ACERCA DE MIKROTIK

 Es una compañía de letonia proveedora de

tecnología, fabricante de hardware y software
para soluciones de redes en todo el mundo.

 MikroTik se dedica principalmente a la venta de

productos de hardware de red como routers
denominados routerboards y switches también
conocidos por el software que lo integra,
denominado RouterOS y SwOS.

 Los productos ya son usados actualmente por

ISP’s, empresas y/o personas individuales para
realizar infraestructura tanto en la red de
acceso como en la distribución.
 HISTORIA DE MIKROTIK
 La compañía fue fundada en el 1995,
aprovechando el emergente mercado de la
tecnología inalámbrica. En 2007, contaba con
más de 70 empleados. Ahora en actualidad
mas de 100 empleados por diferentes áreas
(desarrollo, soporte, ventas, coordinación,
etc).

 2002: Desarrolla su propio Hadrware (RB230).

 2006: Primer MUM (MikroTik User Meeting).

 Fechas de lanzamiento de RouterOS:

 v6 - Mayo de 2013
 v5 - Marzo de 2010
 ¿Qué es RouterOS?
 RouterOS es el sistema operativo independiente de MikroTik basado
en el kernel de Linux v3.3.5.
 Se puede instalar en un PC y lo convertirá en un router con todas las
características necesarias, según los paquetes instalados puede
funcionar como:

- Firewall - Routing - MPLS - VPN -Wireless -

DHCP - Hotspot - QoS - Proxy

Herramientas:
- Ping, traceroute, Bandwidth test, torch,Telnet, ssh, E-mail and
SMS send tools.

Otras Caracteristicas:
Samba support, Bridging – spanning tree protocol (STP, RSTP),
bridge firewall and MAC natting. Dynamic DNS update tool, NTP
client/server and synchronization with GPS system, VRRP v2 and v3,
RADIUS authentication and accounting.
 ¿Qué es RouterBOARD?
 Son placas base pensadas para construir routers. Suelen tener varios
slots de expansión miniPCI para conectar tarjetas inalámbricas,
puertos ethernet y USB (3G/4G) y algunos modelos cuentan para
conectar tarjetas 3G.

 Mikrotik Contiene un amplio rango de productos que van desde routers

SOHO a Carries Class.
 GAMA BASICA
 Estos productos son integrales en categoría básica
pero de buen desempeño y rendimiento en
pequeñas soluciones de red.

RBCap2 Map2n RB750r2 /

n RB750Gr2
Hap
lite
 GAMA INTERMEDIA
 Son equipos de recursos y características que
están en labor de soportar mas trafico y
clientes aprox. hasta 100 usuarios.
RB100 AH X2

RB750GR3
RB260GS
RB450G /
850GX2

RB750P-
RB3011UiAS-RM / PBr2
RB2011UIAS-2HND-IN
2011UIAS – RM
 CLOUD CORE ROUTER
 Estos equipos son de alta gama, donde sus recursos y
características están en las exigencias de topologías
de redes de alta envergadura.

CCR1009-8G-1S- CCR1036-12G-4S
PC

CCR1072-1G-8S+ CRS125-24G-1S-IN
 INTERFACES Y ACCESORIOS
 Existen varios modelos de módulos Ethernet, puertos
de fibra SFP, fuentes, antenas y tarjetas de radio, para
expandir la funcionalidad de RouterBOARDs y PCs.
 TABLA DE EQUIPOS (+ Usados)
MODELO CPU MEMORIA CPU CAPC. CAPAC. MB Lev
CORE USER el

RB750R2/GR2 850 / 64 MB 1 Aprox. 30 Aprox. 30 MB 4

750MHz
RB951UI-2ND/G 600 MHz 128 MB 1 Aprox. 50 Aprox. 50 MB 4
RB450G 680 MHz 256 MB 1 Aprox. 80 Aprox. 60 MB 5
RB850GX2 533 MHz 512 MB 2 Aprox. Aprox. 90 MB 5
150
RB3011UIAS-RM 1.4 Ghz 1 GB 2 Aprox. Aprox. 150 5
200 MB
RB1100 AH X2 1 Ghz 2 GB 2 Aprox. Aprox. 200 6
250 MB
CCR1009-8G-1s- 1.2 Ghz 2 GB 9 Aprox. Aprox. 300 6
pc 400 MB
 CONOCIENDO WINBOX
 Winbox
Es una pequeña utilidad que permite la
administración de Mikrotik RouterOS
usando una interfaz gráfica de usuario
rápida y sencilla.

Winbox se puede descargar de la mismo

equipo por modo web ingresando la
dirección IP del router, luego haciendo clic
en el menú que dice Winbox o desde la
pagina www.mikrotik.com/download
 CONOCIENDO WINBOX
 Cuando winbox se ha descargado
dar doble clic en el archivo y
permitimos el acceso.

