Vous êtes sur la page 1sur 39

Manual de Laboratorio

NAS-ROS
RouterOS v6.35.4.01

Introduccin a MikroTik
RouterOS & RouterBOARD
por Mauro Escalante

RouterOS, RouterBOARD, Licencias


Winbox, WebFig, Quick Set
Firewall, src-nat, dst-nat

Introduccin a
MikroTik RouterOS
& RouterBOARD
v6.35.4.01
Manual de Laboratorio

ABC Xperts
Network Xperts
Academy Xperts

Derechos de autor y marcas registradas


Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo

Derechos de autor por Academy Xperts


Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier
medio ya sea este un auditorio, medio grfico, mecnico, o electrnico sin el permiso escrito del autor, excepto en los casos
en que se utilicen breves extractos para usarlos en artculos o revisiones. La reproduccin no autorizada de cualquier parte
de este libro es ilegal y sujeta a sanciones legales.

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio

Tabla de Contenido
Laboratorio 1. Reseteo Fsico ............................................................................................................................ 1
Laboratorio 2. Primer ingreso a un equipo MikroTik WebFig ...................................................................... 2
Laboratorio 3. Primer ingreso a un equipo MikroTik Winbox ...................................................................... 3
Laboratorio 4. Primer ingreso a un equipo Mikrotik SSH o Telnet .............................................................. 5
Laboratorio 5. Reset va winbox ........................................................................................................................ 6
Laboratorio 6. Home AP Quick Set Internet (Automtico)............................................................................ 7
Laboratorio 7. Home AP Quick Set Internet (Estatico) ................................................................................. 9
Laboratorio 8. Home AP Quick Set Internet (PPPoE).................................................................................. 11
Laboratorio 9. Home AP Quick Set Local Network ..................................................................................... 12
Laboratorio 10. Home AP Quick Set Wireless ............................................................................................. 14
Laboratorio 11. Home AP Quick Set Wireless WPS ................................................................................. 15
Laboratorio 12. Home AP Quick Set Guest Wireless Network ................................................................... 16
Laboratorio 13. Home AP Quick Set IP Cloud ............................................................................................. 17
Laboratorio 14. Home AP Quick Set VPN .................................................................................................... 18
Laboratorio 15. CPE Quick Set CPE Wireless (modo Router) ................................................................... 19
Laboratorio 16. CPE Quick Set CPE Wireless (modo Bridge) .................................................................... 22
Laboratorio 17. Configurar Password de administracin ............................................................................. 23
Laboratorio 18. Configurar Nombre al Router MikroTik ................................................................................ 24
Laboratorio 19. Filter Input Reglas Bsicas ................................................................................................ 25
Laboratorio 20. Filter Forward Reglas Bsicas ........................................................................................... 26
Laboratorio 21. Filter ICMP Reglas Bsicas ................................................................................................ 27
Laboratorio 22. Filtro Layer 7 Protocol ........................................................................................................ 29
Laboratorio 23. NAT srcnat + masquerade .................................................................................................. 30
Laboratorio 24. NAT dstnat + dst-nat ........................................................................................................... 32
Laboratorio 25. NAT dstnat + redirect .......................................................................................................... 33
Laboratorio 26. Creacin de respaldos de Configuracin ............................................................................ 34

Academy Xperts

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 1: Reseteo Fsico

Laboratorio 1. Reseteo Fsico


Objetivos:
El botn Reset Fsico nos ayuda a borrar toda configuracin que tenga nuestro equipo MikroTik, al momento de realizar el
proceso la configuracin que se cargar ser la de por defecto.

Tambin es til para cuando pierdo acceso al equipo MikroTik por olvido de usuario o contrasea de nuestro
dispositivo.

Pasos:
1.

Ubicaremos el botn RES en nuestro equipo MikroTik y lo desconectaremos:

2.

Ahora con la ayuda de un clip presionaremos el botn RES y luego conectaremos el equipo y mantenemos:

3.

Esperaremos a que la luz de ACT comience a parpadear y soltamos el clip

4.
5.

Por ultimo conectaremos un cable desde nuestra PC a la ether2 de nuestro dispositivo MikroTik.
Configurar a nuestra PC que tenga que el direccionamiento de red ser de forma automtica (Obtener una
direccin IP automtica)
Verificar que hemos recibido la siguiente direccin en nuestra PC: 192.168.88.254

6.

