MTCNA

MikroTik Certified Network Associate
(MTCNA)
MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission.
Presentarse individualmente
Nombre
Compaa
Conocimiento previo sobre RouterOS
Conocimiento previo sobre Networking
Qu espera de este curso?
Agenda
Horario diario (3 das)
9:00am a 6:00pm
Descansos 15-20mins.
10:30am y 3:00pm
Almuerzo
12:00pm to 1:00pm
Examen
ltimo da, 1 hora
Porque tomar el curso de MTCNA?

Introduccin a RouterOS y productos
RouterBOARD
Provee un mayor panorama de las capacidades
de RouterOS y lo que puedes hacer con los
productos RouterBOARD.
Te facilitar un fundamento slido y
herramientas valiosas para hacer tu trabajo.
Objetivos del Curso

Al finalizar el curso el estudiante:
Estar familiarizado con los productos
RouterOS y RouterBOARD.
Podr configurar, administrar y hacer
troubleshooting bsico de routers MikroTik.
Proveer servicios bsico a clientes o empresas.
Otros..
Este curso est basado en RouterOS 6 y
RB951G-2HnD
Mdulo
1 est basado en ROS 5.26
IMPORTANTE
En consideracin hacia los dems
estudiantes e instructor:
Telfono u otro en modo silencioso
Tomar llamadas fuera del saln
Introduccin
Mdulo 1
RouterOS y RouterBOARD
Que es RouterOS?
MikroTik RouterOS es el sistema operativo del
RouterBOARD.
Tiene todo los features necesarios para ISP o
administrador de redes tales como routing,
firewall, bandwidth management, wireless
access point, backhaul link, hotspot gateway,
VPN server y ms.
10
Que es RouterOS?
RouterOS es un Sistema operativo basado en el
Kernel v3.3.5 de Linux y provee toda las
funcionalidades en una simple y rpida
instalacin con una interfaz o GUI fcil de
utilizar.
11
Que es RouterBOARD?
Una gama de soluciones de hardware creadas
por MikroTik para poder cumplir con
necesidades de redes alrededor del mundo
Todos operan con RouterOS.
www.mikrotik.com
www.routerboard.com
12
Soluciones Integradas
Estas son provistas completas con cajas y
powersupplies.
Listas para utilizar y preconfiguradas con las
configuraciones bsicas.
Lo nico que tienes que hacer es conectarlas al
internet, oficina o casa.
13
RouterBOARD (boards solamente)

Motherboard pequeos. Tu escoges caja,
powersupply e interfaces a utilizar.
Perfectos para tu propio ensamblaje, proveen la
mayor personalizacin y configuracin fsica.
14
Enclosures
Cajas Indoor y Outdoor para RouterBOARDs.
Es seleccionado basado en:
La
localizacin a ser instalada

El modelo de RouterBOARD
El tipo de coneccin necesitada (USB, antennas,
etc.).
15
Interfaces
Mdulos ethernet, fiber SFPs o tarjetas wireless
para expandir la funcionabilidad de un
RouterBOARD o PCs con sistema RouterOS.
Nuevamente, la seleccin es basada en tus
necesidades
16
Accesorios
Estos son hechos para productos MikroTik
power adapters, mounts, antennas y PoE
injectors.
17
MFM
Con el programa MFM (Made for MikroTik)
tienes an mas opciones adicionales para crear
tu propia solucin o router.
18
Porque obtener un router integrado?

Puedes trabajar con varias necesidades
Opciones add-on adicionales
Mnimo o Cero requerimiento de expansin
Configuracin predefinida
Simple solucin a su vez eficiente
19
Router integrados, ejemplos

RB951G-2HnD
Excelente para Casa
o SoHo
5 puertos Gbps
Wi-Fi 2.4Ghz
integrado
Licencia Nivel 4
20
Routers integrados, ejemplos

SXT Sixpack
(1 OmniTIK U-5HnD with 5 SXT5HPnD)
Excelente para WISP o

empresa con oficinas
remotas
5 puertos 100Mbps
(OmniTik)
5 radios 5Ghz 802.11a/n
Puede cubrir hasta 5Km
entre oficina principal y
remotas
21
Routers integrados, ejemplos

CCR1036-12G-4S
Cloud Router
Modelo Elite
Excelente para ISPs o redes de
compaas
1 Unidad rack
12 puertos Gbps
Puerto Serial, USB y touch
screen
4GB RAM, puede utilizar
cualquier tamao de RAM
SO-DIMM
22
Nota de inters
Los nombre de los routers son asignados
dependiendo su capacidad, ejemplos:
CCR
: Cloud Core Router

RB : RouterBoard
2, 5 : 2.4GHZ or 5GHz wifi radio
H : High powered radio
S : SFP
U : USB
i : Injector
G : Gigabit ethernet
23
Porque construir tu propio router?

Atacas una variedad de necesidades propias
Muchas opciones add-on y expansin
Configuraciones customizables
Puede ser integrado en equipos o gabiente
existente de clientes
Solucin mas completa para necesidades
particulares
24
Routers customizados, ejemplos

Flexible CPE
RB411UAHR
1 puerto 100Mbps
1 radio 2.4GHz radio (b/g)
Licencia Nivel 4
Aade Power supply o

mdulo PoE
Aade enclosure 3ero
Aade modem 3G PCI-E
25
Routers customizados, ejemplos

HotSpot potente
RB493G
9 puertos giga
Licencia nivel 4
Aade power supply o

modulo PoE
Aade R2SHPn (tarjeta 2.4GHz)
Aade R5SHPn (tarjeta 5Ghz)
Aade enclosure 3ero
Aade tarjeta microSD
26
Primera vez accediendo el router
27
Explorador de internet
Forma intuitiva de conectarse a un router con
RouterOS.
28
Explorador de Internet
Conectas cable Ethernet al router
Ejecutas explorador de internet
Entras IP del router
Si solicita login, usas admin sin contrasea
29
Internet browser
Ejemplo:
30
WinBox y MAC-Winbox
WinBox es la interface propietaria de MikroTik
para acceder los routers
Puede ser descargado desde la pgina de
MikroTik.com o del mismo router
Es utilizado para acceder a travs de IP (OSI
Layer 3) o MAC (OSI Layer 2)
31
WinBox y MAC-Winbox
En el navedor de
internet buscas
abajo donde se
muestran los
distintos iconos,
click y save.
32
WinBox y MAC-WinBox
Ejecutas WinBox.
IP 192.168.88.1 luego
Connect
Pantalla default:
OK
33
WinBoxs menus
Toma 5 minutos para navegar los menus
Toma nota en especial de lo siguiente:
IP Addresses
IP
Routes
System SNTP
System Packages
System Routerboard
34
Console port
Requiere que
conectes la
computadora al
router con un cable
serial
(RS-232 port).
Default is
115200bps, 8 data
bits, 1 stop bit, no
parity
35
SSH y Telnet
Herramientas IP estandar para acceder
Comunicacin con Telnet es clear text
Disponible
en la mayora de sistemas operativos
Inseguro!!
Comunicacin con SSH es encriptado

Seguro!!
Mltiples
herramientas tales como PuTTY

(http://www.putty.org/)
36
CLI
Command Line Interface
Es la interface utilizada cuando conectas con
Telnet, SSH y Serial
Necesario en especial si utilizars scripts!
37
Configuracin Inicial (Acceso al

Internet)
38
Con o sin configuracin bsica?

Puede que tengas o no una configuracin bsica
cuando instalas desde inicio
Puedes escoger no iniciar con configuracin
bsica por default
Verifica esta pgina para ver como se
comportara tu router con configuracin bsica
incluida:
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
39
Configuracin bsica
Dependiendo de tu hardware obtendrs
configuracin bsica, el cual puede incluir
WAN
port
LAN port(s)
DHCP client (WAN) and server (LAN)
Basic firewall rules
NAT rule
Default LAN IP address
40
Configuraci bsica
Cuando te conectas
por primera vez con
WinBox escojes
OK
Ahora el router
inicia con la
configuracin
bsica predefinida.
41
Sin configuracin
Puede ser utilizado en ocasiones donde la
configuracin bsica no es necesaria, ejemplo:
No
hay necesidad de reglas de firewall

No hay necesidad de NAT
42
Sin configuracin
Los pasos mnimos para configurar acceso
hacia el internet si tu router no tiene la
configuracin bsica:
LAN
IP addresses, Default gateway and DNS server

WAN IP address
NAT rule (masquerade)
SNTP client and time zone
43
Actualizando el router
44
Cuando actualizar?
Correccin de un bug.
Se requiere un nuevo Feature.
Funcionamiento Mejorado.
NOTA: Siempre leer el changelog!!
45
Procedimiento
Requiere planificacin.
Pasos
pueden requerir un orden preciso.
Requiere validacin
y
validar
y seguir validando!!
46
Antes de actualizar
Conoce la arquitectura (mipsbe, ppc, x86,
mipsle, tile) que vas a actualizar.
Duda?
Winbox indica la arquitectura en la extrema

izquierda
Conoce que archivos son requeridos:

NPK
: Imagen base de RouterOS image con los

paquetes standard (Siempre)
ZIP : Paquetes adicionales (Depende la necesidad)
Changelog : Indica los cambios (Siempre)
47
Como actualizar
Obtienes los archivos de Mikrotik.com
Downloads
48
Como actualizar
3 Maneras
Descargas
el archivo y lo copias directo al router.

Check for updates (System -> Packages)
Auto Upgrade (System -> Auto Upgrade)
49
Descargando los archivos

Lo copias al router a travs del menu en
Files.
Ejemplo de archivo:
routeros-mipsbe-5.25.npk
ntp-5.25-mipsbe.npk
Reinicio
Valida el estado del router
50
Verificando actualizaciones
(con /system packages)
En el men
System -> Packages
Click en Check for
Updates luego
Download & Upgrade
Reinicia automticamente
Valida paquetes y estado
del router
51
Actualizacin Automtica
Copia todo los paquetes para todo los routers a
un router interno del network
Configuras los routers para que apunten al que
contendr los paquetes
Presenta paquetes disponibles
Selecciona y descarga los paquetes
Reinicia y valida el estado del router
52
Actualizacin Automtica
53
Actualizacin firmware
RouterBOOT
Verificar version actual
[admin@MikroTik] > /system routerboard
print
routerboard: yes
model: 951-2n
serial-number: 35F60246052A
current-firmware: 3.02
upgrade-firmware: 3.05
[admin@MikroTik] >
54
Actualizacin firmware
RouterBoot
Actualiza si es requerido (requerido en el
ejemplo)
[admin@MikroTik] > /system routerboard upgrade
Do you really want to upgrade firmware? [y/n]
y
firmware upgraded successfully, please reboot for changes to
take effect!
[admin@MikroTik] > /system reboot
Reboot, yes? [y/N]:
55
Manejar logins de RouterOS
56
Cuenta de usuarios
Crea cuentas de usuarios para:
Manejar
privilegios
Verificar actividades por usuarios
Crea grupos para

Mayor
flexibilidad cuando asignes

Privilegios.
57
Manejar Servicios de RouterOS
58
IP Services
Administra IP Services para:
Limitar
uso de recursos (CPU, memory)

Limitar vulnerabilidades (Puertos Abiertos)
Cambiar puertos TCP
Limitar IPs aceptadas o subnets
59
IP Services
Para manejar ve a IP -> Services
Habilita o deshabilita lo requerido.
60
Acceso a IP Services
Doble-click a service
Si es necesario
especifica que hosts o
subnets pueden accesar
el servicio,
- Muy Buena prctica el
limitar ciertos servicios a
administradores solamente.
61
Manejar configuraciones de
respaldo (Backup)
62
Tipos de respaldos (backups)

Binary
Configuration export
63
Binary backup
Backup completo del sistema
Incluye contraseas
Asume que la restauracin ser en el mismo
router
64
Export files
Configuracin complete o
parcial
Genera un script file o lo
muestra en terminal
Utiliza compact para
mostrar no
configuraciones default
(default en ROS6)
Utiliza verbose para

mostrar configuraciones
default
65
Archivando backup files

Luego de generrado, cpialos a un servidor u
otro.
Con
SFTP (modo seguro)

Con FTP (si habilitado en IP Services)
Utiliza drag and drop desde Files
Dejar backups en el mismo router NO es una

estrategia correcta de respaldo
No
existen tape o CD backups para routers
66
Licencias RouterOS
67
Niveles de licencias
6 niveles de licencias
0
: Demo (24 hours)

1 : Free (very limited)
3 : WISP CPE (Wi-Fi client)
4 : WISP (required to run an access point)
5 : WISP (more capacities)
6 : Controller (unlimited capacities)
68
Licencias
Determina las capacidades permitidas en tu
router.
RouterBOARD ya viene con licencia preinstalada.
Niveles
varian
Licencias para sistemas x86 tienen que ser

compradas.
Licencia
solo es vlida para un solo sistema.

69
Actualizando licencias
Niveles son mostrados en
http://wiki.mikrotik.com/wiki/Manual:License
Usos tpicos
Level
3: CPE, wireless client

Level 4: WISP
Level 5: Larger WISP
Level 6: ISP internal infrastructure (Cloud Core)
70
Uso de licencias
NO se puede actualizar nivel de licencia.
Compra el correcto requerido desde inicio.
La licencia es atada al disco el cual es
instalado. Cuidado con formatear el disco con
herramientas que no sean de Mikrotik.
Lee la pgina de licencias para mas info!
71
Netinstall
72
Usos de Netinstall
Reinstala RouterOS si el original es
corrompido o afectado
Reinstala RouterOS si la contrasea de
admin es perdida
Se encuentra en la pgina de MikroTik en el
rea de Download
73
Procedimiento: no serial
Para RBs sin puerto serial COM.

