Académique Documents
Professionnel Documents
Culture Documents
(MTCNA)
Presentarse individualmente
Nombre
Compaa
Conocimiento previo sobre RouterOS
Conocimiento previo sobre Networking
Qu espera de este curso?
Agenda
Horario diario (3 das)
9:00am a 6:00pm
Descansos 15-20mins.
10:30am y 3:00pm
Almuerzo
12:00pm to 1:00pm
Examen
Otros..
Este curso est basado en RouterOS 6 y
RB951G-2HnD
Mdulo
IMPORTANTE
En consideracin hacia los dems
estudiantes e instructor:
Telfono u otro en modo silencioso
Tomar llamadas fuera del saln
Introduccin
Mdulo 1
RouterOS y RouterBOARD
Que es RouterOS?
MikroTik RouterOS es el sistema operativo del
RouterBOARD.
Tiene todo los features necesarios para ISP o
administrador de redes tales como routing,
firewall, bandwidth management, wireless
access point, backhaul link, hotspot gateway,
VPN server y ms.
10
Que es RouterOS?
RouterOS es un Sistema operativo basado en el
Kernel v3.3.5 de Linux y provee toda las
funcionalidades en una simple y rpida
instalacin con una interfaz o GUI fcil de
utilizar.
11
Que es RouterBOARD?
Una gama de soluciones de hardware creadas
por MikroTik para poder cumplir con
necesidades de redes alrededor del mundo
Todos operan con RouterOS.
www.mikrotik.com
www.routerboard.com
12
Soluciones Integradas
Estas son provistas completas con cajas y
powersupplies.
Listas para utilizar y preconfiguradas con las
configuraciones bsicas.
Lo nico que tienes que hacer es conectarlas al
internet, oficina o casa.
13
14
Enclosures
Cajas Indoor y Outdoor para RouterBOARDs.
Es seleccionado basado en:
La
15
Interfaces
Mdulos ethernet, fiber SFPs o tarjetas wireless
para expandir la funcionabilidad de un
RouterBOARD o PCs con sistema RouterOS.
Nuevamente, la seleccin es basada en tus
necesidades
16
Accesorios
Estos son hechos para productos MikroTik
power adapters, mounts, antennas y PoE
injectors.
17
MFM
Con el programa MFM (Made for MikroTik)
tienes an mas opciones adicionales para crear
tu propia solucin o router.
18
19
20
Nota de inters
Los nombre de los routers son asignados
dependiendo su capacidad, ejemplos:
CCR
24
1 puerto 100Mbps
1 radio 2.4GHz radio (b/g)
Licencia Nivel 4
25
9 puertos giga
Licencia nivel 4
26
27
Explorador de internet
Forma intuitiva de conectarse a un router con
RouterOS.
28
Explorador de Internet
Conectas cable Ethernet al router
Ejecutas explorador de internet
Entras IP del router
Si solicita login, usas admin sin contrasea
29
Internet browser
Ejemplo:
30
WinBox y MAC-Winbox
WinBox es la interface propietaria de MikroTik
para acceder los routers
Puede ser descargado desde la pgina de
MikroTik.com o del mismo router
Es utilizado para acceder a travs de IP (OSI
Layer 3) o MAC (OSI Layer 2)
31
WinBox y MAC-Winbox
En el navedor de
internet buscas
abajo donde se
muestran los
distintos iconos,
click y save.
32
WinBox y MAC-WinBox
Ejecutas WinBox.
IP 192.168.88.1 luego
Connect
Pantalla default:
OK
33
WinBoxs menus
Toma 5 minutos para navegar los menus
Toma nota en especial de lo siguiente:
IP Addresses
IP
Routes
System SNTP
System Packages
System Routerboard
34
Console port
Requiere que
conectes la
computadora al
router con un cable
serial
(RS-232 port).
Default is
115200bps, 8 data
bits, 1 stop bit, no
parity
35
SSH y Telnet
Herramientas IP estandar para acceder
Comunicacin con Telnet es clear text
Disponible
Inseguro!!
CLI
Command Line Interface
Es la interface utilizada cuando conectas con
Telnet, SSH y Serial
Necesario en especial si utilizars scripts!
37
39
Configuracin bsica
Dependiendo de tu hardware obtendrs
configuracin bsica, el cual puede incluir
WAN
port
LAN port(s)
DHCP client (WAN) and server (LAN)
Basic firewall rules
NAT rule
Default LAN IP address
40
Configuraci bsica
Cuando te conectas
por primera vez con
WinBox escojes
OK
Ahora el router
inicia con la
configuracin
bsica predefinida.
41
Sin configuracin
Puede ser utilizado en ocasiones donde la
configuracin bsica no es necesaria, ejemplo:
No
42
Sin configuracin
Los pasos mnimos para configurar acceso
hacia el internet si tu router no tiene la
configuracin bsica:
LAN
43
Actualizando el router
44
Cuando actualizar?
Correccin de un bug.
Se requiere un nuevo Feature.
Funcionamiento Mejorado.
NOTA: Siempre leer el changelog!!
45
Procedimiento
Requiere planificacin.
Pasos
Requiere validacin
y
validar
y seguir validando!!
46
Antes de actualizar
Conoce la arquitectura (mipsbe, ppc, x86,
mipsle, tile) que vas a actualizar.
Duda?
Como actualizar
Obtienes los archivos de Mikrotik.com
Downloads
48
Como actualizar
3 Maneras
Descargas
49
Reinicio
Valida el estado del router
50
Verificando actualizaciones
(con /system packages)
En el men
System -> Packages
Click en Check for
Updates luego
Download & Upgrade
Reinicia automticamente
Valida paquetes y estado
del router
51
Actualizacin Automtica
Copia todo los paquetes para todo los routers a
un router interno del network
Configuras los routers para que apunten al que
contendr los paquetes
Presenta paquetes disponibles
Selecciona y descarga los paquetes
Reinicia y valida el estado del router
52
Actualizacin Automtica
53
Actualizacin firmware
RouterBOOT
Verificar version actual
[admin@MikroTik] > /system routerboard
routerboard: yes
model: 951-2n
serial-number: 35F60246052A
current-firmware: 3.02
upgrade-firmware: 3.05
[admin@MikroTik] >
54
Actualizacin firmware
RouterBoot
Actualiza si es requerido (requerido en el
ejemplo)
[admin@MikroTik] > /system routerboard upgrade
Do you really want to upgrade firmware? [y/n]
y
firmware upgraded successfully, please reboot for changes to
take effect!
[admin@MikroTik] > /system reboot
Reboot, yes? [y/N]:
55
56
Cuenta de usuarios
Crea cuentas de usuarios para:
Manejar
privilegios
Verificar actividades por usuarios
57
58
IP Services
Administra IP Services para:
Limitar
59
IP Services
Para manejar ve a IP -> Services
Habilita o deshabilita lo requerido.
60
Acceso a IP Services
Doble-click a service
Si es necesario
especifica que hosts o
subnets pueden accesar
el servicio,
- Muy Buena prctica el
limitar ciertos servicios a
administradores solamente.
61
Manejar configuraciones de
respaldo (Backup)
62
63
Binary backup
Backup completo del sistema
Incluye contraseas
Asume que la restauracin ser en el mismo
router
64
Export files
Configuracin complete o
parcial
Genera un script file o lo
muestra en terminal
Utiliza compact para
mostrar no
configuraciones default
(default en ROS6)
66
Licencias RouterOS
67
Niveles de licencias
6 niveles de licencias
0
68
Licencias
Determina las capacidades permitidas en tu
router.
