Home
Login
Register
Search
Home
kupdf.com_lab-conceptos-fundamentales-de-mikrotik-routeros-v635401.pdf
kupdf.com_lab-conceptos-fundamentales-de-mikrotik-routeros-v635401.pdf
May 17, 2018 | Author: 1991gabolopez | Category:
Ip Address
,
Router (Computing)
,
Internet Protocols
,
Domain Name System
,
Firewall (Computing)
DOWNLOAD
Share
Report this link
Comments
Description
RouterOSManual de Laboratorio RouterOS v6.35.4.01 Conceptos Fundamentales de MikroTik RouterOS por Mauro Escalante Ruteo Estático, Bridge, Wireless, Administración de Red, Firewall, Colas Simples, Túneles (VPN) RouterOS RouterBOARD BackUp Restore Export Made For MikroTik WinBox Bootloader Consola Terminal Upgrade Update Firmware RouterBoot Licencias Netinstall Ruteo Gateway Distancia Bridge Wireless WiFi 802.11a/b/g/n/ac Modulación Frecuencia Access Point Security Profile CPE Estación Access List Connect List Forwarding Nstreme NV2 ARP DHCP Server DHCP Cliente eMail Netwatch Profiler Neighbours Supout.rif System Log Connection Track Chains src-nat dst-nat masquerade NAT Filter Mangle Scripts Scheduler Colas Simples Burst PCQ Queue Types Herramientas Graphics SNMP PPP L2TP PPTP PPPoE Conceptos Fundamentales de MikroTik RouterOS v6.35.4.01 Manual de Laboratorio ABC Xperts ® Network Xperts ® Academy Xperts ® Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales. RouterOS v6.35.4.01 – Manual de Laboratorio Tabla de Contenido Capítulo 1 ............................................................................................................................................................. 1 Laboratorio 1.1 – Configuración Inicial ............................................................................................................................. 1 Configuración del AP (Instructor) ............................................................................................................................. 1 Configuración del Cliente (Alumno) .......................................................................................................................... 4 Laboratorio 1.2 – SNTP Client.......................................................................................................................................... 7 Configuración del CPE ............................................................................................................................................. 7 Laboratorio 1.3 – SNTP Server ........................................................................................................................................ 8 Configuración NTP-Server ....................................................................................................................................... 8 Configuración NTP-Client ......................................................................................................................................... 8 Capítulo 2 ........................................................................................................................................................... 10 Laboratorio 2 – Enrutamiento Estático ........................................................................................................................... 10 Capítulo 3 ........................................................................................................................................................... 13 Laboratorio 3.1 - Bridge y Slave ..................................................................................................................................... 13 Configuración SLAVE (Switch) ............................................................................................................................... 13 Configuración BRIDGE ........................................................................................................................................... 13 Capítulo 4 ........................................................................................................................................................... 15 Wireless .......................................................................................................................................................................... 15 Capítulo 5 ........................................................................................................................................................... 22 Administración de Red ................................................................................................................................................... 22 Capítulo 6 ........................................................................................................................................................... 25 Firewall ........................................................................................................................................................................... 25 Reglas de Firewall input ......................................................................................................................................... 25 Reglas de Firewall Forward .................................................................................................................................... 