Conecta computadora al puerto Ethernet 1
Asigna
una ip y mscara esttica
Ejecuta Netinstall
Cliquea
Net booting y asigna un IP en el mismo

segmento de la computadora
En Packages, cliquea Browse y selecciona

el directorio que contiene el paquete NPK.
74
Presiona el botn de reset hasta que el Led
ACT se apague
El
router aparecer en la seccin Routers/Drives,

luego seleccinalo!
Escoge la version de RouterOS en la seccin

Packages
El
botn de Install ahora se encuentra disponible,

click!
75
La barra de progreso se tornar azul mientras el
archive NPK es transferido
Al finalizar, reconecta la computadora en un
puerto y acceso al internet en el Puerto 1
Utiliza MAC-Winbox para conectarse ya que
configuracin estar en blanco
An
si Keep old configuration esteaba

seleccionado!!
76
Sube configuracin de backup y reinicia (La
importancia del manejo correcto de archivos de
backup!)
Si el problema fue por prdida de contrasea,

rehacer la configuracin desde inicio, ya que
contrasea utilizar la misma contrasea
olvidada.
(La
importancia del manejo correcto de accesos!)

77
Procedimiento: con Serial

Para RBs con puerto serial COM
Simimilar
PC
en Puerto ether 1 con ip esttico

Conecta Puerto serial de PC a Puerto COM del
RouterBOARDs
Ejecuta Netinstall (configura el parmetro NET
Booting)
Selecciona el directorio con el NPK
78

Reinicia el router
Presiona Enter cuando lo indique
Presiona o para boot device
Presiona e para Ethernet
Presiona x para salir del setup (router
reinicar)
79

Router
aparecer en la seccin
Routers/Drives
Seleccinalo
Selecciona el paquete RouterOS que ser

instalado
Cliquea Keep old configuration
El botn Install ahora estar dispnoible, click!
80

La barra de progreso se tornar azul mientras el
NPK es transferido.
Una vez finalizado, reconecta la computadora
en un pueto vlido y el internet al Puerto 1
Utiliza WinBox para reconectar
La opcin Keep old configuration SI funciona

aqu!!
81
Procedimiento: con serial

Reinicia el router
Presiona Enter cuando lo indique
Presiona o para boot device
Presiona n para NAND luego Ethernet on fail
Si
se te olvida, siempre hars boot desde el

Ethernet
Presiona x para salir (reiniciar el router)
82
Recursos adicionales
83
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
Wiki oficial de RouterOS

Documentacin de todo los comando
RouterOS
Explicacin
Sintaxis
Ejemplos
Tips adicionales!!
84
Tiktube
http://www.tiktube.com/
Recurso de videos de varios temas

Presentado por instructors, partners e ISPs
Puede incluir presentaciones en ppt o pdf
Varios lenguajes
85
Forum
http://forum.mikrotik.com/
Moderado por el equipo de Mikrotik

Panel de discusion de varios temas
MUCHA informacion aqu!!
- Podrs encontrar soluciones a tus
problemas!
Primero investiga y busca antes de postear una

pregunta. Estandard tica de foros!!
86
Mikrotik support
support@mikrotik.com
Procedimientos explicados en
http://www.mikrotik.com/support.html
Soporte de MikroTik
-15 days (license level 4)
-30 days (license level 5 and level 6) si
licencia fue comprada con ellos
87
Distributor / Consultant support

Soporte es provisto por Distribuidor cuando
equipo fue comprado al mismo.
Consultores disponibles para ser reclutados en
trabajos especiales
Visita http://www.mikrotik.com/consultants.html
88
Es tiempo de prctica!
Fin del modulo 1
89
Laboratorio
Metas del laboratorio
Familiarizarse
con mtodos de accesos

Configurar acceso al internet
Actualizar RouterOS con el mas reciente
Crear un grupo de acceso limitado, asignar un
usuario
Manejar IP services
Hacer un backup con configuracin actual y
restaurar luego de hacer factory reset
90
Setup
91
Laboratorio : Paso 1
Configura tu computadora con el ip esttico
que pertenece a tu POD
Asigna
Subnet Mask
Asigna Default gateway (tu router)
Asigna DNS server (tu router)
Actualiza a RouterOS 6
Una vez reiniciado el router, conctate a el de
manera que tengas acceso completo
92
Configura el IP de LAN del router
Configura el IP de WAN del router
Configura regla de NAT para internet*
Configura el DNS del router
Configura default route del router*
93
Aade un group con el nombre minimal
Dale derechos de telnet, read y winbox
Aade un usuario con tu nombre

Asgnalo al group minimal
Asigna una contrasea
Asigna una contrasea para usuario admin

Asigna que sea podX, donde X es tu nmero de pod
Accede con tu usuario y contrasea
Abre un New Terminal. Que sucedi?
94
Asegrese que el RouterBoard firmware est
actualizado.
Copia el paquete NTP (NPK file)
Verifica: System -> SNTP Client
Verifica: NTP Client y NTP Server
Que sucedi?
Luego de reiniciar el router

Verifica: -> SNTP Client
Verifica -> NTP Client and NTP Server
Configura el NTP client y Clocks timezone

95
Laboratorio: Paso 5
Accesar el router con Telnet
En el CLI deshabilitar los IP Service:
SSH
WWW
Accesar el router via WEB

Que
sucedi?
96
Laboratorio: Paso 6
Abre New Terminal y Files
Exporta la configuracin a un archivo llamado
modulo1-podX (X es tu pod)
Haz un backup binario (binary backup)
Copia ambos archivos a tu computadora
Abre
ambos y mira el contenido

Borra la regla de NAT e importa el backup exportado
para restaurar la regla.
97
Laboratorio: Paso 7
Mira la licencia del RouterBOARD
Verifica
el nivel de licencia de tu router.

Que capacidades tiene tu router?
98
Fin del Laboratorio 1
99
Routing
Mdulo 2
100
Routing Overview
101
Conceptos de Routing
Routing es un proceso en el Layer 3 del modelo
OSI.
Routing define donde el trfico de
comunicacin ser enviado (forwarded, sent).
Es requerido que multiples subnets se puedan
comunicar.
An
si se encuentran en el mismo wire (hub,

switch u otro que permita comunicacin)
102
Conceptos de Routing: Ejemplo 1

Computadoras no se podrn comunicar!!
103
Conceptos de Routing: Ejemplo 2

Computadoras Si se podrn comunicar.
104
Route Flags
Las Rutas tienen estatus. En este curso nos
familiarizemos con:
X
: Disabled
A : Active
D : Dynamic
C : Connected
S : Static
105
Route flags
Disabled : Ruta deshabilitada. No tiene
influencia en el proceso de enrutamiento.
Active : Ruta activa y S se toma en cuenta en
el proceso de enrutamiento.
Dynamic : Ruta dinmica creada por el proceso
de enrutamiento, no manualmente.
106
Route flags
Connected : Rutas son creadas para cada IP
subnet que tenga una interface active en el
router.
Static : Ruta creada manualmente para forzar
redireccionamiento de trfico o paquetes haca
un destino (gateway) en especfico.
107
Static Routing
108
Static routes
Rutas a subnets que existen en un router son
automticamente creadas y conocidas
solamente por ese router.
Que sucede si necesitas alcanzar un subnet que
exista en otro router? Configuras una ruta
esttica.
Una ruta esttica es una manera manual de
redirigir (forward) trfico a subnets no
conocidos.
109
Static routes
110
Static routes
Entendiendo los campos
Flags : El estado de cada ruta,

Dst. Address : IP o Subnet de destino para el cual la ruta es utilizada.
Gateway : Tpicamente, es el IP address del prximo salto (next hop) el
cual recibir los paquetes destinados al Dst. Address.
Distance : Valor utilizado para seleccin de ruta. En configuraciones
donde varias rutas son posibles, la ruta con el valor menor es la preferida.
Routing Mark : Tabla de ruta (Routing table) que contiene esta ruta.
Tabla de ruta (routing table) default es Main.
Pref. Source : La direccin IP de la interface local del router resposanble
de redireccionar (forward) los packets enviados por el subnet anunciado
(advertised).
111
Porqu utilizar rutas estticas (static

routes)?
Hace la configuracin mas simple en un
network pequeo donde usualmente no habr
crecimiento.
Limita el uso de los recursos del router
(memory, CPU)
112
Limites de rutas estticas

No es escalable.
Configuacin manual es requerida para cada
nuevo subnet el cual se requiera alcanzar.
113
Lmites de rutas estticas:

Ejemplo:
Tu red crece y tienes la
necesida de agregar enlaces
a routers remotos.
(Asumiendo que cada
router tiene 2 redes LAN y
1 red WAN)
114
Lmites de rutas estticas:

Ejemplo:
Router 3 a 5: 9 rutas
Router 2: 2 rutas
Router 6 y 7: 4 rutas
Total de 15 rutas estticas
manualmente!
115
Creando rutas
Para anadir una ruta
esttica :
IP ->
Routes
+ (Add)
Especifica subnet y
mscara
Especifica Gateway
(next hop)
116
Configurando el default route

La ruta 0.0.0.0/0
Conocido
como el Default route.
Es
el destino donde todo trfico a subnets o IPs

desconocidos ser enviado.
Al
igual es una ruta esttica.
117
Manejando rutas dinmicas

Segn mencionado, rutas dinmicas son
aadidas por el proceso de enrutamiento no por
el administrador.
Es Automtico.
No puedes manipular rutas dinmicas. Si la
interface donde la ruta dinmica est creada se
desconecta o se va down, tambin la ruta
dinmica se elimina.
118
Manjenado rutas dinmicas

Ejemplo:
119
Implementando enrutamiento esttico en un

simple network
Considera lo siguiente:
120
Implementando enrutamiento esttico

Ejercicio:
Asumiendo que las direcciones IP han sido
entradas, Que comandos usaras para lograr
completa comunicacin entre ambos subnets
(LAN1 and LAN2)?
(Respuesta en el prximo slide )
121
Implementando enrutamiento esttico

router-1
/ip route
add gateway=172.22.0.18
add dst-address=10.1.2.0/24 gateway=10.0.0.2
router-2
/ip route
add gateway=10.0.0.1
122
Es tiempo de ponerlo en prctica!
Fin del mdulo 2
123
Laboratorio
Lograr
conectividad a otros POD LANs

Validar el uso de default route
Lograr ver y explicar los Route Flags
124
Laboratorio : Setup
125
Eliminar la ruta default creada en el mdulo
anterior
Hacer ping a computadoras en otros PODs,
Resultado?
Crear rutas estticas a los dems POD LANs
Hacer ping a computadoras en otros PODs,
Resultados?
126
Abrir un explorador de internet y trata de
accesar la pgina de mikrotik.com. Resultado?
Crear la ruta default haca el router del Trainer
Trata de accesar nuvamente la pgina.
Resultado?
127
Fin del laboratorio 2
128
Bridging
Mdulo 3
129
Bridging overview
130
Conceptos de Bridging
Bridges funcionan en OSI Layer 2.
Tradicionalmente, eran utilizados par unir 2
segmentos de tecnologa distinta o similar.
131
Conceptos de Bridging
Bridges tambin eran utilizados para crear
pequeos collision domains .
La
meta era mejorar el funcionamiento reduciendo el

tamao del subnet. Especialmente eran muy tiles
antes de la llegada de los switches.
Switches son conocidos como bridges multipuertos (multi-port)s

Cada Puerto es un collision domain de UN nodo o
aparato!
132
Ejemplo 1
Todo las computadoras se pueden comunicar entre s
Cada una debe esperar que todas las computadoras
dejen de comunicar antes que una pueda comenzar a
transmitir!
133
Ejemplo 2
Toda las computadoras se escuchan entre s.
Toda las computadoras ahora solo comparten la mitad del
wire
An deben esperar que cada una termine de transmitir antes de
que otra pueda hacerlo pero el grupo se ha reducido a la mitad.
Mejor funcionamiento para todas!
134
Utilizando bridges
Por default, en routers MikroTik, puertos
Ethernet son asociados (slave) a un Puerto
master
Ventaja
: Switching en velocidad wire (a travs del

switch chip, no por software).
Desventaja : No hay visibilidad del trfico en los
puertos slave. No es deseable si monitoreas los
puertos y la red con SNMP.
135
Utilizando bridges
Si eliminas la configuracin de bridge master y
slave es necesario crear un bridge para unir los
puertos de LAN.
Ventaja
: Visibilidad total de los puertos aadidos.