RouterBOARD ya viene con licencia preinstalada.
Niveles
varian
Actualizando licencias
Niveles son mostrados en
http://wiki.mikrotik.com/wiki/Manual:License
Usos tpicos
Level
70
Uso de licencias
NO se puede actualizar nivel de licencia.
Compra el correcto requerido desde inicio.
La licencia es atada al disco el cual es
instalado. Cuidado con formatear el disco con
herramientas que no sean de Mikrotik.
Lee la pgina de licencias para mas info!
71
Netinstall
72
Usos de Netinstall
Reinstala RouterOS si el original es
corrompido o afectado
Reinstala RouterOS si la contrasea de
admin es perdida
Se encuentra en la pgina de MikroTik en el
rea de Download
73
Procedimiento: no serial
Ejecuta Netinstall
Cliquea
Procedimiento: no serial
Presiona el botn de reset hasta que el Led
ACT se apague
El
75
Procedimiento: no serial
La barra de progreso se tornar azul mientras el
archive NPK es transferido
Al finalizar, reconecta la computadora en un
puerto y acceso al internet en el Puerto 1
Utiliza MAC-Winbox para conectarse ya que
configuracin estar en blanco
An
Procedimiento: no serial
Sube configuracin de backup y reinicia (La
importancia del manejo correcto de archivos de
backup!)
78
79
aparecer en la seccin
Routers/Drives
Seleccinalo
80
81
82
Recursos adicionales
83
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
Tips adicionales!!
84
Tiktube
http://www.tiktube.com/
85
Forum
http://forum.mikrotik.com/
Mikrotik support
support@mikrotik.com
Procedimientos explicados en
http://www.mikrotik.com/support.html
Soporte de MikroTik
-15 days (license level 4)
-30 days (license level 5 and level 6) si
licencia fue comprada con ellos
87
88
Es tiempo de prctica!
89
Laboratorio
Metas del laboratorio
Familiarizarse
Setup
91
Laboratorio : Paso 1
Configura tu computadora con el ip esttico
que pertenece a tu POD
Asigna
Subnet Mask
Asigna Default gateway (tu router)
Asigna DNS server (tu router)
Actualiza a RouterOS 6
Una vez reiniciado el router, conctate a el de
manera que tengas acceso completo
92
Laboratorio : Paso 2
Configura el IP de LAN del router
Configura el IP de WAN del router
Configura regla de NAT para internet*
Configura el DNS del router
Configura default route del router*
93
Laboratorio : Paso 3
Aade un group con el nombre minimal
94
Laboratorio : Paso 4
Asegrese que el RouterBoard firmware est
actualizado.
Copia el paquete NTP (NPK file)
Verifica: System -> SNTP Client
Verifica: NTP Client y NTP Server
Que sucedi?
Laboratorio: Paso 5
Accesar el router con Telnet
En el CLI deshabilitar los IP Service:
SSH
WWW
sucedi?
96
Laboratorio: Paso 6
Abre New Terminal y Files
Exporta la configuracin a un archivo llamado
modulo1-podX (X es tu pod)
Haz un backup binario (binary backup)
Copia ambos archivos a tu computadora
Abre
Laboratorio: Paso 7
Mira la licencia del RouterBOARD
Verifica
98
99
Routing
Mdulo 2
100
Routing Overview
101
Conceptos de Routing
Routing es un proceso en el Layer 3 del modelo
OSI.
Routing define donde el trfico de
comunicacin ser enviado (forwarded, sent).
Es requerido que multiples subnets se puedan
comunicar.
An
102
103
104
Route Flags
Las Rutas tienen estatus. En este curso nos
familiarizemos con:
X
: Disabled
A : Active
D : Dynamic
C : Connected
S : Static
105
Route flags
Disabled : Ruta deshabilitada. No tiene
influencia en el proceso de enrutamiento.
Active : Ruta activa y S se toma en cuenta en
el proceso de enrutamiento.
Dynamic : Ruta dinmica creada por el proceso
de enrutamiento, no manualmente.
106
Route flags
Connected : Rutas son creadas para cada IP
subnet que tenga una interface active en el
router.
Static : Ruta creada manualmente para forzar
redireccionamiento de trfico o paquetes haca
un destino (gateway) en especfico.
107
Static Routing
108
Static routes
Rutas a subnets que existen en un router son
automticamente creadas y conocidas
solamente por ese router.
Que sucede si necesitas alcanzar un subnet que
exista en otro router? Configuras una ruta
esttica.
Una ruta esttica es una manera manual de
redirigir (forward) trfico a subnets no
conocidos.
109
Static routes
110
Static routes
Entendiendo los campos
111
112
113
114
115
Creando rutas
Para anadir una ruta
esttica :
IP ->
Routes
+ (Add)
Especifica subnet y
mscara
Especifica Gateway
(next hop)
116
Es
Al
117
119
120
121
router-2
/ip route
add gateway=10.0.0.1
122
123
Laboratorio
Metas del laboratorio
Lograr
124
Laboratorio : Setup
125
Laboratorio : Paso 1
Eliminar la ruta default creada en el mdulo
anterior
Hacer ping a computadoras en otros PODs,
Resultado?
Crear rutas estticas a los dems POD LANs
Hacer ping a computadoras en otros PODs,
Resultados?
126
Laboratorio : Paso 2
Abrir un explorador de internet y trata de
accesar la pgina de mikrotik.com. Resultado?
Crear la ruta default haca el router del Trainer
Trata de accesar nuvamente la pgina.
Resultado?
127
128
Bridging
Mdulo 3
129
Bridging overview
130
Conceptos de Bridging
Bridges funcionan en OSI Layer 2.
Tradicionalmente, eran utilizados par unir 2
segmentos de tecnologa distinta o similar.
131
Conceptos de Bridging
Bridges tambin eran utilizados para crear
pequeos collision domains .
La
132
Ejemplo 1
Todo las computadoras se pueden comunicar entre s
Cada una debe esperar que todas las computadoras
dejen de comunicar antes que una pueda comenzar a
transmitir!
133
Ejemplo 2
Toda las computadoras se escuchan entre s.
Toda las computadoras ahora solo comparten la mitad del
wire
An deben esperar que cada una termine de transmitir antes de
que otra pueda hacerlo pero el grupo se ha reducido a la mitad.
Mejor funcionamiento para todas!
134
Utilizando bridges
Por default, en routers MikroTik, puertos
Ethernet son asociados (slave) a un Puerto
master
Ventaja
135
Utilizando bridges
Si eliminas la configuracin de bridge master y
slave es necesario crear un bridge para unir los
puertos de LAN.
Ventaja
136
Creando bridges
Utilizar los menus
Bridge
Add
(+)
Name the bridge
Click OK and youre done!
137
138
139
tab
Add (+)
Escoge la interface y el bridge
Cliquea OK y listo!
140
141
142
Tiempo de prctica!
143
Laboratorio
Metas del lab
Crear
un bridge
Asignar puertos al bridge
Validar que al seguir estos pasos puedas asignar todo
los puertos al mismo subnet!
144
Laboratorio : Setup
145
Laboratorio : Paso 1
Ejecuta ping t w 500 192.168.0.254.