Academy Xperts

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 2: WebFig

Laboratorio 2. Primer ingreso a un equipo MikroTik WebFig


Objetivos:

Una de las formas de acceder a un equipo MikroTik es por medio del WebFig usando un navegador en nuestra
PC.
Solo debemos especificar la IP que tenga nuestro equipo Mikrotik.

Pasos:
3.
4.
5.

Una vez que completamos el laboratorio anterior y verificamos que el equipo MikroTik nos dio la direccin IP
podremos acceder va WebFig.
Abriremos un navegador de nuestra preferencia en nuestro PC
Especificaremos la IP por defecto de nuestro equipo MikroTik 192.168.88.1 en el navegador.

6.

Al momento de presionar [intro] ingresaremos de forma automtica al WebFig.

Academy Xperts

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 3: Winbox

Laboratorio 3. Primer ingreso a un equipo MikroTik Winbox


Objetivos:

Winbox es la herramienta propietaria de MikroTik para poder acceder y realizar las configuraciones de una forma
ms didctica y de manera grfica.
Winbox lo podemos descargar desde www.mikrotik.com/download o desde el acceso WebFig del Router.
Los podemos usar para ingresar al equipo por medio direccin IP (Capa 3) o direccin MAC (capa 2).

Pasos:
1.

Descargar Winbox desde www.mikrotik.com/download

2.

podemos descargar Winbox desde la pgina del Router MikroTik (WebFig)

3.

De cualquiera de las formas que hallamos descargado el Winbox se nos creara un archivo ejecutable llamado
winbox.exe el cual lo ejecutaremos para poder abrir la Herramienta y poder ingresar a nuestro equipo MikroTik

Academy Xperts

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 3: Winbox

4.

Una vez ejecutada la herramienta nos ubicamos en la opcin Neighbors para poder visualizar a nuestro equipo
MikroTik y poder ingresar por primera vez.

5.

Ahora solo nos queda seleccionar a nuestro equipo y daremos clic en el botn Connect y se nos abrir nuestro
equipo y es lo que tendremos al ingresar por primera vez a nuestro equipo MikroTik:

6.

Al momento de ingresar nos aparecer esta pantalla la cual nos indica que podemos seleccionar entre iniciar con
la configuracin por defecto [OK] o borrar toda dicha configuracin [Remove Configuration]. En este caso
daremos clic en [OK].

Academy Xperts

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 4: SSH o Telnet

Laboratorio 4. Primer ingreso a un equipo Mikrotik SSH o


Telnet
Objetivos:

Otra de las opciones para poder configurar a nuestros equipos es va lnea de comando ingresando de forma
remota por SSH o Telnet.
Para ello podemos usar la herramienta putty.exe (Descargar)

Pasos:
1.

Una vez que descargamos la herramienta putty.exe la vamos a ejecutar y especificaremos la IP del equipo al cual
vamos a ingresar en este caso tendremos que poner la IP por defecto del equipo MikroTik la cual es 192.168.88.1
y seleccionamos como mtodo de acceso va SSH.

2.

Clic en el botn Open y luego especificaremos que el usuario es admin

Academy Xperts

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 5: Reset va Winbox

Laboratorio 5. Reset va winbox


Objetivos:

La opcin Reset Configuration va Winbox la podemos usar para realizar un reseteo completo del equipo MikroTik,
es decir, para poder borrar toda configuracin y dejar al equipo en blanco.
Tambin nos puede cargar la configuracin de algn respaldo en especfico luego de realizar el proceso de
reseteo

Pasos:
1.
2.

Por el momento en nuestros equipos MikroTik tenemos cargada la configuracin por defecto, lo que haremos
ahora ser eliminar dicha configuracin para poder tener el equipo MikroTik sin ninguna configuracin.
Lo podemos realizar va el men de Winbox [system-Reset Configuration] y debemos marcar las dos ltimas
opciones [No Default Configuration] y [Do Not Backup] para poder realizar el proceso de forma correcta.

3.

lo podemos realizar va lnea de comando con el comando system Reset-Configuration nodefaults=yes skin-backup=yes

3.

Luego de ello el equipo MikroTik se reiniciar durante unos 50 segundos y luego esperamos a que en el Winbox
aparezca nuestro equipo MikroTik ya sin direccin IP por defecto ahora el ingreso al equipo ser por direccin
MAC (Capa 2). Para ello daremos clic en la direccin MAC de nuestro equipo y luego conectar.