26 Reglas de NAT ....................................................................................................................................................... 26 Capítulo 7 ........................................................................................................................................................... 29 QoS ................................................................................................................................................................................ 29 Mangle .................................................................................................................................................................... 29 Capítulo 8 ........................................................................................................................................................... 31 Objetivos y Conceptos previos a túneles IPIP ................................................................................................................ 31 Proceso Túnel IPIP ................................................................................................................................................. 33 Laboratorio 8.1 – Túnel IP-IP ......................................................................................................................................... 34 Laboratorio 8.2 – Túnel EoIP.......................................................................................................................................... 36 Objetivos y Conceptos previos a túneles PPTP ............................................................................................................. 38 Laboratorio 8.3 – Túnel PPTP (R1 Server – R2 Client).................................................................................................. 39 Laboratorio 8.4 – Túnel PPTP (R1 Client – R2 Server).................................................................................................. 42 Laboratorio 8.5 – Bridge a través de un túnel PPTP usando BCP ................................................................................. 44 Academy Xperts i RouterOS v6.35.4.01 – Laboratorios Capítulo 1 Capítulo 1 Laboratorio 1.1 – Configuración Inicial Objetivo: • Realizar la configuración a través de línea de comandos • Armar el primer laboratorio, el mismo que se utilizará durante los días de capacitación MTCNA. • Comprender los parámetros de configuración básicos y dar salida a Internet a un router MikroTik. Escenario: Configuración del AP (Instructor) Configuración de R1 1. Establecer la conexión WAN a internet a través de la interface ether1 por medio de una configuración dhcp- client /ip dhcp-client add interface=ether1 disabled=no 2. El Instructor debe comprobar que el dhcp-client entregó el DNS /ip dns print servers: dynamic-servers: 172.16.1.1 allow-remote-requests: no max-udp-packet-size: 4096 query-server-timeout: 2s query-total-timeout: 10s 3. El Instructor debe activar Allow Remote Request /ip dns set allow-remote-requests=yes Academy Xperts 1 D .0.16.disabled.\ pre-shared-key=mikrotik 6.rip.connect.mme. m . El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no 7.35. A .01 – Laboratorios Capítulo 1 4. C .active. En este punto el AP utilizará el Security Profile que se configuró en el paso 6. b .ospf.57 ether1 0 5.16.0/26 172. o .1.bgp. El Instructor debe comprobar que el dhcp-client entregó la ruta por default de manera automática /ip route print Flags: X .1 1 1 ADC 172. El Instructor debe configurar la tarjeta Wireless para que el R1 actúe como AP (Access Point). B .16.static.4. S . Se usará la banda 2GHz-b/g/n /interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=MikroTik_MTCNA radio-name=NombreAP security-profile=Clave Academy Xperts 2 .dynamic. r .1.1.prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.blackhole.0/0 172. U . P . El Instructor debe crear un Security Profile para habilitar la seguridad /interface wireless security-profiles add name=Clave mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2.0. RouterOS v6.unreachable. 1. Asignación de direcciones IP • Cada participante deberá trabajar con un grupo de direcciones específicas para las interfaces Wireless y LAN.1.17/30 interface=wlan1 comment=Estudiante5 Academy Xperts 3 .1) 10.9/30 interface=wlan1 comment=Estudiante3 /ip address add address=10.1. RouterOS v6.4.01 – Laboratorios Capítulo 1 8.1.35. En el parámetro out-interface se especifica la interfaz por donde R1 sale a internet (en este caso ether1).1/30 interface=wlan1 comment=Estudiante1 /ip address add address=10.13/30 interface=wlan1 comment=Estudiante4 /ip address add address=10.5/30 interface=wlan1 comment=Estudiante2 /ip address add address=10.1.1.1.1. El Instructor debe configurar la regla de NAT para que las redes privadas (clientes/alumnos) puedan salir a Internet.1.1. Asignar dirección IP a la Wlan1 del AP (Dependiendo de los requerimientos) /ip address add address=10. El parámetro que se encargará de enmascarar/ocultar la red privada es action=masquerade /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 9. • El instructor debe asignar un número a cada estudiante con el cual deberá validar las subredes entregadas en base a la siguiente tabla (Tabla L0-1. • SSID: MikroTik_MTCNA • Autenticación: WPA PSK y/o WPA2 PSK • Cifrado: AES • WPA1 y/o WPA2 Pre-Shared key: mikrotik 3.4. Verificar