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l DST-NAT LAB

 Intente acceder desde una red vecina a su dirección ip publica. Observe lo que ocurre.  Crear una regla de dst-nat hacia su laptop.

 Descargar: http://www.mkx.cl/mongoose-3.7.exe  Observe lo que ocurre.

¿Qué ha ocurrido?, ¿Conclusión?

EL NAT se procesa antes que el filter MTCTCE

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Redirect

• Tipo especial de DST-NAT • Esta acción redirecciona paquetes al mismo router.

• Puede ser utilizado para servicios de proxy (DNS, HTTP)

©MikroTik Xperts 2013

116

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Ejemplo de Redirect

DST-Address Configured_DNS_Server:53

New DST-Address Router:53

DNS Cache

©MikroTik Xperts 2013

117

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Ejemplo de Redirect

• Hagamos que los usuarios locales utilicen el DNS cache del router

• La regla se hace

en protocolo UDP

©MikroTik Xperts 2013

118

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

DNS: bloqueo de chat

 Bloquear el chat de Gmail usando DNS  DNS Estático --> 127.0.0.1

chatenabled.mail.google.com talkgadget.google.com

talk.google.com

talkx.l.google.com

MTCTCE

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l SRC-NAT

• SRC-NAT cambia la dirección origen del paquete

• Se puede utilizar para que toda una red privada salga con la misma dirección pública

• Masquerade es un tipo de SRC-NAT ©MikroTik Xperts 2013

120

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Masquerade

Src Address 192.168.X.1

Src Address router address

192.168.X.1

Public Server

©MikroTik Xperts 2013

121

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l NAT Helpers

©MikroTik Xperts 2013 122

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l FTP: NAT Helper

MTCTCE

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l FTP: NAT Helper

 Liberar puerto 21 en filter: cadena forward  Agregar una regla de log antes del drop en forward

 Ver que ocurre usando el log

 Agregar regla de forward: related

 Agregar log de forward: related  Ver que ocurre usando el log

MTCTCE

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l NAT Actions

• Accept • DST-NAT • Redirect • Masquerade

©MikroTik Xperts 2013

125

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Bandwidth Limit

©MikroTik Xperts 2013 126

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Colas Simples

• Es la forma más simple de limitar ancho de banda:

• Descarga del cliente (Download) • Carga del cliente (Upload) • Agregado de cliente, download+upload ©MikroTik Xperts 2013

127

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Colas Simples

• Es necesario o utilizar Target-Address • El orden de las colas es tomado en cuenta.

©MikroTik Xperts 2013

128

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Colas Simples

• Creamos

una limitación a su laptop.

• 64k

Upload, 128k Download

Client’s Limits address to configure

©MikroTik Xperts 2013

129

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Priorización de tráfico

• Prioridad 1 es más alta que 8

• La prioridad debe

estar al menos en 2

Priority is in Select Queue Advanced Tab Set Higher Priority

©MikroTik Xperts 2013

130

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Tipos de cola

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Tipos de cola

FIFO: First-In First-Out (paquetes y bytes) RED: Random Early Drop

SFQ: Stochastic Fairness Queuing PCQ: Per Connection Queuing

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Tipo de cola: PCQ

• PCQ es un tipo de cola avanzada

• PCQ se utiliza para clasificar tráfico (desde el punto de vista del cliente)

• Los clasificadores dividen el tráfico (desde el punto de vista del cliente src-address es carga y dst-addres es descarga)

©MikroTik Xperts 2013

133

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

PCQ, uno limita a todos

• PCQ permite fijar un límite a todos los usuaros con una misma cola

©MikroTik Xperts 2013

134

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

PCQ, uno limita a todos

• Múltiples colas reemplazadas por una sola

©MikroTik Xperts 2013

135

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

PCQ, ecualiza el ancho de banda

• Distribuye equitativamente entre los usuarios

©MikroTik Xperts 2013

136

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Ecualiza ancho de banda

• 1M de carga y 2M de descarga son compartidos entre varios usuarios del segmento 192.168.N.0/24

©MikroTik Xperts 2013

137

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l PCQ Lab

• El instructor hará una cola de PCQ en el router • Dos escenarios serán usados en el mangle

©MikroTik Xperts 2013

138

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Bandwidth Test Utility

• La prueba del ancho de banda puede ser utilizada para monitorear el rendimiento hacia un dispositivo remoto.