Desventajas : Switching se por medio de software.
Aumento de procesamiento CPU. Menor que ptimo
la transferencia de paquetes.
136
Creando bridges
Utilizar los menus
Bridge
Add
(+)
Name the bridge
Click OK and youre done!
137
Creando bridges, ejemplo
138
Aadiendo puertos a bridges

Cuando aades puertos esto define cuales
pertenecen al mismo subnet.
Distintas tecnologas pueden ser aadidas tales
como interface Wi-Fi.
139
Aadiendo puertos a bridges

Paso para aadir puerto
Bridge
Ports
tab
Add (+)
Escoge la interface y el bridge
Cliquea OK y listo!
140
Aadiendo puertos a bridges,

ejemplo
141
Bridging redes wireless

Los mismo se puede hacer con interfaces
wireless.
Lo veremos en el prximo mdulot. Un poco
de paciencia!
142
Tiempo de prctica!
Fin del mdulo 3
143
Laboratorio
Metas del lab
Crear
un bridge
Asignar puertos al bridge
Validar que al seguir estos pasos puedas asignar todo
los puertos al mismo subnet!
144
Laboratorio : Setup
145
Ejecuta ping t w 500 192.168.0.254.
Desconecta cable de network del puerto (#5) y
conctalo a otro puerto.
Resultados?.
Deja la panatalla de CMD en tu computadora
abierta hacienda ping y visible a travs de este
laboratorio.
146
Conctate a tu router de forma tal que puedas
trabajar con el .
Crea una interface Bridge. Nmbrala LAN y
deja los dems parmetros por default.
Asgnale el IP address de tu POD
(192.168.X.1) a la interface Bridge.
Resultados?
147
Laboratorio: Paso 3
Abre la ventaja de Interfaces y verifica cuales
estn corriendo.
Asigna puertos #2 al #5 a la interface bridge
LAN.
Resultados? Cuando comenz a responder el
ping nuvmaente?
Cambia tu cable a unos de los puertos entre #2
al #5. Que sucedi? Que significa I en la
columna.
148
149
Wireless
Mdulo 4
150
Conceptos 802.11
151
Frecuencias
802.11b
2.4GHz
(22MHz bandwidth), 11Mbps
802.11g
2.4GHz
802.11a
5GHz
802.11n
2.4GHz
or 5GHz up to 300Mbps, if using 40MHz

channel and 2 radios (chains)
152
Frecuencias
802.11b,g frequency range

Canales 1, 6 and 11 non-overlapping
153
Frecuencias
802.11a frequency range

12 20MHz wide channels and 5 40MHz
channels
154
Frecuencias
Bandas
Mikrotik
soporta ambas bandas 5GHz (802.11a/n) y

2.4GHz (802.11b/g/n)
155
Frecuencias
El feature Advanced Channels provee
posibilidades extendidas en la configuracion de
interface wireless:
scan-list
cubre multiples canales y tamaos de

canales (channel width)
Frequencies non-standard channel center
(especificado con KHz granularity) para hardware
que lo soporte;
non-standard channel widths (especificado con KHz
granularity) para hardware que lo soporte
156
Frecuencias
Basic-rates son las velocidades que un cliente (CPE) DEBE
tener soporte para poder conectar al AP
Supported-rates son las velocidades posibles luego que se logra
la coneccin (varios factores pueden influenciar en lograr la
velocidad mas alta)
Data-rates son los rates aceptados segn el estandar a ser
utilizado:
802.11b : 1 a 11Mbps
802.11a/g : 6 a 54Mbps
802.11n
: 6 a 300Mbps, de acuerdos a factores tales

como channel bandwidth (20 or 40 MHz), Guard
Interval (GI), and chains
157
Frecuencias
HT chains
Son
antenas para un radio

Utilizado para 802.11n y tambin es un factor en
cuanto a la capacidad de transferencia (Throughput)
158
Frecuencias
Frequency mode
Regulatory-domain
: Limita canales y TX power

basado en las regulaciones del pas (country
regulations)
Manual-txpower : Igual que la anterior pero sin
restriccin de TX power.
Superchannel : Ignora toda restriccin. (equivalente
a compliant test)
159
Frecuencias
Country: Frecuencias y power son basadas en
las regulaciones del pas (country). Utilizando
no_country_set configurar canales
aprovados por FCC.
160
Configurando un link wireless simple

Configuracin del Access Point
Mode : ap bridge
Band : Basado en las capacidades el AP y
cliente. Si el AP soporta mltiples bandas
(ej: B/G/N) selecciona la mejor opcin
que cubra tu necesidad.
Frequency : Cualquiera de los canales
disponibles (hablaremos de esto mas
adelante!!)
SSID : La identidad del wireless network

y que los clientes buscarn.
Wireless protocol : Basado en las
capacidades el AP y cliente. Para uso
normal AP a PC utiliza 802.11
161

IMPORTANTE CONFIGURA
UN SECURITY-PROFILE!
El no hacerlo es una vulnerabilidad en

tu network y permite acceso
completo.
162

Para aadir un security profile
Click on Add (+)

Name : Nombre del profile
Mode : Type of authentication to use
Authentication types : Methods used
to authenticate a connection
Ciphers : Encryption methods
163

Ahora puedes utilizar tu Nuevo
security profile y aplicarlo en la
configuracin.
164

Volvemos a frecuencias! Cual
utilizar?
Cliquea Snooper
Pendiente! Esto DESCONECTA la
interface wlan y todo cliente que est
conectado
165

Ahora tienes un panorama de
toda las frecuencias en uso
Selecciona un canal que est no
est en uso o al menos con
utilizacin baja
166

Configuracin de cliente
Mode : station
Band : Igual al AP.
Frequency : No es necesario
para clientes
167

Configuracin de cliente
SSID : Igual al AP que quieres

conectar
Wireless protocol : Igual al AP que
quieres conectar
Creand un security profile, segn se
configur con el access point y se
aplic. Estos parmetros TIENEN
que ser iguales
168
MAC address filtering

MAC address filtering es una forma
adicional de limitar conecciones de
clientes.
Para aadir una entrada en el AP se
crea un Access List (Solo en AP!!),
seleccionas un nodo registrado y
cliqueas Copy to Access list
169

Ahora tienes una entrada!
170

Access lists son utilizados en
APs para restringir
conecciones clientes
especficos y controlar sus
parmetros.
Las reglas son verificadas

secuencialmente
Aplica solo a la primera regla
creada
Si la opcin Default
Authenticate (Wireless tab in
Interface -> wlan screen) NO
est escogida, clientes que no
hagan match con la lista no se
podrn conectar
171

Authentication le dir al securityprofile del AP que determine si la
coneccin sea aprovada. Si la opci
no est escogida la autenticacin
fallar siempre.
Forwarding le dir al AP que
clientes pueden comunicarse entre s
sin la asistencia del mismo AP. (hace
bypass de reglas de firewall que
hayan sido creadas). Para mayor
seguridad debes dejarlo sin escoger
172

AP Tx Limit restringe el data rate
del AP hacia el cliente
Si la configuracin est puesta demasiado

baja puede ocasionar desconecciones.
Valida primero!
Client TX Limit restringe el data rate

del Cliente al AP
Solo aplica en conexiones donde Cliente es

RouterOS, ya que esto es propietario
Nuevamente, valida primero para
asegurarte el funcionamiento correcto.
173

Connect lists (en estacin de cliente)
asigna prioridades basado en
potencia se seal y parmetors de
seguridad que indicant a que AP el
cliente puede conectarse.
Reglas son verificadas

secuencialmente
Aplica solo a la primera regla
Si la opcin Default Authenticate
(Wireless tab in Interface -> wlan
screen) NO est escogidad y no hay
match de regla connect-list, cliente
intentar la coneccin en la mejor
seal y parmetros de seguridad
174

Ejemplo : Esta estacin o cliente
no tiene SSID o Security profile
definido, pero como hace match
con un connect-list la coneccin
fue establecida
175

Nota interesante: Si el campo de
SSID (en station connect rule) est
vaca, el cliente conectar a
cualquier SSID que haga match con
el Security profile.
La interface SSID tambin debe
estar vaca!
176

Default-authentication : Especifica el
comportammiento luego de verificar el acceso y el
connect lists.
Para APs, si est configurado Yes, permitir conecciones si
no hay un access-list, SSID y security profile. En otras
palabras, no habr conexiones permitidas.
Para stations o clientes, si est configurado Yes, si permitir
coneccin si no hay un match de connect-list, SSID y security
profile. En otras palabras nuevamente, no habr conexiones
permitidas.
177

Default-authentication
Si AP no
tiene access list y default-authenticate no

est seleccionado, clientes nunca se conectarn
Si la estacin o cliente no tiene un connect list y
default-authenticate no est seleccionado nunca se
conectar al AP.
178

Default-forwarding : Especifica el
comportamiento de transmisin luego de
validar el access lists.
- Si est en Yes, permitir comunicacin en
Layer 2 entre clientes.
- Si est en No, clientes se comunicarn entre s
en Layer 3 si las reglas de Firewall lo permite.
179
Wireless security and encryption

WPA, WPA2
Wi-Fi
Protected Access (I and II)

Protocolo de autenticacin creados luego de la
debilidad encontrada en WEP
Si est correctamente configurado, WPA es muy
seguro
Debilidad a ataques de brute force fueron encontrados

cuando se utiliza WPS (Wi-Fi Protected Setup)
WPS no es utilizado por Mikrotik
180

WPA
Utilizado
para reemplazar WEP

Utiliza TKIP como protocolo de encripcin
Genera una llave por cada paquete nuevo transmitido
181

WPA2
Utiliza CCMP como protocolo de encripcin
Basado en AES
Mas fuerte que TKIP

Es mandatorio en equipos certificados Wi-Fi desde el 2006.
Debe ser utilizado para lograr mayores data rates o de otra
manera se limita a 54Mbps
(http://www.intel.com/support/wireless/wlan/4965agn/sb/cs-025643.htm)
182

WPA-Personal
Conocido
tambin como WPA-PSK, est diseado

para SOHO u Hogar
No requiere servidor de autenticacin
La autenticacin de cliente a AP es basada en una
llave de 256-bit key generada por el pre-shared key
(PSK), el cual puede ser una contrasea, frase o
ambos.
183

WPA-Enterprise
Conocido
tambin como modo WPA-802.1X mode,

diseado para redes empresariales
Utiliza EAP para autenticacin
Requiere un servidor de RADIUS para la
autenticacin
Mas complejo para implementar, pero provee
features adicionales tales como: protecin contra
dictionary attacks en contraseas dbiles
184
Protocolos wireless MikroTik

NV2 (Nstreme Version 2)
Un
protocolo propietario de MikroTik ya en su 2nda

version
Para ser utilizado con tarjeta wireless Atheros 802.11
Basada en TDMA (Time Division Multiple Access)
en vez de CSMA (Carrier Sense Multiple Access)
Utilizado para mejorar funcionamiento en links de
larga distancia.
185
Protocolos wireless MikroTik

Beneficios de NV2
Aumento
de velocidad
Soporta mas conecciones de clientes en ambientes
mulitpoint (limite es de 511 clientes)
Menos latencia
No tiene limitacin de distancia
No tiene penalidad por distancias largas
186
Herramientas de monitoreo
Hay varias herramientas que ayudarn analizar
que hay presente en el aire y as puedes
seleccionar la frecuencia que no tenga
interferencia (o al menos la que menos que
tenga)
187
Wireless scan : Dos opciones
Frequency
usage
Scan
188
Wireless scan : Frequency
Usage
Muestra toda las
frecuencias soportadas y
su utilizacin basado en
los AP de los neighbors
presentes
Tambin desconecta
clientes wireless que
estn conectados!
189
Wireless scan : Scan
Provee
informacin
acerca de los Neighbor
APs
Tambin desconecta
clientes que estn
conectados!
190
Snooper
Provee
informacin de
ambos Clientes y APs
presentes
Sucede lo mismo
191
Monitoring tools
Snooper
Provee
informacin de
ambos Clientes y
Neighbor APs +
informacin de los
clientes
192
Registration table : Utilizado para obtener
informacin de clientes estaciones (stations)
conectadas.
Util
solo en access points.
193
194
Registration table
Podemos ver estatus actual
de estaciones registradas
Nota : Comentarios que
aparezcan encima de una
estacin registrada
proviene del Access List
tab. Util para verificar bajo
cual criterio la estacin o
cliente fue autenticado
195
Bridging wireless networks

Station-bridge : Un modo propietario de
MikroTik para crear un bridge Layer 2 entre
routers MikroTik.
Puede ser utilizado para extender un subnet o
segmento wireless a mltiples clientes.
196
YES!! Tiempo de laboratorio
Fin del mdulo 4
197
Laboratorio
Utilizar
varias herramientas para analizar canales

utilizados y caractersticas de redes wireless, APs y
estaciones
Configurar los PODs como cliente wireless para
contectar al AP del instructor
Configurar los PODs como APs
Familiarizarse con Access-list y Connection-List
198
Laboratorio : Setup
199
Laboratorio : Paso preliminar

DETENTE, STOP, NO RESPIRES!!!
Haz
un binary backup de la configuracin actual con

el nombre de:
Module3-podX donde X es tu nmero de POD
Ya
sabes hacerlo, verdad?

Que ventanas necesitas abrir?
200
Ejecuta uno despues del otro:
Frequency
Usage
Anota los canales de mayor uso
Scan
Haz un link entre frecuencias y SSIDs
Snooper
Que puedes determinar de la red?