Desconecta cable de network del puerto (#5) y
conctalo a otro puerto.
Resultados?.
Deja la panatalla de CMD en tu computadora
abierta hacienda ping y visible a travs de este
laboratorio.
146
Laboratorio : Paso 2
Conctate a tu router de forma tal que puedas
trabajar con el .
Crea una interface Bridge. Nmbrala LAN y
deja los dems parmetros por default.
Asgnale el IP address de tu POD
(192.168.X.1) a la interface Bridge.
Resultados?
147
Laboratorio: Paso 3
Abre la ventaja de Interfaces y verifica cuales
estn corriendo.
Asigna puertos #2 al #5 a la interface bridge
LAN.
Resultados? Cuando comenz a responder el
ping nuvmaente?
Cambia tu cable a unos de los puertos entre #2
al #5. Que sucedi? Que significa I en la
columna.
148
149
Wireless
Mdulo 4
150
Conceptos 802.11
151
Frecuencias
802.11b
2.4GHz
802.11g
2.4GHz
802.11a
5GHz
802.11n
2.4GHz
152
Frecuencias
153
Frecuencias
154
Frecuencias
Bandas
Mikrotik
155
Frecuencias
El feature Advanced Channels provee
posibilidades extendidas en la configuracion de
interface wireless:
scan-list
Frecuencias
Basic-rates son las velocidades que un cliente (CPE) DEBE
tener soporte para poder conectar al AP
Supported-rates son las velocidades posibles luego que se logra
la coneccin (varios factores pueden influenciar en lograr la
velocidad mas alta)
Data-rates son los rates aceptados segn el estandar a ser
utilizado:
802.11b : 1 a 11Mbps
802.11a/g : 6 a 54Mbps
802.11n
157
Frecuencias
HT chains
Son
158
Frecuencias
Frequency mode
Regulatory-domain
159
Frecuencias
Country: Frecuencias y power son basadas en
las regulaciones del pas (country). Utilizando
no_country_set configurar canales
aprovados por FCC.
160
Mode : ap bridge
Band : Basado en las capacidades el AP y
cliente. Si el AP soporta mltiples bandas
(ej: B/G/N) selecciona la mejor opcin
que cubra tu necesidad.
Frequency : Cualquiera de los canales
disponibles (hablaremos de esto mas
adelante!!)
161
162
163
164
Cliquea Snooper
Pendiente! Esto DESCONECTA la
interface wlan y todo cliente que est
conectado
165
166
167
168
169
170
171
172
173
175
176
177
178
179
180
181
Basado en AES
182
183
185
de velocidad
Soporta mas conecciones de clientes en ambientes
mulitpoint (limite es de 511 clientes)
Menos latencia
No tiene limitacin de distancia
No tiene penalidad por distancias largas
186
Herramientas de monitoreo
Hay varias herramientas que ayudarn analizar
que hay presente en el aire y as puedes
seleccionar la frecuencia que no tenga
interferencia (o al menos la que menos que
tenga)
187
Herramientas de monitoreo
Wireless scan : Dos opciones
Frequency
usage
Scan
188
Herramientas de monitoreo
Wireless scan : Frequency
Usage
Muestra toda las
frecuencias soportadas y
su utilizacin basado en
los AP de los neighbors
presentes
Tambin desconecta
clientes wireless que
estn conectados!
189
Herramientas de monitoreo
Wireless scan : Scan
Provee
informacin
acerca de los Neighbor
APs
Tambin desconecta
clientes que estn
conectados!
190
Herramientas de monitoreo
Snooper
Provee
informacin de
ambos Clientes y APs
presentes
Sucede lo mismo
191
Monitoring tools
Snooper
Provee
informacin de
ambos Clientes y
Neighbor APs +
informacin de los
clientes
192
Herramientas de monitoreo
Registration table : Utilizado para obtener
informacin de clientes estaciones (stations)
conectadas.
Util
193
Herramientas de monitoreo
194
Herramientas de monitoreo
Registration table
Podemos ver estatus actual
de estaciones registradas
Nota : Comentarios que
aparezcan encima de una
estacin registrada
proviene del Access List
tab. Util para verificar bajo
cual criterio la estacin o
cliente fue autenticado
195
196
197
Laboratorio
Metas del laboratorio
Utilizar
198
Laboratorio : Setup
199
Ya
200
Laboratorio : Paso 1
Ejecuta uno despues del otro:
Frequency
Usage
Scan
Snooper
201
Laboratorio : Paso 2
Abre la ventana de Bridge y ve al tab de
Ports
Utilizando los procedimientos aprendidos en
los mdulos anteriores, aade la interface
wlan1 al bridge LAN.
Cierra la ventaja de Bridge
202
Laboratorio: Paso 3
Abre la ventana de Wireless y asegrate que
la interface wlan1 est habilitada.
203
Laboratorio: Paso 4
Haz Double-click en Interfaces y ve a Wireless. Tambin
puedes ir directo a Wireless en el men. Luego cliquea
Advanced Mode y entra los siguientes parmetros:
Mode : ap bridge
Band : 2GHz-B/G/N
Channel width : 20MHz
Frequency : Odd pods use 2437, even pods use 2462
SSID : podX
Wireless protocol : 802.11
Security Profile : default (recuerda solo haz esto en ambiente de prueba)
Frequency Mode : Regulatory-domain
Country : <where you are now>
Default Authenticate is checked
204
Laboratorio: Paso 5
Desconecta el cable entre tu laptop y el router.
El cable entre tu router y el instructor debe
permanecer.
Configura tu laptop para poder conectarse a tu
router
Verifica conectividad hacia el router e Internet
Navega!
205
Laboratorio: Paso 6
Haz un binary backup de la configuracin
actual bajo el nombre:
Module4a-podX
206
Laboratorio: Paso 7
Reconecta el cable a tu router
Desconecta el cable de tu router que conecta
con el router del instructor
Ahora no debes tener acceso al internet
207
Laboratorio : Paso 8
Configuracin Preliminar
IP address para WLAN1
192.168.252.podX
208
Laboratorio : Paso 9
Activa el tab de Advanced Mode en la interface de
configuracin Wireless
Necesitas conectarte al AP de la clase. Utiliza los
siguientes parmetros el cual DEBEN ser compatible
para poder conectar:
- Mode : Station
Band : 2GHz-only-N
SSID : WISP
Radio name : WISP-PODX
Wireless protocol : 802.11
Security profile : WPA2
209
Laboratorio : Pas 10
Frequency
Mode : regulatory-domain
Country : Usualmente, seleccionas el pas donde el
AP ser instalado.
Deje Default Authenticate seleccionado por ahora
wait!!!
210
Laboratorio : Paso 11
Antes que puedas navegar al hay que corregir
el routing table
Redefine
Resultado?
211
Fin de laboratorio 4
212
Network management
Mdulo 5
213
ARP
214
ARP modes
Significa Address Resolution Protocol
Protocolo que une el IP (Layer 3) al MAC
Adddress (Layer 2)
Usualmente es utilizado dinmicamente, pero
puede ser configurado estticamente en
situaciones donde se requiera mayor seguridad.
215
ARP modes
ARP modes le indica a RouterOS de que manera se trabajar
con ARP.