 Para conectarse al router debe

ingresar con la IP o la dirección
MAC del router y haga clic en el
botón conectar.

 Se recomienda utilizar la dirección

IP siempre que sea posible. Al
iniciar sesión de MAC utiliza
transmisiones de red y no es 100%
fiable.
Descripción de los botones y campos del winbox
 Refresh: Descubre y muestra los dispositivos que
están en la red (MikroTik Neighbor Discovery
Protocol) o CDP (Cisco Discovery Protocol).
 Connect: Conecta al router Mikrotik.
 Add/Set: Guarda la dirección, el login, password
y notas
 Connect To: Sirve para conectar el Mikrotik que
tu desees, se coloca la MAC o la IP del router.
 Login: Usuario (por defecto es "admin").
 Password - El password que tiene el usuario (por
defecto esta vacío).
 Keep Password: Si hacen check el password se
grabara automáticamente.
 Open in New Windows: Deja el cargador abierto
en el fondo y abre nuevas ventanas para cada
dispositivo al que se hace la conexión.
INTERFAZ
DE
WINBOX
Área de trabajo y ventanas en el winbox
 Cada ventana secundaria tiene su propia barra de herramientas. La
mayoría de las ventanas tienen el mismo conjunto de botones de la
barra de herramientas:
Añadir - añadir nuevo elemento a la lista.

Eliminar - eliminar elemento seleccionado de la

lista.

Activar - habilitar objeto seleccionado (el mismo que

permite desde la consola de comandos).

Desactivar - desactivar la opción seleccionada (lo

mismo que desactivar comandos de consola).

Comentarios - añade o edite comentario.

Ordenar - Permite ordenar los elementos en función

de distintos parámetros.
 Plataforma de trabajo WebFig

 Es una utilidad RouterOS

basados en web que le
permite supervisar, configurar
y solucionar problemas del
router.

 Está diseñado como una

alternativa de WinBox , ambos
tienen diseños similares y
ambos tienen acceso a casi
cualquier característica de
RouterOS.
Interfaz
General
de
WebFig
 Interfaz General de WebFig
 Tiene casi el mismo diseño que la barra de menú de
WinBox. Pequeña flecha en el lado derecho de la
opción de menú indica que este menú tiene varios
submenús.
 Botones de acción de las interfaces:
 Update RouterOS
 Se sugiere mantener siempre
actualizado el RouterOS.

 Mikrotik siempre esta

añadiendo nuevas
funcionalidades y mejoras en
el rendimiento y la estabilidad
mediante las actualizaciones.

 Pueden encontrar en la
pagina: http://
www.mikrotik.com/download
Update RouterOS a una
nueva versión
 RouterBOARD update Firmware :
 Realizar Backup
 Se puede realizar un backup binario para guardar y
restaurar un archivo de backup desde el menú FILES o
por consola.
 Nota: El backup binario no es editable.
 Backup Editables
 Se puede exportar e importar comandos desde
línea de comandos el cual puede ser editables y
varias algunas configuraciones.
 Nota: No se guardan las contraseña de
acceso.
 Licenciamiento Mikrotik
 Cada instalación del RouterOS en un una PC se genera
un softID donde se debe asociar la licencia
correspondiente.
 Una licencia por
instalación (SoftID).

 La licencia nunca
expira.

 Permite actualización
y soporte, Up y
Downgrade.

 Niveles: (Level3),
Level 4, Level 5,
 Niveles de Licencia

Carga
De
Licencia
 Herramientas Mikrotik
 RouterOs, dispone de un paquete completo de
herramientas avanzadas donde el administrador de red
puede verificar y analizar el trafico de la red.

 El Paquete esta disponible en advanced-tools.

 EMAIL
 Es una herramienta donde el mikrotik se puede
configurar como un cliente de e-mail, que
permite enviar mensajes de correo electrónico
desde el router como por ejemplo: backup.
 PING
 Es una herramienta que nos permite determinar si un
host remoto o dentro de la misma la red se encuentra
activo o caído y también determinar el retardo de ida
y vuelta.

 Una de las primeras herramientas que deben usarse

para encontrar fallas en la red.
 TRACEROUTE
 Es una herramienta basada en el protocolo TCP/IP,
que muestra los saltos a la dirección host de
destino.
 Es útil para encontrar fallas en el medio del
camino.
 PROFILER
 Herramienta que permite mostrar el consumo de
CPU por cada proceso que se ejecuta el
RouterOS.

 “idle” no es un proceso. Indica la inactividad.