que el instructor ha configurado una red Wireless con los correspondientes parámetros de autenticación y encriptación. Hacer un reset a toda la configuración del router /system reset-configuration no-defaults=yes 2.35. Configurar la tarjeta Wireless del Estudiante /interface wireless security-profiles add authentication-types=wpa2-psk mode=dynamic-keys \ name=ClaveCPE wpa2-pre-shared-key=mikrotik /interface wireless set wlan1 mode=station-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=MikroTik_MTCNA radio-name=NombreAlumno security-profile=ClaveCPE Academy Xperts 4 .01 – Laboratorios Capítulo 1 Configuración del Cliente (Alumno) Configuración Wlan (Estudiante) 1. RouterOS v6. /ip address add address=10.2/30 interface=wlan1 2. El estudiante debe configurar la ruta por default (0. por ejemplo.01 – Laboratorios Capítulo 1 4.8. a la IP 8.4. Debe verificar revisando en la tabla de registro y obtener un resultado similar al siguiente: /interface wireless registration-table print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME 0 wlan1 NombreAP E4:8D:8C:88:9A:B1 yes -42dBm@1Mbps 1Mbps 1m32s Asignar IP a interface wlan 1.1 /ip route add dst-address=0.8. Para esto deberá hacer ping a la IP de la subred /30 correspondiente. Academy Xperts 5 .8.1. Configurar la ruta por default 1.35.0/0 gateway=10.1. RouterOS v6. Verificar por medio de ping que puede llegar al AP (interface wlan) del Instructor.1.0/0) para poder salir a Internet. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no 5.0. Verificar por medio de ping que puede llegar a una dirección IP pública.1 2. Para esto deberá especificar la IP del Gateway correspondiente según la Tabla L0-1.0.1 y basado en la asignación entregada por el instructor.0.1. El estudiante debe configurar la dirección IP correspondiente a la wlan1 de acuerdo a la Tabla L0-1.0. El estudiante debe estar conectado al AP del instructor. por ejemplo google.1. El estudiante debe configurar la regla de src-nat para poder permitir que su laptop salga a internet. El estudiante debe configurar la interface Ether1 en base la dirección asignada según la Tabla L0-1.01 – Laboratorios Capítulo 1 Configurar el DNS 1.35. Es importante también configurar el router para que actúe como caché DNS (allow-remote-requests). Para esto deberá especificar la IP de los servidores DNS1 y DNS2 correspondientes según la Tabla L0-1. RouterOS v6. Verificar por medio de ping que puede resolver un nombre de dominio.71.168. El estudiante debe configurar los parámetros de la tarjeta de red Ethernet de su laptop 4.8. El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres de dominio.1.8. /ip dns set servers=10.254/24 interface=ether1 2. Verificar por medio de ping que puede llegar desde la laptop a la dirección IP de la interface Ether1 de su router Academy Xperts 6 . /ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade 3.4. /ip address add address=192.1.com Configurar interface Ether1 del router e Interface Ethernet de Laptop Estudiante 1.8 allow-remote-requests=yes 2.1.8.1. 15 3.32.15 56 41 209ms 1 216.239.15 56 41 199ms /ping time2. entonces los clientes/alumnos deben conectarse a un servidor NTP externo.239.34.239. Cada alumno debe obtener las direcciones IP de los servidores NTP de Google. para esto deberá hacer un ping a time1. Cada alumno debe configurar el Time Zone Name en el cual Debe indicar la ubicación donde se encuentra.01 – Laboratorios Capítulo 1 Laboratorio 1.com y time2.google.239.32. RouterOS v6.15 56 41 209ms 1 216.com SEQ HOST SIZE TTL TIME STATUS 0 216.239.15 56 41 199ms 2. 1. Academy Xperts 7 .35.32.google.com /ping time1.google. Configuración del CPE Si la clase no dispone de un servidor NTP (Network Time Protocol). /system clock set time-zone-name=América/Guayaquil 4.239.32. Verificar que se posee la hora y zona horario correctas. En este laboratorio se usarán los servidores NTP de Google.google.34.4. Cada alumno debe configurar el SNTP-Client especificando las direcciones IP de los NTP servers /system ntp client set enabled=yes primary-ntp=216.2 – SNTP Client Objetivo: • Configurar el router MikroTik para que tenga actualizada la fecha y hora.15 secondary-ntp=216.com SEQ HOST SIZE TTL TIME STATUS 0 216. 15 secondary-ntp=216. Configurar zona Horaria /system clock set time-zone-name=América/Guayaquil Academy Xperts 8 .34. Configurar con una ntp-client el NTP-Server /system ntp client set enabled=yes primary-ntp=216.239.32. Configurar la zona horaria en el NTP-Server /system clock set time-zone-name=América/Guayaquil 2.01 – Laboratorios Capítulo 1 Laboratorio 1.4.239.3 – SNTP Server Configuración NTP-Server 1.15 3. RouterOS v6. Habilitar el NTP-Server /system ntp server set enabled=yes manycast=yes Configuración NTP-Client 1.35. 35.168.4 enabled=yes Academy Xperts 9 . Configurar SNTP-Client /system ntp client set primary-ntp=192.4.96.01 – Laboratorios Capítulo 1 2. RouterOS v6. 2.0/30 gateway=10. gateway Escenario: • Los equipos deben estar SIN configuración • Luego de configurar los routers basados en el diagrama.3.3. Para ello debemos especificar un Gateway.2.2.0/30 gateway=10.1.3.0/30). se debe realizar ruteo estático. Realizar proceso de RUTEO para que el router E1 pueda alcanzar a las redes (10.1.3.2.2.2.0/30.4. El tráfico deberá fluir en sentido horario Parte 1. Poner direcciones IP Configuración de E1 1. 