• La prueba de ancho de banda funciona entre dos routers MikroTik

• Existe una aplicación para windows, descargable en www.MikroTik.com ©MikroTik Xperts 2013

139

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Bandwidth Test on Router • Fijar Test To como dirección para la prueba

• Seleccionar el protocolo • TCP soporta multiples conexiones • Hay que autenticarse con el router remoto

©MikroTik Xperts 2013

140

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Bandwidth Test

• El servidor debe ser habilitado • Es recomendable dejar

habilitada la autenticación

©MikroTik Xperts 2013

141

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Monitor de colas

Habilitemos los gráficos de las colas

©MikroTik Xperts 2013

142

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Simple Queue Monitor

• Las gráficas

están disponibles en el servidor web del mikrotik

©MikroTik Xperts 2013

143

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Bridging

©MikroTik Xperts 2013 144

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l   

MikroTik permite hacer un "merge" de sus puertos ethernet e inalámbricos

Importante: STP o RSTP El bridge trae habilitado un firewall propio, el cual se puede integrar al firewall general del MikroTik

PREGUNTA DE EXAMEN

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Bridge

• Colocaremos en el mismo bridge la interfaz Ethernet y la interfaz inalámbrica

• El bridge unifica redes físicas diferentes en el mismo segmento lógico

• Todas las laptops estarán en la misma red ©MikroTik Xperts 2013

146

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Bridge

• Para crear un bridge de debe crear interfaz de bridge

• Y luego añadir las interfaces

correspondientes a ese bridge

©MikroTik Xperts 2013

147

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Creando el Bridge

• El bridge se configura desde el menú /interface bridge

©MikroTik Xperts 2013

148

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Agregar puertos al Bridge • Las interfaces son agregadas una a una al Bridge

©MikroTik Xperts 2013

149

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Bridge

• Se pueden agregar interfaces Ethernet sin problemas

• Los clientes inalámbricos en (mode=station) no soportan bridge dada las limitaciones de 802.11

Se debe usar WDS

• Para usar bridge nativo en wireless: usar (mode=station-bridge)

©MikroTik Xperts 2013

150

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Servidor DHCP

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Servidor DHCP

• Dynamic Host Configuration Protocol • Usado para entregar de forma automática direcciones en una red local

• Usar DHCP sólo en redes seguras ©MikroTik Xperts 2013

152

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Servidor DHCP

• Para configurar el servidor DHCP es necesario tener una IP en la intefaz

• Utilice el comando setup para habilitar el servidor DHCP

• Serán preguntados los datos necesarios ©MikroTik Xperts 2013

153

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configurando el Servidor DHCP

Click on DHCP Setup Time DNS Set that Addresses server client address may that use SetSet Network Gateway for for DHCP, to run Setup Wizard that will will be be IP given assigned address to to clients offered DHCP automatically clients Select interface forclients DHCP server ©MikroTik Xperts 2013

154

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Importante

• Para configurar el servidor DHCP en un

bridge, fija el servidor en la intefaz de bridge o ethernet, segun corresponda

• Si se configura en uno de los puertos del bridge, el servidor aparecerá inválido

©MikroTik Xperts 2013

155

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Servidor DHCP

• Configure el servidor DHCP en la interfaz ethernet donde está conectada la laptop

• Cambiar la configuración de la laptop para que tome dirección de forma dinámica

• Revise la conexión a internet ©MikroTik Xperts 2013

156

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Información de DHCP

El lease muestra información de las direcciones entregadas .

©MikroTik Xperts 2013

157

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Tip de winbox

Mostrar campos adicionales con nuevas columnas

©MikroTik Xperts 2013

158

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Lease estático

• Podemos hacer un lease estático

• El cliente no podrá obtener otra dirección

©MikroTik Xperts 2013

159

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Lease estático

• El servidor DHCP puede correr sin lease dinámico

• Los clientes recibirán las direcciones preconfiguradas

©MikroTik Xperts 2013

160

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Lease estático

• Fijar el Address-Pool a sólo estático

• Crear el lease estático

©MikroTik Xperts 2013

161

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l ARP

• Address Resolution Protocol • ARP se encarga de encontrar la dirección MAC que le corresponde a una IP determinada

• ARP funciona de manera dinámica pero

también puede ser manejado estáticamente

©MikroTik Xperts 2013

162

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l ARP Table

La tabla de ARP muestra la IP, MAC y puerto donde está conectado un dispositivo

©MikroTik Xperts 2013

163

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Tabla estática de ARP

• Para mejorar la seguridad local, las entradas ARP pueden ser creadas manualmente

• De esta manera los clientes no podrían tener acceso a Internet si se cambia la dirección IP