 Manejo de Servicios
 Limitar el uso de recursos (CPU,memoria,
etc).
 Restringir vulnerabilidades y evitar posibles
ataques en la red.
 Puede modificar los puertos por defecto de
algunos servicios.
 Habilitar / Deshabilitar servicios, según
necesidad.
 Limitar las direcciones IP aceptadas.
 Netinstall
 NetInstall, es un programa que se ejecuta en una
PC de Windows que permite instalar, reinstalar o
restablecer RouterOS Mikrotik en un PC o en una
RouterBOARD través de un cable Ethernet.

2
Netinstall
 Netinstall

 Tips:
Tener presionado el botón “Reset”
Y luego enchufar a corriente sin
Soltar el botón “Reset”.

Soltar el botón hasta que

aparezca el Modelo del
equipo en el Software
de NeInstall.
Netinstall
Como ultimo paso, es elegir o
seleccionar el paquete que se va
instalar en el equipo.

Luego dar clic en el botón “install”

y vamos a visualizar la
transferencia que realiza el
programa hacia el router.

Nota:

Antes que se cierre el programa,

hay que verificar que en “status”,
se visualice en “OK”.
Escenario
01
Escenari
o
02
 LAB – ACCESO A
INTERNET
 A través de la interface Wireless nos conectaremos
acceso a internet.
 Realizaremos los siguientes pasos:

 Conectarse a la red WIFI.

 DHCP-Client, para obtener IP, DNS y Gateway.
 Crear la regla del MASQUERADE, para “ocultar”
la red privada detrás del router. IP > Firewall >
Nat > Src-Nat.
 Habilitamos la opción “allow remote requests”.
 Crear nuestra Red Privada y DHCP Server.
 FIREWALL BASICO
 El firewall filtra paquetes y por lo tanto ofrece
funciones de seguridad que se utilizan para gestionar
el flujo de datos hacía, desde y por el router.

 CADENAS DE FIREWALL:

 INPUT: Procesa los paquetes enviados al router.

 OUTPUT: Procesa los paquetes enviados por el router.
 FORWARD: Procesa los paquetes enviados a través del
router.
Diagrama Estructura
de
Filtros de Firewall
 CADENA INPUT
EJEMPLO DE CADENA INPUT:

 Le piden bloquear el comando ping solo al equipo

mikrotik. Es decir el mikrotik no responderá las
respuestas de ping.

Ping: es el ICMP (Internet Control Message Protocol),

donde se creara una cadena input donde indicamos el
protocolo ICMP y donde en acción lo bloquearemos.
 CADENA
INPUT
PASO 01

PASO 02
 CADENA FORWARD
EJEMPLO:

 Se pide que el Servidor de DNS sea el mikrotik y no un

servidor de DNS externo. Que el único servidor de DNS
deberían utilizar las computadoras debería ser el Mikrotik.
Para ello tenemos que configurar primero el DNS de mikrotik.
 CADENA FORWARD
 Para poder realizar esta acción debemos saber que el DNS
tiene el puerto 53 y el protocolo es UDP.
PASO
01
PASO 02
 CADENA FORWARD
 Para poder comprobar esta regla deberíamos irnos
a nuestro adaptador de red y configurar los DNS de
Telefónica:
 Tácticas de
 Bloquear lo conocido y aceptar el
resto.
1
INPUT
-----------
Firewall
2 -----------
3 -----------
4 -----------
5 -----------

 Aceptar
INPUT lo conocido y bloquear el resto.
1 -----------
2 -----------
3 -----------
4 -----------
5 -----------
 OPTIMIZACIÓN DE
FIREWALL
 Agregue una regla para aceptar las conexiones establecida y
relacionada.

 Agregue una regla para bloquear las conexiones invalidas.

 Nota: Se realizan están reglas tanto para la cadenas input y forward.

 FIREWALL / ADDRESS
 Esta LISTS
función que tiene mikrotik es importante y nos
ayuda a poder listar direcciones IPs o un grupo de
Direcciones de IP, para poder realizar las acciones que
queramos.

EJEMPLO:
 Le piden bloquear navegación solo al área de
almacén.
 FIREWALL / ADDRESS
LISTS
Paso 01: Es, enlistar la direcciones IPs de las computadoras de
almacén
 FIREWALL / ADDRESS
LISTS
Paso 02: Realizar las siguientes Preguntas:

- Que cadena utilizar de Firewall “INPUT” o “FORWARD” ?

- Que tipo de protocolo es: TCP o UDP ?
- Que puertos utiliza Navegación?
 FIREWALL / ADDRESS
LISTS
Paso 02: Realizar las siguientes Preguntas:

- Que cadena utilizar de Firewall “INPUT” o “FORWARD” ?