10.1/30 comment=E1-E2 interface=ether3 /ip address add address=10.4.2.35.2 /ip route add distance=1 dst-address=10.2 /ip route add distance=1 dst-address=10.4. Se deben armar grupos de 4 estudiantes • Comunicar varias redes LAN • Esquema basado en enrutamiento estático • Comprender los términos dst-address. RouterOS v6.2.4. el cual basados en el requisito de que la comunicación debe ir en sentido horario.1/30 comment=E1-E3 interface=ether4 2.01 – Laboratorios Capítulo 2 Capítulo 2 Laboratorio 2 – Enrutamiento Estático Objetivo: • Trabajar en equipo.2 Configuración de E2 1. El Gateway para el E1 será 10. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E2 Academy Xperts 10 .4. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E1 /ip address add address=10. 4.2. 10.4.2.1.3.1 Configuración de E4 1.1.4.4.1.3.0/30.4.1 /ip route add distance=1 dst-address=10.1/30 comment=E4-E3 interface=ether4 2. Realizar proceso de RUTEO para que el router E2 pueda alcanzar a las redes (10.3.1 /ip route add distance=1 dst-address=10. 10.3.4.2.35.2 /ip route add distance=1 dst-address=10.1. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E3 /ip address add address=10.1.3.3.1.1.3. el cual basados en el requisito de que la comunicación debe ir en sentido horario.1.0/30 gateway=10. Para ellos debemos especificar un Gateway.2.1. el cual basados en el requisito de que la comunicación debe ir en sentido horario.4.2/30 comment=E3-E4 interface=ether3 2.0/30).4.1/30 comment=E4-E2 interface=ether3 /ip address add address=10.4.2 /ip route add distance=1 dst-address=10.3.4. Realizar proceso de RUTEO para que el router E3 pueda alcanzar a las redes (10.1.3.0/30). El Gateway para el E3 será 10. 10.0/30 gateway=10.1.1 /ip route add distance=1 dst-address=10.0/30 gateway=10.2.3. El Gateway para el E4 será 10. Realizar proceso de RUTEO para que el router E4 pueda alcanzar a las redes (10.0/30.1.1 Configuración de E3 1.4.0/30 gateway=10.1.4.0/30 gateway=10.2. RouterOS v6.01 – Laboratorios Capítulo 2 /ip address add address=10.3.2.2.1 /ip route add distance=1 dst-address=10.0/30.2/30 comment=E3-E1 interface=ether4 /ip address add address=10.4.2. el cual basados en el requisito de que la comunicación debe ir en sentido horario.0/30 gateway=10.1.2 Academy Xperts 11 .3. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E4 /ip address add address=10.4.1.2/30 comment=E2-E1 interface=ether3 /ip address add address=10.3. Para ellos debemos especificar un Gateway.4.2. El Gateway para el E2 será 10.2/30 comment=E2-E4 interface=ether4 2. Para ellos debemos especificar un Gateway.1.3.0/30). 16.1. Enrutamiento estático .161.1 realiza un ping a la dirección 192. Como llego desde la Red A hasta la Red C Academy Xperts 12 .168. Adicionalmente hacer que entre las PC’s se puedan realizar ping entre ellas.168.1.1 . Probar conectividad entre todos.01 – Laboratorios Capítulo 2 Paso Final 1.4.35. 2. Cuál es el gateway que seguirá el paquete cuando la estación 172.1 realiza un ping a la dirección 192. RouterOS v6.254 . Cuál es el gateway que seguirá el paquete cuando la estación 172.1. 254 Servidor DNS Preferido : 192. Cada alumno debe crear un bridge al cual le pondrá por nombre LAN2 /interface bridge add name=LAN2 Academy Xperts 13 . Puerto Master y Slave Escenario: • Configurar la interface ether2 como esclavo (slave) de la interface principal (ether1). Configurar puerto ether3 1.1 .Bridge y Slave Objetivos: • Poner en práctica los conceptos vistos en este capítulo sobre Bridge.168.71.1 por .71. Luego debe cambiar el último octeto en la dirección IP que tiene en su laptop. Probar conectividad en el Computador Configuración BRIDGE 1. Poner un direccionamiento diferente en la interface bridge.35. Cada alumno debe configurar la interface ethe2 como esclavo de la interface ether1. Cada alumno debe cambiar su cable de red hacia la interface ether2 en su respectivo router. Para ello la interface ether2 debe declara a la interface ether1 como master-port /interface ethernet set ether2 master-port=ether1 2.255. RouterOS v6. y por último poner una IP que esté dentro del mismo rango que el bridge en nuestra PC y verificar conectividad.254 3.71. Agregar las interfaces ether3 y ether4 en este bridge.4. Asignar una dirección IP que esté dentro del mismo rango en nuestra PC y verificar que tenemos salida a Internet • Crear un bridge.100 Mascara de subred : 255.168. Configuración SLAVE (Switch) Parte 1. por la siguiente dirección IP: Dirección IP : 192.01 – Laboratorios Capítulo 3 Capítulo 3 Laboratorio 3.168.255.0 Puerta de enlace predeterminada : 192. Realizar pruebas de navegación en el computador Academy Xperts 14 .111.35.254 Servidor DNS Preferido : 192. Debe agregarse las interfaces ether3 y ether4 al bridge llamado LAN2 /interface bridge port add interface=ether3 bridge=LAN2 /interface bridge port add interface=ether4 bridge=LAN2 3.168.168.111.111.254 5.254/24 interface=LAN2 4. RouterOS v6.168. Cada alumno debe configurar una dirección IP en su laptop que pertenezca al mismo rango del direccionamiento que se acaba de definir en el bridge. Por ejemplo: Dirección IP : 192.111.1 Mascara de subred : 255.168.255. Se asigna una dirección IP a la interface bridge (LAN2) /ip address add address=192.0 Puerta de enlace predeterminada : 192.4.01 – Laboratorios Capítulo 3 2.255. 