Academy Xperts

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 6: Quick Set, Automtico

Laboratorio 6. Home AP Quick Set Internet (Automtico)


Objetivos:

Uno de los primeros procesos en un equipo MikroTik es configurarle la WAN (la salida a internet)
Para ello este curso se basa en la configuracin va la opcin Quick Set la cual es una interfaz grfica que nos
ofrece Winbox para poder configurar de una manera ms personalizada y rpida.

Escenario:

Internet

ether3
10.1.1.1/24

R-Trainer

ether1
10.1.1.X/24

R-Estudiante

Diagrama elaborado por:

ACADEMY XPERTS
Figura

1-1

ID de alumno

Detalle

Quick Set Internet (automatico)

Pasos:
1.

3.

Para este escenario el R-Trainer ya est previamente configurado, nos basaremos en la configuracin del REstudiante para ello tenemos el siguiente escenario. Estaremos conectados a un switch directamente.
Iniciamos sesin en nuestro equipo MikroTik y comprobamos que no tenga ninguna configuracin caso contrario
realizar el laboratorio 5 de nuevo.
Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo Home AP

4.

Ubicaremos la opcin Internet

5.

Le daremos clic en la opcin Automatic y con ello lo que estamos haciendo es especificarle que los parmetros
de configuracin para la salida a internet sern configurados de forma automtica (Esta opcin es vlida solo si el
Router que me va a dar el servicio de internet tiene habilitado un DHCP-Server.

2.

Academy Xperts

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 6: Quick Set, Automtico

6.

Para que nos den el direccionamiento, teniendo seleccionado en el modo Automatic ahora iremos a [IP-DHCP
Client] y activaremos la interfaz que en este caso har de WAN en nuestro dispositivo MikroTik y comprobaremos
que nos den una direccin IP.

7.

Ahora que ya recibimos el direccionamiento IP podemos comprobar por medio del comando PING que tengamos
salida a internet, ejecutando el siguiente comando ping 8.8.8.8 y ping google.com

Academy Xperts

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 7: Quick Set, Esttico

Laboratorio 7. Home AP Quick Set Internet (Esttico)


Objetivos:

Uno de los primeros procesos en un equipo MikroTik es configurarle la WAN (la salida a internet)
Para ello este curso se basa en la configuracin va la opcin Quick Set la cual es una interfaz grfica que nos
ofrece Winbox para poder configurar de una manera ms personalizada y rpida.

Escenario:

Internet

ether3
10.1.1.1/24

R-Trainer

ether1
10.1.1.20/24

R-Estudiante

Diagrama elaborado por:

ACADEMY XPERTS
Figura

ID de alumno

Detalle

1-2

Quick Set Internet (Estatico)

Pasos:
1.

Este proceso ser realizado para cuando el Router que nos va a dar el servicio de internet no tiene configurado
ningn DHCP-Server y todo tiene que ser de manera esttico. Para realizar este proceso primero resetearemos la
configuracin del equipo una vez ms.

2.

Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo Home AP

3.

Ubicaremos la opcin Internet y daremos clic en Static

Academy Xperts

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 7: Quick Set, Esttico

4.

Ahora configuraremos los siguientes parmetros IP address, Netmask, Gateway, DNS Servers que nos
corresponda (estos datos sern dados por el Trainer.

5.

Con dichas configuraciones luego de completar el resto de parmetros el equipo MikroTik ya debera tener salida
a internet.

Academy Xperts

10

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 8: Quick Set, PPPoE

Laboratorio 8. Home AP Quick Set Internet (PPPoE)


Objetivos:

Uno de los primeros procesos en un equipo MikroTik es configurarle la WAN (la salida a internet)
Para ello este curso se basa en la configuracin va la opcin Quick Set la cual es una interfaz grfica que nos
ofrece Winbox para poder configurar de una manera ms personalizada y rpida.

Escenario:

Internet

ether3
10.1.1.1/24

R-Trainer

ether1
10.1.1.x/24

R-Estudiante

Diagrama elaborado por:

ACADEMY XPERTS
Figura

ID de alumno

Detalle

1-3

Quick Set Internet (PPPoE)

Pasos:
1.
2.
3.
4.

Ciertos servicios de internet hoy en da son dados por medio del protocolo PPPoE, el cual nos provee el servicio
teniendo que especificar un usuario y una contrasea.
Tambin nos da ms seguridad en la transferencia de nuestros datos por la RED.
Comenzaremos reseteando la configuracin del equipo MikroTik una vez mas
Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo Home AP

5.

Ubicaremos la opcin Internet y daremos clic en PPPoE

6.

Especificaremos el PPPoE User, PPPoE Password, PPPoE Service Name que nos especifique el Trainer.