©MikroTik Xperts 2013

164

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

ARP: reply-only DHCP Rouge

MTCTCE

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configuración de ARP estático • Agregar una entrada

estática en la tabla ARP

• Fije la interfaz arp=replyonly para deshabilitar creación dinámica vía ARP

• Dehabiltar y habilitar la interfaz o reinicie el router

©MikroTik Xperts 2013

166

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio de ARP estático • Coloca la MAC de tu laptop como entrada estática

• En la configuración del puerto Ethernet coloca arp=reply-only

• Cambia la IP de tu PC (dentro del mismo segmento)

• Prueba la conectividad a Intenet ©MikroTik Xperts 2013

167

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Backup

Hacer Backup de su configuración. Luego la usaremos de nuevo.

/system backup save name=parte1

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Enrutamiento

©MikroTik Xperts 2013 169

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Diagrama de clase Masquerade

Eliminar masquerade

laptop

1

wan: 103.23.247.x (DHCP Cliente)

lan: 192.168.N.x/24

Mikrotik Principal

lan: 192.168.N.x/24

laptop

Internet

103.23.247.1

2

wan: 103.23.247.x (DHCP Cliente)

©MikroTik Xperts 2013

170

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Rutas

• Validar la configuración • Pruebe hacer ping a su laptop • Pruebe hacer ping a su vecino 192.168.N.1 • Configuraremos rutas estáticas para poder llegar a su vecino.

©MikroTik Xperts 2013

171

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Rutas

• Las reglas del ip route indica a donde van a ser enviados los paquetes

• Para ver las rutas: /ip route rule ©MikroTik Xperts 2013

172

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

• Destination:

Rutas

networks define las redes que pueden ser alcanzables

• Gateway:

La IP del próximo salto (router para poder alcanzar red destino)

©MikroTik Xperts 2013

173

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Gateway por defecto

Gateway por defecto:

El próximo salto donde todos los paquetes cuyas rutas no se conozcan serán enviados

©MikroTik Xperts 2013

174

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio de gateway por defecto • En estos momentos su router recibe el gateway por DHCP

• Deshabilite que se reciba vía DHCP • Agregue la puerta de enlace predeterminada manualmente.

©MikroTik Xperts 2013

175

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Enrutamiento

• Revise las otras rutas

• Las rutas

marcadas con DAC son agregadas automáticamente

• La ruta DAC viene de las interfaces activas con dirección IP

©MikroTik Xperts 2013

176

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Rutas

• A - active • D - dynamic • C - connected • S - static

©MikroTik Xperts 2013

177

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Enrutamiento estático

• El objetivo es hacerle ping a la laptop del vecino

• Lo conseguiremos mediante rutas estáticas ©MikroTik Xperts 2013

178

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Enrutamiento estático

• Las rutas estáticas define como alcanzar una red destino

• El Default gateway también es una ruta estática hacia 0.0.0.0, envía todo el tráfico cuya ruta desconoce

©MikroTik Xperts 2013

179

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Enrutamiento estático

• Es necesaria una ruta estática para alcanzar la laptop vecina

• Debido a que el gateway (router del

instructor) no tiene información de las redes privadas de los estudiantes

©MikroTik Xperts 2013

180

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Ruta hacia su vecino

• Recuerda la topología de red • La red de su vecino tiene el formato 192.168.N.0/24

• Preguntele al vecino la dirección IP de su interfaz inalámbrica

©MikroTik Xperts 2013

181

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Estructura de red

©MikroTik Xperts 2013

182

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Ruta al vecino

• Agregue una ruta • Indique la red destino, la red local de su vecino

• Indique el gateway, la dirección que es usada para alcanzar el destino, corresponde con la IP de la interfaz inalámbrica del router vecino ©MikroTik Xperts 2013

183

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Route Your Neighbor

• Agregue ruta • Coloque el

192.168.X.0/24 192.168.Y.Z

gateway

• Haga ping a la laptop de su vecino

©MikroTik Xperts 2013

184

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Enrutamiento dinámico • La misma configuración es posible con enrutamiento dinámico

• Imagine que tiene que crear rutas estáticas a cada vecino de su red.

• En lugar de crear cientos de rutas, los

protocolos dinámicos intercambian paquetes y ejecutan algoritmos que les permite encontrar y divulgar mejores rutas hacia algún destino. ©MikroTik Xperts 2013

185

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Enrutamiento dinámico • Fácil de configurar, difícil de gestionar y hacer troubleshooting

• Utiliza mayores recursos de RAM y CPU del router

©MikroTik Xperts 2013

186

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Enrutamiento dinámico • Veremos uno sólo de los protocolos de enrutamiento dinámicos: OSPF

• OSPF es de rápida convergencia y obtiene rutas óptimas.