16.1.16.1 /ip route add gateway=172. Scan.0.35. Pondremos la dirección IP en el ether4 para la conexión con el Router del estudiante 1 /ip address add address=172. Configurar dirección IP para la conexión con el Router del Estudiante 2 /ip address add address=172.0/0 Gateway 172. Crear Ruta por defecto 0.1 Academy Xperts 15 . Formar grupos de dos personas el E1 va ser AP y debe tener salida a internet por medio del nuevo direccionamiento que se crea en el RP y el cual es enviado atreves del Switch 2. El E2 va ser CPE el cual debe conectarse al AP usando los métodos de conexión al AP descritos en los objetivos. y SSID) • Para el AP practicara: Accelist-list (Password.01 – Laboratorios Capítulo 4 Capítulo 4 Wireless Objetivos: • Poner en práctica los conceptos básicos de wireless • Aprender a configurar un enlace wireless entre (AP – CPE) • Para el CPE practicar: Las tres formas de conectarse a un AP (connect-list.2/30 interface=ether4 2. Time) Escenario: 1. Verificar que el Router del estudiante 1 tenga salida a internet Parte 2.1.1.4.1/30 interface=ether4 Configuración Estudiante 2 (Resetear el Router antes de iniciar) 1.0.1.16.16. RouterOS v6. Configuración Estudiante 1 Parte 1. com) 6. Verificar conectividad a internet (ping 8.4.8 y ping google. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no /interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=Grupo1 radio-name=NombreAlumno security-profile=Clave Academy Xperts 16 .1. Crear Security-Profiles y Configurar tarjeta wireless en modo ap-bridge para que el Router del estudiante 3 se pueda conectar.01 – Laboratorios Capítulo 4 3.16.8.8.1. /interface wireless security-profiles add name=Clave mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm \ wpa2-pre-shared-key=laboratorio4 7. Configurar DNS /ip dns set servers=172. RouterOS v6.35.8.8 allow-remote-requests=yes 4. Configurar NAT /ip firewall nat add chain=srcnat out-interface=ether4 action=masquerade 5.8.8. RouterOS v6.1/30 interface=wlan1 Configuración Estudiante 3 (Resetear el Router antes de iniciar) 9.1.01 – Laboratorios Capítulo 4 8. /ip address add address=10. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no Academy Xperts 17 .2.4.35. Configurar la tarjeta Wireless del Estudiante /interface wireless security-profiles add name=ClaveCPE mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm \ wpa2-pre-shared-key=laboratorio4 /interface wireless set wlan1 mode=station-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=Grupo1 radio-name=NombreAlumno security-profile=ClaveCPE 10. Configurar dirección IP en la interfaz wlan1 del Router del alumno dos para la conexión con el Router del alumno 3. 35. Para esto deberá hacer ping a la IP de la subred /30 correspondiente. 14.1 15.01 – Laboratorios Capítulo 4 11. a la IP 8. Para esto deberá especificar la IP de los servidores DNS1 y DNS2. El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres de dominio.0/0) para poder salir a Internet. Para esto deberá especificar la IP del Gateway.8.1.0. 16. RouterOS v6.0/0 gateway=10.8.8.0. Configurar la ruta por default.8. /ip route add dst-address=0.2/30 interface=wlan1 13. El estudiante debe configurar la ruta por default (0. Verificar por medio de ping que puede llegar al AP (interface wlan) del Estudiante 2.8 allow-remote-requests=yes Academy Xperts 18 . /ip dns set servers=10.4.8.1. Configurar el DNS. por ejemplo. Verificar por medio de ping que puede llegar a una dirección IP pública. Verificar que los equipos se hayan conectado entre si /interface wireless registration-table print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME 0 wlan1 NombreAlumno E4:8D:8C:88:9A:B1 yes -47dBm@1Mbps 11Mbps 6m59s 12.8. Es importante también configurar el router para que actúe como caché DNS (allow-remote-requests).2.2. Configurar dirección IP en el interfaz wlan1 /ip address add address=10.1.0.0.1.2. 168. por ejemplo google. /ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade 20. Verificar por medio de ping que puede resolver un nombre de dominio. Verificar que tenga Navegación.8 22.8.com 18. Configurar interface Ether4 del router e Interface Ethernet de Laptop Estudiante /ip address add address=192. RouterOS v6.71.01 – Laboratorios Capítulo 4 17.35. El estudiante debe configurar los parámetros de la tarjeta de red Ethernet de su laptop 21.8. Academy Xperts 19 . El estudiante debe configurar la regla de src-nat para poder permitir que su laptop salga a internet. Verificar por medio de ping que puede llegar desde la laptop a la dirección IP 8.4.254/24 interface=ether4 19. Guardar los cambios y salir 5. Configuramos los parámetros necesarios para usar la opción de scanner.35. Una vez que encontramos el SSID al que nos vamos a conectar lo seleccionamos y presionamos el botón Connect.01 – Laboratorios Capítulo 4 Configuración Estudiante 3 (Scanner) 1. Daremos clic en el botón Scanner ubicado en la parte superior de la ventana Wireless Tables y buscaremos el SSID que tiene configurado el estudiante 2 en su equipo presionando el botón Start. Verificar que no tenga navegación 3. 6. Resetear tarjeta Wireless /interface wireless reset-configuration wlan1 Academy Xperts 20 . los cuales son: a. Seleccionar el security-profiles c. RouterOS v6.4. Resetear tarjeta Wireless /interface wireless reset-configuration wlan1 2. Verificar que tengamos navegación normal Configuración Estudiante 3 (Connect List) 1. Poner en modo station-bridge b. Activamos la tarjeta wireless /interface wireless set wlan1 disabled=no 4. Verificamos que tengamos comunicación con el Router AP una vez mas 7. Verificamos que tengamos comunicación con el Router AP una vez mas 6. RouterOS v6. Activar tarjeta Wireless 4. 