Que significa los smbolos a mano izquierda?
201
Abre la ventana de Bridge y ve al tab de
Ports
Utilizando los procedimientos aprendidos en
los mdulos anteriores, aade la interface
wlan1 al bridge LAN.
Cierra la ventaja de Bridge
202
Laboratorio: Paso 3
Abre la ventana de Wireless y asegrate que
la interface wlan1 est habilitada.
203
Laboratorio: Paso 4
Haz Double-click en Interfaces y ve a Wireless. Tambin
puedes ir directo a Wireless en el men. Luego cliquea
Advanced Mode y entra los siguientes parmetros:
Mode : ap bridge
Band : 2GHz-B/G/N
Channel width : 20MHz
Frequency : Odd pods use 2437, even pods use 2462
SSID : podX
Wireless protocol : 802.11
Security Profile : default (recuerda solo haz esto en ambiente de prueba)
Frequency Mode : Regulatory-domain
Country : <where you are now>
Default Authenticate is checked
204
Laboratorio: Paso 5
Desconecta el cable entre tu laptop y el router.
El cable entre tu router y el instructor debe
permanecer.
Configura tu laptop para poder conectarse a tu
router
Verifica conectividad hacia el router e Internet
Navega!
205
Laboratorio: Paso 6
Haz un binary backup de la configuracin
actual bajo el nombre:
Module4a-podX
donde X es el nmero de tu POD
En la ventana File List selecciona module3podX y haz un restore Restore

Escoge yes para reiniciar
206
Laboratorio: Paso 7
Reconecta el cable a tu router
Desconecta el cable de tu router que conecta
con el router del instructor
Ahora no debes tener acceso al internet
207
Configuracin Preliminar
IP address para WLAN1
192.168.252.podX
Habilita la interface wlan1 interface si se encuentra

deshabilitada
Security profile
Name : WPA2
Authentication types : WPA2 PSK
Unicast and group ciphers : aes ccm
WPA2 pre-shared key : mtcna123!
208
Activa el tab de Advanced Mode en la interface de
configuracin Wireless
Necesitas conectarte al AP de la clase. Utiliza los
siguientes parmetros el cual DEBEN ser compatible
para poder conectar:
- Mode : Station
Band : 2GHz-only-N
SSID : WISP
Radio name : WISP-PODX
Wireless protocol : 802.11
Security profile : WPA2
209
Laboratorio : Pas 10
Frequency
Mode : regulatory-domain
Country : Usualmente, seleccionas el pas donde el
AP ser instalado.
Deje Default Authenticate seleccionado por ahora
Cliquea OK, y selecciona el tab Registration

en la ventana de Wireless Tables
Debes ver el registrado el AP del instructor. Si
lo vez, ests conectado!
But
wait!!!
210
Antes que puedas navegar al hay que corregir
el routing table
Redefine
el default gateway a: 192.168.252.254

Redefine la ruta de tu POD vecino LAN interface
(192.168.Y.1) para que salga por 192.168.252.Y
Hazle Ping al LAN de tu POD vecino (192.168.Y.1)
Resultado?
211
Fin de laboratorio 4
212
Network management
Mdulo 5
213
ARP
214
ARP modes
Significa Address Resolution Protocol
Protocolo que une el IP (Layer 3) al MAC
Adddress (Layer 2)
Usualmente es utilizado dinmicamente, pero
puede ser configurado estticamente en
situaciones donde se requiera mayor seguridad.
215
ARP modes
ARP modes le indica a RouterOS de que manera se trabajar
con ARP.
Modes son configurados por interface
Los modes son
Enabled : Modo default. ARP requests son respondido y el ARP table se

popula automticamente.
Disabled : La interface no enviar o responder a ARP requests. A los
dems se le DEBE indicar cual es el MAC address del router.
Proxy ARP : El router responder ARP request que venga de la red
conectada dirctamente (no importando origen)
Reply only : El router responder ARP request. El ARP table hay que
popularla estticamente.
216
RouterOS ARP table

El ARP Table muestra todo los ARP entries y la
interface de donde aprendi cada MAC
El ARP table provee:
El
IP address de equipos conocidos

Los MAC addresses asociados a cada IP address
Las interfaces de donde lo aprendieron
217
RouterOS ARP table

Para mayor seguridad puedes hacer entradas de
ARP estticamente para mayor seguridad
Protg
de ARP poisoning / ARP spoofing

Requiere mucho esfuerzo y manejo
218
ARP syntax
Ver ARP table :
/ip
arp print
Aadir una entrada esttica:

/ip
arp add address=172.16.2.222 macaddress=11:22:33:44:55:66 interface=Bridge-PC
Configurar ARP mode :

/interface
ethernet set ether04 arp=proxy-arp
219
DHCP server y client
220
DHCP server
Significa Dynamic Host Configuration Protocol
Es utilizado para provisionar IP address,
netmask, default gateway y adicionalmente
otros parmetros que sea requeridos o
solicitados por equipos o nodos.
221
DHCP server setup

La interface que tiene configurado el DHCPserver debe tener su propio IP address que NO
est en el pool
- Un pool es un rango de direcciones IP que
utilizados para la disponibilidad de
soliciten.
sern
los equipos que
222
DHCP server setup

En la ventana de DHCP-server simplemente le
das click a DHCP Setup y contesta las
preguntas:
DHCP Server
Interface
DHCP Address Space
Gateway for DHCP Network
Addresses to Give Out
DNS Servers (more than one can be entered)
Lease Time
223
DHCP server setup

Que hace el setup automtico:
Crea
Un pool de IPs para asignar
Crea
el DHCP server
Su nombre y parmetros (tal como la interface donde

aceptar solicitudes de dhcp)
Crea
un IP Pool
el address space
El IP Network y varios parmetros adicionales
224
DHCP server setup

Resultados de configuracin automtica
225
DHCP server setup

DHCP puede ser configurado con opciones tales
como:
42 : NTP Servers
70 : POP3-Server
Visita http://www.iana.org/assignments/bootp-dhcpparameters/bootp-dhcp-parameters.xhtml para ver mas
opciones.
Nota Importante
Si haz creado un ambiente en bridge, El DHCP Server DEBE

ser configurado a la interface Bridge. Si se configure en la
interface fsica, el DHCP server no funcionar
226
DHCP server syntax

Configurar un DHCP scope
/ip
dhcp-server setup
Configurar un DHCP option

/ip
dhcp-server option add name=46-node-type

code=46 value=0x0008
227
DHCP server syntax

Asignar un DHCP option a la red
/ip
dhcp-server network print (to view available

networks)
/ip dhcp-server network set dhcp-option=46-nodetype numbers=1
Asignar un WINS server a la red

/ip
dhcp-server network set winsserver=172.16.2.100 numbers=1
228
Configuracin DHCP server Networks

Ejemplo de
configuracin
bsica
Ejemplo de
configuracin
expandida
229
DHCP client
Permite a las interfaces a solicitor direcciones IP
El servidor remoto de DCHP suplir:
Address
Mask
Default gateway
Two DNS servers (si ha sido configurado de tal manera)
El DHCP client suplir opciones configurables:
Hostname
Clientid (en la forma de MAC address)
Normalmente es utilizado en interfaces que conectan

al internet.
230
DHCP client syntax

Para configurar una interface con DHCP-client
/ip
dhcp-client add interface=ether5 dhcpoptions=clientid,hostname
Para ver y habilitar un DHCP client

/ip
dhcp-client print
/ip dhcp-client enable numbers=1
Para ver la direccin recibida en el DHCP

client
/ip
address print
231
Lease management
La seccin "/ip dhcp-server lease" provee
informacin acerca de los DHCP clients y
leases
Muestra leases dinmicos y estticos
Se puede cambiar un lease dinmico a no
esttico
Muy
util cuando unoo equipo necesita mantener el

mismo IP address.
Alerta! Si cambias la tarjeta de red el IP cambiar
debido al cambio de MAC address
232
Lease management
El DHCP Server puede ser configurado a
proveer solo direccions estticas
Clientes entonces solo reciben direcciones
predefinidas
Evalua tus requerimientos antes de hacerlo de
esta forma. Requerir mucho manejo para una
red mas grande.
233
Lease management syntax

Para ver DHCP leases
/ip dhcp-server lease print
/ip dhcp-server lease print detail (gives more detailed
information)
Para configurar un IP address esttico en el DCHP

server
/ip dhcp-server lease make-static numbers=0
Para modificar la entrada anterior
/ip dhcp-server lease set address=192.168.3.100 numbers=0
234
RouterOS tools
235
E-mail
Herramienta que te permite enviar un correo
Puede ser utilizado junto a otras herramientas
(tools) para enviar regularmente backups al
administrador
Comando:
/tools
e-mail
236
E-mail, ejemplo
Configura el SMTP Server
/tool e-mail
set address=172.31.2.1 from=mymail@gmail.com last-status=succeeded
password=never123! port=\
587 start-tls=yes user=mymail@gmail.com
Envia un archivo de configuracion via Email
/export file=export
/tool e-mail send to=home@gmail.com subject="$[/system identity get name]
export"\
body="$[/system clock get date] configuration file" file=export.rsc
237
Netwatch
Herramiento que te permite monitorear el
estatus de equipos en el network
Para cada entrada, puedes especificar:
IP address
Ping
interval
Scripts de Up o Down
238
Netwatch
Es MUY til..
Recibir
alertas de fallas en el network

Automatizar el cambio de default gateway, por
ejemplo, en caso el router principal falle.
Para saber qu est arriba y abajo!
Cualquier otro que puedas configurar para
simplificarte el trabajo (y te haga ver mas eficiente
!)
239
Ping
Herramienta bsica de conectiviad el cual utiliza
mensajes ICMP Echo para determinar accesibilidad
del host remoto y delay en el viaje ida y vuelta del
paquete enviado
Una de las primeras herramients a ser utilizada en el
troubleshooting. Si da ping, est arriba (desde punto
de vista en la red)
Utilzalo con otras herrramientas en combinacin
cuando ests haciendo troubleshooting. No es la
herramienta mas eficaz pero con algo se debe
comenzar.
240
Ping syntax
CLI
[admin@MikroAC1] > ping www.mikrotik.com
HOST
SIZE TTL TIME
STATUS
159.148.147.196
56 50 163ms
159.148.147.196
56 50 156ms
159.148.147.196
56 50 156ms
159.148.147.196
56 50 160ms
sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
max-rtt=163ms
Debes
oprimir CTRL-C para detener el ping en el

CLI de RouterOS
241
Traceroute
Utilizado para mostrar todo los routers que se
atraviesa el paquete antes de llegar al destino
Indica el delay para alcanzar cada router en el
camino hacia el destino final
Muy bueno para detectar una falla o punto de
lentitud.
242
Traceroute
CLI
/tools
traceroute www.mikrotik.com
[admin@MikroAC1] > /tool traceroute www.mikrotik.com

# ADDRESS
LOSS SENT
LAST
1
100%
AVG
BEST
WORST STD-DEV STATUS
3 timeout
2 216.113.124.190
0%
13.9ms
12.2
11.1
13.9
1.2
3 216.113.122.230
0%
9.6ms
7.5
9.8
100%
3 timeout
5 216.6.99.14
0%
3 114.4ms
114.7
113.6
116.2
1.1 <MPLS:L=400657,E=0>
6 80.231.130.121
0%
3 104.5ms
105.7
104.5
107.1
1.1 <MPLS:L=420033,E=0>
7 80.231.130.86
0%
3 103.2ms
107.5
103.2
115.4
5.6 <MPLS:L=795472,E=0>
8 80.231.154.70
0%
3 136.5ms
119
104.3
136.5
13.3 <MPLS:L=485138,E=0>
9 80.231.153.122
0%
113ms
110.7
106.4
113
3.1
10 195.219.50.38
0%
3 111.9ms
115
110.7
122.5
5.3
11 87.245.233.178
0%
3 140.7ms
159.6
135.7
202.4
30.3
12 87.245.242.94
0%
169ms
173
169
178.4
13 85.254.1.226
0%
3 173.3ms
168.4
164.6
173.3
3.6
243
Profiler (CPU load)

Herramienta que muestra la carga del CPU
Muestro los procesos y tu carga por individual
Nota : idle no es un proceso. Significa el
porciento de carga que NO se est utilizando en
el router
244
Profiler (CPU load)

CLI
/tool
profile
[admin@MikroAC1] > /tool profile

NAME
CPU
console
all
flash
all
networking
all
radius
all
management
all
telnet
all
idle
all
profiling
all
unclassified
all
-- [Q quit|D dump|C-z continue]
USAGE
0%
0%
0%
0%
0.5%
0.5%
99%
0%
0%
Para mas detalles acerca de procesos y lo que significan and favor visitar
http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler
245
System identity
Aunque no es una herramienta, es importante para
indentificar el router.
No puedes administrar 100 routers que tengan el mismo nombre.
Hace mas dificil el troubleshooting
Una vez configurado, har la identificacin de tu router sea mas
simple.
Syntax
/system identity print (show current name)
/system identity set name=my-router (sets the router's name)
246
Contactando a MikroTik support
247
Supout.rif
Supout.rif es un archivo para el anlisis
(debugging) de RouterOS y ayuda a MikroTik
a poder resolver problemas mas rpido
Syntax
CLI
: /system sup-output
248
Supout.rif
Una vez
generado, el
"supout.rif" lo
podrs encontrar
en Files
249
Supout.rif Viewer
Para accesar el
"supout.rif viewer",
necesitas entrar a tu
cuenta de
MikroTik.com
Debes tener una cuenta
250
Supout.rif Viewer
Lo primero es
localizar archivo que
generaste en el router
y cargarlo a la pgina
Comienza a navegar
toda tu configuracin
El view por default es
resource
251
Autosupout.rif
Un archivo puede ser generado
automticamente cuando hay una falla de
software (ej. kernel panic o si el Sistema no
responde por 1 minuto)
Esto es ejecutado automticamente con
WatchDog (-> system)
252
System logging y debug logs

Logging es importante para asegurar un
historial (permanente o no) de los eventos del
router
La forma mas facil de ver los eventos es a
travs de log (Menu)
Por CLI es..
/log
print
253
System logging
Actions
Acciones
que el router ejecutar en un evento

Los Rules le dice al router que action tomar
Hay 5 tipos de actions, lo cual te permite
flexibilidad
254
System logging
Actions, ejemplos
[admin@MikroTik] > /system logging action print
Flags: * - default
#
NAME
TARGET REMOTE
0
1
2
3
*
*
*
*
memory
disk
echo
remote
memory
disk
echo
remote 172.16.1.105
webproxy
remote 172.16.1.105
firewallJournal
remote 172.16.1.105
255
System logging
Rules
Le indican al RouterOS que action tomar para un evento
determinado (llamado topic)
Puedes tener mas de un Rule para el mismo topic, cada
rule ejecutando un action diferente
Puedes tener un rule con uno o mas topics, ejecutando un
action
Aadir rules es simple, escoges uno o mas topics, le
asignas nombre al rule, y luego escoges un action. (Es por
esto que se sugiere configures un action primero)
256
System logging
Rules, ejemplos
[admin@NINsys] > /system logging print
Flags: X - disabled, I - invalid, * - default
#
TOPICS
ACTION
PREFIX
0 * info
memory
INF
!firewall
* error
memory
ERR
* warning
memory
WRN
* critical
memory
CRT
firewall
memory
FW
firewall
firewallJournal
FW
info
remote
INF
!firewall
error
remote
ERR
257
System logging syntax

Ver rules
/system logging print
Ver actions
/system logging action print
Almacenar mensajes del firewall a un syslog server
/system logging action

add bsd-syslog=yes name=firewallJournal remote=172.16.1.105 srcaddress=10.5.5.5 syslog-facility=local5 target=remote
Crear una regla de firewall para topics el cual utilizar la accin

previa
/system logging
add action=firewallJournal prefix=FW topics=firewall
258
Donde son enviado los logs

