Sie sind auf Seite 1von 341

MikroTik Certified Network Associate

Entrenamiento Oficial

Caracas – Venezuela
01 - 02 de Junio 2019 www. .com
Objetivos del Curso

o Ofrecer una idea preliminar y básica del


software RouterOS y de los productos
RouterBOARD
o Adquirir habilidades para configurar,
mantener y realizar diagnósticos básicos e
intermedios de problemas en los routers
Mikrotik
Cursos de Certificación en MikroTik

Curso inicial

https://mikrotik.com/training/about
Módulos del Curso MTCNA

1. Introducción a Mikrotik RouterOS


2. DHCP
3. Puente (Bridge)
4. Enrutamiento (Routing)
5. Wireless
6. Firewall
7. Calidad de Servicio (Quality of Service – QoS)
8. Túneles
9. Extras
Laboratorios por cada módulo…
Módulo 1
Introducción a Mikrotik RouterOS
Sobre MikroTik

o Localizada en Letonia

o Mas de 160 empleados Letonia

o www.mikrotik.com
Historia de MikroTik

o 1995: Cuando todo empezó en Letonia


o 1997: Software RouterOS para x86 (PC)
o 2002: Nace RouterBOARD
o 2006: Primer MUM (MikroTik User Meeting)
en Prague, República Checa
o 2015: MUM mas grande: Indonesia, + 2500
participantes
MikroTik RouterOS
o Es el sistema operativo del hardware
RouterBOARD

o Puede ser instalado en un PC x86 o en una


Máquina Virtual

o RouterOS está basado en el kernel de Linux.


No es modificable
Características de RouterOS
o Soporte Wireless 802.11 a/b/g/n/ac
o Enrutamiento Estático / Dinámico RIP, OSPF, BGP
o Firewall, Control del Tráfico, QoS
o Balance de Carga, Bonding, VRRP
o Túneles VPN (PPTP, PPPoE, SSTP, OpenVPN) y más
o MPLS, VPLS
o DHCP, Proxy, HotSpot
o Netwatch, Scripts

Mucho más en: wiki.mikrotik.com


Mikrotik RouterOS – Licencias

o Los RouterBOARD ya 45$ 95$ 250$


incluyen su propia
licencia, no obstante
se pueden migrar a
una licencia superior

o Las licencias no
requieren renovación

o Las actualizaciones del


RouterOS son
gratuitas. SIEMPRE
MIKROTIK ROUTEROS EN DESKTOP

L4 45$
100$
L5 95$ Router

+ =
L6 250$

18$
PCI a Ethernet (NIC)
18$
PCI a Ethernet (NIC)

• 3 x Fast Ethernet 10/100


• CPU 400MHz a 1,5GHz
• 256 KB a 2 GB RAM
• 50 GB a 250 GB Disco Duro

Desktop
Pentium III
MIKROTIK ROUTEROS EN ENTORNOS VIRTUALIZADOS

• VMWare ESX • QUEMU


• XEN Server • VirtualBox
• KVM • Hyper-V
L4 45$
Router
L5 95$

+ =
L6 250$

CHR

• 3 x Giga Ethernet 10/100/1000


• 2 a 16 Core CPU
15$ 15$ 15$ • 2GB a 16 GB RAM
• 50 GB a 4 TB Disco Duro
MIKROTIK ROUTEROS EN ENTORNOS VIRTUALIZADOS – GNS3

o GNS3 es un simulador gráfico que permite el modelaje de redes


complejas, mediante la virtualización de sistemas operativos
(imágenes) de routers y switches.

o Permite diseñar una topología simulada (lo más parecida en lo posible a


una situación real) sin la implementación de hardware físico,
economizando tiempo y dinero. IDEAL PARA APLICACIONES
ESTUDIANTILES

o GNS3 se distribuye bajo licencia OpenSource y su uso es totalmente


gratuito. Puede ejecutarse tanto en Linux y MAC OSX como en Windows,
aunque se obtienen mayores rendimientos si se corre en ambiente Linux,
de forma nativa o virtualizado.
MIKROTIK ROUTEROS EN ENTORNOS VIRTUALIZADOS – GNS3

GNS3 imita o emula el hardware de un dispositivo y ejecuta


imágenes reales en el dispositivo virtual. Algunas opciones:

o Dynamips: un emulador de IOS de Cisco.

o Dynagen: un front-end basado en texto para Dynamips.

o Qemu: un emulador de máquina genérico y de código


abierto y virtualizador. Acá se virtualiza la imagen (CHR)
del RouterOS
MIKROTIK ROUTEROS EN ENTORNOS VIRTUALIZADOS – GNS3

Router Físico Sistema Operativo del Host (Windows o MAC OSX)

Maquina Virtual (Guest) de Ubuntu

RouterOS

L1 0$
Cloud

Bridge
GNS3

Interfaz física
Sw lógico
MikroTik RouterBOARD

o Es el hardware de MikroTik. En él corre el


sistema operativo RouterOS

o Gama de equipos que va desde SOHO


Routers hasta Carrier Class

o Millones de RouterBOARD están distribuidos


a nivel mundial
MikroTik RouterBOARD

RB750Gr3

RB2011UiAS-RM

RB1200

CCR1009-8G-1S-1S+PC
MikroTik RouterBOARD
hAP Mini (RB931-2nD)

o CPU core count: 1


o CPU nominal frequency: 650 MHz
o Size of RAM: 32 MB
o Storage size: 16 MB
o 10/100 Ethernet ports: 3
o Wireless 2.4 GHz standards: 802.11b/g/n
o License level: 4
MikroTik RouterBOARD

CCR1072-1G-8S+

o CPU core count: 72 o SFP+ ports: 8


o CPU nominal frequency: 1 GHz o Number of USB ports: 2
o Size of RAM: 16 GB o Memory card type:
o Storage size: 128 MB microSD, 2x M.2
o 10/100/1000 Ethernet ports: 1 o License level: 6
Nombres del RouterBOARD
Entendiendo el nombre de un RouterBOARD
<board name> <board features>-<built-in wireless> <wireless
card features>-<connector type>-<enclosure type>

o U – USB
o i – Único puerto PoE sin controlador
o A – Mas memoria
o H – CPU mas poderoso
o G - Gigabit (Puede incluir "U","A","H", si no se usa lleva "L")
o L – Edición ligera
o S – Puerto SFP
Nombres del RouterBOARD - Ejemplo
o RB (RouterBOARD)
o 912 - 9th series board con una
interfaz “Wired” (ethernet) y
dos interfaces wireless
(miniPCIe integrada)
o UAG – Un puerto USB port,
mas memoria y puerto
ethernet con velocidad gigabit
o 5HPnD – Tarjeta Wireless
RB912UAG-5HPnD integrada de 802.11n en
5GHz, con “High Power” y
canales duales (dual chain)
Accediendo por primera vez

o Consola a través de RS-232 con cable


“Null Modem” (Baud rate 115200,
Data bits 8, Parity None, Stop bits 1)
o WiFi
o Ethernet
WinBox – MAC WinBox

Winbox es una pequeña utilidad que te permite la administración


de Mikrotik RouterOs usando una interfaz gráfica de usuario fácil
y simple. Es un binario Win32 nativo (Puerto TCP 8291), pero lo
puedes ejecutar en Linux y Mac OSX usando Wine.

Winbox lo puedes descargar directamente desde:


o La página Web del router. (Ejemplo: http://192.168.88.1)
o Desde la dirección:
https://download2.mikrotik.com/routeros/winbox/3.11/winb
ox.exe
WinBox

o Dirección IP por defecto (Lado LAN): 192.168.88.1


o User: admin / Password: (en blanco)

2 3
WinBox por MAC-Address
o Conexión por MAC-Address
o User: admin / Password: (en blanco)
Recuerda revisar el
firewall de tu
antivirus, u otros
tipos de seguridad
4 para que puedes
escanear los equipos
1 Mikrotik por MAC.
2

3
Conociendo WinBox
Versión del RouterOS y modelo de RouterBOARD

Dirección IP o
MAC del equipo Recursos, UpTime,
Menús con Fecha y Hora
las funciones
y utilidades
del RouterOS
WebFig

Browser - http://192.168.88.1
Permite la administración
de Mikrotik RouterOs
desde una página WEB.
Por defecto utiliza el
puerto TCP 80, pero se
puede cambiar
Quick Set
o Configuración básica del router en una ventana
o Accesible desde Winbox y WebFig
Línea de Comandos (CLI)
o Accesible vía SSH, Telnet
o Accesible desde Winbox y WebFig en la opción “New Terminal”
Línea de Comandos (CLI)

o <tab> Completa los comandos


o Doble <tab> muestra los comandos
disponibles
o ? Muestra la ayuda
o Se puede navegar entre comandos previos
utilizando los botones <↑> y <↓>
Línea de Comandos (CLI)

o Estructura jerárquica (Similar al menú de


Winbox)
o Más información en la wiki…

En Winbox: Menú interfaces


MikroTik en la WEB

o https:www.mikrotik.com
Hardware, Entrenamientos, Descargas de Software

o https://forum.mikrotik.com/
Desarrollos, Dudas, Configuraciones y mas…

o https://wiki.mikrotik.com
El gran manual del RouterOS
Fundamentos de Networking
El modelo OSI

o Como solución al problema de la incompatibilidad


entre fabricantes, se desarrollo un modelo de red,
dividido en capas, para garantizar el entendimiento
entre dispositivos de distintos fabricantes

o El modelo OSI (Open System Interconnection) es un


marco de referencia que se puede utilizar para
comprender como viaja la información a través de
una red.
El modelo OSI

192.168.10.23 192.168.10.23 192.168.10.23 192.168.10.23


192.168.34.12 192.168.34.2 192.168.80.21 192.168.80.232

00:0a:95:9d:68:16 00:0a:95:9d:68:16
00:0a:95:10:D9:90 00:0a:95:21:DD:B7

101001000111101010010010111010101100011110101001010101001110010001100100101101010101100001010010

Como viaja la información en la Red ???