3. Academy Xperts 21 . Verificar que se tiene navegación en el computador.01 – Laboratorios Capítulo 4 2. Seleccionar el Security profiles d. Guardar cambios y salir. Modo: Station bridge b. Para esto necesitamos que el estudiante 2 identifique cual es la Dirección MAC de su interfaz Wlan1 y dársela al estudiante 3 para que la pueda poner en el campo MAC Address en las configuraciones en la ventana de Connect List 5. a. Luego ya con la MAC que vemos lo trabajaremos con una regla de Access-List y le cambiaremos la clave y luego verificaremos si E2 tiene navegación /interface wireless access-list add mac-address=E4:8D:8C:87:C5:14 interface=wlan1 \ private-pre-shared-key=mikrotik123 3. SSID: Sin SSID c. Verificar que tengamos navegación normal Configuración Estudiante 2 (Access List) 1. Configuramos los datos necesarios en la tarjeta wireless para poder usar la opción de Connect List.4. Iremos a la pestaña de Connect List. Verificamos que tengamos a E2 (CPE) registrado en nuestra tabla de registros /interface wireless registration-table print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME wlan1 R2 E4:8D:8C:87:C5:14 no -42dBm@1Mbps 1Mbps 1m15s 2.35. caso contrario revisar los pasos anteriores. 16. Por último E2 debe crear un Bridge. Verificar que el Router del estudiante 1 tenga salida a internet Parte 2.1.1.1/24 1. 4. Formar Grupo de dos personas E1 y E2 2.254 Select DNS servers dns servers: 172. E1 debe darle un nuevo direccionamiento a E2 por medio de un DHCP Server y a su vez E2 debe configurar un DHCP Client para poder recibir ese direccionamiento.0/24 Select gateway for given network gateway for dhcp network: 172.16.4.1.16. Configurar el DHCP-Server en la interfaz ether4 con siguiente dirección IP 172.35. E1 se va conectar con RP vía wireless.16.16. Configurar dirección IP en el ether4 /ip address add address=172.1 Select pool of ip addresses given out by DHCP server addresses to give out: 172.1. poner puertos 4y5 en el bridge y crearle un nuevo direccionamiento y darle por medio de DHCP-Server IP al computador.1.1.16. pero con un nuevo SSID y un nuevo direccionamiento 3.01 – Laboratorios Capítulo 5 Capítulo 5 Administración de Red Objetivos: • Poner en práctica los conceptos vistos en este capitulo • Comprender las bases y configuraciones de un DHCP • Poder fusionar un bridge + un DHCP Server • Y comprender las funciones de DHCP Client Escenario: 1.2-172.1.1/24 interface=ether4 2.1 Select lease time lease time: 10m Academy Xperts 22 .16. Configuración Estudiante 1 Parte 1. Configurar el DHCP-Server /ip dhcp-server setup Select interface to run DHCP server on dhcp server interface: ether4 Select network for DHCP addresses dhcp address space: 172. RouterOS v6. Configurar la interfaz ether4 como DHCP-Client /ip dhcp-client add interface=ether4 disabled=no Parte 2. Agregar los puertos al bridge /interface bridge port add interface=ether2 bridge=DHCP-Server /interface bridge port add interface=ether3 bridge=DHCP-Server 3. Activar Allow remote requests en la ventana de DNS /ip dns set allow-remote-requests=yes Parte 4. Verificar que se entregó la dirección IP a la interfaz ether4 Parte 3. RouterOS v6.4.1/24 interface=DHCP-Server Academy Xperts 23 . Crear Bridge /interface bridge add name=DHCP-Server 2.01 – Laboratorios Capítulo 5 Configuración Estudiante 2 (Resetear el Router antes de iniciar) Parte 1.35.168.71. Asignar dirección IP al bridge /ip address add address=192. Crear un bridge y asignarle una DHCP-Server 1. 168.71.71.01 – Laboratorios Capítulo 5 4.1 Select lease time lease time: 10m 5.168.168.4.35.0/24 Select gateway for given network gateway for dhcp network: 192.71. Verificar que pueda navegar Academy Xperts 24 .254 Select DNS servers dns servers: 192.1 Select pool of ip addresses given out by DHCP server addresses to give out: 192.2-192. 7.168. Configurar NAT /ip firewall nat add chain=srcnat out-interface=ether4 action=masquerade 6.71. RouterOS v6. Crear DHCP-Server para la interfaz bridge “DHCP-Server” /ip dhcp-server setup Select interface to run DHCP server on dhcp server interface: DHCP-Server Select network for DHCP addresses dhcp address space: 192. Verificar que la laptop haya recibido la dirección IP automáticamente.71.168. Poner en práctica los conceptos vistos en este capítulo.1.168.1.1-10.IPs permitidas Administrar este router" src-address-list=\ "IPs permitidas Administrar Router" add action=drop chain=input comment="IN . .1.Rechazar conexiones invalidas" connection-state=invalid add chain=input comment="IN . Proteger a un equipo MIKROTIK con las reglas principales para protección. RouterOS v6.63 list="IPs permitidas Administrar Router" 2. Todas las reglas afectaran solo a sus propias LAN Reglas de Firewall input Tarea 1: Reglas Básicas de Filter Input 1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas que administren su router. 