Vous êtes sur la page 1sur 35

1

REDES Y TELEPROCESOS















TEMA:
INSTALACION Y CONFIGURACION DE MICROTICK Y
CONFIGURACION DE SERVICIOS.

NOMBRE: JORGE N. SISNIEGUES OBLITAS
CUI:20050420


2




Contenido
INTRODUCCIN ............................................................................................................................. 3
I PARTE. ......................................................................................................................................... 4
INSTALACIN DE MICROTICK ........................................................................................................ 4
CONFIGURACIN DE MICROTICK .................................................................................................. 7
II parte ......................................................................................................................................... 17
HotSpot. ...................................................................................................................................... 17
Unin de dos redes LAN .............................................................................................................. 22
Configuracin PPPoE Server para su Red .................................................................................... 29
Conclusiones ............................................................................................................................... 33
Recomendaciones antes de usar pppoe ..................................................................................... 34
Bibliografia .................................................................................................................................. 35


3



INTRODUCCIN



Hoy por hoy la realidad nos dice que las redes informticas, se han vuelto indispensables,
tanto a las personas como organizaciones. Les da oportunidad de interactuar con el resto del
mundo, ya sea por motivos comerciales, personales o emergencias. La optimizacin en el uso
de los sistemas informticos es uno de los elementos de interaccin y desarrollo que rige los
destinos de la ciencia informtica. La aparicin de las plataformas de interconexin de equipos
de computacin o redes informticas. Las mismas resultan ser uno de los elementos
tecnolgicos ms importantes al momento de definir un sistema informtico en una
organizacin. Entre las principales las ventajas que le brinda a una empresa el uso de redes
informticas, podemos detallar algunas: compartir recursos especialmente informacin
(datos), proveer la confiabilidad, permite la disponibilidad de programas y equipos para
cualquier usuario de la red que as lo solicite sin importar la localizacin fsica del recurso y del
usuario. Permite al usuario poder acceder a una misma informacin sin problemas llevndolo
de un equipo a otro. Tambin es una forma de reducir los costos operativos, compartiendo
recursos de hardware y/o de software entre las diversas computadoras de su empresa.
4


I PARTE.
INSTALACIN DE MICROTICK
1. Bootear la PC para que haga boot desde el CD-ROM


2. Instalando
Despus que haya booteado seleccionaremos los paquetes que queremos instalar, se
puede ver los que estn marcados con una X son los escogidos. Para esto nos
ayudaremos con las teclas direccionales y con la barra espaciadora los
seleccionaremos. Los paquetes que estn seleccionados en la imagen son los que suelo
instalar en los servidores.

3. Una vez que hayamos seleccionado vamos a proceder a instalar el mikrotik, para ello
presionamos la tecla "i" en ese proceso apareceran preguntas a las cuales daremos a
explicar

5


Do you want to keep old configuration? [y/n]:

Desea mantener la configuracin anterior?
Presionamos la tecla 'n'

Warning: all data in the disk will be erased! Continue? [y/n]:

Advertencia: todos los datos en el disco sern eliminados! Continuar?
4. Presionamos la tecla "y" para que empiece a particionar y formatear el disco o unidad
de almacenamiento. Este proceso puede demorar dependiendo de la capacidad del
disco que se haya elegido para hacer la instalacin.
Una vez que termine el proceso los paquetes seleccionados se instalarn
automticamente y al finalizar tedremos el mensaje:


5. Retiramos el CD de instalacion de la PC y presionamos la tecla 'enter' para que el PC
reinicie y el sistema cargue directamente del disco duro.
Al prender la PC aparecer este mensaje:

It is recomended to check your disk drive for errors,
but it may take a while (~1min for 1Gb).
It can be done later with "/system check-disk".
Do you want to do it now? [y/N]

Es recomendable comprobar que su unidad de disco est libre de errores,
pero puede tomar algn tiempo (~1min para 1Gb).
puede hacerse ms tarce con "/sistem check-disk".
Quiere hacerlo ahora?
6


6. Presionamos "N"
Saldr el siguiente pantallazo en la que te pregunta el password, dejamos en blanco ya
que por defecto el mikrotik no tiene password.



Login: admin
Password:
7. Una vez que hemos entrado observaremos una notificacin del servidor que nos dice
que nuestro sistema no tiene licencia, y que tenemos menos de 24 horas para
probarlo.