7.

Al momento de especificar la direccin de Red local ya podremos ver como nuestro equipo ya se conecta a
internet.

Academy Xperts

11

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 9: Quick Set, Local Network

Laboratorio 9. Home AP Quick Set Local Network


Objetivos:

Uno de los primeros procesos en un equipo MikroTik es configurarle la LAN (para que nuestros dispositivos en la
red ahora tengan salida a internet)
Para ello este curso se basa en la configuracin va la opcin Quick Set la cual es una interfaz grfica que nos
ofrece Winbox para poder configurar de una manera ms personalizada y rpida.

Escenario:

Internet

ether1
10.1.1.1/24

ether1
10.1.1.X/24

R-Trainer

eth2
192.168.N.254/24

R-Estudiante

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

ID de alumno

Detalle

1-4

Quick Set Local Network

Pasos:
1.

Ya una vez que tenemos la configuracin WAN lista procederemos a configurar la red LAN. Para ellos vamos a
ubicar en el Quick Set la parte Local Network.

2.

Ahora especificaremos los parmetros IP address, Netmask que nos especifique el Trainer. Aparte de ellos
configuraremos DHCP Server para esa red LAN y activaremos el NAT.

3.

Una vez realizado estos pasos daremos clic en Apply en la ventana de Quick Set.

4.

Verificar que nuestro PC tenga configurado el modo de recibir de forma automtica una direccin IP y luego de
ello verificar que se nos fue entregada una direccin IP del rango de la direccin de red LAN.

Academy Xperts

12

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 9: Quick Set, Local Network

5.

Verificar que tengamos salida a internet en nuestra PC.

NOTA IMPORTANTE:
Al realizar toda esta configuracin el Quick Set de forma automtica nos crea una interfaz bridge y los puertos
erher2..etherX, wlan1 quedan dentro de dicho bridge.
Por ende, te vas a poder conectar cualquier otro host en los dems puertos y tambin recibirn direccionamiento IP de la
red LAN, lo mismo con los dispositivos Wi-Fi que se conecten a nuestro equipo MikroTik (Esta configuracin la veremos
ms adelante).

Academy Xperts

13

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 10: Quick Set, Wireless

Laboratorio 10. Home AP Quick Set Wireless


Objetivos:

Por ahora nuestros dispositivos (Host, Servidores, Routers) tienen servicio de internet por cableado
Ahora configuraremos la Red Wireless para los dispositivos Wi-Fi

Escenario:

Internet
wlan1
ether1
10.1.1.1/24

ether1
10.1.1.X/24

R-Trainer

eth2
192.168.N.254/24

R-Estudiante

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

ID de alumno

Detalle

1-5

Quick Set Wireless

Pasos:
1.

Ubicaremos en la ventana de Quick Set las opciones Wireless

2.

Ahora especificaremos los parmetros network name, band, WiFi Password que nos especifique el Trainer.

3.

Daremos clic en Apply y conectar algn dispositivo a dicha red y verificar que tenga salida a internet.

Academy Xperts

14

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 11: Quick Set, Wireless WPS

Laboratorio 11. Home AP Quick Set Wireless WPS


Objetivos:

Con la opcin WPS en el AP nosotros podemos por dos minutos darle acceso a la red a dispositivos Wifi clientes
que soporten WPS sin la necesidad de especificar la contrasea de la Red

Escenario:

Internet

ether1
10.1.1.1/24

ether1
10.1.1.X/24
eth2
192.168.N.254/24

R-Trainer

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

1-6

Detalle

ID de alumno

Quick Set Home AP Wireless - WPS

Pasos:
1.

Daremos clic en el botn WPS Accept en el Quick Set y se habilitara el acceso por minutos al AP

2.

En este ejemplo usaremos un dispositivo mvil con WPS cliente para conectarnos al AP

Academy Xperts

15

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 12: Quick Set, Guest Wireless Network

Laboratorio 12. Home AP Quick Set Guest Wireless


Network
Objetivos:

Por medio del Quick Set tambin es posible crear redes wireless adicionales a la que tenemos
La aplicacin til para esto podra ser crear una red wireless para los invitados

Escenario:

Internet
wlan1
ether1
10.1.1.1/24

ether1
10.1.1.X/24

R-Trainer

eth2
192.168.N.254/24

R-Estudiante

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

1-7

ID de alumno

Detalle

Quick Set Guest Wireless Network

Pasos:
1.

Ubicaremos en la ventana de Quick Set las opciones Wireless

2.