El modelo OSI
El modelo OSI
Identificación (Cabecera)
De: Juan HOLA
HOLA
De: Juan Para: María
Para: María De: Juan
Para: María
Departamento
Juan de Sobres
Departamento
de Cajas
María
Pequeñas Comunicación entre Departamentos
Empaquetado Desempaquetado
(Encapsulación) (Protocolo)
(Desencapsulación)

Departamento de
Cajas de Madera
(Capa 2)
Departamento de
Transporte (Capa 1)

CIUDAD A, Agencia 23 CIUDAD B, Agencia 11


MAC ADDRESS
o Direcciones MAC Address (Control de Acceso al Medio) son
direcciones asignadas a los dispositivos de red

o Son usadas para direccionar en la capa de enlace de datos


(capa 2)

o Todos los mensajes que se emiten en una llevan la dirección


MAC de origen y la dirección MAC de destino. Solo hay una
excepción, los mensaje denominados de “broadcast”. Solo
tienen dirección MAC de origen y van destinados a todos los
ordenadores conectados en la red.
MAC ADDRESS

o La dirección MAC, y está formada por 48 bits que se suelen


representar mediante dígitos hexadecimales que se agrupan
en seis parejas (cada pareja se separa de otra mediante dos
puntos ":" o mediante guiones "-").
Por ejemplo, una dirección MAC podría ser
F0:E1:D2:C3:B4:A5
o La mitad de los bits de la dirección MAC son usados
(típicamente) para identificar al fabricante de la tarjeta, y los
otros 24 bits son utilizados para diferenciar cada una de las
tarjetas producidas por ese fabricante.
Dirección IP

o En la capa de RED se utiliza un


direccionamiento jerárquico que permite la
comunicación mas allá de los límites de un
dominio de broadcast (Capa 2)

o Se utiliza para comunicación entre redes


(Capa 3)
Dirección IP
o Las direcciones IP se utilizan para identificar los diferentes nodos en
una red (o en Internet)

o Una dirección IP consiste de 32 bits agrupados en 4 octetos


(4 bytes), y generalmente se escriben como ###.###.###.###

o El número máximo (decimal) que se puede representar en binario


con n (8) bits es 2 n -1 (255), para un total de 2 n números
representables (256)

o Para simplificar se escriben las direcciones IP en decimal


(212.240.225.204), pero también es necesario saber su equivalente
en binario (11010100 11110000 11100001 11001100) 41
Dirección IP
o Conversión binario a decimal en una IP
11000000.10010100.00101111.00000001

1x2 7+ 0x2 6+ 0x25+ 1x24+ 0x23+ 1x2 2+ 0x2 1+ 0x20


1x128 + 0x64 + 0x32 + 1x16 + 0x8 + 1x4 + 0x2 + 0x1
128 + 0 + 0 + 16 + 0 + 4 + 0 + 0 = 148

192 .148 . 41 . 1
Dirección IP - Restricciones

o El primer octeto no puede ser 255 (11111111), ya que eso es Broadcast

o El primer octeto no puede ser 127 (01111111). Loopback

o La dirección IP de red debe ser única en Internet

o La dirección IP de un host debe ser única en un Red

o El último octeto (dir. del host) no puede ser 255 (11111111), ya que eso es
Broadcast

o El último octeto (dir. del host) no puede ser 0 (00000000). Esto es local host
Redes - Máscara
o Rango de las direcciones IP lógicas que divide
a la red en segmentos
Ejemplo: 255.255.255.0 o /24
o La mascara (junto con la ip) define cuales
direcciones IP son encontradas directamente
sin enrutamiento
(byte) 255.255.255.0
(binario) 11111111.11111111.11111111.00000000
(bit) /24
Redes - Clases

La mascara de red ayuda a identificar si un host es local o remoto. Esto se hace


indicando cuál parte de la dir. IP es la dir. de la red y cuál es la dir. del host. (Network
ID vs. Host ID).

También ayuda a dividir una red en sub-redes (subnetting). Los valores por defecto
son:

Clase A: 255.0.0.0
Clase B: 255.255.0.0
Clase C: 255.255.255.0
Dichos valores indican que la red no se ha subdividido en subredes.
Redes - Ejemplo
o Determinando a que red (subnet) pertenece una
dirección IP
Dirección IP/Mascara: 192.168.3.14/24
Valor IP (binario): 11000000.10101000.00000011.00001110
Mascara (binario): 11111111.11111111.11111111.00000000

Red (binario): 11000000.10101000.00000011.00000000


Dirección de red: 192.168.3.0/24
Dirección de Broadcast: 192.168.3.255
Direcciones disponibles para uso: 192.168.3.1 -192.168.3.254
Subredes

Utilizando la máscara de red para crear Sub-redes

Si se tiene una dirección IP estática (clase B por ejemplo), se


puede tener hasta 65534 estaciones en la red, pero no es muy
funcional. Se debe dividir la red. Cuando se divide una red en
subredes, todos los host en la red total deben tener el mismo
número de Network ID (Todos deben pertenecer a la misma
red). Para tal efecto se “manipulan” los bits de subred, que son
los que están a la derecha de los “255” de la mascara de subred
por defecto
47
Subredes
Regresando al Módulo 1
Descargando Winbox - Laboratorio

o Conéctate al router (AP) del salón de clase


Nombre de la red: labmtcna
Password: qwerty*-
o Descarga desde internet la aplicación Winbox
https://mikrotik.com/download

LAB
Registro en mikroTik.com
https://mikrotik.com

2
Descargando Winbox - Laboratorio

LAB
Topología – Laboratorio
Cliente - Station
wlan1
Cliente DHCP AP
Tu Router
Router del
Ether 2 Instructor
192.168.XX.1/24

Internet
192.168.XX.2/24
XX = Debe ser substituido por el número del
Default GW = 192.168.XX.1
router que corresponda
DNS = 192.168.XX.1 Ejemplo: Router 5
Address =192.168.5.1/24
Network 192.168.5.0

LAB
Primera conexión al RouterBOARD - Laboratorio

o Habilita el cliente DHCP en la interfaz ethernet de tu laptop

MAC OSX
Windows

LAB
Primera conexión al RouterBOARD - Laboratorio

o Conéctate a tu router vía ethernet al puerto Eth2


(Deshabilita la interfaz WIFI)
o Valida que recibas una dirección IP del rango
192.168.88.X en tu laptop
o Hazle PING a la dirección 192.168.88.1

LAB
Primera conexión al RouterBOARD - Laboratorio

o Abre la aplicación Winbox e ingresa al router por la dirección IP.


Usuario = admin, Password = en blanco

1
2 3

LAB
Restaurando el Router a Default - Laboratorio

LAB
Restaurando el Router a Default - Laboratorio

1 3

LAB
Restaurando el Router a Default - Laboratorio

LAB
Restaurando el Router a Default - Laboratorio

Mantenga presionado
este botón antes de
aplicar la energía al
equipo, luego suelte
después de cinco
segundos

NOTA = El Reset físico carga nuevamente al configuración por defecto


Ingresando al router por MAC Address - Laboratorio

1
2

LAB
61
Configurando Dirección IP en Ether 2 - Laboratorio

Nota:
3 Debe ser substituido
por el número del
2
router que
corresponda

1 Ejemplo:
Router 5
4 Address =
192.168.5.1/24
Network =
192.168.5.0

LAB 62
Habilitando la Interfaz Wireless - Laboratorio

1
3

LAB
63
Habilitando cliente DHCP en Wlan1 - Laboratorio

1
2 4

LAB
64
Creando perfil de seguridad wireless - Laboratorio

2
1

qwerty*-
qwerty*-

LAB
Definiendo parámetros Wireless - Laboratorio

LAB
66
Enmascarando la Conexión de la WLAN - Laboratorio

5
2 4
6
3
1

LAB
Habilitando el DNS - Laboratorio

1
3
2

LAB
Actualización del RouterOS - Releases
o Long Term: Correcciones, sin nuevas funcionalidades
o Stable: Nuevas funcionalidades
o Testing: Versiones de prueba (Beta)

Long term

Stable

Testing
Actualización del RouterOS

o La manera fácil de hacerlo (recomendada)

System → Packages → Check For Updates


Actualización del RouterOS

o Descarga la actualización desde


www.mikrotik.com/download
o Previamente valida la arquitectura del CPU del
Router
o Selecciona y arrastra los archivos dentro de la
ventana de Winbox, en FILES
o Reinicia el Router
Administración de Paquetes

o Las funcionalidades del RouterOS se habilitan y


deshabilitan en “Paquetes”
Administración de Paquetes

Mas info en: https://wiki.mikrotik.com/wiki/Manual:System/Packages


Administración de Paquetes

Mas info en: https://wiki.mikrotik.com/wiki/Manual:System/Packages

74
Administración de Paquetes

o Cada arquitectura de CPU tiene su propia


combinación de paquetes.
Ejemplo: “routeros-mipsbe”, “routeros-tile”
o Contiene todas las funcionalidades estándar
(Wireless, dhcp, ppp, routing, etc.)
o Paquetes adicionales pueden ser descargados
desde
www.mikrotik.com/download
Administración de Paquetes - Laboratorio

o Habilita el paquete ipv6


o Reinicia el Router
o Observa el menú de Winbox

Luego:
o Deshabilita el paquete ipv6
o Observa el menú de Winbox
o Reinicia el Router
LAB
Administración de Paquetes