• Fácil de configurar

©MikroTik Xperts 2013

187

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configuración OSPF

©MikroTik Xperts 2013

188

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l OSPF LAB

• Revisar las rutas • Hacer ping al PC de su vecino • Recuerde, son necesarios conocimientos

adicionales para administrar redes con OSPF

©MikroTik Xperts 2013

189

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Tuneles

©MikroTik Xperts 2013 190

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Tipos de Túneles / VPN  PPTP

 IPIP

 L2TP

 IPSec

 SSTP

 PPPoE

 OVPN

 PPP

 EoIP

 GRE

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Túneles: características

PPTP TCP: 1724 GRE L2TP UDP:1701 SSTP TCP: 443 (puede modificarse) Uso opcional de certificado Encriptación habilitada OVPN TCP:1194 (puede modificarse) Uso opcional de certificado Encriptación habilitada

EoIP Túnel GRE con soporte para bridge extendido IPIP Túnel sobre IP sin encriptación PPPoE Solo funciona en un mismo dominio de broadcast Usado por muchos ISP PPP Banda Ancha Móvil

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l PPPoE

• Point to Point Protocol over Ethernet es amenudo utilizado para controlar conexiones DSL, cable modems y redes Ethernet

• MikroTik RouterOS soporta PPPoE cliente y PPPoE servidor

©MikroTik Xperts 2013

193

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configuración de Cliente PPPoE • Añadir un

cliente PPoE

• Es necesario crear la interfaz

• Colocar

login y contraseña

©MikroTik Xperts 2013

194

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio Cliente PPPoE • El instructor creará un servidor PPPoE en el router

• Deshabilitar el cliente DHCP en la interfaz de salida del router

• Configurar el cliente PPPoE en la interfaz de salida

• Colocar usuario class y contraseña class ©MikroTik Xperts 2013

195

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configuración de Cliente PPPoE • Revisar la conexión PPP • Deshabilitar el cliente PPPoE • Disable PPPoE client • Habilitar el cliente DHCP y volver a la configuración anterior

©MikroTik Xperts 2013

196

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configuración del servidor PPPoE

• Seleccione la interfaz

• Seleccionar el perfil

©MikroTik Xperts 2013

197

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l PPP Secret

• Base de datos de usuarios

• Colocar usuario y contraseña

• Seleccionar el servicio

• La configuración

se toma desde el perfil

©MikroTik Xperts 2013

198

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Perfiles PPP

• Colocar las reglas de los clientes usados para PPP • La mejor manera es tener las mismas configuraciones para clientes diferentes

©MikroTik Xperts 2013

199

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Perfil PPP

• Local address –

Dirección del servidor

• Remote Address –

Dirección del cliente

©MikroTik Xperts 2013

200

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l PPPoE

• Importante,el servidor PPPoE corre en la interfaz

• La interfaz PPPoE puede ser utilizada sin asignarle una IP

• Por seguridad, es recomendable dejar las interfaces PPPoE sin dirección IP ©MikroTik Xperts 2013

201

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Pools

• El Pool define el rango de direcciones para PPP, DHCP, y clientes de portal cautivo

• Se utilizará un pool, puesto que se tendrá más de un cliente

• Las direcciones son tomadas del pool automaticamente

©MikroTik Xperts 2013

202

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Pool

©MikroTik Xperts 2013 203

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Estado de PPP

©MikroTik Xperts 2013 204

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l PPTP

• Túnel punto a punto para encriptar tuneles sobre IP

• MikroTik RouterOS incluye soporte para cliente y servidor PPTP

• Utilizado para resguardar enlaces entre redes locales sobre Internet

• También para acceso a clientes o trabajadores remotos a los recursos de una red local ©MikroTik Xperts 2013