Configuraremos los siguientes parmetros Guest Network, Guest WiFi Password que nos especifique el Trainer.

3.

Daremos clic en Apply y conectar algn dispositivo a dicha red y verificar que tenga salida a internet.

Academy Xperts

16

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 13: Quick Set, IP Cloud

Laboratorio 13. Home AP Quick Set IP Cloud


Objetivos:

A partir de RouterOS v6.14 ofrece un servicio de nombres DNS dinmicos para dispositivos RouterBoard.
Esto significa que el dispositivo puede obtener automticamente un nombre de dominio de trabajo, esto es til si
cambia de direccin IP a menudo, y que siempre quieren saber cmo conectarse a su Router.

Escenario:

Internet

3e2e016a91b9.sn.mynetname.net

eth2
192.168.N.254/24

172.16.10.120

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

1-8

Detalle

ID de alumno

Quick Set Home AP Wireless IP Cloud

Pasos:
1.

Nos ubicaremos en el men [IP-Cloud] podemos habilitarlo dndole clic en DDNS Enabled y con dicho
configuramos nos va a generar un DNS Name el cual podemos usar ahora para ingresar a nuestro equipo
MikroTik.

Academy Xperts

17

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 14: Quick Set, VPN

Laboratorio 14. Home AP Quick Set VPN


Objetivos:

Si nuestro equipo MikroTik posee una direccin IP publica podemos configurarle una VPN para que desde
cualquier otra red pblica podemos ingresar a los dispositivos que tenemos en nuestra red LAN.

Escenario:

Internet

192.168.N.20/24
Servidor de
archivos

ftp://192.168.N.20

eth2
192.168.N.254/24

172.16.10.120

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

ID de alumno

Detalle

1-9

Quick Set VPN

Pasos:
1.

Ubicaremos en la ventana de Quick Set las opciones VPN

2.

Activaremos el servicio y especificaremos VPN Password

3.

Con dicha configuracin una vez que le demos Apply desde cualquier parte del mundo con tal solo crear la
conexin VPN desde una host con la salida a internet podremos ingresar a todos los dispositivos que tenga en mi
Red LAN.

Academy Xperts

18

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 15: Quick Set, CPE modo router

Laboratorio 15. CPE Quick Set CPE Wireless (modo


Router)
Objetivos:

Esta opcin en un equipo MikroTik me va a permitir extender ms mi red Principal


Lo podemos realizar creando una nueva red LAN o con la extensin repartir el mismo direccionamiento de la red
principal
En este caso veremos el modo Router

Escenario:

eth2
172.16.N.2 54/24

wlan1
192.168.N.253/24
172.16.N.1 /24

Internet

ether1
10.1.1.1/24

ether1
10.1.1.X/24
eth2
192.168.N.254/24

R-Trainer

R-Estudiante

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

1-10

Detalle

ID de alumno

Quick Set CPE Wireless (modo Router)

Pasos:
1.

Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo CPE

2.

Ubicaremos en la ventana de Quick Set la opcin Wireless

Academy Xperts

19

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 15: Quick Set, CPE modo router

3.

Seleccionamos la Red wireless a la cual nos vamos a conectar y especificamos el parmetro Wifi Password. Y
luego le damos clic en el botn Connect.

4.

Una vez que demos clic en el botn Connect observaremos que ya estamos conectados.

5.

Ubicaremos en la ventana de Quick Set la opcin Wireless Network

6.

Configuraremos los parmetros IP Address, Netmask, Gateway, DNS Servers tiene que ser direccionamiento que
tenga el AP al cual nos estamos conectando. (Tambin nos permite escoger de qu manera queremos configurar
la salida a internet, en este caso lo haremos de manera esttico)

7.

Ubicaremos en la ventana de Quick Set la opcin Local Network

Academy Xperts

20

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 15: Quick Set, CPE modo router

8.

Configuraremos el direccionamiento que va a manejar este dispositivo para su red LAN. Crearemos de igual
manera un DHCP Server, habilitaremos el NAT

9.

Daremos clic en Apply y comprobamos que el equipo MikroTik tenga salida a internet y tambin nuestros hosts
que tengan salida a internet.

NOTA IMPORTANTE:
Al no activar la opcin en el Quick Set llamada Bridge All LAN Ports el direccionamiento LAN estar configurado en la
interfaz ether1. Si la activamos se crear un Bridge entre todos los puertos y podremos conectar varios Host al equipo
MikroTik.