DOWNGRADE (Bajar a una versión anterior)


o System → Packages menú
o “Check For Updates” y selecciona un canal
diferente (Ej. bugfix-only)
o Click en “Download”
o Click en “Downgrade” en la ventana de
“Package List”
RouterBOOT
o Firmware responsable de
iniciar el RouterOS en los
dispositivos
RouterBOARD
o Hay dos “boot loaders”
en RouterBOARD. Uno
Principal (main) y un
Backup
o El principal se puede
actualizar
Identidad del Router (Router Identity)
o Mikrotik ofrece la opción de colocar un nombre
personalizado al RouterBOARD

System → Identity

o La información de la identidad está disponible desde varios


lugares
Identidad del Router - Laboratorio

o Identifica tu router de la manera siguiente:


Número de tu Router(XX)_TuNombreApellido
Ejemplo: 01_CarlosPerez

o Observa el nombre del Router en la parte


superior del Winbox

LAB
Administración de Usuarios y Grupos en RouterOS

o El acceso al router
puede ser controlado,
mediante las
credenciales de los
usuarios y grupos
o Se pueden crear grupos
adicionales de lectura y
escritura
o Se pueden crear grupos
con accesos
personalizados
Administración de los respaldos (Backups)

o Puedes hacer un backup de las configuraciones del equipo y


restaurar la configuración en el menú “Files” de Winbox.
o El archivo de backup no es editable.
Administración de los respaldos (Backups)

o Adicionalmente se pueden utilizar comandos de


exportación e importación en CLI
o Los archivos de exportación son editables.
o Las contraseñas de usuarios no se guardan con la
exportación.
/export file=conf-abril-2017
/ip firewall filter export file=firewall-abril-2017
/file print
/import [Tab]
Administración de los respaldos - Laboratorio

o Crea un archivo Backup (Menú FILES – Backup)


con el nombre “Backup_Configuracion_Inicial”.
o Crea un archivo de Exportación en tu
RouterBOARD desde la consola con el nombre
“Export_Configuracion_Inicial”.
o Descarga ambos a tu computador
o Abre el archivo Export con un editor de texto

LAB
Netinstall
o Utilizado para instalar y reinstalar RouterOS.
o Funciona bajo entornos Windows
o Se requiere una conexión de red directa (Capa 2) al router
o Utiliza el Bootstrap Protocol (BOOTP)
IP - Services
o Los puerto por defecto de Winbox, WebFig y Consola
se pueden cambiar desde el menú IP - Services

2
MAC Server – Evitando las Conexiones vía MAC

Si quiero evitar las


conexiones vía MAC
3
address, debo desde
MAC server NO
permitirlas.
2
1

87
Módulo 2
DHCP
DHCP
o Dynamic Host Configuration Protocol
(DHCP)
o Utilizado para distribuir direcciones IP de
manera automática en la red
o Funciona en un dominio de difusión
(Broadcast) capa 2
o RouterOS soporta DHCP Cliente y Servidor
Cliente DHCP

o Utilizado para adquirir de manera


automática, una Dirección IP, mascara de
red, puerta de enlace predeterminada,
servidor DNS y en algunos casos,
parámetros adicionales
o Los routers MikroTik SOHO, por defecto
traen un cliente DHCP configurado en
ether1 (WAN)
Cliente DHCP

IP → DHCP Client
DNS

o Por defecto el cliente DHCP


consulta (al servidor DHCP)
sobre los servidores DNS
o También se puede se
pueden colocar servidores
DNS de manera manual

IP → DNS
DNS
o RouterOS soporta registros estáticos de DNS
Servidor DHCP

o Automáticamente asigna direcciones IP a los


Host que la soliciten, es decir, los que
tengan un cliente DHCP habilitado
o Debe existir una dirección IP configurada
en el interfaz en donde va a funcionar el
Servidor DHCP.
o Se puede habilitar el paso a paso a través
del comando “DHCP Setup”
Servidor DHCP - Laboratorio

o Desconecta el computador del Router


o Configura la interfaz de red del
computador para que reciba IP por
DHCP
o Reconéctate al Router usando la MAC
Address

LAB
Servidor DHCP - Laboratorio

o Crea un servidor DHCP en la interfaz


ether2 de tu router, utilizando la
función “DHCP Setup”
1

LAB
96
Servidor DHCP - Laboratorio

1 4

2 7
5

3 6

LAB
Servidor DHCP - Laboratorio
o Recibiste IP de manera automática en tu
laptop?? Cual IP recibiste ???

1. En tu laptop, escribe en ejecutar “CMD” para que abras


una ventana de consola de comando. Utiliza el comando
“ipconfig /all”. Valida la IP que recibiste
2. Desde el mikrotik accede al menú IP-DHCP-SERVER pestaña
LEASES. Valida la IP que fue entregada desde el MikroTik

LAB
Address Resolution Protocol (ARP)

o ARP asocia en un registro, la Dirección


IP de un cliente (Capa 3) con la MAC
Address (Capa 2). Es una combinación
de ambas direcciones
o ARP funciona de manera dinámica
o También puede ser configurado de
manera manual
Address Resolution Protocol (ARP) – Tabla ARP

o Ofrece información sobre la Dirección


IP, la MAC Address y la interfaz en
donde el dispositivo está conectado.

IP → ARP
Address Resolution Protocol (ARP) – ARP Estático

o Para aumentar la Seguridad, los registros


ARP, pueden agregarse manualmente
o La interfaz de red puede ser configurada
con la opción “reply-only” para conocer los
registros ARP
o El Router no va a poder acceder a internet
si utiliza una Dirección IP diferente.
101
Address Resolution Protocol (ARP) – ARP Estático

IP → ARP Interfaces → ether1


DHCP y ARP

o En el DHCP Server se pueden agregar


registros ARP estáticos

o Combinando con “static leases” y “reply-


only”, ARP incrementa la Seguridad en la
red y restringe el acceso a cierto tipo de
usuarios
DHCP y ARP

IP → DHCP Server
ARP Estático - Laboratorio

o En el MikroTik, haz la entrada ARP de tu laptop


estática.
o Establece “arp=reply-only” en la interfaz de la red
local ether2
o Cambia la dirección IP de la computadora.
Coloca como IP: 192.168.XX.3/24, con gateway
192.168.XX.1 y DNS 192.168.XX.1
o Comprueba la conectividad a Internet

LAB
ARP Estático - Laboratorio

o En el MikroTik Elimina el registro estático ARP.


o Establece “arp=enabled” en la interfaz de la red
local ether2
o Comprueba la conectividad a Internet. Tienes
navegación ???

o Vuelve a colocar la interfaz de tu laptop para que


reciba IP y DNS de manera automática.

LAB
IP Neighbors

El protocolo MikroTik Neighbor Discovery (MNDP) y LLDP (Link


Layer Discovery Protocol) permiten "encontrar" otros dispositivos
compatibles con MNDP o CDP (Cisco Discovery Protocol) o LLDP
en el dominio de broadcast capa 2.

o Funciona en todas las interfaces no dinámicas.


o Distribuye información básica sobre la versión del
software.
o Distribuye información sobre las características
configuradas que deberían interoperar con otros routers
MikroTik
IP Neighbors - Funcionamiento
o Utiliza el protocolo UDP puerto 5678
o Un paquete UDP con información del router se transmite a través de la interfaz cada 60
segundos
o Cada 30 segundos, el router comprueba si algunas de las entradas vecinas no están
obsoletas
o Si no se recibe información de un vecino durante más de 180 segundos, la información del
vecino se descarta.

2
IP Neighbors

3
En “Discovery
Settings” puedo
evitar que las
1 interfaces del
routers sean
2
descubiertas
Módulo 3
BRIDGE

110
Bridge

o Puentes (Bridges), son dispositivos de capa 2


en el modelo OSI
o El bridge divide el dominio de colisión en dos
partes
o Un Switch ethernet es un dispositivo bridge
con múltiples puertos

111
Bridge

o Todos los host se pueden comunicar entre


ellos
o Todos los host comparten el mismo dominio
de colisión
Bridge

o Todos los host aun se pueden comunicar entre


ellos
o Ahora tenemos dos dominios de colisión
Bridge

o RouterOS implementa un bridge desde el


software
o Las interfaces ethernet, wireless, SFP y
túneles pueden agregarse a un bridge
o El bridge una vez creado, e incluidas en él
varias interfaces, será ahora una interfaz
más, con su propia MAC Address.
114
Bridge
Creando un puente transparente entre interfaces
Wireless y cableadas

o Los clientes “Wireless” (“mode=station”)


no soportan el modo bridge debido a la
limitación de 802.11

o Hay varias manera de solventar esto con


RouterOS
115
Bridge – Wireless Bridge

o Station bridge - RouterOS a RouterOS

o Station pseudobridge - RouterOS a otro


dispositivo No RouterOS

o Station wds (Wireless Distribution System) -


RouterOS a RouterOS

116
Bridge – Wireless Bridge

o Para utilizar la
función “Station
Bridge”, se debe
habilitar el modo
bridge en el AP
Bridge – Laboratorio

o Conecta nuevamente tu router al AP de la clase


o Cambia el modo de conexión Wireless de
Station a Station-Bridge
o Elimina el Cliente DHCP de la wlan1
o Crea un Bridge
o Incluye en los puertos del Bridge la wlan1 y la
ether3
o Conecta tu computador a ether3
LAB
Bridge – Laboratorio

1 3

4 5

LAB
Bridge – Laboratorio

o Elimina el bridge creado


o Conecta nuevamente tu computador a
Ether 2

LAB
Bridge – Firewall

o La interfaces Bridge del RouterOS


soportan la opción de Firewall
o El tráfico que fluye a través del bridge
puede ser analizado y tratado por el
Firewall
o Para habilitarlo: Bridge → Settings → Use
IP Firewall
Módulo 4
Enrutamiento (Routing)