7


CONFIGURACIN DE MICROTICK
En esta etapa vamos a configurar las interfaces que se encuentran tanto en nuestra PC como
en el RouterBoard de Mikrotik. Para poder observar todas las interfaces seleccionaremos del
comando que se encuentra en la izquierda la opcin "interfaces"



El esquema de la red ser la siguiente:




8


Configurando la WAN

Antes de configurar la WAN vamos a ver ms sobre las opciones que tiene una interfaz en el
Mikrotik: Como primer punto uno podr ver que por defecto tiene un nombre de la interface
llamado "ether1" "ether2" etc, en este campo vamos a poder escribir el nombre de la interfaz
a nuestro antojo. Este paso es una gran ayuda debido a que vamos a poder reconocer de
forma rpida las interfaces. Adems existen otros datos, tales como, saber si existe un cable de
red conectado en ese puerto o saber si esta habilitado





9


Ahora vamos a la interface llamada "ether1" y le cambiamos el nombre a "WAN"



Ahora vamos a la interface llamada "ether2" y le cambiamos el nombre a "LAN"



Listo ahora colocaremos las IPs a la WAN y a LAN, para ello entraremos a IP y despus a
Address para ello


10



Para la WAN colocaremos la siguiente IP 192.168.1.200/24


Para la LAN colocaremos la siguiente IP 192.168.10.1/24


El uso de /24 indica la mscara de red que tiene la direccin IP, por si no lo sabas sirve para
delimitar el mbito de una red. Te permite que todos los grupos de direcciones IP que
pertenecen a la misma mascara de red estn en una misma red y por lo tanto son una misma
unidad. En este caso la mscara de red es 255.255.255.0.

11





Bueno hasta el momento tenemos las IPs seleccionadas y mencionadas ahora nos falta
"natearlas", para este caso la lnea que nos provee internet es el equipo ADSL (puede ser Zyxel)
cuyo IP es 192.168.1.1, pero nosotros vamos a crear nuestra propia red cuyo IP del mikrotik
es 192.168.10.1, entonces nuestras IPs de nuestra nueva red sern de la
forma192.168.10.X donde X toma valores de [2 hasta el 254].
12





Chain, seleccionamos scrnat. Aunque siempre est as por defecto cuando se crea una nueva
regla. Out. Interface, seleccionaremos nuestra interfaz WAN.


13



Ahora enmascaramos nuestra interfaz WAN



Ahora nos falta decirle al mikrotik que el internet viene del router 192.168.1.1, que para este
caso es del router ADSL

14




En la ventana Route List, se observa que hay 2 reglas que nosotros no agregamos (esto es
normal) Vamos a prepararnos para agregar la puerta de enlace que usar nuestro servidor
Mikrotik, vamos a la pestaa Routes y agregamos una nueva regla (+).



15



Gateway, aqu slo colocaremos la puerta de enlace del router ADSL (192.168.1.1 para este
caso), con esto le estamos diciendo al servidor de dnde llega el internet para repartirlo.



Con esto la interfaz de red LAN debera de tener internet si conectamos los cables
correctamente. Ahora lo nico que nos falta es configurar las tarjetas de red de los clientes.
Teniendo en cuenta que nuestra nueva puerta de enlace es 192.168.10.1, entonces el cliente
debera de tener esta configuracin de acuerdo a ese rango de red.
16





17


II parte

HotSpot.

Mikrotik User Manager Billing + Hotspot
Veamos sin esta instalado el paquete usermanager si no est instalado pues procedemos a
instalarla para comprobar que esta instalado podemos ingresar al winbox .

SYSTEM / PACKAGES





18



Luego activamos el Radius Server del mikrotik en direccion le asignamos el IP del servidor
billing
en el caso que sea el mismo mikrotik entonces seria 127.0.0.1 osea localhost
Luego elegimos el servicio que queremos activar en este caso hotspot luego el password de
conexion entre servidores.




El puerto escucha del servidor Radius activamos por defecto 1700





19


Vamos a HOTSPOT y seteamos en Server Profile , activamos la opcion Use Radius y accounting
para enlazar el Hotspot a nuestro servidor Radius.




Luego Para ingresar a configurar al Usermanager necesitamos tener una clave de acceso para
eso en new terminal creamos un usuario : admin y un passwd : 1234




Luego entramos por web al user manager en nuestro caso es local seria la IP del servidor
mikrotik http://192.168.1.1/userman entramos con el user y pass creado
20





Luego Ponemos las mismas credenciales creadas en el Radius Server





21


Luego Creamos Los perfiles para asignacion de ancho de banda y horarios


aqui asignamos el ancho de banda





22


en este ejemplo estamos creando planes de 1MB tanto para bajada como subida



Bien como veras es sencillo la configuracin entonces ya podemos crear usuarios en la pestaa
USER para que ya se conecten.
Unin de dos redes LAN
Inicialmente configuramos bsicamente dos Mikrotik en los dos lugares y armamos una VPN
IPSEC para que cree un tnel seguro y como este protocolo enruta de manera nativa, en pocos
minutos teniamos conexin entre las dos oficinas.
Este cliente en su sucursal tena una conexin a Internet muy inestable y eso nos trajo
problemas con IPSEC. Se desconectaba solo y a veces no volva a conectarse hasta no reiniciar
los dos routers. Luego de buscar una solucin a este problema, dimos con que configurando
una VPN PPTP gateway-to-gateway, esta era menos proclive a desconectarse ante fallas de la
conexin a Internet y ademas soportaba reconexin automtica.
Las direcciones IP que muestro a continuacin son solo de ejemplo, si las reemplazan por las
que ustedes tengan funcionara de igual manera. Pueden copiar los comandos, reemplazar los
nombres de las interfaces y las IP con el Bloc de notas, mediante Winbox abren "New
Terminal", pegan ah lo copiado y listo,
cabe aclarar que para que se establezca la comunicacin entre las dos redes, estas tienen que
tener diferentes rangos de IP.