205

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

PPTP

• Site to Site

• Client to Site

©MikroTik Xperts 2013

206

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configuración PPTP

• La configuración PPTP es muy similar a la de PPPoE

• L2TP se configura de forma similar también ©MikroTik Xperts 2013

207

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Cliente PPTP

• Cree una

interfaz PPTP

• Indicar la

dirección del servidor PPTP

• Indique el

usuario y la contraseña

©MikroTik Xperts 2013

208

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Cliente PPTP

• Use una ruta por defecto para enrutar todo el tráfico hacia el túnel PPTP

• Use enrutamiento estático para enviar tráfico específico al túnel PPTP

©MikroTik Xperts 2013

209

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l PPTP Server

• Habilitar el servidor PPTP

• El servidor

PPTP puede soportar múltiples clientes

©MikroTik Xperts 2013

210

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l PPTP

• Las configuraciones del cliente PPTP están almacenadas en PPP secret

• El PPP secret es utilizado para los clientes PPTP, L2TP, PPoE

• La base de datos de PPP es configurada en el servidor

©MikroTik Xperts 2013

211

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Perfil PPP

• El mismo perfil es usado indistintamente para clientes PPTP, PPPoE, L2TP y clientes PPP

©MikroTik Xperts 2013

212

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Laboratorio PPTP

• El instructor creará un servidor PPTP en el router de la clase

• Crear un cliente en una interfaz de salida • Usar usuario class contraseña class • Deshabilitar el servicio PPTP ©MikroTik Xperts 2013

213

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l HotSpot

©MikroTik Xperts 2013 214

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l HotSpot

• Herramienta para conexión rápida a internet • El Portal cautivo permite autenticación de los clientes antes del ingreso a la red pública

• El servidor de portal cautivo provee manejo de cuentas de usuarios

©MikroTik Xperts 2013

215

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Uso de portal cautivo

• Puntos de acceso abiertos, Internet Cafes, Aeropuertos, campus universitarios, centros comerciales, etc.

• Diferentes maneras de autorización • Gestión de usuarios sencilla ©MikroTik Xperts 2013

216

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Requerimientos de portal cautivo • Dirección IP válida en internet y dirección IP local

• Servidores DNS • Al menos un usuario del portal ©MikroTik Xperts 2013

217

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configuración de portal cautivo • La configuración del portal es sencilla • La configuración es similar al servidor DHCP

©MikroTik Xperts 2013

218

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configuración de portal cautivo

• Correr Hotspot Setup

• Seleccionar la interfaz

• Proceder a

responder las preguntas

IP address toHotSpot redirect SMTP Addresses Masquerade HotSpot DNS Whether servers address that to use address will certificate will be network assigned Añadir un usuario del portal cautivo Selectfor Interface DNS name HotSpottoserver to your SMTP server be(e-mails) together selected for HotSpot toautomatically HotSpot with automatically HotSpot clients clientsor not run HotSpot on ©MikroTik Xperts 2013

219

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Notas importantes

• Usuarios conectados al portal cautivo serán desconectados de internet hasta autenticarse

• Los clientes tienen que ser autorizados por el portal para ingresar a Internet.

©MikroTik Xperts 2013

220

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Notas importantes

• La configuración básica del portal cautivo crea: • Un servidor DHCP en la interfaz del portal • Un pool de direcciones para los clientes • Reglas dinámicas de firewall (Filter y NAT) ©MikroTik Xperts 2013

221

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Ayuda del portal cautivo • El login del portal se muestra cuando el usuario intenta de ingresar a cualquier página web

• Para salir del portal cautivo es necesario ir a la IP o DNS del router para hacer logout

©MikroTik Xperts 2013

222

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio de Hotspot • Crea un un HotSpot en la intefaz local • No olvides el usuario y contraseña, de otra forma no se podrá ingresar a Internet

©MikroTik Xperts 2013

223

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Usuarios del portal cautivo

Muestra información de los equipos en la red del hotspot ©MikroTik Xperts 2013

224

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Tabla de host activos

Muestra información de los dispositivos que se logearon satisfactoriamente ©MikroTik Xperts 2013

225

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Gestión de usuarios

Para añadir, editar o eliminar usuarios

©MikroTik Xperts 2013

226

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

HotSpot Walled-Garden • Permite acceso a determinados recursos sin necesidad de autenticarse en el portal

• Sirve para HTTP y HTTPS • También funciona para otros recursos (Telnet, SSH, Winbox, etc)

©MikroTik Xperts 2013

227

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

HotSpot Walled-Garden

Permita acceso sólo a www.mikrotik.com

©MikroTik Xperts 2013

228

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Bypass HotSpot

• Menú IP binding • Permite clientes

puntuales sobre el portal cautivo

• Teléfonos IP,

impresoras, superusuarios

©MikroTik Xperts 2013

229

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Control de ancho de banda en portal cautivo • Es posible asignar de forma dinámica cada usuario del portal

• Una cola simple es creada por cada usuario ©MikroTik Xperts 2013

230

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Perfil del portal cautivo

Se crean opciones personalizadas del portal cautivo

©MikroTik Xperts 2013

231

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio avanzado de portal cautivo

A cada cliente se le entregará 64kb para la subida y 128kb para la bajada

©MikroTik Xperts 2013

232

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio de portal cautivo

• Añadir un segundo usuario • Permitir acceso a www.mikrotik.com sin que sea necesario autenticarse en el portal

• Coloque la tasa de transferencia a 1M/1M a la laptop

©MikroTik Xperts 2013

233

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Proxy

©MikroTik Xperts 2013 234

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Que es el Proxy?