122
Funciones de un Router

o Determinación de las mejores rutas para


los paquetes de datos entrantes y
conmutación de los paquetes a la interfaz
saliente correcta
o Se basan en la construcción de tablas de
enrutamiento y en el intercambio de la
información de red que éstas contienen
con otros routers.
123
Enrutamiento
o Trabaja en la capa 3 del modelo OSI
o Las reglas de Enrutamiento del RouterOS
definen a donde los Paquetes van a ser
enviados

IP → Routes
Enrutamiento
o Dst. Address: redes que queremos alcanzar
o Gateway: Dirección IP del próximo router para
llegar al destino

IP → Routes
Enrutamiento – Nueva Ruta Estática

IP → Routes
Enrutamiento – Gateway por Defecto
o Gateway por Defecto: Próximo router
“Próximo Salto” donde todo (0.0.0.0) el
tráfico es enviado

127
IP → Routes
Enrutamiento – Check Gateway

o Check gateway: cada 10 segundos se


envía un ICMP “echo request” (ping) o un
“ARP request”
o Si varias rutas utilizan el mismo Gateway y
una de ellas tiene la opción de Check
Gateway, todas las rutas serán sometidas
al comportamiento del “Check Gateway”
Enrutamiento
o Si hay dos o mas rutas, apuntando a una misma
dirección, la ruta mas específica (máscara mas
pequeña) será utilizada
Dst: 192.168.90.0/24, gateway: 1.2.3.4
Dst: 192.168.90.128/25, gateway: 5.6.7.8

Si se necesitan enviar paquetes a la dirección


192.168.90.135, se utilizará el gateway 5.6.7.8
Esta IP pertece a ambas redes (192.168.90.0/24 y
192.168.90.128/25). Comprúebalo con la
calculadora de Subnetting 129
Enrutamiento - Laboratorio

o Actualmente el Default Gateway del router


está configurado de manera automática
utilizando el cliente DHCP de la WLAN
o Deselecciona la opción “Add Default Route”
en la configuración del cliente DHCP
o Chequea la conexión a Internet

LAB
Enrutamiento - Laboratorio

o Agrega de manera manual el Gateway por


defecto (0.0.0.0/0), apuntando a la
dirección de IP del AP-router de la clase
(172.24.0.1).

o Chequea la conexión a Internet nuevamente

LAB
Enrutamiento – Banderas

o Rutas con las banderas (Flags) DAC son


agregadas dinámicamente.

o Son las rutas asociadas a las direcciones


IP de las interfaces del router. Redes
Directamente Conectadas
Enrutamiento – Rutas Dinámicas

IP → Addresses IP → Routes
Enrutamiento – Banderas de Rutas

A - active
C - connected
D - dynamic
IP → Routes S - static
Enrutamiento – Banderas de Rutas
Enrutamiento – Rutas Estáticas

o Un ruta estática define como se alcanza


un destino específico en la red

o El “gateway” por defecto también puede


ser incluido como una ruta estática. Envía
todo el tráfico (destino 0.0.0.0) al host, el
“gateway”
136
Rutas Estáticas - Laboratorio
172.24.0.ABC XX = Debe ser substituido por el número del router
wlan1 AP que corresponda
Ejemplo: Router 5
Tu Router Address =192.168.5.1/24 Network 192.168.5.0

Ether2
192.168.XX.1/24 172.24.0.ABC
Router del Instructor wlan1
Router de tu
RED 192.168.XX.0/24
compañero
Ether2
192.168.XX.2/24 192.168.XX.1/24
Default GW =
RED 192.168.XX.0/24
192.168.XX.1
192.168.XX.2/24
El objetivo es hacerle Default GW =
“PING” al computador de 192.168.XX.1
tu compañero
LAB
Rutas Estáticas - Laboratorio
XX = Debe ser substituido por el número del router
wlan1 que corresponda
172.24.0.ABC Ejemplo: Router 5
Tu Router Address =192.168.5.1/24 Network 192.168.5.0

Ether2
192.168.XX.1/24 172.24.0.ABC wlan1
Router de tu
RED 192.168.XX.0/24
compañero
Ether2
192.168.XX.2/24 192.168.XX.1/24
Default GW =
RED 192.168.XX.0/24
192.168.XX.1
192.168.XX.2/24
El objetivo es hacerle Default GW =
“PING” al computador de 192.168.XX.1
tu compañero
LAB
Rutas Estáticas - Laboratorio
o Para que funcione el “Ping” entre los computadores,
deben configurarse rutas estáticas

o Pregúntale a tu compañero sobre la dirección IP de su


interfaz WLAN (Ejemplo: 172.24.0.252) Esto también lo
puedes ver desde el menú IP-Neighbors.

o Pregúntale a tu compañero sobre la Red interna que


tiene definida en ether2 (Ejemplo 192.168.5.0/24)

LAB
Rutas Estáticas - Laboratorio

o Agrega una nueva ruta estática


o Define como Dst. Address, la red local de
tu compañero (Ej. 192.168.5.0/24)
o Define como Gateway, la dirección IP de
la interfaz WLAN de tu compañero (Ej.
172.24.0.253)
o Prueba el Ping entre los computadores
LAB
Rutas Estáticas - Laboratorio

o Recuerda que debes preguntarle al


compañero tres cosas; SU RED INTERNA,
LA DIRECCIÓN IP DE SU INTERFAZ WLAN Y
LA DIRECCIÓN IP DE SU COMPUTADOR
o El firewall de Windows y los antivirus
pueden bloquear el ping

LAB
Enrutamiento – Rutas Estáticas

o Son fáciles de configurar en una red pequeña, pero


No son fácilmente escalables
o Reduce el uso de recursos en el RouterBOARD
o Se requiere agregar manualmente una nueva ruta,
cada vez que se quiera alcanzar una nueva red
o En enrutamiento estático forma parte de la
paquetería básica (System) del RouterBOARD. No
se necesitan paqueterías adicionales para que este
tipo de enrutamiento funcione.
Módulo 5
Wireless

143
Wireless

o Un RADIOENLACE es aquel que se establece para la


transmisión de datos a través de ondas electromagnéticas.
Las ondas no son guiadas por ningún tipo de sistema
conductor (guías de onda, cable coaxial). El medio de
transmisión es el espacio.

o IEEE 802.11 es un conjunto de estándares de protocolo de


nivel de enlace para redes inalámbricas de área local (WLAN:
Wireless LAN), que trabaja en las bandas de 2.4 GHz y/o 5
GHz. Trabaja bajo el protocolo CSMA/CA (Carrier Sense
Multiple Access with Collision Avoidance)
Wireless
o RouterOS soporta varios módulos de radio que permiten la
comunicación vía aire (2.4GHz y 5GHz).
o MikroTik RouterOS ofrece soporte completo para el estándar
IEEE 802.11a/n/ac (5GHz) y 802.11b/g/n (2.4GHz)

* Dependiendo del modelo de RouterBOARD


Wireless – Estándares WLAN 802.11x

o WLAN permite establecer radioenlaces Punto a Punto (PTP) y


Punto Multipunto (PTMP), para la interconexión de redes y el
transporte de datos
Enlace Punto Multipunto
Enlace Punto a Punto
El Espectro en la banda de 2.4 GHz
o 14 canales, separados por 5 MHz.
o Cada canal necesita 22MHz (en 802.11b) de ancho de banda para
operar
o Solapamiento de varios canales contiguos. Solo tres canales no se
solapan.
El Espectro en la banda de 5 GHz
o La banda de frecuencia de 5 GHz ofrece 25 canales que no
se solapan entre si, si se trabaja con canalizaciones de 20
MHz. La numeración comienza con el 36 y finaliza con el 165.

Los canales de 160 MHz se solapan con 8 canales de 20


MHz. Cuidado al implementarlos!!
Wireless – Frecuencias Soportadas

oDependiendo de las regulaciones del país, la


tarjeta “Wireless” podrá soportar
2.4GHz: 2312 -2499 MHz
5GHz: 4920 -6100 MHz
o Bajo consola de comandos se puede obtener
mayor información sobre los canales
disponibles
/interface wireless info allowed-channels wlan1
/interface wireless info hw-info wlan1
Wireless – Frecuencias Soportadas
Wireless – Regulaciones del País

o Configura la
2
interfaz “Wireless”
para aplicar las 1

regulaciones de tu 3
país.
Wireless – Regulaciones del País
Wireless – Nombre del Radio
o Usaremos el nombre RADIO para los mismos propósitos que la
identidad del router.
o Identifica el nombre del radio de la manera siguiente:
Número de tu Router(XX)_TuNombre
Ejemplo: 01_CarlosPerez

LAB
Wireless – Nombre del Radio

o Solo es visible entre RouterOS


o Se puede ver en la tabla de registro Wireless

Wireless → Registration
Wireless – Chains

o 802.11n introduce el concepto de MIMO (Multiple In and


Multiple Out)
o Envía y recibe data utilizando múltiples radios (Streams) en
paralelo, utilizando mas de una polaridad. Utilizar dos Streams
en lugar de uno, permite alcanzar el doble del throughput
Wireless – Chains

MCS Chart
Wireless – Tx Power

o Esta función como su nombre lo indica, es utilizada para


ajustar la potencia de transmisión de la tarjeta (Radio)

o Al colocarla en “All rates Fixed” se puede ajustar la potencia.