Segn indicado en actions, logs pueden ser
enviados a 5 opciones distintas:
Disk
: Un disco externo en el router

Echo : La consola (Consola) del router (si est
presente por serial)
Email : Una cuenta de email predefinida
Memory : La memoria interna del router (segn visto
en la ventana de log)
Remote : A un syslog server
259
Configuraciones Leibles
Alias Que est claro!
Mala documentacin es tu peor enemigo. Mantn tus
configuraciones claras y leibles a travs de
commentarios, nombres y uniformidad
Comentarios : Asignale una descripcin
Nombres : Hazlo significativo
Uniformidad : Haz lo mismo en todo lo dems
Porque hacer todo esto?
Por tu propio bin. En el camino te har el trabajo mas facil y

te hace mas eficiente! (nuevamente)
260
Configuraciones Leibles
Ejemplos
261
Diagramas del Network

Un buen diagrama es necesario! An si ests recin
comenzando, tu network no siempre ser pequeo
Identifica todo los componentes claves
Mantnlo actualizado (donde fallamos casi todos)
Es una gran herramienta de troubleshooting.
Utilzalo para identificar puntos de falla
Utilizando toda las herramientas repasadas en este modulo
(ping, traceroute), anota posibles situaciones
262
Diagramas del Network

Ejemplo
Todo los puertos estn

marcados
Equipos son
identificados
Nmero de revision
est actualizado
263
Y continuamos con los laboratorios!!
Fin del mdulo 5
264
Laboratorio
Practicar
conceptos de ARP repasados en el mdulo

Aadir funcionabilidad DHCP (client y server) a tu
router
Utilizar varias herramientas de troubleshooting
265
Laboratorio : Setup
266
Muestra las entradas de ARP de tu router
Identifica
cada entrada
Basado en el diagrama del lab, hace sentido?
Compara con el Puerto donde el MAC fue aprendido
Valida en que ARP mode estn tus interfaces

Aade un MAC-Address falso como si hubiese
sido aprendido desde el bridge LAN
267
Laboratorio: Paso 2
Aade un DHCP client en la interface WLAN1
Solictale al instructor que haga una reservaci esttica
en su DCHP server. El dgito final del IP debe ser el
de tu POD
Proveele al el MAC-Address de tu interface WLAN ya
que an no se han identificado los routers
Elimina tu IP esttica que tenias previa
Renueva tu ip del DHCP client
Cual IP obtuviste?
268
Cleanup
Cuando
configuraste el DHCP cliente la opcin Add

default route estaba en yes. Esto significa que el
DHCP Client recibe un default route (ruta cero)
Muestra tus rutas. Que vez en el default route?
Que debes hacer para limpiar la tabla de rutas
(Routing table)?
269
Configura un DHCP para la computadora conectada en
el bridge LAN
Asegura que la configuracin..
Asigne direccin IP
Que el DNS sea el mismo que tu gateway (o sea tu router)
Reconfigura tu computadora para recibir ip dinmica.

Configura tu router para que siempre asigne el IP .20X (X es
tu POD)
Que debes hacer para lograrlo?
270
Cleanup
Aade
un comment a tu IP esttica para indicar para

que es la reservacin.
En el tab de DCHP en el DHCP Server, asgnale un
nombre (el default es dhcp1)
271
E-mail setup
Configura
el e-mail para permitir envo a un

email personal
Puedes utilizar el que desees
Prueba
el envo con la opcin Test Email
272
Netwatch
Utiliza
esta herramienta para monitorear un equipo

provisto por el instructor
Para agilizar el tiempo, configura intrvalo de
monitoreo a 30 segundos.
273
Netwatch
Utiliza estos scripts (Copy & Paste):
Up
/tool e-mail send to="<your-e-mail-address>" subject="$[/system identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node up."
Down
1
/tool e-mail send to=<your-e-mail-address>" subject="$[/system2identity get name] Netwatch status" \

body="$[/system clock get date] $[/system clock get time] Node down."
274
Netwatch
Deshabilita
el equipo de prueba. Verifica si recibes

un e-mail indicando el cambio de estatus. Debe
llegar un correo similar..
275
Ping
Utiliza
la herramienta de ping para validar que el

equipo de prueba responde paquetes ICMP echo
packets. Hazlo tambin por CLI
Traceroute
Utiliza
la herramienta para verificar que hay de por

medi entre tu router y el equipo de prueba.
Compralo con el diagrama del lab. Hazlo tambin
por CLI
276
Profiler
Ejecuta
el profiler y verifica los procesos corrriendo

en tu router.
Que significa el porcentaje mayor?
Sortlo en la columna usage
277
Supout.rif
Crea
un archivo supout.rif.
Donde lo almacen?
Crgalo a tu cuenta de MikroTik.com y navega las
distintas reas.
Nota importante: Si no tienes una cuenta en MikroTik.com, favor crearla ahora ya

que ser necesaria para la toma del examen a final de curso.
278
Logging
Crea
Type is memory
Crea
un action:
un rule:
topics e-mail y debug

Action action1
Abre
la ventaja de log
Regresa a la herramienta de e-mail y enva un correo
de prueba. Que se muestra en el log?
279
Cleaning
Ve
al a ventana de logging, actions tab y renombra

action1 a E-mail-Debug
Que sucedi? Renombra action1 a EmailDebug
Regresa al tabe de rules. Que notas de la entrada email, debug?
Haz un binary backup de tu configuracin con

la misma estructura de nombre del modulo
anterior (module5-podX)
280
Por ltimo, renombra tu router para que
muestre:
El
nombre de tu Pod
La primera letra mayscula
Crea 2 backups con nombre Module5-Podx

Uno
debe ser binary backup

El Segundo export backup
281
282
Firewall
Mdulo 6
283
Firewall Principles
284
Firewall principles
Un Firewall es un servicio que permite o
bloquea paquetes de data que se transmiten
basado en reglas.
El Firewall simula una pared entre 2 redes
Un ejemplo comn es tu LAN (trusted) y el
internet (not trusted).
285
Firewall principles
Como funciona el Firewall
Opera utilizando reglas. Estas estn divididas en 2 partes:
The matcher : Las condiciones que se requieren para hacer match
The Action : Que suceder una vez tenga match
Para hacer match se revisa lo siguiente:
Source MAC address
IP addresses (network o lista) y address types (broadcast, local, multicast, unicast)
Puerto o Rango de puertos
Protocolo
Opciones de Protocol (ICMP type y code fields, TCP flags, IP options)
La interface a donde llega o sale el paquete
DSCP byte
Y ms
286
Packet flows
MikroTik cre los diagramas para lograr hacer
configuraciones mas complicadas
Es bueno familiarizarse con estos para saber
que est sucediendo con los paquetes y en que
orden.
Para este curso, lo mantenremos simple!
287
Packet flows
Overall diagrams
288
289
Packet flows
290
Packet flows, ejemplo

Complicado? Bienvenido al club!
Este prximo ejemplo nos puede ayudar a
ilustrar un simple flow de paquetes: Haciendole
PING (nodo no existente) a la interface LAN
de un router a travs de la interface WAN.
IP del nodo hacienda ping: 172.16.2.100
IP del nodo recibiendo ping: 192.168.3.2
IP del WAN del router (ether1) : 192.168.0.3
291
Packet flows, ejemplo

Pinging
===PREROUTING===
Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100>192.168.3.2, len 60
===FORWARD===
Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100>192.168.3.2, len 60
Reply out
===OUTPUT===
Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len
88
292
Packet flows, ejemplo explicado

/ip firewall filter
add action=log chain=input log-prefix=Filter-input protocol=icmp
add action=log chain=output log-prefix=Filter-output protocol=icmp
add action=log chain=forward log-prefix=Filter-forward protocol=icmp
/ip firewall mangle
add action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp
add action=log chain=output log-prefix=Mangle-output protocol=icmp
add action=log chain=input log-prefix=Mangle-input protocol=icmp
add action=log chain=forward log-prefix=Mangle-forward protocol=icmp
add action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp
/ip firewall nat
add action=log chain=srcnat log-prefix=srcnat protocol=icmp
add action=log chain=dstnat log-prefix=dstnat protocol=icmp
293
Connection tracking y states

Connection tracking maneja la informacin acerca de toda las conecciones.
Antes de crear filtros de firewall (o reglas), es bueno saber que tipo de trfico
atraviesa tu router. El connection tracking se encarga de esto.
Flags: S - seen reply, A - assured

#
PROTOCOL SRC-ADDRESS
0 SA tcp
172.16.2.140:52010
1
ospf
172.16.0.6
2 SA tcp
172.16.2.100:49164
3 SA tcp
172.16.2.122:61739
4 SA tcp
172.16.2.130:58171
5 SA gre
172.16.0.254
6 SA udp
172.16.0.254:4569
7 SA tcp
172.16.2.130:58174
8 SA tcp
172.16.2.140:52032
9 SA tcp
172.16.2.107:47318
10 SA tcp
172.16.2.102:57632
11
ospf
172.16.0.5
12 SA tcp
172.16.2.102:56774
13 SA tcp
172.16.2.102:56960
14 SA tcp
172.16.0.254:37467
15 SA tcp
172.16.2.107:39374
DST-ADDRESS
17.172.232.126:5223
224.0.0.5
172.16.9.254:445
206.53.159.211:443
17.149.36.108:443
172.16.0.1
209.217.98.158:4569
173.252.103.16:443
69.171.235.48:443
173.252.79.23:443
173.252.102.241:443
224.0.0.5
65.54.167.16:12350
173.194.76.125:5222
172.16.0.1:1723
79.125.114.47:5223
TCP-STATE
TIMEOUT
established 23h42m6s
5m49s
4h44m11s
13m9s
5m49s
294

Si deshabilitas tracking por alguna razn, los siguientes features dejarn de
funcionar:
NAT
Firewall
connection-bytes
- connection-mark
connection-type
- connection-state
connection-limit
- connection-rate
- layer7-protocol
- p2p
- new-connection-mark
- tarpit
p2p matching in simple queues
Por tal razn antes de deshabilitarlo asegrase tener muy claro las razones y
el propsito!
295

Los Connection states son:
(asumiendo cliente-A estinicializando una coneccin hacia
cliente-B):
Established
Una sesin TCP session hacia el host remoto es establecida,
proveyendo un open connection donde la data puede ser intercambiada
Time-wait
Tiempo esperado para asegurarse que el host remoto a recibido un
connection termination request (after close) de su connecion
Close
Representa la espera para un connection termination request del
host remoto
Syn-sent
Cliente-A esperando por un matching connection request luego que ha
enviado uno
Syn-received Cliente-B esperando por un confirming connection request
acknowledgement luego de haber enviado y recibido el connection request
296

El uso del connection tracking permite tambin el
tracking de conecciones UDP aunque UDP es
stateless. Siendo as, el firewall de MikroTik's puede
filtrar UDP "states".
297
Structure : chains y actions

Un chain es un agrupamiento de reglas basadas en el mismo criterio. Hay 3
distintos tipos de chain predefinidos por RouterOS basados en el mismo
criterio:
Input : Trfico que va hacia el router
Forward : Trfico que atraviesa el router
Output : Trfico que es originado desde el router
Puedes tener chains creados basados en tus propios criterios. Por ejemplo :
Todo trfico icmp

Trfico que llegue desde la interface Ether2 y con destino al bridge LAN.
Chains definidos por usuario son creados cuando seleccionas matchers y

seleccionas action -> jump. Le asignas un nombre en el campo jump
target.
Luego de esto, puedes comenzar a crear reglas utlizando este Nuevo Chain
seleccionndolo en el campo chain cuando creas la regla nueva de firewall.
298
Structure : chains y actions

Un action dicta que har el filtro cuando hay un
match de paquetes.
Paquetes son verificados secuencialmente contra
cualquier regla que exista en el chain del firewall hasta
que ocurra un match. Cuando lo encuentra, la regla
se aplica.
Ciertos actions requiere que paquetes sean menos o
mas procesados por otras reglas.
Otros actions pueden demandar que un paquete sea
procesado en otro chain. Lo veremos mas adelante.
299
Firewall filters en accin
300
Filosofa bsica de seguridad

Puedes aplicar seguridad de varias maneras:
Confiamos
en el interior de la red, las reglas solo

afectar lo que venga de afuera
Bloqueamos todo y decidimos que permitir.
Permitimos todo y bloqueamos lo que es
problemtico.
301
Tips y sugerencias bsicas

Antes de configurar y cambiar reglas activa
"safe mode".
Luego de configurar o cambiar reglas, valida
utilizando herramientas. Ejemplo: ShieldsUP
(https://www.grc.com/x/ne.dll?bh0bkyd2)
Provee reporte de debilidad o vulnerabilidad
302

Antes que comiences, establece una poltica.
Escribe en tu propio lenguaje las reglas bsicas que requieres
establecer
Luego que las entiendas y estes de acuerdo; las configuras en tu router
Aade reglas de firewall progresivamente luego que ya ests de

acuerdo con las bsicas.
Si eres nuevo en la seguridad, no te ayudar comenzar a configurar en

toda las direcciones (disparar de la vaqueta!) Haz lo bsico, pero hazlo
bin.
Solo, no demores en aadir las dems reglas porque una cosa es hacerlo
bin y otro tema es abrir vulnerabilidades por el hecho de que quieres
validar primero las reglas bsicas.
303