216
217
218
ARP syntax
Ver ARP table :
/ip
arp print
219
220
DHCP server
Significa Dynamic Host Configuration Protocol
Es utilizado para provisionar IP address,
netmask, default gateway y adicionalmente
otros parmetros que sea requeridos o
solicitados por equipos o nodos.
221
sern
los equipos que
222
Interface
DHCP Address Space
Gateway for DHCP Network
Addresses to Give Out
DNS Servers (more than one can be entered)
Lease Time
223
Crea
el DHCP server
Crea
un IP Pool
el address space
224
225
Nota Importante
226
dhcp-server setup
227
228
229
DHCP client
Permite a las interfaces a solicitor direcciones IP
Address
Mask
Default gateway
Two DNS servers (si ha sido configurado de tal manera)
Hostname
Clientid (en la forma de MAC address)
230
dhcp-client print
/ip dhcp-client enable numbers=1
address print
231
Lease management
La seccin "/ip dhcp-server lease" provee
informacin acerca de los DHCP clients y
leases
Muestra leases dinmicos y estticos
Se puede cambiar un lease dinmico a no
esttico
Muy
Lease management
El DHCP Server puede ser configurado a
proveer solo direccions estticas
Clientes entonces solo reciben direcciones
predefinidas
Evalua tus requerimientos antes de hacerlo de
esta forma. Requerir mucho manejo para una
red mas grande.
233
234
RouterOS tools
235
E-mail
Herramienta que te permite enviar un correo
Puede ser utilizado junto a otras herramientas
(tools) para enviar regularmente backups al
administrador
Comando:
/tools
236
E-mail, ejemplo
Configura el SMTP Server
/tool e-mail
set address=172.31.2.1 from=mymail@gmail.com last-status=succeeded
password=never123! port=\
587 start-tls=yes user=mymail@gmail.com
/export file=export
/tool e-mail send to=home@gmail.com subject="$[/system identity get name]
export"\
body="$[/system clock get date] configuration file" file=export.rsc
237
Netwatch
Herramiento que te permite monitorear el
estatus de equipos en el network
Para cada entrada, puedes especificar:
IP address
Ping
interval
Scripts de Up o Down
238
Netwatch
Es MUY til..
Recibir
239
Ping
Herramienta bsica de conectiviad el cual utiliza
mensajes ICMP Echo para determinar accesibilidad
del host remoto y delay en el viaje ida y vuelta del
paquete enviado
Una de las primeras herramients a ser utilizada en el
troubleshooting. Si da ping, est arriba (desde punto
de vista en la red)
Utilzalo con otras herrramientas en combinacin
cuando ests haciendo troubleshooting. No es la
herramienta mas eficaz pero con algo se debe
comenzar.
240
Ping syntax
CLI
[admin@MikroAC1] > ping www.mikrotik.com
HOST
SIZE TTL TIME
STATUS
159.148.147.196
56 50 163ms
159.148.147.196
56 50 156ms
159.148.147.196
56 50 156ms
159.148.147.196
56 50 160ms
sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
max-rtt=163ms
Debes
241
Traceroute
Utilizado para mostrar todo los routers que se
atraviesa el paquete antes de llegar al destino
Indica el delay para alcanzar cada router en el
camino hacia el destino final
Muy bueno para detectar una falla o punto de
lentitud.
242
Traceroute
CLI
/tools
traceroute www.mikrotik.com
100%
AVG
BEST
3 timeout
2 216.113.124.190
0%
13.9ms
12.2
11.1
13.9
1.2
3 216.113.122.230
0%
9.6ms
7.5
9.8
100%
3 timeout
5 216.6.99.14
0%
3 114.4ms
114.7
113.6
116.2
1.1 <MPLS:L=400657,E=0>
6 80.231.130.121
0%
3 104.5ms
105.7
104.5
107.1
1.1 <MPLS:L=420033,E=0>
7 80.231.130.86
0%
3 103.2ms
107.5
103.2
115.4
5.6 <MPLS:L=795472,E=0>
8 80.231.154.70
0%
3 136.5ms
119
104.3
136.5
13.3 <MPLS:L=485138,E=0>
9 80.231.153.122
0%
113ms
110.7
106.4
113
3.1
10 195.219.50.38
0%
3 111.9ms
115
110.7
122.5
5.3
11 87.245.233.178
0%
3 140.7ms
159.6
135.7
202.4
30.3
12 87.245.242.94
0%
169ms
173
169
178.4
13 85.254.1.226
0%
3 173.3ms
168.4
164.6
173.3
3.6
243
244
profile
USAGE
0%
0%
0%
0%
0.5%
0.5%
99%
0%
0%
Para mas detalles acerca de procesos y lo que significan and favor visitar
http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler
245
System identity
Aunque no es una herramienta, es importante para
indentificar el router.
No puedes administrar 100 routers que tengan el mismo nombre.
Hace mas dificil el troubleshooting
Una vez configurado, har la identificacin de tu router sea mas
simple.
Syntax
/system identity print (show current name)
/system identity set name=my-router (sets the router's name)
246
247
Supout.rif
Supout.rif es un archivo para el anlisis
(debugging) de RouterOS y ayuda a MikroTik
a poder resolver problemas mas rpido
Syntax
CLI
: /system sup-output
248
Supout.rif
Una vez
generado, el
"supout.rif" lo
podrs encontrar
en Files
249
Supout.rif Viewer
Para accesar el
"supout.rif viewer",
necesitas entrar a tu
cuenta de
MikroTik.com
250
Supout.rif Viewer
Lo primero es
localizar archivo que
generaste en el router
y cargarlo a la pgina
Comienza a navegar
toda tu configuracin
El view por default es
resource
251
Autosupout.rif
Un archivo puede ser generado
automticamente cuando hay una falla de
software (ej. kernel panic o si el Sistema no
responde por 1 minuto)
Esto es ejecutado automticamente con
WatchDog (-> system)
252
253
System logging
Actions
Acciones
254
System logging
Actions, ejemplos
[admin@MikroTik] > /system logging action print
Flags: * - default
#
NAME
TARGET REMOTE
0
1
2
3
*
*
*
*
memory
disk
echo
remote
memory
disk
echo
remote 172.16.1.105
webproxy
remote 172.16.1.105
firewallJournal
remote 172.16.1.105
255
System logging
Rules
Le indican al RouterOS que action tomar para un evento
determinado (llamado topic)
Puedes tener mas de un Rule para el mismo topic, cada
rule ejecutando un action diferente
Puedes tener un rule con uno o mas topics, ejecutando un
action
Aadir rules es simple, escoges uno o mas topics, le
asignas nombre al rule, y luego escoges un action. (Es por
esto que se sugiere configures un action primero)
256
System logging
Rules, ejemplos
[admin@NINsys] > /system logging print
Flags: X - disabled, I - invalid, * - default
#
TOPICS
ACTION
PREFIX
0 * info
memory
INF
!firewall
* error
memory
ERR
* warning
memory
WRN
* critical
memory
CRT
firewall
memory
FW
firewall
firewallJournal
FW
info
remote
INF
!firewall
error
remote
ERR
257
Ver actions
/system logging
add action=firewallJournal prefix=FW topics=firewall
258
259
Configuraciones Leibles
Alias Que est claro!