Para pruebas en ambientes cerrados (nuestro caso), es
recomendable ajustar la potencia a los valores mínimos

o Para trabajar con valores de potencia altos, es muy


importante que se consulte con la hoja técnica (datasheet) del
equipo, antes de definir un valor.
Wireless – Tx Power

hAP Lite
o Valores de Potencia
máximos a ser
configurados, según
el tipo de data rate
(modulación)
Wireless – Sensibilidad del Receptor

o La sensibilidad de receptor (Receiver sensitivity) es el valor mínimo


de potencia (expresado en dB) a partir del cual el receptor no será
capaz de reconocer la señal que proviene del transmisor

o El estándar 802.11 define la sensibilidad mínima del receptor en


base a un BER (Bit Error Rate) de 10 - 5 Esto significa Perder 1 de
cada 100.000 bits transmitidos
DATA TRANSMITIDA DATA RECIBIDA TIPICAMENTE CUANDO LA TASE DE BIT ERRADOS ES
-4
SUPERIOR A 10 HABLAMOS DE DEGRACIÓN TOTAL
DEL ENLACE!!

o Conocer la sensibilidad de la tarjeta Wireless del RouterBOARD,


permite diseñar correctamente el enlace de radio
Wireless – Cálculo del radioenlace
Wireless – Cálculo del radioenlace
Pérdida de
Espacio Libre

FSL= 92.4 + 20*log10(D) + 20*log10(f)


Potencia
de Recepción

PRx = PTx + GTx + GRx – FSL – AFTx – AFRx


Potencia de Ganancia de las antenas Pérdidas en Cables
Transmisión

SOM = PRx - Sensibilidad


Un radioenlace es factible, cuando el SOM (System Operating Margin) o umbral de
corte, es superior a la sensibilidad del receptor. Mientras mayor sea el umbral,
mayor disponibilidad tendrá el enlace de radio. En enlaces de 5GHz, se recomienda
un SOM superior a 10 dB
Wireless – Modos de trabajo

AP

Wireless Stations
Estación (Wireless Station)

“Station” es un modo de Trabajo para


los clientes de una red inalámbrica.
Este cliente puede ser una Laptop, una
Smartphone u otro RouterBOARD

163
Wireless Station

Definir el modo en
station

Seleccionar la banda

Definir el SSID (Identificador de la red)

Si no se selecciona una frecuencia en


específica, el cliente se conectará al AP
si este tiene una frecuencia definido
en el SCAN LIST
Seguridad Wireless

o Solo WPA (WiFi Protected Access) o


WPA2 deben ser utilizadas
o WPA-PSK o WPA2-PSK con AES-CCM
para la Encriptación
o Todos los dispositivos en la red deben
tener las mismas opciones de
seguridad.
Seguridad Wireless

WPA y WPA2
keys deben ser
especificadas para
permitir la Conexión de
dispositivos que no
soportan WPA2.

Wireless → Security Profiles


Lista de Conexión
o Conjunto de reglas que utilizan las estaciones
para conectarse o no a un AP

Wireless → Connect List


Default Authentication

o “Yes”, se comprueban las reglas de las lista


de conexión. El cliente puede conectarse al
AP si no hay ninguna regla de rechazo

o “No”, sólo se comprueban las reglas de la


lista de conexión.
Lista de Conexión

o Actualmente tu router está conectado al


punto de acceso (AP) de la clase

o Hagamos una regla para prohibir la


conexión al punto de acceso de la clase

o Usa la función “Signal Strength Range”


LAB
Lista de Conexión

o Valida en la tabla “Registration” la intensidad (PRx -


Potencia de Recepción) que recibes del AP
o Deshabilita la opción “Default Authenticate”
o Hagamos una regla para prohibir la conexión a
señales menores a la que estás recibiendo. Ej. Si
recibes -50 dBm. Coloca en el campo “Signal
Strength Range” -65..-60. Solo te conectarás al AP
si recibes una señal dentro de ese rango

LAB
Lista de Conexión

LAB
Lista de Conexión

LAB
Lista de Conexión
1

LAB
173
Punto de Acceso (Access Point)

o “Access Point” es un modo de Trabajo que


sirve para interconectar equipos de
comunicación inalámbricos. Típicamente es
utilizado para darle acceso a internet a estos
dispositivos.

o En RouterOS, este mode de Trabajo se llama


“AP”
Punto de Acceso (Access Point)

Establece “mode=ap-bridge”

Selecciona “band”

Establece la frecuencia

Establece SSID, Identidad de


red “Wireless”

Selecciona el perfil de
seguridad
WiFi Protected Setup (WPS)

o WiFi Protected Setup (WPS) es una


funcionalidad para el acceso rápido a la red
WiFi, sin la necesidad de ingresar la
contraseña

o RouterOS soporta ambos, WPS para AP y


para el cliente.
Tabla de Registro

o Observa todas las interfaces “Wireless” conectadas

Wireless → Registration
Lista de Acceso (Access List)

o Utilizada por el AP para controlar las conexiones


permitidas de las estaciones
o Identifica la MAC Address del dispositivo
o Define que estación se puede autenticar contra el
AP
o Limita los días en que puede haber conexión
o Si no hay reglas que hagan “Match” en la lista de
acceso, se utilizan los valores por defecto de la
interfaz wireless
Lista de Acceso (Access List)

Wireless → Access List


Lista de Acceso (Access List)
o La lista de acceso se utiliza para establecer la seguridad en
base a la dirección MAC de las estaciones
o Deshabilita “Default-Authentication” para usar sólo la lista de
acceso.
Default Authentication

o “Yes”, se comprueban las reglas de las lista


de acceso. El cliente puede conectarse si
no hay ninguna regla de rechazo

o “No”, sólo se comprueban las reglas de la


lista de acceso.
Default Forward

Default-Forwarding”
Utilizado para deshabilitar
comunicaciones entre
clientes conectados al
mismo punto de acceso
Access Point - Laboratorio

o Define el modo de trabajo como “AP Bridge”


o Crea un SSID con tu nombre y número de Router.
Ej: AP_Carlos_Perez_01
o Selecciona el perfil de seguridad que contiene la
clave “qwerty*-”
o Deshabilita el cliente DHCP de la interfaz WLAN

LAB
Access Point - Laboratorio

o Define una dirección IP en la interfaz WLAN. Utiliza el


siguiente formato: 172.24.XX.1/24
o Crea un DHCP Server en la interfaz WLAN
o Conecta tu computador al AP
o Abre Winbox y observa la tabla de registro
XX = Debe ser substituido por el número del
router que corresponda
Ejemplo: Router 5
Address =172.24.5.1/24 Network 172.24.5.0

LAB
Módulo 6
Cortafuegos (Firewall)

185
Firewall

o Protege tu router y a los clientes de


accesos no autorizados
o Se basa en reglas que son analizadas
secuencialmente, hasta que la primera
regla haga “Match”
o Las reglas se administran en la secciones
“Filter” y “NAT”
Firewall

o Consiste en reglas definidas por el usuario


que trabajan sobre el principio “IF-Then”. Si
una regla hace “Match” hago lo siguiente…

o Esas reglas se ordenan en Cadenas.

o Hay Cadenas predefinidas y creadas por el


Usuario.
Firewall – Cadenas de Filtrado

Las reglas pueden ser ubicadas en tres


cadenas por defecto.

o “Input” (al router).


o “Output” (desde el router).
o “Forward” (a través del router).
Firewall – Cadenas de Filtrado

Input Output

Internet
Forward

Output Input

Internet
Forward
Cadenas de Filtrado - Acciones

Cada regla tiene una acción - qué hacer


cuando un paquete ha hecho “match”
o Aceptar
o “Drop” de manera silenciosa o “Reject”
o “Drop” en conjunto con un mensaje ICMP
o “Jump/Return” hacia/desde una cadena
personalizada por el usuario
Cadenas de Filtrado - Acciones

IP → Firewall → New Firewall Rule (+) → Action


Cadenas de Filtrado

Sugerencia: Para mejorar la lectura de las reglas de


Firewall, se recomienda ordenarlas secuencialmente
por cadenas (Chains) y agregar comentarios
Cadenas de Filtrado - Input

o La cadena contiene reglas de filtrado que


protegen al mismo router.

o Las reglas aplican para el tráfico que viene de la


LAN como el que viene desde Internet

Input
Cadenas de Filtrado – Input - Laboratorio

o Valida que dirección IP tiene tu computador


o En la cadena Input, agrega (Add) una regla que
acepte (accept) la Dirección IP de tu computador
(Ej. Src. Address = 192.168.XX.2) en la interfaz de
entrada ether2
o En la cadena Input, agrega una regla que descarte
(Drop) todo lo demás
o Cambia la dirección IP de tu computador
o Observa lo que pasa

LAB
Cadenas de Filtrado – Input - Laboratorio

LAB
Cadenas de Filtrado – Input - Laboratorio

LAB
Cadenas de Filtrado – Input - Laboratorio

o Vuelve a colocar en tu computador la dirección IP


que tenías originalmente
o Elimina la regla anterior
o En la cadena Input, agrega (Add) una regla que
descarte (drop) en la interfaz de entrada ether2,
todo lo que vaya contra el puerto destino UDP/53
(Peticiones de DNS)
o Tienes conexión a internet ?

LAB
Cadenas de Filtrado - Forward
o La cadena contiene reglas de filtrado para el tráfico que pasa
a través del router. Es decir, tráfico que no va dirigido al
router pero que necesariamente tiene que pasar por él
o La Cadena Forward controla el tráfico entre los clientes y el
internet

Internet
Forward
Cadenas de Filtrado – Forward - Laboratorio

o Elimina las reglas en la cadena Input creadas


anteriormente

o En la cadena forward, agrega (Add) una regla que


descarte (drop), todo lo que vaya contra el puerto
destino TCP/80 (Navegación HTTP)

LAB
Cadenas de Filtrado – Forward - Laboratorio

LAB
Cadenas de Filtrado – Forward - Laboratorio

o Abre la página www.noticias24.com ???

o Abre la página www.mikrotik.com ???