- Que tipo de protocolo es: TCP o UDP ?
- Que puertos utiliza Navegación?
 FIREWALL / ADDRESS
Paso 03: Realizar la acción queLISTS
nos están requiriendo, que
en este caso es de bloquear “drop”:

Paso 04: Realizar la comprobación del bloque de navegación.

 FIREWALL / SEGURIDAD
 Al tener una IP publica en el equipo Mikrotik, debería de
protegerse por ataques que pueda tener externamente.

 Por ello es que se recomienda crear reglas de protección, con

la siguientes sintaxis:

1. Aceptar o permitir el ingreso por winbox.

2. Dejar pasar todas la conexiones ya establecida y
relacionada
3. Bloquear todas la conexiones invalidas.
4. Y finalmente cerrar o bloquear todo ataque contra el
equipo, indiciando cual es al interface “WAN”.

 Configuración ---- >

 FIREWALL / SEGURIDAD
 Procedimiento: Así es como debería de quedar las reglas:
 FIREWALL /
NAT
NAT, es un estándar de internet que permite que los hosts en
una red local usen un conjunto de direcciones IP para las
comunicaciones internas, y otro conjunto de direcciones IP para
comunicación externa.

Una LAN que usa NAT se la conoce como una "red nateada".
 FIREWALL /
NAT
 Existen dos tipos de NAT:

 Source NAT (srcnat).- Este tipo de NAT se realiza sobre

paquetes que se originan a partir de una red nateada. Una
router NAT reemplaza la direccion origen privada de un
paquete IP con una nueva dirección IP publica.

 Destination NAT (dstnat): Este tipo de NAT se realizar sobre

paquetes que tienen como destino la red nateada. Se utiliza
mayormente para que los hosts de una red privada sean
accesibles desde internet.
 FIREWALL /
Ejemplo de
tipos de NAT:
NAT
La empresa
con el dominio
“miempresa.co
m.pe” esta
realizando un
servidor de
correo, nos
requiere el
proveedor que
se realice el
NAT de destino
y de origen
 FIREWALL /
NAT
Paso 01: Verificar la información del diagrama de red, y
realizarse las siguientes preguntas:

 Cual es mi dirección IP publica ?

 Cual es mi dirección IP privada ?

Paso 02: Una vez obtenido la información, se realiza la

configuración:
 FIREWALL /
NAT
Paso 03: Realizar la primera regla de SRCNAT.
 FIREWALL /
NAT
Paso 04: Realizar la segunda regla de DSTNAT.
 DHCP Server
 El protocolo de configuración Dinámica de Host, se usa para
fácil distribución de direcciones IP en una red. La
implementación de Mikrotik RouterOS incluye las partes de
Server y Cliente.

 El servidor DHCP de Mikrotik RouterOS, soporta las funciones

básica de proveer a cada cliente que solicita los siguientes
valores:

 Reserva (lease) de dirección IP/mascara (mask)

 Default Gateway (puerta de enlace)
 Nombre de dominio
 Servidor(es) DNS
 Servidor(es) WINS, para clientes Windows.
 DHCP
Server
 Entrega direcciones IP, se configura solo una instancia por cada
interfaz del router.

 Se configura de un asistente por consola o por pasos de gráficos:

 DHCP
 Por paso de gráficos:
Server

SIGUIEN
TE
 DHCP
 Por paso de gráficos:
 Elegir interface, dar clic en
Server
 Verificar si la Dirección de
Red, es la correcta, dar clic en
“Next” “Next”.

 Nos indica la “puerta de

SIGUIEN
enlace”, si todo esta
TE
conforme, clic en “Next”
 DHCP
 Por paso de gráficos:
Server
 En esta opción, permite elegir el
rango de direcciones Ips que va
entrar el servidor DHCP, luego dar
clic en “Next”.

 En esta opción, permite configurar

 En esta opción, permite configurar el tiempo, que permanecerá esa IP
los Servidores DNS, luego dar clic al momento que se ah entregado.
en “Next” Luego dar clic en “Next”
 DHCP
 Por paso de gráficos:
Server
 Como paso final, nos visualiza un
mensaje que se ha completado
satisfactoriamente, si todo esta
conforme dar clic en “Next”.

 Comprobación:
Vamos a visualizar en la pestaña “leases”, donde nos
aparece las computadoras que han tomado IPs
dinámicamente.
 DHCP
CLIENT
 Hostname: Se identificara en el DHCP-SERVER.
 Client-ID: Envía la MAC-Address.
 User peer DNS: Obtiene los DNS que le brinda el server.
 User peer NTP: Obtiene y configura los servidores NTP en
/system ntp client.
 Add Default Route: Agrega al default Gateway en la tabla de
ruteo con la distancia especifica.