• Mejora la velocidad de navegación web almacenando datos.

• Firewall HTTP

©MikroTik Xperts 2013

235

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Enable Proxy

El check de Enable tiene que estar marcado, las otros Campos son opcionales ©MikroTik Xperts 2013

236

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Proxy

• Proxy forzado: El usuario debe configurar su navegador para poder navegar por el proxy

• Proxy transparente: las conexiones HTTP son redireccionadas al proxy del MikroTik automáticamente

©MikroTik Xperts 2013

237

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Proxy transparente

• Es necesaria una regla DST-NAT para el proxy transparente

• El tráfico HTTP será redirecionado hacia el router

©MikroTik Xperts 2013

238

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall HTTP

• Las listas de acceso del proxy permiten una opción para filtrar nombres de dominio

• Se pueden hacer redirecciones a páginas específicas

©MikroTik Xperts 2013

239

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall HTTP

•

•

Dst-Host, una página web (http://test.com)

Path, un subdirectorio de esa página http://test.com/PATH

©MikroTik Xperts 2013

240

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Firewall HTTP

• Crear una regla para bloquear acceso a una página web específica

• Crear una regla que rediriga el tráfico de la página no deseada a la página de su compañía

©MikroTik Xperts 2013

241

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Web-proxy

• El proxy lleva el registro de las páginas web visitadas por los usuarios

• Es necesario revisar que se disponen de suficientes recursos para almacenar los logs (es mejor enviarlos a un syslog remoto)

©MikroTik Xperts 2013

242

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Web-Proxy

• Añadir el log para el Web-Proxy

• Revisar logs

PREGUNTA DE EXAMEN

©MikroTik Xperts 2013

243

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Cache en dispositivos externos

• El cache puede ser almacenado en

dispositivos de almacenamiento externos

• Store gestiona todos los discos externos. • Soporte para IDE, SATA, USB, CF, MicroSD ©MikroTik Xperts 2013

244

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Almacenamiento

• Gestión de las unidades externas • Las unidades deben ser formateadas

©MikroTik Xperts 2013

245

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Añadir almacenamiento

• Se agrega un dispositivo de almacenamiento para

guardar los datos del proxy en una memoria externa

• El almacenamiento puede ser utilzado para proxy, usermanager y dude

©MikroTik Xperts 2013

246

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Wireless

©MikroTik Xperts 2013

MTCWE 247

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Redes inalámbricas

• RouterOS soporta varios módulos de radio para comunicación inalámbrica en 2.4Ghz y 5Ghz

• MikroTik RouterOS brinda completo soporte a estandares 802.11a/b/g/n

©MikroTik Xperts 2013

MTCWE

248

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Estándares inalámbricos • IEEE 802.11b - 2.4GHz , 11Mbps • IEEE 802.11g - 2.4GHz , 54Mbps • IEEE 802.11a - 5GHz, 54Mbps • IEEE 802.11n - 2.4GHz - 5GHz ©MikroTik Xperts 2013

MTCWE

249

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Canales 802.11 b/g 1

2

3

4

5

6

7

8

9

10

11

2483

2400

• (11) Canales de 22 MHz (US)‫‏‬ • 3 canales que no se solapan • 3 puntos de acceso pueden ocupar la misma área sin causarse interferencia (1,6,11)

©MikroTik Xperts 2013

MTCWE

250

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Canales 802.11a

36

40

42

44

48

5210

5150

5180

149

5220

153

157

5760

5735

5745

5765

52

56

5250

5200

152

50

5240

160

58

60

64

5300

5320

5290

5260

5280

5350

161

5800

5785

5805

5815

• (12) canales de 20 MHz • (5) canales de 40MHz (wide turbo channels) ©MikroTik Xperts 2013

MTCWE

251

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Bandas soportadas

Todos los canales 5GHz (802.11a) y 2.4GHz (802.11b/g)