LAB
Puertos Conocidos
Puertos Conocidos
Puertos Conocidos

IANA port assignments published at


http://www.iana.org/assignments/port-numbers
Lista de Direcciones (Address List)

o La lista de direcciones te permite filtrar,


basándote en un grupo de direcciones IP, en una
misma regla
o Se puede de manera automática, agregar
direcciones IP a una lista de direcciones
o Las lista de direcciones pueden ser permanentes
o por tiempo
o Las listas de direcciones pueden contener una
dirección IP o un segmento de ellas
Lista de Direcciones (Address List)

IP → Firewall → Address Lists → New Firewall Address List (+)


Lista de Direcciones (Address List)

o En lugar de especificar direcciones IP en la


pestaña general, se puede, en la pestaña
“Advanced”, utilizar un Address List (Src. o Dst.
Según sea el caso)

IP → Firewall → New Firewall Rule (+) → Advanced


Lista de Direcciones (Address List)

o Mediante una acción del Firewall, se puede


incluir una dirección IP de manera automática en
una Address List

IP → Firewall → New Firewall Rule (+) → Action


Lista de Direcciones - Laboratorio

o Crea una lista e incluye la dirección IP de tu


computador
o Crea una regla en la cadena Input que acepte
todo lo que tenga como origen (src address list)
la lista creada
o Crea otra regla en la cadena Input que descarte
todo lo que ingrese (in interface) por ether2

LAB
Lista de Direcciones - Laboratorio

LAB
Lista de Direcciones - Laboratorio

LAB
Lista de Direcciones - Laboratorio

o Hazle ping a la dirección IP de tu router


o Funciona ?
o Cambia la dirección IP de tu computador a otra IP
del mismo segmento. Funciona el ping ?

Comentarios:

LAB
Firewall – Cadenas Personalizadas

o Además de las cadenas “input”,


“forward”, y “output”, pueden crearse
cadenas personalizadas.

o Simplifica la estructura del firewall.

o Reduce la carga del router.


213
Firewall – Cadenas Personalizadas

o Secuencia de las cadenas de firewall personalizadas en acción


o Las cadenas personalizadas pueden ser para virus, TCP, UDP,
protocolos, etc.
Forward
Chain = Virus
Network Address Translation (NAT)

o El router puede cambiar la dirección


origen o de destino de paquetes
fluyendo a través de él.

o Este proceso se llama “src-nat” o


“dst-nat”.
Network Address Translation (NAT)

o Para alcanzar esos escenarios tienes


que ordenar tus reglas NAT en
cadenas apropiadas: “dstnat” o
“srcnat”.
o Las reglas NAT trabajan sobre el
principio “IF-THEN”.
NAT de Origen (Source NAT)

o “SRC-NAT” cambia la dirección fuente del paquete.


o Puedes usarlo para conectar redes privadas a Internet a
través de direcciones IP públicas.
o La acción “Masquerade” es un tipo de SRC-NAT.

Nueva
Src address Src address

SCR-NAT
Internet
NAT de Destino (Destination NAT)

o DST-NAT” cambia la dirección y el puerto


destino del paquete.
o Puede usarse para dirigir usuarios de Internet
a un server en tu red privada
Nueva
Dst address Dst address

DST-NAT
Internet
Internet
Servidor en Host Público
la LAN
NAT de Destino (Destination NAT)

Este puerto se
Nueva puede cambiar
Dst address Dst address
192.168.1.23:37778 200.44.32.21:37778

DST-NAT
LAN WAN
Internet
Internet
Ether1 Ether4
DVR Host Público
192.168.1.23
Puerto TCP: 37778
Network Address Translation (NAT)

IP → Firewall → NAT → New NAT Rule (+)


NAT - Redirect

o Es un tipo de DST-NAT

o Esta acción redirecciona los paquetes


hacia el mismo router

o Puede ser utilizado para crear un


servidor Proxy transparente
NAT - Redirect

o En la cadena dstnat, agrega una regla de “Redirect” que


envíe todas las solicitudes que tengan como destino el
puerto 80 (TCP/80), al puerto 80 del Router
o Intenta abrir la página www.noticias24.com
o Elimina la regla de NAT Creada

Comentarios:

LAB
Conexiones
o New: Un paquete está abriendo una nueva
Conexión.
o Established: El paquete pertenece a una
Conexión conocida (Establecida)
o Related: Un paquete está abriendo una nueva
Conexión, la cual está relacionada con una
Conexión conocida
o Invalid: El paquete no pertenece a ninguna
Conexión conocida
Conexiones
Ejemplo. Llamada VoIP SIP
Usuario A Usuario B

NEW
Softphone Softphone
Llama
Repica

Atiende
VoIP SIP
Server

Conversación
ESTABLISHED
Conexiones
Usuario A NEW Usuario B
Llama
Repica Softphone
Softphone

Atiende
VoIP SIP Server
Conversación
ESTABLISHED
Usuario C
Conferencia
Repica Softphone

Atiende

RELATED
Conversación
Conexiones
Proceso Conexión TCP Emisor Receptor
NEW
Connect( ) Listen( )
TCP SYN

Three-Way Handshake TCP initialized to


SYN-ACK SYN-RECEIVED stated
Process
Success code
returned by
connect( ) ACK

TCP transitions to
ESTABLISHED state
Data packets exchanged
ESTABLISHED
Conexiones
Proceso Conexión TCP Emisor Receptor

TCP
Three-Way Handshake
Process SYN-ACK
INVALID
Success code
returned by
connect( )
Conexiones - Connection Tracking

o “Connection tracking” administra la


información de todas las conexiones
activas

o Debe ser habilitado para que los


filtros y reglas NAT puedan
funcionar
Conexiones - Connection Tracking

IP → Firewall → Connections
FastTrack

o Un método para acelerar el flujo de Paquetes que


pasa a través del router

o Una conexión establecida o relacionada puede ser


marcada (Firewall – Mangle) para una conexión
FastTrack, con lo que el firewall, connection tracking,
simple queue y otras funciones del router quedarán
bajo bypass

o Actualmente solo soporta protocolos TCP y UDP


Módulo 7
Calidad de Servicio
(Quality of Service – QoS)
QoS
o QoS es un conjunto de tecnologías que le
proporcionan la capacidad para administrar el tráfico
de red de manera rentable y mejorar las
experiencias de usuario en entornos empresariales,
oficinas pequeñas e incluso entornos de red
domésticos.

o RouterOS implementa varias técnicas de calidad de


servicio como limitación de velocidad (Traffic
Shaping), priorización y otras
QoS – Limitación de Velocidad

o Controlar directamente el tráfico entrante


no es posible
o Pero es posible hacer esta tarea
indirectamente descartando (Drop) los
paquetes entrantes
o TCP se adaptará efectivamente a la
velocidad de la conexión
Cola Simple (Simple Queue)

o Se puede utilizar para:


Controlar la velocidad de descarga del
cliente
Controlar la velocidad de carga (subida)
del cliente
Controlar la velocidad total (Subida mas
bajada) +
Asignar prioridades a los paquetes
Cola Simple (Simple Queue)

o Se procesan secuencialmente, por lo que el orden es


importante
o Es obligatorio utilizar el campo Target
o Si el Target 0.0.0.0/0 en la primera regla, el resto de
las reglas no harán Match
o Es posible desde una regla de cola simple, asignar
prioridades a los paquetes.
Las prioridades van de 1 a 8.
1 es la mayor prioridad
Simple Queue

Dirección IP del cliente

Limite de Velocidad

Queues → New Simple Queue(+)


Simple Queue - Laboratorio

o Prueba desde tu computador


a velocidad de descarga hacia
internet. Puedes utilizar la
página https://fast.com/es/

LAB
Simple Queue - Laboratorio

o Crea una regla de cola simple colocando


como target, la dirección IP de tu
computador (Ej. 192.168.5.2)
o Define el “Max Limit Target Download”
en 384 Kb/s
o En tu computador prueba la velocidad
de descarga desde https://fast.com/es/
LAB
Simple Queue – Laboratorio (Opcional)

o Utilizando la herramienta Btest en tu


computador prueba la velocidad de
descarga (Receive), colocando como
servidor de pruebas, el AP de la clase:
172.24.0.1 (User: prueba, Password:
prueba)

LAB
Simple Queue - Laboratorio

2
3

1 384k

LAB
Simple Queue - Laboratorio
o Observa la estadísticas
El ícono del Queue
cambia a amarillo a
medida que se está
llegando al tope de
la limitación.
Cuando se alcanza
el tope, se coloca
en rojo

LAB
Cola Simple (Simple Queue)

Colores del Queue

0% - 50% de tráfico utilizado - green

51% - 75% de tráfico utilizado - yellow

76% - 100% de tráfico utilizado - red


Simple Queue

o En lugar de definir como target, la IP de


un cliente; se puede colocar como
destino la IP de un determinado
servidor (Ej. 200.62.10.31)

Queues
Ancho de Banda Garantizado

o Ejemplo:
Ancho de banda total disponible
20 MB/s
3 clientes, cada uno tiene un ancho de
banda garantizado
El trafico restante, se divide entre la
totalidad de los clientes
244
Ancho de Banda Garantizado

Ancho de Banda Garantizado


Burst

o Diseñado para permitir altas velocidades


por cortos periodos de tiempo
o Útil para el tráfico HTTP, en donde las
páginas cargan mas rápidamente
o Para la descargas de archivos y pruebas de
velocidad, las restricciones en el “Max
Limit” aun siguen funcionando
Burst

o Burst limit – máxima tasa de carga / descarga


que se puede alcanzar durante el tiempo de
duración del Burst
o Burst time - tiempo (segundos), sobre el cual el
promedio de la tasa de velocidad es calculado
o Burst threshold – cuando el promedio de la tasa
de velocidad excede o está por debajo del
umbral, el Burst se activa o desactiva
Burst

El usuario de la IP 10.0.0.1

puede descargar a una tasa de 20 Mbps hasta

que el averaje de los 10 segundos

haya alcanzado 10 Mbps

en el tiempo que él ha estado limitado a 10


Mbps
Burst

En la grafica se considera que hay una configuración con; el "MAX-LIMIT” = 256 Kbps, "
BURST-TIME = 8 segundos (Es el tope mas alto de la raya verde), BURST-THRESHOLD =
192 Kbps que viene a ser el Umbral y “BURST-LIMIT” = 512 Kbps como la velocidad
maxima.
Burst

En el momento inicial de abrir la aplicación no hay tráfico y por lo tanto


la ráfaga de velocidad seria igual al "BURST-LIMIT“ con una velocidad
maxima de 512 Kbps en la grafica, si miramos de donde viene esto,
seria de la formula matemática (0+0+0+0+0+0+0+0)/8=0 kbps, por lo
tanto cero (0) esta por debajo del umbral "burst-threshold=192 kbps y
por regla general todo lo que este por debajo de 192 kbps en este
ejercicio se le aplicara la regla de la ráfaga de maxima velocidad
“BURST-LIMIT" .