Mala documentacin es tu peor enemigo. Mantn tus
configuraciones claras y leibles a travs de
commentarios, nombres y uniformidad
Comentarios : Asignale una descripcin
Nombres : Hazlo significativo
Uniformidad : Haz lo mismo en todo lo dems
260
Configuraciones Leibles
Ejemplos
261
262
263
264
Laboratorio
Metas del laboratorio
Practicar
265
Laboratorio : Setup
266
Laboratorio : Paso 1
Muestra las entradas de ARP de tu router
Identifica
cada entrada
Basado en el diagrama del lab, hace sentido?
Compara con el Puerto donde el MAC fue aprendido
267
Laboratorio: Paso 2
Aade un DHCP client en la interface WLAN1
Solictale al instructor que haga una reservaci esttica
en su DCHP server. El dgito final del IP debe ser el
de tu POD
Proveele al el MAC-Address de tu interface WLAN ya
que an no se han identificado los routers
Elimina tu IP esttica que tenias previa
Renueva tu ip del DHCP client
Cual IP obtuviste?
268
Laboratorio : Paso 3
Cleanup
Cuando
269
Laboratorio : Paso 4
Configura un DHCP para la computadora conectada en
el bridge LAN
Asegura que la configuracin..
Asigne direccin IP
Que el DNS sea el mismo que tu gateway (o sea tu router)
270
Laboratorio : Paso 5
Cleanup
Aade
271
Laboratorio : Paso 6
E-mail setup
Configura
Prueba
272
Laboratorio : Paso 7
Netwatch
Utiliza
273
Laboratorio : Paso 8
Netwatch
Up
/tool e-mail send to="<your-e-mail-address>" subject="$[/system identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node up."
Down
1
274
Laboratorio : Paso 9
Netwatch
Deshabilita
275
Laboratorio : Paso 10
Ping
Utiliza
Traceroute
Utiliza
276
Laboratorio : Paso 11
Profiler
Ejecuta
277
Laboratorio : Paso 12
Supout.rif
Crea
un archivo supout.rif.
Donde lo almacen?
Crgalo a tu cuenta de MikroTik.com y navega las
distintas reas.
278
Laboratorio : Paso 13
Logging
Crea
Type is memory
Crea
un action:
un rule:
Abre
la ventaja de log
Regresa a la herramienta de e-mail y enva un correo
de prueba. Que se muestra en el log?
279
Laboratorio : Paso 14
Cleaning
Ve
280
Laboratorio : Paso 15
Por ltimo, renombra tu router para que
muestre:
El
nombre de tu Pod
La primera letra mayscula
281
282
Firewall
Mdulo 6
283
Firewall Principles
284
Firewall principles
Un Firewall es un servicio que permite o
bloquea paquetes de data que se transmiten
basado en reglas.
El Firewall simula una pared entre 2 redes
Un ejemplo comn es tu LAN (trusted) y el
internet (not trusted).
285
Firewall principles
Como funciona el Firewall
Opera utilizando reglas. Estas estn divididas en 2 partes:
The matcher : Las condiciones que se requieren para hacer match
The Action : Que suceder una vez tenga match
Para hacer match se revisa lo siguiente:
Source MAC address
IP addresses (network o lista) y address types (broadcast, local, multicast, unicast)
Puerto o Rango de puertos
Protocolo
Opciones de Protocol (ICMP type y code fields, TCP flags, IP options)
La interface a donde llega o sale el paquete
DSCP byte
Y ms
286
Packet flows
MikroTik cre los diagramas para lograr hacer
configuraciones mas complicadas
Es bueno familiarizarse con estos para saber
que est sucediendo con los paquetes y en que
orden.
Para este curso, lo mantenremos simple!
287
Packet flows
Overall diagrams
288
289
Packet flows
290
291
Reply out
===OUTPUT===
Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len
88
292
293
DST-ADDRESS
17.172.232.126:5223
224.0.0.5
172.16.9.254:445
206.53.159.211:443
17.149.36.108:443
172.16.0.1
209.217.98.158:4569
173.252.103.16:443
69.171.235.48:443
173.252.79.23:443
173.252.102.241:443
224.0.0.5
65.54.167.16:12350
173.194.76.125:5222
172.16.0.1:1723
79.125.114.47:5223
TCP-STATE
TIMEOUT
established 23h42m6s
5m49s
established 23h42m51s
established 23h44m8s
established 23h43m41s
4h44m11s
13m9s
established 23h42m40s
established 23h43m27s
established 23h43m26s
established 23h44m15s
5m49s
established 23h35m28s
established 23h43m57s
established 4h44m11s
established 23h29m1s
294
Por tal razn antes de deshabilitarlo asegrase tener muy claro las razones y
el propsito!
295
cliente-B):
Established
Una sesin TCP session hacia el host remoto es establecida,
proveyendo un open connection donde la data puede ser intercambiada
Time-wait
Tiempo esperado para asegurarse que el host remoto a recibido un
connection termination request (after close) de su connecion
Close
Representa la espera para un connection termination request del
host remoto
Syn-sent
Cliente-A esperando por un matching connection request luego que ha
enviado uno
Syn-received Cliente-B esperando por un confirming connection request
acknowledgement luego de haber enviado y recibido el connection request
296
297
Luego de esto, puedes comenzar a crear reglas utlizando este Nuevo Chain
seleccionndolo en el campo chain cuando creas la regla nueva de firewall.
298
299
300
301
302
303
304
Filter Matchers
Antes de poder aplicarle "action" a un paquete el
mismo tiene que ser identificado primero.
Son varios Matchers!
305
Filter actions
Una vez un paquete ha sido aplicado a una regla, un action le ser asignado
Los firewalls de MikroTik tiene 10 actions.
Accept
Accept the packet. Packet is not passed to next firewall rule.
Add-dst-to-address-list
Add destination address to address list specified by address-list parameter. Packet is passed to next firewall
rule.
Add-src-to-address-list
Add source address to address list specified by address-list parameter. Packet is passed to next firewall rule.
Drop
Silently drop the packet. Packet is not passed to next firewall rule.
Jump
Jump to the user defined chain specified by the value of jump-target parameter. Packet is passed to next firewall rule
(in the user-defined chain).
Log
Add a message to the system log containing following data: in-interface, out-interface, src-mac, protocol, srcip:port->dst-ip:port and length of the packet. Packet is passed to next firewall rule.
Passthrough
Ignore this rule and go to next one (useful for statistics).
Reject
Drop the packet and send an ICMP reject message. Packet is not passed to next firewall rule.
Return
Pass control back to the chain from where the jump took place. Packet is passed to next firewall rule (in
originating chain, if there was no previous match to stop packet analysis).
Tarpit
Capture and hold TCP connections (replies with SYN/ACK to the inbound TCP SYN packet). Packet is not passed to
next firewall rule.
306
307
Acepta ICMP Echo replies (Deseas hacerle ping a un servidor en el internet y quieres
recibir respuesta!)
Drop icmp echo requests (No deseas que otros te hagan ping. Quedarte por debajo del
radar!)
Acept todo lo "established" y "related" en trfico input (Deseas que se responda a todo lo
que el router pida como, como NTP and DNS)
Drop all "invalid" input traffic (Todo lo que el router recibi que no haya solicitado)
Log the rest of input traffic (Dej algo importante?)
Drop the rest of input traffic (Quiero estar seguro!)
308
309
310
Como se vera..
311
312
Basic address-list
313
Basic address-list
Address lists son grupos de IPs
Se utilizan para simplificar reglas
Por ejemplo, puedes crear 100 reglas para bloquear 100 IP, o!!