Es una buena idea finalizar tus chains con una regla
catch-all y as poder ver que dejaste.
Necesitars 2 reglas "catch-all", una para hacer "log" y
la otra para hacer "drop" de trfico que no haga match
con la regla. Ambas reglas tiene que ser basadas en los
mismos matcher para que te puedan ser til.
Una vez logras ver que llega a las reglas de "catch-all",
puedes aadir reglas en el firewall para que manipulen
estos paquetes a tu manerja.
304
Filter Matchers
Antes de poder aplicarle "action" a un paquete el
mismo tiene que ser identificado primero.
Son varios Matchers!
305
Filter actions
Una vez un paquete ha sido aplicado a una regla, un action le ser asignado
Los firewalls de MikroTik tiene 10 actions.
Accept
Accept the packet. Packet is not passed to next firewall rule.
Add-dst-to-address-list
Add destination address to address list specified by address-list parameter. Packet is passed to next firewall
rule.
Add-src-to-address-list
Add source address to address list specified by address-list parameter. Packet is passed to next firewall rule.
Drop
Silently drop the packet. Packet is not passed to next firewall rule.
Jump
Jump to the user defined chain specified by the value of jump-target parameter. Packet is passed to next firewall rule
(in the user-defined chain).
Log
Add a message to the system log containing following data: in-interface, out-interface, src-mac, protocol, srcip:port->dst-ip:port and length of the packet. Packet is passed to next firewall rule.
Passthrough
Ignore this rule and go to next one (useful for statistics).
Reject
Drop the packet and send an ICMP reject message. Packet is not passed to next firewall rule.
Return
Pass control back to the chain from where the jump took place. Packet is passed to next firewall rule (in
originating chain, if there was no previous match to stop packet analysis).
Tarpit
Capture and hold TCP connections (replies with SYN/ACK to the inbound TCP SYN packet). Packet is not passed to
next firewall rule.
306
Protegiendo tu router (input)

El input mira el trfico dirigido hacia el router.
La reglas que aadas en el input ayudan a
prevenir ataques de hackers o accesos no gratos
que deseen alcanzar tu router sin detener el
trabajo de tu router.
307
Protegiendo tu router (ejemplo)

Lo siguiente son sugerencias!
Asumamos que Ether01 est conectado al WAN (no confiable) y estamos
aplicando el mtodo de seguridad Confia en todo lo interno".
Acepta ICMP Echo replies (Deseas hacerle ping a un servidor en el internet y quieres
recibir respuesta!)
Drop icmp echo requests (No deseas que otros te hagan ping. Quedarte por debajo del
radar!)
Acept todo lo "established" y "related" en trfico input (Deseas que se responda a todo lo
que el router pida como, como NTP and DNS)
Drop all "invalid" input traffic (Todo lo que el router recibi que no haya solicitado)
Log the rest of input traffic (Dej algo importante?)
Drop the rest of input traffic (Quiero estar seguro!)
308
Protegiendo tus clientes (forward)

Segn mencionado, el forward chain mira el
trfico que a traviesa el router.
Las que aadas en el Forward chain debe
prevenir el ataque de hackers a tu red interna
sin detener el trabajo del router.
309
Protegiendo tus clientes (ejemplo)

Lo siguiente son sugerencias!
Nuevamente, asumiendo que el ether01 est conectado al WAN (no
confiable) y estamos utilizando el mtodo Confia en todo lo interno :
Accept all "established" y "related" forward traffic (Quieres respuesta a tu red

de todo lo que se solicite como HTTP, DNS, ect.)
Drop all "invalid" forward traffic (Todo aquello que recibas el cual no
solicitaste)
Log the rest of forward traffic (Dej algo?)
Drop the rest of forward traffic (Quiero estar seguro!)
310
Como se vera..
311
Firewall filter (rule) syntax

Ver reglas o filtros existentes
/ip firewall filter print (mas claro para leer)

/ip firewall filter export (todo el syntax)
Crea varias reglas (desde /ip firewall filter)
add chain=input comment="Established-Related (in)" connectionstate=established in-interface=ether01

add chain=forward comment="Established-Related (fwd)" connectionstate=established in-interface=ether01
add action=log chain=input comment="===CATCH-ALL==" ininterface=ether01 log-prefix="CATCH-ALL(in)"
add action=drop chain=input in-interface=ether01
add action=add-dst-to-address-list address-list=temp-list address-listtimeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24
312
Basic address-list
313
Basic address-list
Address lists son grupos de IPs
Se utilizan para simplificar reglas
Por ejemplo, puedes crear 100 reglas para bloquear 100 IP, o!!
Puedes crear un grupo con 100 IP solo crear una regla.
Los grupos (address lists) pueden representar

IT Admins con accesos especiales
Hackers
Cualquier otra cosa que se te ocurra
314
Basic address-list
Puede ser utilizados en firewall filters, mangle y NAT.
La configuracin de address lists puede ser
automatizada utilizando los actions add-src-toaddress-list o add-dst-to-address-list en reglas de
firewall, mangle o NAT.
Es una manera excelente de bloquear IPs sin tener que
entrarlos uno por uno
Ejemplo : add action=add-src-to-address-list addresslist=BLACKLIST chain=input comment=psd ininterface=ether1-Internet psd=21,3s,3,1
315
Address list syntax

Ver address list existentes
/ip firewall address-list print
Crear un address list permanente
/ip firewall address-list add address=1.2.3.4 list=hackers
Crear un address list utilizando una regla
/ip firewall filter add action=add-dst-to-address-list address-list=temp-list

address-list-timeout=3d1h1m1s chain=input protocol=tcp srcaddress=172.16.2.0/24
/ip firewall nat add action=add-src-to-address-list address-list=NAT-AL
chain=srcnat
/ip firewall mangle add action=add-dst-to-address-list address-list=DSTAL address-list-timeout=10m chain=prerouting protocol=tcp
316
Source NAT
317
NAT
Network Address Translation (NAT) permite utilizar
un set de IP en el LAN y otro grupo de IPs en el lado
del WAN .
Source NAT traduce direcciones IP (en el LAN) a
direcciones IP pblicas cuando se accede al internet.
Lo mismo sucede cuando el trfico viene del internet.
A veces se le conoce como ocultar o esconder" (tu
red) detrs del IP provisto por el ISP.
318
Masquerade y src-nat action

El primer chain para NATing es "srcnat". Es utilizado para todo
trfico que sale del router.
Muy parecido a reglas de firewall, reglas de NAT tiene muchas
propiedades y acciones (13 actions!).
La primera regla bsica de NAT, solo utiliza el action de
"masquerade.
Masquerade reemplaza el source IP en los paquetes
determinado por el funcionamiento de routing.
Tpicamente, el source IP de los paquete.s que van hacia el internet sern

reemplazadas por el IP del WAN. Esto es requerido para el trfico que
regresa para as poder llegar al IP de donde fue originado.
319
Masquerade y src-nat action

El action de "src-nat" cambia el source IP y
puerto de los paquetes a quellos asignados por
el administrador de red
Ejemplo
bsico: 2 compaas (Alpha y Omega) se

han unido y ambos utilizan el mismo
direccionamiento de IP interno (ex. 172.16.0.0/16).
Ellos van a utilizar un segmento totalmente distinto
para unirlos. Ambos requerirn reglas src-nat y dstnat
320
Destination NAT
321
Dst-nat y redirection action

"Dst-nat" es un action utilizado con dstnat para
redirigir trfico entrante a un IP o Puerto
distinto.
- Ejemplo: Utilizando el ejemplo anterior de Alpha y
Omega vemos que reglas dst-nat sern requeridas para
convertir el IP de un lado
322
Dst-nat y redirection action

"Redirect" cambia el Puerto de destino a uno
que se especifique en "to-ports" en el router
Ejemplo:
Todo trfico http (TCP, port 80) va a ser

enviado al servicio de web proxy en el Puerto TCP
8080.
323
NAT Syntax
Source NAT (from /ip firewall nat)
Aadir la regla de masquerade
add action=masquerade chain=srcnat
Cambiar el Source IP address
add chain=srcnat src-address=192.168.0.109 action=src-nat to-addresses=10.5.8.200
Destination NAT
Redirigir todo trfico http (TCP, port 80) al servicio de web proxy en el router TCP 8080
add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
324
Hora del Lab!!
Fin del mdulo 6
325
Laboratorio
Metas del lab
Configurar
reglas bsicas de Firewall

Configurar un address-list
Aplicar reglas de source NAT rules y ponerlas a
prueba
Aplicar reglas destination NAT y ponerlas a prueba
326
Laboratory : Setup
327
Antes de comenzar con reglas de Firewall, haremos prueba con
una regla de NAT: Masquerading
Verifica en tu configuracin si ya tienes una regla de NAT masquerade.

Crea una si no la tienes pero djala DESHABILITADA. Si ya la tienes
asegrate que est apagada.
Ejecuta WinBox y conctate al POD de un compaero.
En la seccin IP FIREWALL CONNECTION, revisa las conecciones
activas. Que vez?
Configura la opcin que permite hacer track de las conecciones. Verifica
los resultados.
HABILITA la regla de NAT Masquerade y nuevamente verifica el
connection tracking
328
Ahora para hacerlo interesante configuremos reglas de
firewall. Aplica las siguientes reglas al trfico entrante
en la interface WAN.
Accept icmp echo replies
Drop icmp echo requests
Accept all "established" and "related" input and forward
traffic
Drop all "invalid" input and forward traffic
Log the rest of input and forward traffic
Drop the rest of input and forward traffic
Add meaningful comments to all rules.
Do the same for the "log" rules' prefixes.
329
Ahora que tienes reglas, verifica tus logs. Mira
los mensajes y el formato
Viendo lo que muestra ahora, crees que hacer
troubleshooting de conecciones sera mas fcil
ahora?
330
Laboratorio: Paso 4
Crea address list que represente cada POD
Utiliza el siguiente formato:
Name
: Pod1
Address : <network/mask> of the LAN
Name : Pod1
Address : <IP> of the WAN interface
Hazlo para todo, tambin el tuyo
331
Laboratory : step 5
Pods should be matched in pairs for the following tests
Close your WinBox window and reopen it, connecting
to your peer pod. What's happening?
With one filter rule ONLY, allow all IP addresses from
you peer pod to connect to your router with WinBox
(TCP, 8291)
Make sure that it's in the right spot so that it works
And DON'T forget comments!
332
Para validar funcionamiento de Port
Redirection, tenemos que hacer un pequeo
cambio en los IP SERVICES de tu router.
En
la seccin de IP Services section, cambia el

puerto de WinBox a 8111.
333
Cierra y abre nuevamente el WinBox sin aadir
ningn character adicional. Resultados?
Entra al router con WinBox en el puerto 8111.
Crea una regla de dst-nat con redirect action al puerto
8111 en todo trfico TCP 8291.
Cierra y abre nuevamente el WinBox sin el puerto
luego del IP. Funciona?
Entra al router del POD de tu vecino. Que sucede?
334
Regresa la configurin del Puerto de WinBox
en IP SERVICES a 8291.
Deshabilita (no borres) la regla de dstnat
"redirect".
Cierra WinBox y valida que puedas entrar a tu
router y el de tu vecino normalmente.
335
Crea una regla dst-nat rule con un redirection
action al Puerto 8291 a todo trfico TCP 1313
que entre por el Puerto de WAN.
Abre WinBox y entra a tu router utilizando
Puerto 1313.
Abre WinBox y entra al router de tu vecino
utilizando Puerto 1313.
Resultados?
336
Haz un export backup y un binary backup bajo
el nombre module6-podX
(x = tu POD).
337
338
QoS
Mdulo 7
339
Simple queue
340
Introduccin
QoS (quality of service) es el arte de manejar
recursos de ancho de banda en vez de
simplemente limitar ancho de banda a ciertos
nodos.
QoS puede darle prioridad a trfico basado en
mtricas. Bueno para:
Aplicaciones
Crticas
Trfico sensible tales como video y voz.
341
Introduccin
Simple queues son eso mismo simples
formas de limitar ancho de banda a:
Upload
de clientes
Download de clientes
Agregacin de clientes (download y upload)
342
Target
Target a quin el simple queue es aplicado
Un target DEBE ser especificado. Puede ser:
Un
IP address
Un subnet
Una interface
El orden de los Queue ES importante. Cada

paquete tiene que atravesar cada simple queue
hasta que ocurra un match.
343
Destinations
IP address a donde el trfico dirigido o,
Interface por donde fluir el trfico del destino.
No es compulsorio como lo es el campo de
Target.
Puede ser utilizado para limitar las restricciones
de los queue.
344
Max-limit and limit-at

El parmetro "max-limit" es el mximo data rate que
un target puede alcanzar
Visto como MIR (maximum information rate)
En el mejor de los casos
El parmetro "limit-at" es una garanta minima de data

rate para el target definido
Visto como CIR (committed information rate)
En el peor de los casos
345
Bursting
Bursting permite a usuarios obtener mayor
bandwidth que lo configurado en max-limit,
pero solo por un perodo corto.
Util para impulsar trfico que no utiliza ancho
de banda frecuentemente. Por ejemplo, HTTP.
Descarga una pgina mas rpido por unos
segundos.
346
Bursting
Definitions.
Burst-limit : Maximum data rate while burst is allowed.
(mientras burst es permitido)
Burst-time : Time, in seconds, over which the sampling is
made. It is NOT the period during which traffic will burst.
(tiempo en segs. donde es verificado para ejecutar el burst)
Burst-threshold : The value that will determine if a user will
be permitted to burst (define si el usario podr hacer burst)
Average-rate : An average of data transmission calculated in
1/16th parts of "burst-time".
Actual-rate : Current (real) rate of data transfer.
347
Bursting
Como funciona.
Bursting es permitido mientras average-rate se quede por debajo del

burst-threshold.
Bursting ser limitado al rate especificado por burst-limit.
Average-rate es calculando 16 samples o pruebas (averaging) en los
segundos de burst-time
Si burst-time es 16 segundos, entonces un sample es tomado cada segundo

Si burst-time es 8 seconds, entonces un sample es tomado cada segundo. Y
as sucesivamente
When bursting starts, it will be allowed for longest-burst-time seconds,

which is
(burst-threshold X burst-time) / burst-limit.
348
Bursting
Con un burst-time de 16 segundos
349
Bursting
Con un burst-time de 8 segundos
350
Syntax
Un Simple Queue
add max-limit=2M/2M name=queue1 target=192.168.3.0/24
El mismo Simple Queue pero con Burst

add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s limit-at=\
1M/1M max-limit=2M/2M name=queue1 target=192.168.3.0/24
351
Tip
Si te fijas, los iconos de cada Queue cambian
de color de acuerdo a la utilizacin que est
teniendo cada uno.
Green
: 0 50% del ancho de banda utilizado

Yellow : 51 75% del ancho de banda utilizado
Red :
76 100% del ancho de banda utilizado
352
Un Simple queue para toda la red

(PCQ)
353
Porque tener un Queue para todo?