2. Poner en práctica las términos address-list y Layer7 protocol Escenario: 1.Permitir conexiones establecidas y relacionadas" connection-state=\ established.1.254 list="IPs permitidas Administrar Router" add address=10.100. Crear las 4 reglas básicas en INPUT /ip firewall filter add chain=input comment="IN .01 – Laboratorios Capítulo 6 Capítulo 6 Firewall Objetivos: . En el caso de este ejercicio las direcciones serán: la IP de su laptop (la IP del comando a continuación es solo un ejemplo).related add action=drop chain=input comment="IN . Configurar reglas NAT para ciertos tipos de redireccionamientos en una RED . .Descartar todo lo demas" Academy Xperts 25 . y la red WAN Wireless /ip firewall address-list add address=192.35. Deben tener la red activa.4. se recomienda restaurar la configuración Principal y trabajarla hay. El estudiante debe cambiar la dirección IP de su laptop y probar el acceso a su propio router. el estudiante debe tratar de ingresar por Capa 2 2. Caso contrario debe revisar su address-list Reglas de NAT Parte1. Cada estudiante debe poder navegar a Internet. Cada estudiante debe poder ingresar vía Winbox al router de su vecino.0/24 list="IPs permitidas navegar internet" 2.related add action=drop chain=forward comment="IN . La regla más usada por los administradores de Redes con equipos MIKROTIK /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 Academy Xperts 26 .Rechazar conexiones invalidas" connection-state=invalid add chain=forward comment="IN .Descartar todo lo demas" Tarea 2: Pruebas de validación de reglas 1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas navegar a Internet.4.2 no se puede ingresar. Crear las 4 reglas básicas en FORWARD /ip firewall filter add chain=forward comment="IN . En el caso de este ejercicio las direcciones serán el segmento de la red LAN (local) /ip firewall address-list add address=192.100.Permitir conexiones establecidas y relacionadas" connection-state=\ established. Puesto que en la Tarea 2. Caso contrario el vecino debe validar su address-list 2. Escribir la MAC-address de la interface del router e intentar ingrese Reglas de Firewall Forward Tarea 1: Reglas Básicas de Filter Forward 1. Abrir un Winbox y verificar si puede visualizar la MAC de la interface del rute a la cual está conectado 3. Regla de NAT & (action: masquerade) 1. Puesto que la nueva IP no está definida en el address-list no debe poder ingresar Tarea 3: Acceso vía por Capa 2 1.01 – Laboratorios Capítulo 6 Tarea 2: Pruebas de validación de reglas 1.35. RouterOS v6.IPs permitidas navegar internet" src-address-list=\ "IPs permitidas navegar internet" add action=drop chain=forward comment="IN .168. 0.102. Por ejemplo tenemos el ambiente de una red ISP la cual tiene un servidor cache y quiere que sus clientes sean redireccionados al servidor cache.4 \ dst-port=80 protocol=tcp to-addresses=192.0/24 3. Primero activaremos el web-proxy y definimos el puerto que vamos a usar. Bloquearemos un conjunto de redes sociales con la opción de Layer7.168.4. La regla tiene que ser aplicada tanto como TCP como UDP de DNS. Regla para redireccionar un tráfico en específico a otro Servidor externo.168. Address-List + Layer7 + Firewall Filter (Redes sociales) 1. Y por último crear la regla de Filter para bloquear y poner en marcha la regla.01 – Laboratorios Capítulo 6 Parte2. Segundo configuraremos el web proxy para redireccionar una página (www.3 (action: dst-nat) /ip firewall nat add action=dst-nat chain=dstnat comment=DSTNAT dst-address=201. esto será aplicado a nuestra LAN.hi5.academyxperts. Regla de NAT & (action: dstnat) 2.168. por defecto viene el 8080 /ip proxy set enabled=yes port=8081 2. Redireccionar: Que todo el tráfico DNS (53) de nuestra LAN sea redireccionados a los DNS del mismo Router RP.10.com \ src-address=200. Action: redirect + web proxy 1.0/24 list=LAN Academy Xperts 27 .0.200. luego con la opción address-List agregaremos a quien bloquearle ese contenido de Layer7.academyxperts. Action: redirect + DNS 1. Luego de a ver creado la regla de web-proxy lo que haremos ahora será redireccionarlo por medio del chain: dstnat y la acción: redirect /ip firewall nat add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8081 Parte 3. RouterOS v6. /ip firewall layer7-protocol add name="redes sociales" regexp="^. /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53 /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53 Parte 4.200.com) al otra página (www.35.+\$" /ip firewall address-list add address=192. /ip proxy access add action=deny dst-host=*hi5* redirect-to=www.com). Para ello tenemos la IP publica 201.+(facebook|youtube|twitter|instagram).230.3 to-ports=6457 Parte 2.4 y la ip de nuestro servidor de cache 192.230. Escenario: cuando se cambian los DNS en nuestros clientes (Para este caso simular cambiando los DNS de nuestra PC por cualquier DNS) 2.102. 4. RouterOS v6.35.01 – Laboratorios Capítulo 6 /ip firewall filter add action=drop chain=forward layer7-protocol="redes sociales" src-address-list=LAN Academy Xperts 28 . 