Configurando la VPN PPTP gateway-to-gateway
Router1 (Casa central):
23


Configuramos las IP en las interfaces:
LAN:
/ip address
add address=10.0.0.254/24 broadcast=10.0.0.255 comment="" disabled=no
interface=lan network=10.0.0.0
En este caso la conexin a Internet es por cablemodem as que la interfaz de "WAN" obtiene IP
mediante el "dhcp-client".
Muy importante en este es que queden las opciones "add-default-route=yes" y "use-peer-
dns=yes". La primera setea la ruta por defecto y la segunda permite que se usen los DNS del
ISP.
/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0 disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes
Los DNS. Tiene que estar la opcin "allow-remote-requests=yes" para que el router acte
como DNS cache y los equipos de la red puedan resolver nombres de dominio en IPs.

/ip dns
set allow-remote-requests=yes

Configuramos el "masquerade" para que haga NAT de las IP de la LAN por la IP publica hacia
Internet.

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan

Protegemos bsicamente el router.

/ip firewall filter
add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
add action=drop chain=input comment="" connection-state=invalid disabled=no

Router2 (Sucursal)

/ip address
add address=10.0.1.254/24 broadcast=10.0.1.255 comment="" disabled=no
interface=lan network=10.0.1.0
/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0 disabled=no
24


interface=wan use-peer-dns=yes use-peer-ntp=yes

/ip dns
set allow-remote-requests=yes

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan

/ip firewall filter
add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
add action=drop chain=input comment="" connection-state=invalid disabled=no

OK, hasta ac tendramos las dos oficinas con conexin a Internet pero nada mas. Para
configurar la VPN, en Router1:

En Winbox vamos al men PPP > Secrets. Mediante el boton "+" agregamos una cuenta. En
Name ponemos "sucursal", en Password, por ej. 123456, en la lista desplegable Profile
elegimos "default-encryption", en Local Address la IP de LAN del router (10.0.0.254), en
Remote Address 10.0.0.200 y damos Apply.


25


En la solapa Interface en la lista desplegable del botn "+" elegimos PPTP Server. En la ventana
que se abre en User pondremos "sucursal" que era el usuario que anteriormente creamos.
Damos Apply.


Finalmente cliqueamos el botn "PPTP Server", marcamos "Enable" y nos aseguramos que en
Default Profile este seleccionado "default-encryption".



En el Router2 mediante Winbox vamos al men PPP, desde el botn "+", elegimos PPTP Client,
en la ventana seleccionamos la solapa "Dial Out". En "Connect To" ingresamos la IP publica del
Router1, en este caso por ejemplo sera 192.168.10.164, en User ponemos "sucursal" y en
26


Password "123456". Nuevamente nos aseguramos que en Profile figure "default-encryption" y
damos Apply.





27


Si est todo bien, automticamente cuando den Apply en la lista de Interface el "PPTP Client"
va figurar como "Connected". Eso significa que ya est conectado al otro router mediante la
VPN. Lo podemos comprobar fcilmente si desde el menu Tools le hacemos un ping a la IP de
la LAN del router de Casa central (10.0.0.254) y este responde.


Ahora tenemos respuesta del Router1 hacia el Router2, pero si prueban al revs no va a
funcionar. Lo que sucede en ese caso es que los paquetes IP no conocen "el camino de vuelta"
por decirlo de alguna manera, entonces nosotros se lo vamos a ensear.
En el Router1 vamos a IP > Routes, con el "+" aadimos una ruta esttica. En Destination
ponemos la red remota (10.0.1.0/24) y en Gateway ingresamos la IP que le otorga el PPTP
Server al "usuario" "sucursal" (10.0.0.200).
28




De la misma manera en el Router2 agregamos una ruta esttica. En Destination ponemos la
red remota 10.0.0.0/24 y en Gateway la IP de LAN del Router1 (10.0.0.254). Aplicamos.



29


Ahora, si hacemos ping entre los routers a sus IP de LAN van a responder los dos, igualmente si
lo hacemos entre dos equipos de las 2 redes.