Puedes crear un grupo con 100 IP solo crear una regla.
314
Basic address-list
Puede ser utilizados en firewall filters, mangle y NAT.
La configuracin de address lists puede ser
automatizada utilizando los actions add-src-toaddress-list o add-dst-to-address-list en reglas de
firewall, mangle o NAT.
Es una manera excelente de bloquear IPs sin tener que
entrarlos uno por uno
Ejemplo : add action=add-src-to-address-list addresslist=BLACKLIST chain=input comment=psd ininterface=ether1-Internet psd=21,3s,3,1
315
316
Source NAT
317
NAT
Network Address Translation (NAT) permite utilizar
un set de IP en el LAN y otro grupo de IPs en el lado
del WAN .
Source NAT traduce direcciones IP (en el LAN) a
direcciones IP pblicas cuando se accede al internet.
Lo mismo sucede cuando el trfico viene del internet.
A veces se le conoce como ocultar o esconder" (tu
red) detrs del IP provisto por el ISP.
318
319
Destination NAT
321
322
323
NAT Syntax
Source NAT (from /ip firewall nat)
Destination NAT
Redirigir todo trfico http (TCP, port 80) al servicio de web proxy en el router TCP 8080
324
325
Laboratorio
Metas del lab
Configurar
326
Laboratory : Setup
327
Laboratorio : Paso 1
Antes de comenzar con reglas de Firewall, haremos prueba con
una regla de NAT: Masquerading
328
Laboratorio : Paso 2
Ahora para hacerlo interesante configuremos reglas de
firewall. Aplica las siguientes reglas al trfico entrante
en la interface WAN.
Accept icmp echo replies
Drop icmp echo requests
Accept all "established" and "related" input and forward
traffic
Drop all "invalid" input and forward traffic
Log the rest of input and forward traffic
Drop the rest of input and forward traffic
Add meaningful comments to all rules.
Do the same for the "log" rules' prefixes.
329
Laboratorio : Paso 3
Ahora que tienes reglas, verifica tus logs. Mira
los mensajes y el formato
Viendo lo que muestra ahora, crees que hacer
troubleshooting de conecciones sera mas fcil
ahora?
330
Laboratorio: Paso 4
Crea address list que represente cada POD
Utiliza el siguiente formato:
Name
: Pod1
Address : <network/mask> of the LAN
Name : Pod1
Address : <IP> of the WAN interface
331
Laboratory : step 5
Pods should be matched in pairs for the following tests
Close your WinBox window and reopen it, connecting
to your peer pod. What's happening?
With one filter rule ONLY, allow all IP addresses from
you peer pod to connect to your router with WinBox
(TCP, 8291)
Make sure that it's in the right spot so that it works
And DON'T forget comments!
332
Laboratorio : Paso 6
Para validar funcionamiento de Port
Redirection, tenemos que hacer un pequeo
cambio en los IP SERVICES de tu router.
En
333
Laboratorio : Paso 7
Cierra y abre nuevamente el WinBox sin aadir
ningn character adicional. Resultados?
Entra al router con WinBox en el puerto 8111.
Crea una regla de dst-nat con redirect action al puerto
8111 en todo trfico TCP 8291.
Cierra y abre nuevamente el WinBox sin el puerto
luego del IP. Funciona?
Entra al router del POD de tu vecino. Que sucede?
334
Laboratorio : Paso 8
Regresa la configurin del Puerto de WinBox
en IP SERVICES a 8291.
Deshabilita (no borres) la regla de dstnat
"redirect".
Cierra WinBox y valida que puedas entrar a tu
router y el de tu vecino normalmente.
335
Laboratorio : Paso 9
Crea una regla dst-nat rule con un redirection
action al Puerto 8291 a todo trfico TCP 1313
que entre por el Puerto de WAN.
Abre WinBox y entra a tu router utilizando
Puerto 1313.
Abre WinBox y entra al router de tu vecino
utilizando Puerto 1313.
Resultados?
336
Laboratorio : Paso 10
Haz un export backup y un binary backup bajo
el nombre module6-podX
(x = tu POD).
337
338
QoS
Mdulo 7
339
Simple queue
340
Introduccin
QoS (quality of service) es el arte de manejar
recursos de ancho de banda en vez de
simplemente limitar ancho de banda a ciertos
nodos.
QoS puede darle prioridad a trfico basado en
mtricas. Bueno para:
Aplicaciones
Crticas
Trfico sensible tales como video y voz.
341
Introduccin
Simple queues son eso mismo simples
formas de limitar ancho de banda a:
Upload
de clientes
Download de clientes
Agregacin de clientes (download y upload)
342
Target
Target a quin el simple queue es aplicado
Un target DEBE ser especificado. Puede ser:
Un
IP address
Un subnet
Una interface
343
Destinations
IP address a donde el trfico dirigido o,
Interface por donde fluir el trfico del destino.
No es compulsorio como lo es el campo de
Target.
Puede ser utilizado para limitar las restricciones
de los queue.
344
345
Bursting
Bursting permite a usuarios obtener mayor
bandwidth que lo configurado en max-limit,
pero solo por un perodo corto.
Util para impulsar trfico que no utiliza ancho
de banda frecuentemente. Por ejemplo, HTTP.
Descarga una pgina mas rpido por unos
segundos.
346
Bursting
Definitions.
Burst-limit : Maximum data rate while burst is allowed.
(mientras burst es permitido)
Burst-time : Time, in seconds, over which the sampling is
made. It is NOT the period during which traffic will burst.
(tiempo en segs. donde es verificado para ejecutar el burst)
Burst-threshold : The value that will determine if a user will
be permitted to burst (define si el usario podr hacer burst)
Average-rate : An average of data transmission calculated in
1/16th parts of "burst-time".
Actual-rate : Current (real) rate of data transfer.
347
Bursting
Como funciona.
348
Bursting
349
Bursting
350
Syntax
Un Simple Queue
351
Tip
Si te fijas, los iconos de cada Queue cambian
de color de acuerdo a la utilizacin que est
teniendo cada uno.
Green
352
354
Configuracin de Pcq-rate
El parmetro de pcq-rate limita el data rate
permitido por el Queue Type.
Classifier es lo que el router verifica para ver
como aplica la limitacin. Puede ser un IP
address o Puerto source o destino. Puedes
tambin limitar por el tipo de trfico (HTTP for
example).
355
Configuracin Pcq-limit
Este parmetro es medido en paquetes.
Un valor de pcq-limit alto
Crear un buffer mayor, reduciendo la prdidad de paquetes
Aumentar la latencia
356
Configuracin Pcq-limit
Que valor utilizar? No hay una respuesta sencilla.
Siempre comienza con "Trial & Error" por aplicacin
Si usuarios se quejan de latencia, reduce el valor de pcq-limit
(queue length)
Si los paquetes tienen que transitar a travs de una
configuracin de firewall compleja, tal vez tengas que
incrementar el queue length ya que puede crear delays
Interfaces ms rpidas (como Gigabit) requiere Queues mas
pequeos ya que en estas se reducen los delays.