Academy Xperts

21

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 16: Quick Set, CPE modo bridge

Laboratorio 16. CPE Quick Set CPE Wireless (modo


Bridge)
Objetivos:

Esta opcin en un equipo MikroTik me va a permitir extender ms mi red Principal


Lo podemos realizar creando una nueva red LAN o con la extensin repartir el mismo direccionamiento de la red
principal
En este caso veremos el modo Bridge

Escenario:

wlan1
192.168.N.253/24
192.168.N .251/24

Internet

ether1
10.1.1.1/24

ether1
10.1.1.X/24
eth2
192.168.N.254/24

R-Trainer

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

1-11

Detalle

ID de alumno

Quick Set CPE Wireless (modo Bridge)

Pasos:
1.
2.
3.

Conectar el equipo MikroTik a la red Wireless.


Verificar que est conectado.
Configurar el modo Bridge en la ventana de Quick Set

4.

Configuramos el direccionamiento en la interfaz Bridge (puede ser especificado de modo esttico o automtico)

5.

Luego de dar Apply el equipo queda en modo Bridge y el mismo direccionamiento IP de la red principal ser
entregado ahora por medio de este equipo.

Academy Xperts

22

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 17: Configurar Password

Laboratorio 17. Configurar Password de administracin


Objetivos:

Por ahora el acceso a los equipos MikroTik ha sido por medio del usuario admin y dicho usuario no tiene
password, lo que haremos ser especificar un password para esta cuenta admin.

Pasos:
1.

Unos ubicaremos en el men del Winbox e iremos a [System Password]

2.

En esta ventana especificaremos el nuevo password que queramos especificar, en el campo Old password no
especificaremos nada porque el equipo no tiene ninguna contrasea por el momento.

3.

Verificar que puedan ingresar el equipo MikroTik con la contrasea que acabamos de especificar.

Academy Xperts

23

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 18: Configurar Identidad

Laboratorio 18. Configurar Nombre al Router MikroTik


Objetivos:

Especificar un nombre al equipo MikroTik por defecto todos vienen con el nombre MikroTik

Pasos:
1.

Unos ubicaremos en el men del Winbox e iremos a [System Identity]. Y configuramos el nombre que
deseamos ponerle al equipo MikroTik

Academy Xperts

24

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 19: Filter Input

Laboratorio 19. Filter Input Reglas Bsicas


Objetivos:

Configurar las 4 reglas bsicas de Firewall INPUT

Escenario:

La Figura 1-12 (Filter Input Reglas Bsicas) muestra la configuracin que debern conseguir cada uno de los
estudiantes

Internet

ether1
10.1.1.1/24

ether1
10.1.1.X/24

R-Trainer

eth2
192.168.N.254/24

R-Estudiante

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

ID de alumno

Detalle

1-12

Filter Input Reglas Bsicas

Pasos:
1.

Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarn permitidas que
administren su Router. En el caso de este ejercicio las direcciones sern: la IP de su laptop (la IP del comando a
continuacin es solo un ejemplo), y la red WAN Wireless.
/ip firewall address-list
add address=192.168.100.254 list=IPs permitidas Administrar Router
add address=10.1.1.1-10.1.1.63 list=IPs permitidas Administrar Router

2.
/ip
add
add
add
add

Crear las 4 reglas bsicas en INPUT


firewall filter
chain=input comment=INestablecidas/relacionadas connection-state=established,related
action=drop chain=input comment=IN invalidas connection-state=invalid
chain=input src-address-list=IPs permitidas Administrar Router
action=drop chain=input comment=IN Descartar todo lo demas

Academy Xperts

25

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 20: Filter Forward

Laboratorio 20. Filter Forward Reglas Bsicas


Objetivos:

Configurar las 4 reglas bsicas de Firewall FORWARD

Escenario:

La Figura 1-13 (Filter forward Reglas Bsicas) muestra la configuracin que debern conseguir cada uno de los
estudiantes

Internet

ether1
10.1.1.1/24

ether1
10.1.1.X/24

R-Trainer

eth2
192.168.N.254/24

R-Estudiante

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

ID de alumno

Detalle

1-13

Filter forward Reglas Bsicas

Pasos:
1.