Per Connection Queue (PCQ) es una forma
dinmica de darle forma al trfico para
mltipes usuarios utilizando una configuracin
ms simple.
Define parmetros, luego cada sub-stream
(Direcciones IP por ejemplo) tendr las mismas
limitaciones.
354
Configuracin de Pcq-rate
El parmetro de pcq-rate limita el data rate
permitido por el Queue Type.
Classifier es lo que el router verifica para ver
como aplica la limitacin. Puede ser un IP
address o Puerto source o destino. Puedes
tambin limitar por el tipo de trfico (HTTP for
example).
355
Configuracin Pcq-limit
Este parmetro es medido en paquetes.
Un valor de pcq-limit alto
Crear un buffer mayor, reduciendo la prdidad de paquetes
Aumentar la latencia
Un valor de pcq-limit pequeo

Aumentar la prdida de paquetes (ya que buffer es mas
pequeo) y forzar al source a reenviar el paquete reduciendo
la latencia.
Har un cambio en el TCP Windows solicitndole al source
que reduzca el rate de transmission.
356
Configuracin Pcq-limit
Que valor utilizar? No hay una respuesta sencilla.
Siempre comienza con "Trial & Error" por aplicacin
Si usuarios se quejan de latencia, reduce el valor de pcq-limit
(queue length)
Si los paquetes tienen que transitar a travs de una
configuracin de firewall compleja, tal vez tengas que
incrementar el queue length ya que puede crear delays
Interfaces ms rpidas (como Gigabit) requiere Queues mas
pequeos ya que en estas se reducen los delays.
357
PCQ, ejemplo
Supongamos que tenemos usuarios
compartiendo un WAN link limitado. Le vamos
a asignar los siguientes data rates:
Download
: 2Mbps
Upload : 1Mbps
WAN est en la interface Ether1

El subnet del LAN es 192.168.3.0/24
358
PCQ, ejemplo
/ip firewall mangle
add action=mark-packet chain=forward new-packet-mark=client_upload \
out-interface=ether1 src-address=192.168.3.0/24
add action=mark-packet chain=forward dst-address=192.168.3.0/24 \
in-interface=ether1 new-packet-mark=client_download
/queue type
add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M
/queue tree
add name=queue_upload packet-mark=client_upload parent=global queue=\
PCQ_upload
add name=queue_download packet-mark=client_download parent=global queue=\
PCQ_download
359
Ejemplo explicado
Mangle : Le estamos diciendo al router que marque los paquetes con la
marca "client_upload" "client_download", dependiendo si:
Los paquetes provienen del LAN y salen por el ether1 (upload) ,

Paquetes estn entrando por el ether1 y saliendo por el LAN (download).
Queue types : Aqui definimos los data rates y classifiers 2 sub-streams

distintos (source or destination).
Queue tree : Las combinaciones son verificadas para validar si los paquetes
cualifican para traffic shaping y que aplicarle.
Por ejemplo, en el caso de trfico upload, verificamos interfaces input y output
(global) para paquetes con el marcado "client_upload" y le aplicamos el queue type
de "PCQ_upload" queue type.
360
Monitoreo
361
Interface traffic monitor

La herramienta de traffic monitor es
utilizada para ejecutar scripts cuando el
trfico de una interface alcanza un nivel
especfico (threshold)
Ejemplo
/tool traffic-monitor
add interface=ether1 name=TrafficMon1 on-event=script1 threshold=1500000 \
traffic=received
/system script
add name=script1 policy=ftp,read,test,winbox,api source="/tool e-mail send to=\"\
YOU@DOMAIN.CA\" subject=([/system identity get name] . \" Log \
\" . [/system clock get date]) body=\"Hello World. You're going too fast!\""
362
Torch
Torch es una herramienta de monitoreo en vivo
(real-time) el cual puede ser utilizada para
monitorear trfico dirigindose a una interface
especfica.
Por CLI es BIEN flexible, por WinBox es
intuitive.
363
Torch, CLI
[admin@Pod3] /tool> torch interface=ether2 port=winbox
SRC-PORT
53217
DST-PORT
8291 (winbox)
[admin@Pod3] /tool> torch interface=ether2 port=any

SRC-PORT
DST-PORT
PACK
53217
8291 (winbox)
TX
12.0kbps
12.0kbps
RX TX-PACKETS RX-PACKETS
4.7kbps
7
6
4.7kbps
7
6
TX
RX TX-PACKETS RX-
15.2kbps
5.1kbps
728bps
600bps
92.8kbps
5.3kbps
12
744bps
616bps
62414
53 (dns)
53538
80 (http)
62437
53 (dns)
53540
80 (http)
182.2kbps
8.4kbps
18
53541
80 (http)
191.1kbps
8.6kbps
19
59150
53 (dns)
760bps
632bps
53542
80 (http)
112.9kbps
7.0kbps
12
53543
443 (https)
34.8kbps
6.3kbps
53544
80 (http)
860.4kbps
20.0kbps
73
53545
80 (http)
4.5kbps
5.6kbps
53546
80 (http)
122.0kbps
6.3kbps
12
53547
80 (http)
122.0kbps
5.8kbps
12
65144
53 (dns)
1064bps
608bps
53548
80 (http)
1392bps
5.7kbps
1743.1kbps
87.0kbps
182
For fun, try this

[admin@Pod3] /tool> torch interface=ether2 port=<TAB>
364
Torch, Winbox
365
Graphs
Graphing es una herramienta utilizada para monitorear varios
parmetros de RouterOS en un lapso de tiempo especfico y
colocar la data colectada en grficas.
Los siguientes parmetros pueden ser colectados.
Voltage and temperature

CPU, memory and disk usage
Interface traffic
Queue traffic
Graphs puede ser accedido entrand a http://<router-IPaddress>/graphs
366
Graphs
Primeros pasos.
[admin@Pod3] /tool graphing> set store-every=5min page-refresh=300
[admin@Pod3] /tool graphing> print
store-every: 5min
page-refresh: 300
[admin@Pod3] /tool graphing>
Luego aadimos los valores para las grficas

[admin@Pod3] /tool graphing> interface add allow-address=0.0.0.0/0 interface=all
[admin@Pod3] /tool graphing> queue add allow-address=0.0.0.0/0 simple-queue=test-queue1
[admin@Pod3] /tool graphing> resource add allow-address=0.0.0.0/0
367
Graphs
368
SNMP
SNMP, Simple Network Management Protocol, es un
protocol estandar utilizados para manejar equipos IP
en una red.
Muchas herramientos, tanto open source como
comercial, est disponibles para trabajar con SNMP y
automatizar trabajos.
Como todo, la configuracin debe ser planificada ya
que este protocolo es propenso a ataques.
369
SNMP
Primeros pasos..
[admin@Pod3] /snmp> set enabled=yes
[admin@Pod3] /snmp> set contact=YOU
[admin@Pod3] /snmp> set location=OFFICE
[admin@Pod3] /snmp> print
enabled: yes
contact: YOU
location: OFFICE
engine-id:
trap-target:
trap-community: (unknown)
trap-version: 1
trap-generators:
[admin@Pod3] /snmp>
370
SNMP
Hay que prestarle atencin a los Communities.
Los mismos dictan privilegios.
[admin@Pod3] /snmp community> print detail
Flags: * - default
0 * name="public" addresses=0.0.0.0/0 security=none read-access=yes writeaccess=no
authentication-protocol=MD5 encryption-protocol=DES authenticationpassword=""
encryption-password=""
[admin@Pod3] /snmp community>
371
SNMP
372
Lab, lab y mas lab!!
Fin del mdulo 7
373
Laboratorio
Metas del lab
Configurar
y validar un simple queue

Configurar y validar una configuracin basada en
PCQ.
Poder diferenciar entre uno y el otro.
Poner a prueba herramientas de monitoreo y ver
como te pueden ayudar en el da a da.
374
Laboratorio : Setup
375
Antes de continuar, instala un MIB browser en
tu computadora
Adems, los PODs deben unirse en pareja ya
que los pasos van a requerir que mas de 1
computadora est conectada al router.
376
Valida el throughput utilizando una pgina de prueba
de velocidad (speedtest). Anota los resultados.
Configura un simple queue (nmbralo "lab7") el cual
limite todo tu LAN a 4Mbps y 2Mbps upload.
Valida nuevamente el throughput.
Solicita a un compaero que se conecte a tu router y
repite la prueba de velocidad. Resultado? Sucede lo
mismo si te conectas al router de tu compaero?
377
Aade bursting en el queue "lab7". Parmetros
son :
Burst
limit 4M (upload), 6M (download)

Burst-threshold 3M (upload), 5M (download)
Burst-time 16 para ambos
Repite
las mismas pruebas anteriores y valida.

Una vez finalizado, deshabilita el simple queue.
378
Configura queue PCQ para que todas las
computadoras en el mismo LAN tengan un lmite de
4Mbps de download y 2Mbps de upload. Asegrate
ponerle nombres que que hagan sentido!
Haz una prueba de velocidad (speedtest) cualquier
pgina en lnea. Resultados?
Solictale a tu compaero que se conecte a tu routter y
haz la misma prueba. Resultado? Sucede lo mismo si
te conectas al router de tu compaero?
379
Configura traffic monitoring de forma tal que te
enve un email cuando el trfico inbound
exceda los 3Mbps en tu interface wireless.
380
Utiliza la herramienta de Torch de tal manera
que puedas ver el IP del source para cualquier
trfico desde cualquier IP y cualquier Puerto en
la interface wireless. Experimenta con Torch en
CLI y WinBox.
381
Habilita los Graphs en:
Interface
Wireless
Recursos de Hardware
Navgalos en tu explorador
382
Laboratorio : Step 8
Habilita SNMP, y provee la siguiente
informacin:
Tu
nombre como contacto.

Tu nmero de Pod como location (Podx).
Deja el resto en default.
Utilizando el MIB Browser, scanea los MIBs

de tu router. Puedes ver tu nombre e
informacin?
383
Como siempre, haz un binary backup y export
backup segn efectuado en los pasados
laboratorios.
384
385
Tunnels
Mdulo 8
386
Tunnels
Los Tneles son una forma de expandir tu red privada
a travs de una red pblica tal como lo es el internet.
Tambin son conocidos como VPNs (virtual private
networks).
Los conceptos de seguridad son aplicados en los
VPNs. Son utilizados, ya que todo trfico es
transmitido por redes pblicas y no por la red privada
del cliente final.
387
PPP settings
388
PPP profile
PPP profiles representan los parmetros de configuracin el cual sern utlizados por
los PPP clients tales como los siguientes y otros:
IP Address local y remota o pools
Compression
Encryption
/ppp profile (ejemplo desde un cliente)
add change-tcp-mss=yes name=Profile-external use-compression=\
yes use-encryption=yes use-vj-compression=no
/ppp profile (ejemplo desde un servidor)
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\
Profile-internal remote-address=Pool-VPN use-compression=yes \
use-encryption=yes use-vj-compression=no
389
PPP secret
PPP secrets estn localizados en los PPP servers y los mismos especifican los parmetros bsicos
requeridos para autenticar un cliente, tales como:
Name : ID del usuario
Password : Contrasea
Service : Servicio con el cual se trabajar (Si es dejado como "any", el PPP secret autenticar al
usuario con cualquiera de los protocolos (PPPoE, L2TP, PPTP, etc.)
Profile : Las configuraciones pertinentes al usuario. Los parmetros de Profiles permite el ser
utilizado para mltiples usuarios sin tener que entrarlos por independiente
Clientes no utilizan los PPP secrets como sus credenciales de autenticacin. Los mismos son
especificados en la interface PPP del cliente bajo los parmetros "user" y "password.
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external routes=\
192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
390
PPP status
Representa el estatus actual de la connection. Util para hacer debug y
verificar la operacin correcta de los tneles.
[admin@Pod5] > /ppp active print detail
Flags: R - radius
0
name="alain" service=pppoe caller-id="28:D2:44:2C:06:EE" address=192.168.5.100
uptime=3m56s
encoding="MPPE128 statefull" session-id=0x81B00044 limit-bytes-in=0 limit-bytesout=0
1
name="Pod4-external" service=pppoe caller-id="D4:CA:6D:8E:1A:97"
address=192.168.222.2 uptime=37s
encoding="MPPE128 stateless" session-id=0x81B00045 limit-bytes-in=0 limit-bytesout=0
[admin@Pod5] > /ppp active print
Flags: R - radius
#
NAME
SERVICE CALLER-ID
ADDRESS
UPTIME
ENCODING
alain
pppoe
28:D2:44:2C:06:EE 192.168.5.100
4m12s
MPPE128 statefull
Pod4-exte... pppoe
D4:CA:6D:8E:1A:97 192.168.222.2
53s
MPPE128 stateless
391
IP pool
392
Configurando un pool
IP pools define un rango de IP addresses para los
clientes.
No solo es utilizado para DHCP como vimos en el
mdulo anterior, sino que a su vez se utiliza para PPP
y clientes Hotspots.
Util para cuando una interface va a servir mltiples
clientes. IP addresses son asignados dinmicamente.
393
IP Pool ranges
IP pool ranges son listas de IP que no coinciden entre
s y que pueden ser asignadas a clientes a travs de
servicios DHCP, PPP, PPP y Hotspots.
Vamos a ver el ejemplo: Tienes 50 computadoras en la
red de la empresa y 50 computadoras provenientes a
travs del VPN.
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
394
IP Pool ranges
Necesitas aadir 50 computadoras mas en el IP Address Pool.
/ip pool print
# NAME
0 Pool-PC
1 Pool-VPN
RANGES
192.168.5.50-192.168.5.99
192.168.5.100-192.168.5.149
/ip pool
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
/ip pool> print
# NAME
0 Pool-PC
1 Pool-VPN
RANGES
192.168.5.50-192.168.5.99
192.168.5.150-192.168.5.199
192.168.5.100-192.168.5.149
395
Asignndolo a un servicio
Pools segn mencionamos pueden ser aadidos
a varios servicios como DHCP, PPP y Hotspot.
Veremos la configuracin mas adelante...
396
Secure local networks
397
PPPoE
Point-to-point over Ethernet es un protocolo en
Layer 2
Es utilizado frecuentemente por ISPs para
controlar accesos a sus redes.
Puede ser utilizado como mtodo de acceso a
cualquier tecnolog en Layer 2 tales como
802.11 o Ethernet.
398
PPPoE service-name
El service-name puede ser visto como un SSID
de 802.11, lo que significa sera el nombre de la
red que el cliente est buscando.
A diferencia de un SSID, si el cliente no
especifica uno, el access concentrator (PPPoE
server) enviar todo los service-names que
tiene. El cliente responder al primero que
reciba.
399
Creando un PPPoE server