©MikroTik Xperts 2013

MTCWE

252

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Frecuencias soportadas • Dependiendo de las regulaciones por país las tarjetas inalámbricas funcionan en el rango:

• 2.4GHz: 2312 - 2499 MHz • 5GHz: 4920 - 6100 MHz ©MikroTik Xperts 2013

MTCWE

253

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Regulaciones del país

©MikroTik Xperts 2013

MTCWE

254

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Nombre del radio

• Utilizaremos el nombre del radio para el mismo propósito que el router identity

• Colocar en el nombre del radio: Su número+Nombre

©MikroTik Xperts 2013

MTCWE

255

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Red inalámbrica

©MikroTik Xperts 2013

MTCWE

256

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configuración de estación • Fijar mode=station • Selecione la banda • Indicar el SSID • El canal se puede

seleccionar haciendo un Scan

©MikroTik Xperts 2013

MTCWE

257

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Configuración de AP

• Coloque el modo mode=ap-bridge

• Seleccione la Banda • Indique el SSID • Fije la frecuencia

©MikroTik Xperts 2013

MTCWE

258

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Station Modes

station

802.11

ROS 802.11

nstreme

nv2

V

V

V

V

V

V

V

station-wds

station-pseudobridge

V

V

V

station-pseudobridge-clone

V

V

V

V

V

station-bridge

V

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Transparent Wireless Links Setups

Bridge <-> Station-pseudobridge Bridge <-> Station using EOIP

Bridge <-> Bridge

Bridge <-> Station-wds

Bridge <-> Station-bridge

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Snooper monitor inalámbrico • Se utiliza para

obtener una vista global de las redes inalámbricas en la banda seleccionada

• La interfaz

inalámbrica se desconecta para usar esta herramienta

©MikroTik Xperts 2013

MTCWE

263

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Tabla de registros

• Ve todo los

dispisitivos conectados a las interfaces inalámbricas

©MikroTik Xperts 2013

MTCWE

264

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Seguridad del punto de acceso • Access-list se utiliza

los clientes y en que condiciones se conectarán

• Deshabilitando el

DefaultAuthentication se conectan solo los usuarios del AccessList

©MikroTik Xperts 2013

MTCWE

265

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Default Authentication

• Habilitada, las reglas del Access-List el

cliente se puede conectar a menos que haya una regla que lo niegue.

• Deshabilitada, sólo se revisan los usuarios en el Access-List

©MikroTik Xperts 2013

MTCWE

266

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Connect List

• Indica los

parámetros para que el cliente seleccione el punto de acceso donde se va a conectar

©MikroTik Xperts 2013

MTCWE

267

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio de Access-List

• Este laboratorio la hará el instructor en el punto de acceso de la clase

• Deshabilitar conexión a un usuario específico • Permitir conexión para solo ciertos clientes ©MikroTik Xperts 2013

MTCWE

268

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Connect List Lab

• Ahora su router está conectado al punto de acceso de la clase

• Cree una regla para no permitir la conexión al AP de la clase

• Utilice los parámetros del Connect-list ©MikroTik Xperts 2013

MTCWE

269

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Seguridad

• Habilitemos la encriptación en nuestra red inalámbrica

• Utilizar encriptación WPA o WPA2 • Todos los dispositivos de la red deben tener las mismas opciones de seguridad

©MikroTik Xperts 2013

MTCWE

270

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Seguridad

•

Habilitar las opciones WPA y WPA2 PSK

•

La contraseña es mikrotiktraining

©MikroTik Xperts 2013

MTCWE

271

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Tip de configuración

• Para ver la

contraseña deshabilitar la opción Hide Password

• Se pueden ver otras

contraseñas excepto la de los usuarios del MikroTik

©MikroTik Xperts 2013

MTCWE

272

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Aislar clientes inalámbricos El Default-Forwarding se utiliza para deshabilitar tráfico entre clientes conectados al mismo punto de acceso

©MikroTik Xperts 2013

MTCWE

273

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Default Forwarding

• Las reglas del Access-List tienen mayor prioridad

• Revisar si las reglas están funcionando para controlar los clientes

©MikroTik Xperts 2013

MTCWE

274

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Nstreme

• Protocolo propietario de MikroTik • Mejora enlaces inalámbricos, especialmente los de largo alcance

• Para utilizarlo en la red es necesario habilitarlo en todos los dispositivos inalámbricos dentro de la red ©MikroTik Xperts 2013