Cada estudiante debe crear un address-list donde deben especificar las direcciones IP que estarn permitidas
navegar a Internet. En el caso de este ejercicio las direcciones sern el segmento de la red LAN (local)
/ip firewall address-list
add address=192.168.100.0/24 list=IPs-navegar-internet

2. Crear las 4 reglas basicas en Forward


/ip firewall filter
add chain=forward comment=FW establecidas y relacionadas connectionstate=established,related
add action=drop chain=forward comment=FW invalidas connection-state=invalid
add chain=forward src-address-list=IPs-Navegar-internet
add action=drop chain=forward comment=FW Descartar todo lo demas

Academy Xperts

26

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 21: Filtros ICMP

Laboratorio 21. Filter ICMP Reglas Bsicas


Objetivos:

Configurar unas de las reglas fundamentales para proteger al Router de las intrusiones de Red ms conocidos.
Proteccin contra el Ping Flooding (inundacin de Paquetes ICMP)

Escenario:

Internet

ether1
10.1.1.1/24

ether1
10.1.1.X/24

R-Trainer

eth2
192.168.N.254/24

R-Estudiante

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

ID de alumno

Detalle

1-14

Filter ICMP Reglas Bsicas

Pasos:
1.
/ip
add
add

Se debe crear una regla de jump para generar un chain personalizado


firewall filter
action=jump chain=input comment="IN - Salto a control ICMP" jump-target=ICMP protocol=icmp
action=jump chain=forward comment="IN - Salto a control ICMP" jump-target=ICMP protocol=icmp

2.

Se deben crear las reglas de control de mensajeria ICMP. Estas reglas pueden quedar ubicadas al final de todas
las reglas ya que sern llamadas cuando se invoque el chain ICMP.
firewall filter
chain=ICMP icmp-options=0:0 limit=5,5:packet protocol=icmp
chain=ICMP icmp-options=8:0 limit=5,5:packet protocol=icmp
chain=ICMP icmp-options=11:0 limit=5,5:packet protocol=icmp
chain=ICMP icmp-options=3:3 limit=5,5:packet protocol=icmp
chain=ICMP icmp-options=3:4 limit=5,5:packet protocol=icmp
action=drop chain=ICMP protocol=icmp

/ip
add
add
add
add
add
add

3.

Se debe ubicar adecuadamente esta regla. Se sugiere que las mismas est antes de la regla que acepta las IPs
que pueden administrar el Router. De esta forma se previene que cualquier de los equipos que tenga acceso al
Router pudiera estar infectado y de esta forma comprometer la integridad del dispositivo.

Academy Xperts

27

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 21: Filtros ICMP

4.

las reglas de ICMP pueden ser ubicadas de una mejor manera entre las reglas de input y las reglas de forward

Academy Xperts

28

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 22: Filtros Layer 7

Laboratorio 22. Filtro Layer 7 Protocol


Objetivos:

El firewall de MikroTik tiene implementado la funcin de bloquea a nivel de capa 7


En este ejercicio haremos bloqueo de pginas web

Pasos:
1.

Generar la expresin regular especificando lo que vamos a bloquear en nuestro Red. Para ello nos ubicaremos en
[IP-Firewall-Layer7 Protocol] y generaremos la siguiente expresin.
/ip firewall layer7-protocol
add name="redes sociales" regexp="^.+(facebook|youtube|twitter|instagram|viber).+\$"

2.

Crearemos un address-list llamado bloquear y agregamos las IP de las personas a las que queremos bloquear
estas pginas.
/ip firewall address-list
add address=192.168.1.253 list=bloquear
add address=192.168.1.23 list=bloquear

3.

Por ultimo generamos la regla de filtro con el chain forward y la ubicamos antes del filtro de IPs permitidas
navegacin.
/ip firewall filter
add action=drop chain=forward layer7-protocol="redes sociales" src-address-list=bloquear

Academy Xperts

29

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 23: NAT srcnat + masquerade

Laboratorio 23. NAT srcnat + masquerade


Objetivos:
1.
2.

Enmascarar las redes LAN que se crean en una Res ya estructurada o una red que recin este siendo armada.
Crear una nueva Red LAN en nuestra estructura ya armada.

Escenario:

Nueva Red

172.16.100.254/24

Internet
eth3
172.16.100.1/24
ether1
10.1.1.1/24

ether1
10.1.1.X/24

R-Trainer

eth2
192.168.N.254/24

R-Estudiante

192.168.N.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

ID de alumno

Detalle

1-15

NAT srcnat + masquerade

Pasos:
1.

Como sabemos en nuestro Router actual tenemos todos los puertos dentro de un bridge entonces debemos
sacar primero ese puerto del bridge para poder configurarle la direccin IP de la nueva LAN.

2.