357
PCQ, ejemplo
Supongamos que tenemos usuarios
compartiendo un WAN link limitado. Le vamos
a asignar los siguientes data rates:
Download
: 2Mbps
Upload : 1Mbps
358
PCQ, ejemplo
/ip firewall mangle
add action=mark-packet chain=forward new-packet-mark=client_upload \
out-interface=ether1 src-address=192.168.3.0/24
add action=mark-packet chain=forward dst-address=192.168.3.0/24 \
in-interface=ether1 new-packet-mark=client_download
/queue type
add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M
/queue tree
add name=queue_upload packet-mark=client_upload parent=global queue=\
PCQ_upload
add name=queue_download packet-mark=client_download parent=global queue=\
PCQ_download
359
Ejemplo explicado
Mangle : Le estamos diciendo al router que marque los paquetes con la
marca "client_upload" "client_download", dependiendo si:
360
Monitoreo
361
362
Torch
Torch es una herramienta de monitoreo en vivo
(real-time) el cual puede ser utilizada para
monitorear trfico dirigindose a una interface
especfica.
Por CLI es BIEN flexible, por WinBox es
intuitive.
363
Torch, CLI
[admin@Pod3] /tool> torch interface=ether2 port=winbox
SRC-PORT
53217
DST-PORT
8291 (winbox)
TX
12.0kbps
12.0kbps
RX TX-PACKETS RX-PACKETS
4.7kbps
7
6
4.7kbps
7
6
TX
RX TX-PACKETS RX-
15.2kbps
5.1kbps
728bps
600bps
92.8kbps
5.3kbps
12
744bps
616bps
62414
53 (dns)
53538
80 (http)
62437
53 (dns)
53540
80 (http)
182.2kbps
8.4kbps
18
53541
80 (http)
191.1kbps
8.6kbps
19
59150
53 (dns)
760bps
632bps
53542
80 (http)
112.9kbps
7.0kbps
12
53543
443 (https)
34.8kbps
6.3kbps
53544
80 (http)
860.4kbps
20.0kbps
73
53545
80 (http)
4.5kbps
5.6kbps
53546
80 (http)
122.0kbps
6.3kbps
12
53547
80 (http)
122.0kbps
5.8kbps
12
65144
53 (dns)
1064bps
608bps
53548
80 (http)
1392bps
5.7kbps
1743.1kbps
87.0kbps
182
364
Torch, Winbox
365
Graphs
Graphing es una herramienta utilizada para monitorear varios
parmetros de RouterOS en un lapso de tiempo especfico y
colocar la data colectada en grficas.
Los siguientes parmetros pueden ser colectados.
366
Graphs
Primeros pasos.
[admin@Pod3] /tool graphing> set store-every=5min page-refresh=300
[admin@Pod3] /tool graphing> print
store-every: 5min
page-refresh: 300
[admin@Pod3] /tool graphing>
367
Graphs
368
SNMP
SNMP, Simple Network Management Protocol, es un
protocol estandar utilizados para manejar equipos IP
en una red.
Muchas herramientos, tanto open source como
comercial, est disponibles para trabajar con SNMP y
automatizar trabajos.
Como todo, la configuracin debe ser planificada ya
que este protocolo es propenso a ataques.
369
SNMP
Primeros pasos..
[admin@Pod3] /snmp> set enabled=yes
[admin@Pod3] /snmp> set contact=YOU
[admin@Pod3] /snmp> set location=OFFICE
[admin@Pod3] /snmp> print
enabled: yes
contact: YOU
location: OFFICE
engine-id:
trap-target:
trap-community: (unknown)
trap-version: 1
trap-generators:
[admin@Pod3] /snmp>
370
SNMP
Hay que prestarle atencin a los Communities.
Los mismos dictan privilegios.
[admin@Pod3] /snmp community> print detail
Flags: * - default
0 * name="public" addresses=0.0.0.0/0 security=none read-access=yes writeaccess=no
authentication-protocol=MD5 encryption-protocol=DES authenticationpassword=""
encryption-password=""
[admin@Pod3] /snmp community>
371
SNMP
372
373
Laboratorio
Metas del lab
Configurar
374
Laboratorio : Setup
375
Laboratorio : Paso 1
Antes de continuar, instala un MIB browser en
tu computadora
Adems, los PODs deben unirse en pareja ya
que los pasos van a requerir que mas de 1
computadora est conectada al router.
376
Laboratorio : Paso 2
Valida el throughput utilizando una pgina de prueba
de velocidad (speedtest). Anota los resultados.
Configura un simple queue (nmbralo "lab7") el cual
limite todo tu LAN a 4Mbps y 2Mbps upload.
Valida nuevamente el throughput.
Solicita a un compaero que se conecte a tu router y
repite la prueba de velocidad. Resultado? Sucede lo
mismo si te conectas al router de tu compaero?
377
Laboratorio : Paso 3
Aade bursting en el queue "lab7". Parmetros
son :
Burst
378
Laboratorio : Paso 4
Configura queue PCQ para que todas las
computadoras en el mismo LAN tengan un lmite de
4Mbps de download y 2Mbps de upload. Asegrate
ponerle nombres que que hagan sentido!
Haz una prueba de velocidad (speedtest) cualquier
pgina en lnea. Resultados?
Solictale a tu compaero que se conecte a tu routter y
haz la misma prueba. Resultado? Sucede lo mismo si
te conectas al router de tu compaero?
379
Laboratorio : Paso 5
Configura traffic monitoring de forma tal que te
enve un email cuando el trfico inbound
exceda los 3Mbps en tu interface wireless.
380
Laboratorio : Paso 6
Utiliza la herramienta de Torch de tal manera
que puedas ver el IP del source para cualquier
trfico desde cualquier IP y cualquier Puerto en
la interface wireless. Experimenta con Torch en
CLI y WinBox.
381
Laboratorio : Paso 8
Habilita los Graphs en:
Interface
Wireless
Recursos de Hardware
Navgalos en tu explorador
382
Laboratorio : Step 8
Habilita SNMP, y provee la siguiente
informacin:
Tu
Laboratorio : Paso 9
Como siempre, haz un binary backup y export
backup segn efectuado en los pasados
laboratorios.
384
385
Tunnels
Mdulo 8
386
Tunnels
Los Tneles son una forma de expandir tu red privada
a travs de una red pblica tal como lo es el internet.
Tambin son conocidos como VPNs (virtual private
networks).
Los conceptos de seguridad son aplicados en los
VPNs. Son utilizados, ya que todo trfico es
transmitido por redes pblicas y no por la red privada
del cliente final.
387
PPP settings
388
PPP profile
PPP profiles representan los parmetros de configuracin el cual sern utlizados por
los PPP clients tales como los siguientes y otros:
IP Address local y remota o pools
Compression
Encryption
/ppp profile (ejemplo desde un cliente)
add change-tcp-mss=yes name=Profile-external use-compression=\
yes use-encryption=yes use-vj-compression=no
/ppp profile (ejemplo desde un servidor)
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\
Profile-internal remote-address=Pool-VPN use-compression=yes \
use-encryption=yes use-vj-compression=no
389
PPP secret
PPP secrets estn localizados en los PPP servers y los mismos especifican los parmetros bsicos
requeridos para autenticar un cliente, tales como:
Name : ID del usuario
Password : Contrasea
Service : Servicio con el cual se trabajar (Si es dejado como "any", el PPP secret autenticar al
usuario con cualquiera de los protocolos (PPPoE, L2TP, PPTP, etc.)