Nota: se divide por 8 porque el tope máximo en este ejercicio del


"BURST-TIME” = 8
Burst

Después del primer segundo:


(0+0+0+0+0+0+0+512) / 8 = 64 Kbps
Como está por debajo del "BURST-THRESHOLD=192
Kbps se mantiene la ráfaga del “BURST-LIMIT“

Después de dos (2) segundos:


(0+0+0+0+0+0+512+512) / 8 = 128 kbps
Se mantiene la ráfaga del “BURST-LIMIT"
Burst

Después del tercer segundo:


La velocidad media de datos es
(0+0+0+0+0+512+512+512)/ 8 = 192 kbps, lo cual
ya no es un valor menor. De aquí en adelante se
mantiene en línea recta en el valor del Max Limit
Burst

Queues → Simple Queue → Edit


Burst - Laboratorio

o Crea una regla colocando como target, la dirección IP de tu


computador. Ej: 192.168.XX.254
o Define el “Max Limit Target Download y Upload” en 384 Kb/s
o Define el “Burst limit” en 1 Mb/s para ”Upload” y
“Download”
o Define el “Burst threshold” en 512 Kb/s para ”Upload” y
“Download”
o Define el “Burst Time” en 8 segundos para ”Upload” y
“Download”

LAB
Burst - Laboratorio
o Utiliza la herramienta Btest
o Haz una prueba de velocidad
o Elimina las reglas de Burst y repite la prueba

Herramienta para el cálculo del Burst


https://ip-pro.eu/en/tools/mikrotik_burst_calculator

LAB
Per Connection Queuing (PCQ)

o Tipo de cola para optimizar implementaciones mayores


de QoS

o Las limitaciones se hacen por “Sub-Stream”

o Sustituye múltiples colas por una sola

o Se pueden utilizar clasificaciones como:


Origen/Destino para una Dirección IP
Origen/Destino para un puerto
Per Connection Queuing (PCQ)

o Establece el mismo límite a cualquier usuario


o Ecualiza el ancho de banda disponible entre
usuarios
Per Connection Queuing (PCQ)

o Rate – cantidad máxima de velocidad (data rate)


de cada sub-stream

o Limit – tamaño de la cola de cada sub-stream


(KiB)

o Total Limit – maxima cantidad de datos


encolados en todos los sub-streams (KiB)
Per Connection Queuing (PCQ)

Caso de uso #1 Caso de uso #2


PCQ - Laboratorio

o El instructor creará dos colas de PCQ para


limitar a los estudiantes (Su router) a 128k
como máximo en carga y descarga

o La regla se aplicará sobre la red wlan


172.24.0.1/24

o Haz pruebas de velocidad desde fast.com


LAB
PCQ - Laboratorio

LAB
PCQ - Laboratorio

LAB
Módulo 8
Túneles

263
Protocolo Punto a Punto (PPP)

o Point-to-Point Protocol (PPP) es utilizando para


establecer un túnel (Conexión directa) entre dos
nodos

o PPP puede ofrecer autenticación, encriptación y


compresión

o RouterOS soporta varios tipos de túneles como;


PPPoE, SSTP, PPTP y otros
PPPoE (Point-to-Point Protocol over Ethernet)

o PPPoE es un protocolo de capa 2 utilizado para


controlar el acceso a la red. El servidor y el cliente
deben estar en el mismo dominio de broadcast. Si
hay enrutamiento de por medio, no se podrá
establecer la conexión.
o Se utiliza comúnmente para controlar las conexiones
de los clientes para DSL, cable módems y redes
Ethernet simples
o RouterOS de MikroTik soporta cliente y server PPPoE
Cliente PPPoE

o Para configurar el cliente PPPoE se debe


definir la interfaz, el servicio, el nombre de
usuario y el password
PPPoE

PPP → New PPPoE Client(+)


Cliente PPPoE

o Si hay mas de dos servidores PPPoE en un


mismo dominio de Broadcast, el “Service
Name” debe ser especificado

o Si no se especifica, el cliente se conectará al


primero que responda
IP Pool

o Define un rango de direcciones IP para ser


utilizadas por servicios del RouterOS

o Es utilizado por Clientes DHCP, PPP y Hotspot

o Las direcciones se toman automáticamente del


Pool
IP Pool

IP → Pool → New IP Pool(+)


Perfil PPP

o El perfil define reglas utilizadas por el PPP


Server y sus clientes

o Este método permite definir reglas para


múltiples clientes
Perfil PPP

Se debe
definir la IP
local y
remota para
el túnel
PPP Secret

o Es la base de datos local de usuarios del


PPP
o Nombre de usuario, password y otras
configuraciones específicas pueden ser
definidas
o El resto de configuraciones son aplicadas
desde el perfil PPP
Servidor PPPoE

o El servidor PPPoE funciona en una interfaz


o No puede ser configurado en una interfaz
que forme parte de un Bridge
o Por razones de seguridad no se puede
utilizar la dirección IP en la interfaz en
donde el PPPoE Server está configurado
Servidor PPPoE

Se debe
definir el
nombre, la
interfaz, perfil
y los
protocolos de
autenticación
PPP Status

Información
sobre los
usuarios PPP
activos
Direcciones Punto a Punto

o Cuando una conexión entre un cliente y


servidor PPP es establecida, se asignan
direcciones /32
o La dirección de red del cliente es el otro
extremo del túnel (Router)
o La mascara de red no es relevante cuando se
utiliza direccionamiento PPP
o PPP reserva dos direcciones
Servidor PPPoE - Laboratorio

o Crea un PPPoE server en la interfaz ether4 del


router
o Crea un IP Pool, un perfil PPP y un Secret para el
Server PPPoE
o Configura el cliente PPPoE en tu computador
o Conecta tu computador en el puerto
ether4 (Ether 3 para los routers hAP Mini)

LAB
Servidor PPPoE - Laboratorio

3
1

pool_vpn
10.10.XX.1-10.10.XX.5

LAB
Servidor PPPoE - Laboratorio

3
2
1
perfil_vpn
10.10.XX.1
pool_vpn

LAB
Servidor PPPoE - Laboratorio

2
1 3

perfil_vpn

LAB
Servidor PPPoE - Laboratorio

2
1

perfil_vpn

LAB
Servidor PPPoE - Laboratorio

LAB
Servidor PPPoE - Laboratorio

LAB
Servidor PPPoE - Laboratorio

LAB
Servidor PPPoE - Laboratorio

LAB
Servidor PPPoE - Laboratorio

o Se estableció la conexión ?
o En el computador, que ip recibiste en el cliente
PPPoE ?
o Tienes navegación hacia internet ?
Comentarios:

LAB
Point to Point Tunnel Protocol (PPTP)

o Uses el puerto tcp/1723 e IP protocol


número 47 - GRE (Generic Routing
Encapsulation)

o “NAT helpers” son utilizados para dar


soporte en redes Nateadas
Point to Point Tunnel Protocol (PPTP)

o PPTP provee túneles “encriptados” por IP.


o RouterOS de MikroTik incluye soporte para
cliente y server PPTP.
o Utilizado para asegurar el link entre redes
locales en Internet.
o Para que clientes móviles o remotos
accedan a los recursos de las redes locales
de la compañía.
Point to Point Tunnel Protocol (PPTP)

Internet

Túnel
Cliente PPTP
Agrega la interfaz PPTP.
Especifica la dirección del server PPTP.
Establece “login” y “password”. 3 4

1
2

PPP → New PPTP Client(+)


Point to Point Tunnel Protocol (PPTP)

o Utiliza “Add Default Route“ para enviar todo el tráfico


a través del túnel

o Utiliza rutas estáticas para enviar tráfico específico a


través del túnel

o Importante: PPTP ya no es considerado un protocolo


seguro. Utiliza SSTP y OpenVPN
Server PPTP
El server PPTP puede mantener
clientes múltiples

El proceso para habilitar el Server


PPTP es muy sencillo
2
1

4
Server PPTP

o Las configuraciones del cliente PPTP se


almacenan en “ppp secret”
o El “ppp secret” se usa para clientes PPTP,
L2TP y PPPoE
o La base de datos del “ppp secret” se
configura en el server
o El mismo perfil se utiliza para clientes PPTP,
PPPoE, L2TP y PPP.
Secure Socket Tunnelling Protocol (SSTP)

o Permite establecer túneles encriptados a través de


internet

o Utiliza el puerto tcp/443 (El mismo usado por HTTPS)

o RouterOS soporta cliente y servidor SSTP

o El cliente SSTP es soportado por Windows Vista SP1 y


versiones posteriores
Secure Socket Tunnelling Protocol (SSTP)

o Cliente y Servidor SSTP también está


disponible en Linux
o Como el tráfico SSTP es idéntico al HTTPS,
típicamente no tiene problema al cursar
los firewalls
o El puerto puede ser modificado
Secure Socket Tunnelling Protocol (SSTP)

Se debe
definir el
nombre, la IP
del servidor
SSTP, el
nombre de
usuario y el
password
Secure Socket Tunnelling Protocol (SSTP)

o Utiliza “Add Default Route“ para enviar todo el


tráfico a través del túnel SSTP

o Utiliza rutas estáticas para enviar tráfico


específico a través del túnel SSTP

o No es necesario un certificado SSL para


establecer un túnel SSTP entre dos RouterOS
SSTP - Laboratorio

o Establece un túnel SSTP con tu compañero. Un


router tendrá el cliente SSTP y el otro router
será el servidor
o Puedes reutilizar el IP Pool, el perfil PPP y el
secret de la actividad anterior
o Puedes hacer ping desde tu computador al
computador de tu compañero ? Por que?