Configurar la nueva direccin IP en interfaz ether3 172.16.100.1/24 para ellos nos vamos a [IP-Address-list]

Academy Xperts

30

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 23: NAT srcnat + masquerade

3.

Y por ltimo creamos la regla de NAT para enmascarar nuestra nueva red y darle salida a la red de internet. Para
ello nos vamos a [IP-Firewall-NAT]
/ip firewall nat
add chain=srcnat src-address=172.16.100.0/24 action=masquerade

NOTA IMPORTANTE:
Recordemos siempre que el parmetro Out. Interface ser el puerto que este como WAN en el dispositivo MikroTik.

Academy Xperts

31

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 24: NAT dstnat + dst-nat

Laboratorio 24. NAT dstnat + dst-nat


Objetivos:

Podemos usar la accin dst-nat para poder crear un nateo de algn servidor en mi red privada y que ahora pueda
ser visto y accedido desde cualquier otra red publica

Escenario:

Internet

192.168.1.20/24
Servidor de
archivos

Ftp://190.12.55.236:1234
eth1
190.12.55.236/29

172.16.10.120

eth2
192.168.1.254/24

192.168.1.1/24

Diagrama elaborado por:

ACADEMY XPERTS
Figura

ID de alumno

Detalle

1-16

NAT dstnat + dst-nat

Pasos:
1.

Creamos la regla de re-direccionamiento en el Router que contenga la IP pblica. Para ellos nos ubicamos en la
opcin [IP-Firewall-NAT]
/ip firewall nat
add chain=dstnat action=dst-nat dst-address=190.12.55.236 protocol=tcp dst-port=1234
to-addresses=192.168.1.20 to-ports=20-21

Academy Xperts

32

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 25: NAT dstnat + redirect

Laboratorio 25. NAT dstnat + redirect


Objetivos:

La accin redirect me permite crear un re-direccionamiento para que los clientes antes de salir a la red de internet
primero pasen por el DNS Server del equipo MikroTik o por el Web-Proxy del equipo MikroTik.
DNS Server: se puede crear este re-direccionamiento para que sin importar que DNS se configure el cliente
siempre salgan por los DNS especificados en el Router MikroTik y adicionalmente que en las opciones de DNS se
pueden crear polticas de re-direccionamiento de pginas (esto se lo revisara en cursos ms avanzados de
MikroTik)
Web-Proxy: se lo puede configurar de dos maneras esttico o transparente, el esttico trata de que tenemos que
ir host tras host configurando los navegadores con la direccin IP del web-proxy para que puedan salir por all. Y
el transparente trata de que los clientes no sabrn que existe un web-proxy filtrando sus peticiones a internet.
El uso de DNS y Web-Proxy se los revisa de forma completa en la certificacin de MTCTCE

Pasos:
1.
/ip
add
add

Generar la regla de redirect para el trfico de DNS.


firewall nat
chain=dstnat action=redirect protocol=tcp dst-port=53 to-ports=53
chain=dstnat action=redirect protocol=udp dst-port=53 to-ports=53

2. Generar la regla de redirect para el trfico para el Web-Proxy


/ip firewall nat
add chain=dstnat action=redirect protocol=tcp dst-port=80 to-ports=8080

Academy Xperts

33

RouterOS v6.35.4.01 Introduccin a MikroTik RouterOS & RouterBOARD Manual de Laboratorio Lab 26: Backup & Export

Laboratorio 26. Creacin de respaldos de Configuracin


Objetivos:

Generar los dos tipos de respaldos que podemos generar en los equipos MikroTik
Backup (. backup) y export (. rsc)

Pasos:
1.

El respaldo *.backup lo podemos generar desde la venta de File usando el winbox. Encontraremos un botn con
nombre Backup y el cual nos generara un respaldo. A dicho respaldo podemos o no especificarle un nombre y
una clave. (no son campos obligatorios).

2.

El respaldo *.rsc lo podemos generar mediante una conexin SSH, Telnet o New Terminal ejecutando el comando
export file=nombrar_al_archivo

3.

Para cargar los respaldos *.backup recordemos que solo tenemos que seleccionar el respaldo en la venta de File
y luego dar clic en el botn Restore y listo.
Para cargar los respaldos *.rsc en otro equipo MikroTik solo debemos copiarlo en la ventana de File de dicho
dispositivo y luego por medio del comando import file-name=nombrar_al_archivo podremos subir la
configuracin.

4.

Academy Xperts

34

Introduccin a MikroTik
RouterOS & RouterBOARD
por Mauro Escalante