Un PPPoE server es el que provee en servicio de
tunneling.
Permite a clientes obtener un servicio de VPN Layer 3
seguro sobre una infraestructura Layer 2.
NO PUEDES alcanzar un PPPoE server a travs de
routers. Debido a que es un protocolo Layer 2, el
servidor solo puede ser alcanzado a travs del mismo
Ethernet Broadcast domain donde se encuentra los
clientes.
400
Creando un PPPoE server

Antes de crear el servidor, establece los parmetros
que requieres configurar (valores aparte de los default)
tales como:
IP pools
PPP profiles
PPP secrets
Crea la interface del PPPoE server en la interface

fsica que mira o conecta a los clientes dirctamente.
Creando un PPPoE server, ejemplo

/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
/ppp profile
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\
Profile-internal remote-address=Pool-VPN use-compression=yes use-encryption=\
yes use-vj-compression=no
402
Creando un PPPoE server, ejemplo

/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external
routes=\
192.168.4.0/24
/interface pppoe-server server
add authentication=mschap2 default-profile=Profile-external disabled=no \
interface=ether1 mrru=1600 service-name=PPPoE-external
add authentication=mschap2 default-profile=Profile-internal disabled=no \
interface=ether5 mrru=1600 service-name=PPPoE-internal
403
Point-to-point addresses
La forma ms facil de configurar addresses es es
hacindolo manualmente.
Direcciones IP de /ppp secret tienen prioridad sobre
/ppp profile, y toman prioridad a su vez sobre /ip pool
Ambas direcciones local y remotas pueden ser nicas
o provenientes de un pool.
Static IP addresses o DHCP en interfaces de clientes
PPPoE. Deja que la infraestructura especficamente lo
que se ha establecido!
404
Creando clientes PPPoE en RouterOS

Si deseas utilizar un profile distinto al default, cralo primero.
As no tienes que regresar a la configuracin nuevamente.
Crea la interface del cliente que mira al ISP.
Listo!
Tip :
Tu router no tiene que tener configurado un cliente DHCP en
la interface WAN y an as funcionar si el PPPoE server est en
la misma infraestructura Layer 2 del Puerto WAN.
405
PPPoE client en RouterOS, ejemplo

/ppp profile
add change-tcp-mss=yes name=Profile-external use-compression=yes \
use-encryption=yes use-vj-compression=no
/interface pppoe-client
add ac-name="" add-default-route=yes allow=mschap2 \
default-route-distance=1 dial-on-demand=no disabled=no \
interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480 \
mrru=disabled name=Client-PPPoE password=pod4-123 profile=\
Profile-external service-name="" use-peer-dns=no user=\
Pod4-external
Habilita la interface del client.
406
Secure remote networks

communication
407
PPTP clients y servers

PPTP es un protocolo de tunel en Layer 3 y utiliza informacin de routing y direcciones IP para
conectar al cliente con el servidor.
El PPTP se define casi de igual forma al de PPPoE, con la excepcin que no se tiene que
establecer una interface en especfico
El cliente es definido casi de igual forma que el cliente PPPoE, con la excepcin de que una
direccin IP tiene que ser especificada para el server.
Tip : Debes permitir Puerto TCP 1723 en el firewall del router (el PPTP server) para que el tunel
pueda levanter o conectar
/interface pptp-server server
set authentication=mschap2 default-profile=Profile-external enabled=yes
/interface pptp-client
add add-default-route=yes allow=mschap2 connect-to=192.168.0.5 \
default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 \
max-mru=1450 max-mtu=1450 mrru=1600 name=Client-PPTP password=pod4-123 profile=\
Profile-external user=Pod4-external
408
SSTP clients y servers sin certificados

Definir el SSTP server es similar al de PPTP, excepto a que defines un puerto TCP a
donde conectarse (default 443).
El cliente es definido de igual manera al cliente PPTP, excepto que debes especificar
un puerto TCP a utilizarse (default 443).
Tip : Debes permitir el Puerto TCP 443 para que logre levantar el tunel. Tambin,
deja configurado el Puerto 443 para que funcione la seguridad de comunicacin via
SSL.
/interface sstp-server server
set authentication=mschap2 enabled=yes
/interface sstp-client
add add-default-route=no authentication=mschap2 certificate=none connect-to=\
192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \
keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \
password=pod4-123 profile=Profile-external user=Pod4-external \
verify-server-address-from-certificate=no verify-server-certificate=n
409
Configura rutas entre redes

Una vez el tunel est arriba, necesitas rutas para poder transferir
paquetes ida y vuelta.
La primera forma para un solo tunel, es la ruta que fue creada
automticamente para ese tunel.
/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#
DST-ADDRESS
PREF-SRC
GATEWAY
DISTANCE
0 ADS 0.0.0.0/0
192.168.0.254
0
1 ADC 192.168.0.0/24
192.168.0.5
ether1
0
2 ADC 192.168.5.0/24
192.168.5.1
Bridge-PC
0
3 ADC 192.168.5.101/32
192.168.5.1
<pptp-alain>
0
410
Configura rutas entre redes

La segunda forma es especificando una o mltiples rutas en el PPP secret para el cliente.
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24
/ppp secret print
Flags: X - disabled
#
NAME
ADDRESS
0
Pod4-external
1
alain
SERVICE CALLER-ID
PASSWORD
PROFILE
any
any
pod4-123
alain!!
Profile-external
Profile-internal
REMOTE-
/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external
routes=192.168.4.0/24,10.10.2.0/24
411
Configurando rutas entre redes

La tercera forma es aadiendo rutas estticas a una o multiples
redes travs del tunel.
Este mtodo es til si ambos routers tienen su propia ruta
default (ruta cero), pero implica mas mantenimiento y
parmetros.
/ip route
add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24
gateway=192.168.254.10
add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21
gateway=192.168.254.10
412
Nota final
VPN
Protocol
Encryption
Ports
Compatible
with
Notes
PPTP
MPPE with RC4

128 bit key
1723 TCP
Windows XP, Vista, 7

Mac OS X
iPhone OS
Android
PPTP is the most widely used VPN protocol

today.
It is easy to setup and can be used to bypass all
Internet restrictions.
PPTP is considered less secure.
SSTP
SSL with AES

2048 bit key certificate
256 bit key for
encryption
443 TCP
Windows 7
SSTP uses a generic port that is never blocked

by firewalls.
You can use SSTP to bypass corporate or
school firewalls.
SSTP is considered a very secure protocol.
Quieres conocer mas?

http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP
http://www.highspeedvpn.net/PPTP-L2TP-SSTP-OpenVPN.aspx
http://www.squidoo.com/advantages-and-disadvantages-of-vpn-protocols
http://www.vpnonline.pl/en/protokoly-vpn-porownanie (muy bueno!)
413
Vamos para el ltimo LAB!!
Fin del mdulo 8
414
Laboratorio
Metas del lab
Crear PPP profiles y secrets
Crear y asignar IP pools a servicios
Crear PPPoE VPN entre una computadora y un
router
Crear tuneles PPTP y SSTP entre los PODs
Asegurarse de enrutamiento correcto
415
Laboratorio : Configuracin
416
Estudiantes trabajarn este laboratorio en par. Estudiantes
configurarn 3 PPP Profiles:
2 para ser utilizado con el POD del vecino
Uno para el servicio de server.
Uno para el servicio del cliente.
Uno para ser utilizado por clientes conectados.
Estudiantes configurarn 2 PPP secrets:

Uno para permitir conectar al POD vecino
Uno para lograr conectar los clientes locales.
Estudiantes se pondrn de acuerdo en la configuracin de

parmetros a utilizarse. Por motivo de tiempo, SEAMOS
SIMPLES EN LA CONFIGURACION!!
417
Crea un IP pool para ser utilizado por los
clientes que deseen conectarse a travs de VPN
- Tu pool estar en una red distinta a tu LAN existente.
- Asigna el pool al profile a ser utilizado por tu futuro
VPN Corporativo.
418
Selecciona un Puerto disponible en tu router (ether5
preferible) y remuvela de cualquier bridge o Puerto
master a el cual est asignada. No debe tener IP o
DHCP configurado.
Configura un PPPoE server en ese Puerto del router.
Debes utilizar el profile que usastes para los clientes
VPN. Habilita solo MSChap2 como mtodo de
autenticacin. Lee el material del curso referente a
configuracin de compression y encryption.
419
Configura tu computadora para conectarse al router
como cliente PPPoE.
Conctate y navega el internet!
Avisos!
Verifica la interface donde configuraste el server (y el Puerto
que al cual conectaste tu computadora)
Verifica las configuraciones de los profiles en el PPPoE
server y PPP secret.
420
Conecta tu computadora nuevamente a un Puerto
Ethernet normal.
Los PODs con nmeros pares crearn un PPTP server
y un SSTP client.
Los PODs impares crearn un PPTP client y un SSTP
server.
Utiliza los profiles y secrets previamente creados.
SSTP no puede utilizar certificados!
Sube los tneles de VPN y verifica que sucedi.
421
Nada? Que se nos olvid?
Ayuda : Una regla nueva de firewall talvez?
Una vez los tneles ya estn arriba, verifica el

estatus de conecciones activas.
422
Remueve las rutas estticas de tu table de rutas.
Solo debes tener una a tu POD.
Ejecuta un ping al IP Address del LAN de tu
POD vecino. Funciona? Pero si el tunel est
arriba, porque no funciona? (Deja el ping
corriendo)
Puedes hacerle ping a la direccin IP remota
del tunel? Si funciona significa no todo est
mal configurado .
423
En el PPP secret de tu router y en el campo "Routes",
aade el network y el mask de tu POD vecino.
Un vez se configure esto en ambos PODs, reinicia el
tunel del cliente.
Nota el efecto que tiene en tu tabla de enrutamiento. El
subnet de tus peer's han aparecido una vez tu POD
vecino se logea en el VPN. Una vez ambos estn
arriba, podrn hacerse Ping.
Nota tambin las direcciones IP en el IP address list.
424
Como usual, haz un binary backup y export
backup utilizando el mismo format de los
dems laboratorios.
425
Fin del Laboratorio 8 y el curso en

su totalidad!!
426
LE DESEAMOS EXITO EN EL EXAMEN, YA

QUE SUERTE LA TIENE CUALQUIER
PERSONA!!

MTCNA

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

MTCNA

Transféré par

Droits d'auteur :

Formats disponibles

MikroTik Certified Network Associate

MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission.

ltimo da, 1 hora

Porque tomar el curso de MTCNA?

Objetivos del Curso

1 est basado en ROS 5.26

RouterBOARD (boards solamente)

localizacin a ser instalada

Porque obtener un router integrado?

Router integrados, ejemplos

Routers integrados, ejemplos

Excelente para WISP o

Routers integrados, ejemplos

: Cloud Core Router

Porque construir tu propio router?

Routers customizados, ejemplos

Aade Power supply o

Routers customizados, ejemplos

Aade power supply o

Primera vez accediendo el router

en la mayora de sistemas operativos

Comunicacin con SSH es encriptado

herramientas tales como PuTTY

Configuracin Inicial (Acceso al

Con o sin configuracin bsica?

hay necesidad de reglas de firewall

IP addresses, Default gateway and DNS server

pueden requerir un orden preciso.

Winbox indica la arquitectura en la extrema

Conoce que archivos son requeridos:

: Imagen base de RouterOS image con los

el archivo y lo copias directo al router.

Descargando los archivos

Manejar logins de RouterOS

Crea grupos para

flexibilidad cuando asignes

Manejar Servicios de RouterOS

uso de recursos (CPU, memory)

Tipos de respaldos (backups)

Utiliza verbose para

Archivando backup files

SFTP (modo seguro)

Dejar backups en el mismo router NO es una

existen tape o CD backups para routers

: Demo (24 hours)

Licencias para sistemas x86 tienen que ser

solo es vlida para un solo sistema.

3: CPE, wireless client

Para RBs sin puerto serial COM.

una ip y mscara esttica

Net booting y asigna un IP en el mismo

En Packages, cliquea Browse y selecciona

router aparecer en la seccin Routers/Drives,

Escoge la version de RouterOS en la seccin

botn de Install ahora se encuentra disponible,

si Keep old configuration esteaba

Si el problema fue por prdida de contrasea,

importancia del manejo correcto de accesos!)

Procedimiento: con Serial

en Puerto ether 1 con ip esttico

Procedimiento: con Serial

Procedimiento: con Serial

Selecciona el paquete RouterOS que ser

El botn Install ahora estar dispnoible, click!