LAB
SSTP - Laboratorio

o Elimina las rutas estáticas creadas en el modulo de


Enrutamiento.
o Crea una ruta estática hacia la red LAN de tu
compañero, similar a lo que realizaste en el modulo
de enrutamiento. Utiliza como Default Gateway la
interfaz PPP.
o Intenta nuevamente con el ping hacia el
computador de tu compañero

LAB
Túneles por niveles de licencia
Módulo 9
Extras
Herramientas del RouterOS

RouterOS ofrece varias


utilidades que ayudan a
administrar y monitorear el
Router de manera mas
eficiente
E-Mail

o Permite enviar e-mails desde el router

o Se puede enviar por ejemplo el backup del


router vía correo
/export file=respaldo
/tool e-mail send to=you@gmail.com\
subject="$[/system identity get name] respaldo"\
body="$[/system clock get date]\
configuration file" file=respaldo.rsc
E-Mail
Server: IP del servidor de correo en el caso de Gmail
(74.125.113.108)
Port: puerto del correo saliente en Gmail es (587)
From: dirección de "tu correo"
User: tu dirección de correo (nombre@gmail.com)
Password: clave de tu correo
E-Mail – Laboratorio (Opcional)

o Configura el servidor SMTP en tu router


o Exporta la configuración de tu router
o Envía la configuración vía correo

LAB
Netwatch

o Monitorea el estado de un Host en la red.


Puede ser local o en internet

o Envía ICMP (Ping) para validar el estado

o Puede ejecutar un script cuando el host se


encuentra alcanzable o inalcanzable
Netwatch

Tools → Netwatch
2 3
1
System Scripts

Una de las ventajas competitivas de MikroTik con el resto de


fabricantes tradicionales, es la flexibilidad que brinda con el
lenguaje de programación LUA, que permite implementarle
Scripts para automatizar tareas y procesos en las redes.

Gracias a la programación de scripts, se pueden generar tareas


para failover / balanceo de carga, DDNS, reinicio, apagado de
interfaces, actualización de rutas, envío de correos, entre
muchas otras.
System Scripts

En RouterOS con un script podemos:

ü Automatizar tareas de mantenimiento del


router.
ü Gestión interna y alertas.
ü Usos definidos por el usuario…
System Scripts

Un script, se puede desarrollar y ejecutar desde la consola.


System Scripts
Scripts. Es donde se agrupan.

Jobs. Podemos ver los que se están ejecutando


System Scheduler

Podemos automatizar, definiendo:


• Día y hora de ejecución.
• En cada reinicio.
• Intervalos, horas, minutos y segundos.
• Políticas.

Tiene un contador de ejecuciones.


Un aviso de próxima ejecución y estado.
Podemos añadir comentarios.
System Script - Ejemplos

:if ([/interface get ether1 running] = false) do={


/log info "ether1 caida"
}

:if ([/ping 192.168.20.1 count=3] =0) do={


log info "mi ping falla" ;
}
Ping

o Utilizado para chequear si


un host en la red es
alcanzable

o Mide el tiempo de
respuesta entre el origen y
el destino

o Envía paquetes ICMP Echo


Request
Tools → Ping
Ping – Laboratorio (Opcional)

o Hazle ping a la dirección IP de tu


computador
o Desde una nueva ventana, Hazle ping a la
dirección IP de www.mikrotik.com
o Observa la diferencia en los tiempos de
respuesta

LAB
Traceroute

o Es una herramienta
para el diagnóstico que
muestra el trazo de los
paquetes a través de la
red

o Pueda usar ICMP o UDP

Tools → Traceroute
Traceroute – Laboratorio (Opcional)

o Selecciona una página web de Venezuela


y hazle traceroute a su dirección IP
o Desde una nueva ventana, Hazle
traceroute a la dirección IP de
www.mikrotik.com
o Observa la diferencia en el trazo

LAB
Profile

o Muestra el uso del CPU


por cada proceso que se
ejecuta desde el
RouterOS. Funciona en
tiempo real

o Idle – CPU si uso


Tools → Profile
Monitor de Tráfico en la Interfaz

o Tráfico en tiempo
real
o Disponible por
cada interfaz
desde la pestaña
“Traffic”
o También se puede
acceder desde
Webfig y consola
Interfaces → ether4 → Traffic de comandos
Torch

o Herramienta de monitoreo en tiempo real

o Puede ser utilizada para monitorear el tráfico que


cursa a través de una interfaz

o Puede monitorear el tráfico clasificado por


protocolo IP, dirección origen/destino, número de
puerto
Torch

Tools → Torch
Gráficos (Graphs)

o RouterOS puede generar gráficos que muestren


cuanto tráfico a cursado a través de una interfaz o
de una cola

o Puede mostrar uso del CPU, memoria y disco

o Por cada métrica hay 4 gráficos; Diario (Daily),


Semanal (Weekly), Mensual (Monthly) y Anual
(Yearly)
Gráficos (Graphs)

Debes especificar la
interfaz a
monitorear y definir
desde que segmento
de red serán
accesibles los
gráficos

Tools → Graphing
Gráficos (Graphs)

Disponible en la Dirección IP del router: http://router_ip/graphs


Graphs - Laboratorio

o Habilita un gráfico en la interfaz LAN de


tu router
o Visualiza los gráficos desde la página
web del router
o Espera 5 min y vuelve a visualizar los
gráficos

LAB
Simple Network Management Protocol (SNMP)

o SNMP es el protocolo que permite la comunicación e


intercambio de información entre dos entidades de
red.

o El protocolo SNMP está constituido por dos


elementos básicos; Administradores, ubicados en
el/los equipo/s de gestión de red y los Agentes,
elementos pasivos ubicados en los nodos (switches,
routers, radios, impresoras, entre otros) a ser
supervisados y en algunos casos gestionados.
Simple Network Management Protocol (SNMP)

o Los Agentes envían información a los primeros,


relativa a los elementos gestionados, por iniciativa
propia (Traps) o al ser interrogados (Polling) de
manera secuencial apoyándose en los parámetros
contenidos en sus MIB (Management Information
Base)

o RouterOS soporta SNMP v1, v2 y v3


Simple Network Management Protocol (SNMP)

o El MIB, dado su nombre por Management


Information Base, es el conjunto de datos que tiene
el dispositivo de red y permite conocer su estado
dentro de la red.

o A través del MIB se tiene acceso a la información


para la gestión, contenida en la memoria interna del
dispositivo en cuestión. MIB es una base de datos
completa y bien definida, con una estructura en
árbol
Simple Network Management Protocol (SNMP)

o Variables en una MIB: Se definen y referencian


utilizando la notación de sintaxis abstracta 1 de la
ISO (Abstract Syntax Notation 1 - ASN.1)

o Los nombres de las variables MIB: Están definidos en


el espacio de nombres OID “object identifier”. El
Espacio de Nombres es jerárquico; cada
descendiente tiene asignado un nombre (etiqueta) y
un número
Simple Network Management Protocol (SNMP)

o Mediante la consola de comandos es posible


obtener las OID del RouterOS
Simple Network Management Protocol (SNMP)

IP → SNMP
The DUDE

o Mikrotik DUDE permite monitorizar los ordenadores y


dispositivos de una red incluyendo routers, switches,
firewalls, servidores de bases de datos, radios y
mucho más. La aplicación recoge los datos de
funcionamiento de los equipos remotos para después
ofrecer unas estadísticas gráficas y logs detallados.
o Se pueden parametrizar diferentes umbrales para el
envió de avisos en caso de caída, o alerta de un
determinado servicio o Host
The DUDE

o Soporta SNMP, ICMP, DNS y TCP para


el monitoreo
o El Dude Server se ejecuta en un
RouterOS (CCR, CHR o x86)
o El Cliente Dude funciona bajo
Windows (En Linux y OS X con Wine)
334
The DUDE

335
The DUDE
The DUDE – Laboratorio (Opcional)

o Descarga el cliente Dude para


Windows desde
mikrotik.com/download
o Instala el cliente y conéctate al
servidor Dude demo: dude.mt.lv

LAB
The DUDE – Laboratorio (Opcional)
System Logs
o Por defecto RouterOS almacena en el Log la
información sobre el router
o Se almacena en memoria
o Puede ser almacenada en el disco
o También se puede enviar a un Server Syslog

System → Logging
System Logs
o Para habilitar un log detallado (debug), se debe
crear una nueva regla
o Define un “Debug Topic”

System → Logging → New Log Rule


Contactando Soporte Técnico MikroTik

o Antes de contactar a support@mikrotik.com


chequea los siguientes sitios
wiki.mikrotik.com – RouterOS documentación y ejemplos

forum.mikrotik.com – comunícate con otros usuarios de


RouterOS

mum.mikrotik.com – página del MikroTik User Meeting.


Videos de las presentaciones