MTCWE

275

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Nstreme Lab

• Habilitar Nstreme en su router

• Verificar que haya

levantado el enlace

• Nstreme debe ser habilitado en ambos routers

©MikroTik Xperts 2013

MTCWE

276

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Nv2

• Protocolo propietario de MikroTik • Mejora enlaces inalámbricos, especialmente los de largo alcance

• No usa CDMA • Usa TDMA

©MikroTik Xperts 2013

MTCWE

277

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Nv2 Lab

• Habilitar Nv2 en su router

• Verificar que haya

levantado el enlace

• Nv2 debe ser

habilitado en ambos routers

©MikroTik Xperts 2013

MTCWE

278

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Bridge Inalámbrico

• WDS permite agregar un clientes inalámbricos a un bridge

• WDS (Wireless Distribution System) habilita la opción para conectarse entre puntos de accesos.

©MikroTik Xperts 2013

MTCWE

279

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Bridge Inalámbrico: MESH

MTCWE 280

l

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Redes inalámbricas en bridge Class AP

Your Laptop

Your Router

192.168.N.2

192.168.N.1 DHCP-Client

©MikroTik Xperts 2013

MTCWE

281

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Redes inalámbricas en bridge Crearemos una gran red Con todos los dispositivos

©MikroTik Xperts 2013

MTCWE

282

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Set WDS Mode

• Station-WDS es

modo especial para permitir el WDS

©MikroTik Xperts 2013

MTCWE

283

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Agregar puertos al bridge

• Agregar la interfaz pública y local al bridge

• Ether1 (local),

wlan1 (public)

©MikroTik Xperts 2013

MTCWE

284

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Punto de acceso WDS

• Habilitar WDS en modo AP-Bridge, utilizar dynamic-mesh

• Las interfaces WDS son creadas automáticamente

• Utilice el bridge por defecto para las interfaces WDS

• Añadir la interfaz inalámbrica al Bridge ©MikroTik Xperts 2013

MTCWE

285

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

AP-bridge

• Colocar el modo en AP-Bridge

• Añadir la interfaz

inalámbrica al bridge

©MikroTik Xperts 2013

MTCWE

286

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l

Configuración WDS

• Usar el modo dynamicmesh

• No es necesario crear las

intefaces WDS se crearán automáticamente

• Los otros AP también se deben colocar en modo dinámico

©MikroTik Xperts 2013

MTCWE

287

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

WDS

• Enlace WDS establecido

• La D denota que la

interfaz fue creada dinámicamente

©MikroTik Xperts 2013

MTCWE

288

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Laboratorio WDS Red MESH

• • • • • •

Eliminar la regla masquerade

Eliminar el DHCP-Client en la interfaz inalámbrica Coloque el modo=ap-bridge en el router Usar el mismo SSID que sus vecinos

Usae la misma frecuencia que sus vecinos Habilitar: dynamic-mesh y asociar al brige ©MikroTik Xperts 2013

MTCWE

289

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Dude

©MikroTik Xperts 2013 290

l

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Dude

• Programa de monitoreo de red • Descubre automáticamente dispositivos • Dibuja y documenta mapas de la red • Servicio de monitoreo y alertas • El software es gratuito ©MikroTik Xperts 2013

291

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Dude

• El dude consiste en dos partes: 1.Servidor Dude: no tiene interfaz gráfica. Se puede correr el dude inclusive en un RouterOS

2.Cliente Dude: se conecta al servidor y muestra toda la información que recibe ©MikroTik Xperts 2013

292

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Instalación de Dude

• Disponible en

www.mikrotik.com

• Instalación sencilla

Instalar Dude Server en el PC ©MikroTik Xperts 2013

293

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Dude

• El dude se tradujo en diferentes idiomas • Disponible en wiki.mikrotik.com

©MikroTik Xperts 2013

294

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l Dude

• La opción de Discover se muestra al inicio

• Se puede

descubrir la red local

©MikroTik Xperts 2013

295

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l ©MikroTik Xperts 2013

l

Dude

296

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l ©MikroTik Xperts 2013

l

Dude

297

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l ©MikroTik Xperts 2013

l

Dude

298

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Exámen de certificación

©MikroTik Xperts 2013

299

l

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Antes del exámen de certificación

• Resetear el router • Revisar conexión a internet

©MikroTik Xperts 2013

300

l w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

Examen de Certificación • Ir a http://training.mikrotik.com • Iniciar sesión con su cuenta o crear una nueva cuenta

• Revisar que su nombre salga completo • Tomar el examen de certificación MTCNA ©MikroTik Xperts 2013

301

w w w . cu mi rs kro os ti @ kx m pe kx rt .c s.c l

l