Profile : Las configuraciones pertinentes al usuario. Los parmetros de Profiles permite el ser
utilizado para mltiples usuarios sin tener que entrarlos por independiente
Clientes no utilizan los PPP secrets como sus credenciales de autenticacin. Los mismos son
especificados en la interface PPP del cliente bajo los parmetros "user" y "password.
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external routes=\
192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
390
PPP status
Representa el estatus actual de la connection. Util para hacer debug y
verificar la operacin correcta de los tneles.
[admin@Pod5] > /ppp active print detail
Flags: R - radius
0
name="alain" service=pppoe caller-id="28:D2:44:2C:06:EE" address=192.168.5.100
uptime=3m56s
encoding="MPPE128 statefull" session-id=0x81B00044 limit-bytes-in=0 limit-bytesout=0
1
name="Pod4-external" service=pppoe caller-id="D4:CA:6D:8E:1A:97"
address=192.168.222.2 uptime=37s
encoding="MPPE128 stateless" session-id=0x81B00045 limit-bytes-in=0 limit-bytesout=0
[admin@Pod5] > /ppp active print
Flags: R - radius
#
NAME
SERVICE CALLER-ID
ADDRESS
UPTIME
ENCODING
alain
pppoe
28:D2:44:2C:06:EE 192.168.5.100
4m12s
MPPE128 statefull
Pod4-exte... pppoe
D4:CA:6D:8E:1A:97 192.168.222.2
53s
MPPE128 stateless
391
IP pool
392
Configurando un pool
IP pools define un rango de IP addresses para los
clientes.
No solo es utilizado para DHCP como vimos en el
mdulo anterior, sino que a su vez se utiliza para PPP
y clientes Hotspots.
Util para cuando una interface va a servir mltiples
clientes. IP addresses son asignados dinmicamente.
393
IP Pool ranges
IP pool ranges son listas de IP que no coinciden entre
s y que pueden ser asignadas a clientes a travs de
servicios DHCP, PPP, PPP y Hotspots.
Vamos a ver el ejemplo: Tienes 50 computadoras en la
red de la empresa y 50 computadoras provenientes a
travs del VPN.
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
394
IP Pool ranges
Necesitas aadir 50 computadoras mas en el IP Address Pool.
/ip pool print
# NAME
0 Pool-PC
1 Pool-VPN
RANGES
192.168.5.50-192.168.5.99
192.168.5.100-192.168.5.149
/ip pool
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
/ip pool> print
# NAME
0 Pool-PC
1 Pool-VPN
RANGES
192.168.5.50-192.168.5.99
192.168.5.150-192.168.5.199
192.168.5.100-192.168.5.149
395
Asignndolo a un servicio
Pools segn mencionamos pueden ser aadidos
a varios servicios como DHCP, PPP y Hotspot.
Veremos la configuracin mas adelante...
396
397
PPPoE
Point-to-point over Ethernet es un protocolo en
Layer 2
Es utilizado frecuentemente por ISPs para
controlar accesos a sus redes.
Puede ser utilizado como mtodo de acceso a
cualquier tecnolog en Layer 2 tales como
802.11 o Ethernet.
398
PPPoE service-name
El service-name puede ser visto como un SSID
de 802.11, lo que significa sera el nombre de la
red que el cliente est buscando.
A diferencia de un SSID, si el cliente no
especifica uno, el access concentrator (PPPoE
server) enviar todo los service-names que
tiene. El cliente responder al primero que
reciba.
399
400
402
403
Point-to-point addresses
La forma ms facil de configurar addresses es es
hacindolo manualmente.
Direcciones IP de /ppp secret tienen prioridad sobre
/ppp profile, y toman prioridad a su vez sobre /ip pool
Ambas direcciones local y remotas pueden ser nicas
o provenientes de un pool.
Static IP addresses o DHCP en interfaces de clientes
PPPoE. Deja que la infraestructura especficamente lo
que se ha establecido!
404
405
406
408
409
410
SERVICE CALLER-ID
PASSWORD
PROFILE
any
any
pod4-123
alain!!
Profile-external
Profile-internal
REMOTE-
/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external
routes=192.168.4.0/24,10.10.2.0/24
add name=alain password=alain!! profile=Profile-internal
411
412
Nota final
VPN
Protocol
Encryption
Ports
Compatible
with
Notes
PPTP
1723 TCP
SSTP
443 TCP
Windows 7
414
Laboratorio
Metas del lab
Crear PPP profiles y secrets
Crear y asignar IP pools a servicios
Crear PPPoE VPN entre una computadora y un
router
Crear tuneles PPTP y SSTP entre los PODs
Asegurarse de enrutamiento correcto
415
Laboratorio : Configuracin
416
Laboratorio : Paso 1
Estudiantes trabajarn este laboratorio en par. Estudiantes
configurarn 3 PPP Profiles:
2 para ser utilizado con el POD del vecino
Uno para el servicio de server.
Uno para el servicio del cliente.
417
Laboratorio : Paso 2
Crea un IP pool para ser utilizado por los
clientes que deseen conectarse a travs de VPN
- Tu pool estar en una red distinta a tu LAN existente.
- Asigna el pool al profile a ser utilizado por tu futuro
VPN Corporativo.
418
Laboratorio : Paso 3
Selecciona un Puerto disponible en tu router (ether5
preferible) y remuvela de cualquier bridge o Puerto
master a el cual est asignada. No debe tener IP o
DHCP configurado.
Configura un PPPoE server en ese Puerto del router.
Debes utilizar el profile que usastes para los clientes
VPN. Habilita solo MSChap2 como mtodo de
autenticacin. Lee el material del curso referente a
configuracin de compression y encryption.
419
Laboratorio : Paso 4
Configura tu computadora para conectarse al router
como cliente PPPoE.
Conctate y navega el internet!
Avisos!
Verifica la interface donde configuraste el server (y el Puerto
que al cual conectaste tu computadora)
Verifica las configuraciones de los profiles en el PPPoE
server y PPP secret.
420
Laboratorio : Paso 5
Conecta tu computadora nuevamente a un Puerto
Ethernet normal.
Los PODs con nmeros pares crearn un PPTP server
y un SSTP client.
Los PODs impares crearn un PPTP client y un SSTP
server.
Utiliza los profiles y secrets previamente creados.
SSTP no puede utilizar certificados!
Sube los tneles de VPN y verifica que sucedi.
421
Laboratorio : Paso 6
Nada? Que se nos olvid?
Ayuda : Una regla nueva de firewall talvez?
422
Laboratorio : Paso 7
Remueve las rutas estticas de tu table de rutas.
Solo debes tener una a tu POD.
Ejecuta un ping al IP Address del LAN de tu
POD vecino. Funciona? Pero si el tunel est
arriba, porque no funciona? (Deja el ping
corriendo)
Puedes hacerle ping a la direccin IP remota
del tunel? Si funciona significa no todo est
mal configurado .
423
Laboratorio : Paso 8
En el PPP secret de tu router y en el campo "Routes",
aade el network y el mask de tu POD vecino.
Un vez se configure esto en ambos PODs, reinicia el
tunel del cliente.
Nota el efecto que tiene en tu tabla de enrutamiento. El
subnet de tus peer's han aparecido una vez tu POD
vecino se logea en el VPN. Una vez ambos estn
arriba, podrn hacerse Ping.
Nota tambin las direcciones IP en el IP address list.
424
Laboratorio : Paso 9
Como usual, haz un binary backup y export
backup utilizando el mismo format de los
dems laboratorios.
425