Configuracin PPPoE Server para su Red


Hoy en da sabemos que tan importante es administrar a nuestros
clientes optando como trabajo un servidor que nos ofrezca mayor
seguridad. Si hablamos de tener una red ms segura y bien
encriptado, ya estara por dems hablar de administracin de
usuarios usando Hotspot o amarre por ARP.
Desafortunadamente hoy en da hay programas hackers que burla
la seguridad por Hotspot, siendo vctimas de la clonacin de Mac.
Sobre todo hay ISP que por razones de Publicidad o Marketing dejan su red Libre a la espera
del portal cautivo. Esto sera presa fcil para nuestro atacante.
30



La autenticacin por PPPOE (protocolo Punto a Punto sobre Ethernet) es un protocolo de red
para la encapsulacin PPP sobre una capa de Ethernet.
La de poder este sistema es que primero el usuario tiene que identificarse y luego el servidor le
brinda una IP dentro del POOL de IP pre configurado en el Mikrotik.
Lo que es diferente con el Hotspot. Puesto que la identificacin del cliente funciona asi.
Primero le da la IP, dejando al descubierto nuestro POOL de IP(RANGO DE IPS) de nuestro
server, como tambin dejando al descubierto las Mac registradas, listo para ser atacado.
1.- seleccionamos y renombramos la interface para nuestro concentrador pppoe.

31



2.- crearemos un pool de ip locales para nuestro servicio pppoe


3.- creando un perfil para cada servicio pppoe

name : ponemos un nombre cualquiera
Local address : seleccionamos una ip de nuestra red local
Remote address : elegimos nuestro pool de ips creado anteriormente de nuestra red local
Dns server : elegimos nuestros dns, preferentemente de nuestro proveedor de servicio

32


4.- agregamos el concentrador pppoe sobre una ethernet
name : elegimos un nombre cualquiera
Interface : seleccionamos la interface para nuestro servicio pppoe
Default profile : seleccionamos el perfil creado para nuestros clientes

5.- creando usuarios para pppoe server
Name : asignamos un usuario al cliente
Password : asignamos una contrasea al cliente
Servicio : elegimos solo el servicio pppoe
Profile : elegimos el perfil creado anteriormente
Local address : elegimos nuestra ip local
33



Conclusiones
En conclusin no es recomendable usar la administracin por hotspot si es que no se tiene
otro sistema de seguridad de por medio.
Si hablamos de mayor seguridad, optaramos por administrar a nuestros usuarios usando
concentrados pppoe.
Se defini la configuracin de las interfaces. Asignando nombres, direcciones de IP a las
mismas y definicin de las Vlan.
Se configur el servidor de DHCP para cada una de las sub redes. En el cual se definieron los
pools de ip para cada una. Tambin la asignacin direcciones del IP fijas a partir de direcciones
MAC de los servidores.
Se configuro un servidor PPPoE para autenticar usuarios que se deseen loguear al rea de
produccin. El cliente de PPPoE se configur para que la red tenga un tercer acceso a Internet
mediante Adsl de backup.
Se configur un servidor de Web Proxy para optimizar la utilizacin de los recursos hacia
Internet. En el mismo se configuro polticas de bloqueo de trfico hacia ciertas pginas al igual
que el bloqueo de descarga de ciertos archivos.

34


Recomendaciones antes de usar pppoe

Usar equipos en la serie Ubiquiti.
Tener habilitado el Protocolo Airmax para Mayor potencial y seguridad.
Tener buenos enlaces de emisor a cliente.
Usar preferiblemente un rb1100 ahx2 como Administracin.
Pasos para configurar pppoe sobre una ethernet o interface



35


Bibliografia

Chris Hurley, Russ Rogers, Frank Thornton, and Daniel Connelly.(2006).Wardriving & Wireless
Penetration Testing. 1ra Edidcion. EstadosUnidos: Syngress (431 Pag.)
Freeraduis 2008. Wiki site <http://wiki.freeradius.org/Main_Page>*04/2008+
Mallery, John; Zann, Jason; Kelly, Patrick. Blindaje de Redes. 1ra Edicion.Espaa. Anaya
Multimedia. (720 pag)
Mikrotik. (2006) MikroTik RouterOS v2.9 Reference Manual, 1ra Edicion,Estados unidos:
Mikrotik SIA. (695 pag)
Mikrotik 2007. Manual de referencia.
<http://www.mikrotik.com/testdocs/ros/2.9/>[04/2008]
Mikrotik 2008. Mikrotik Forum.<http://forum.mikrotik.com>*04/2008+
Mikrotik. 2008. Wiki Site.<http://wiki.mikrotik.com>. *04/2008+
Mrtg 2008. Documentation Site<http://oss.oetiker.ch/mrtg/doc/index.en.html>[04/2008]
Scrimger, Rob (Wiley John + Sons).Tcp/Ip Bible.2da Edicin. EstadosUnidos: Hungry Minds.
(626 pag)