4. RouterOS v6.PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_P2P \ new-connection-mark=conn_P2P p2p=all-p2p /ip firewall mangle > add action=mark-packet chain=prerouting connection-mark=conn_P2P \ new-packet-mark=conn_P2P.pkt passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_Email \ dst-port=25.PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_Resto \ new-connection-mark=conn_Resto /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_Resto \ new-packet-mark=conn_Resto.110.443 new-connection-mark=conn_HTTP/S protocol=tcp /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_HTTP/S \ new-packet-mark=conn_HTTP/S. VOZ. /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_HTTP/S \ dst-port=80.pkt passthrough=no Academy Xperts 29 . Para ello necesitamos los puertos que manejen cada uno de ellos. Otros.01 – Laboratorios Capítulo 6 Capítulo 7 QoS Objetivo: . P2P. Comprender el uso de las reglas de Mangle Escenario: Mangle Parte 1. Poner en práctica los conocimientos adquiridos en este capitulo . 1.587. Crearemos las reglas de Mangle para poder marcar las conexiones a la cuales les vamos a asignar la calidad de servicio. Poner crear una buena calidad de servicio para una LAN .PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_VOZ \ dst-port=10000-20000 new-connection-mark=conn_VOZ protocol=udp /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_VOZ \ new-packet-mark=conn_VOZ. En este caso analizaremos los tráfico que son sensibles en la Red tales como: HTTP.994 new-connection-mark=conn_Email protocol=tcp /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_Email \ new-packet-mark=conn_Email.35. EMAIL. 254/32 /queue simple add limit-at=512k/512k max-limit=2M/2M name=VOZ packet-marks=conn_VOZ.01 – Laboratorios Capítulo 6 Parte 2. RouterOS v6.100.168.PKT \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.PKT \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.100.35.254/32 /queue simple add limit-at=256k/256k max-limit=2M/2M name=P2P packet-marks=conn_P2P. /queue simple add max-limit=2M/2M name=INTERNET target=192.254/32 /queue simple add limit-at=768k/768k max-limit=2M/2M name=HTTP/S packet-marks=conn_HTTP/S.100.100.PKT \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168. Configurar la calidad de servicio para las siguientes conexiones que acabamos de marcar anteriormente por medio de las reglas de Mangle.pkt \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.254/32 Academy Xperts 30 .168.254/32 /queue simple add limit-at=256k/256k max-limit=2M/2M name=EMAIL packet-marks=conn_Email.pkt \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.100.100.4.168.168.168.254/32 /queue simple add limit-at=64k/64k max-limit=2M/2M name=RESTO packet-marks=conn_Resto. Recuerde que las siguientes redes son Redes Privadas y NO son Públicamente Ruteables • 10.0. OVPN SSTP) • IPsec Academy Xperts 31 .1. RouterOS v6. PPTP.0.01 – Laboratorios Capítulo 8 Capítulo 8 Objetivos y Conceptos previos a túneles IPIP Objetivos: • Entender cuál es el obejtivo de los túneles y cómo configurarlos.16. la opción de ruteo no es viable ya que las IPs privadas 172. Si se desea tener comunicación entre las redes A y B (Figura 8.0 /16 Existen diferentes tipos de túneles que se usan para diferentes aplicaciones. • En este ejercicio se realizará un túnel IP-IP que es uno de lo túneles más básicos.0 /8 • 172.0/24 no son direcciones IP públicamente ruteables. Una vez creada esta interface.0.0. Bases Conceptuales: Es importante entender por qué realizamos un túnel y los elementos que formarán parte de esta importante herramienta que permitirá interconectar a dos redes remotas separadas por la nube de Internet.1. Por esta razón.0 /12 • 192.1.0/24 y 192. RouterOS de MikroTik permite trabajar con túneles • IPIP • EoiP • GRE • PPP (PPP. EoIP. se debe crear una VPN • VPN = Virtual Private Network • En Español = Red Privada Virtual • También se la conoce como = Túnel Esto se realiza creando una Interface Virtual en cada router remoto.1) que están separadas por la nube de Internet.4.35.16.168. dependiendo de la naturaleza de la misma.168. L2TP. Esto significa que los routers públicos en Internet no pueden usar las IPs privadas como una red de destino (a menos que sea para uso exclusivo & privado de cada ISP). si se desea que las redes A y B se comuniquen. se podrán establecer conexiones en Capa 2 (L2) o en Capa 3 (L3). 168.1.0/24) y las IP externas (10. Los ejercicios que desarrollaremos serán una simulación del escenario en la red pública para lo cual trabajaremos con el router del Trainer como medio de acceso a la nube (Figura 8.1.2). RouterOS v6.3) En este escenario cada estudiante trabajará con las IPs privadas (192.4.n. Academy Xperts 32 .m/30) asignadas al inicio del curso.1.01 – Laboratorios Capítulo 8 Para efectos de nuestros laboratorios debe quedar muy claro que cuando levantamos un tunel a través de Internet nos encontramos ante una nube de la cual prácticamente desconocemos todo lo que ocurre dentro (Figura 8.1.35. 1.1.168.IP de interface WAN en R1 (wlan1 en este LAB) 10.4.1.5) R1 (Router 1) 192. b.1.IP de interface WAN en R-trainer (wlan1 en este LAB) Nota Importante: Para las configuraciones en éste laboratorio asumiremos los siguientes valores para a.1 . Si tiene dudas por favor consulte su entrenador.a.1.1. Estos valores fueron asignados previamente por el instructor al inicio del curso.b.IP de la Laptop en Red A 192.IP de interface WAN en R2 (wlan1 en este LAB) 10.0/24 .ID de red de LAN en Red B 192.y/30 .IP de interface WAN en R-trainer (wlan1 en este LAB) R2 (Router 2) 192.b.b. Para el ejemplo en este texto usaremos las siguientes interfaces y direcciones IP (Figura 8.168. RouterOS v6. x.35.1. Este tipo de túnel es muy básico y no posee autenticación ni encriptación.168.254 .1.254 .0/24 .a.4) Proceso Túnel IPIP Como denota el nombre de este túnel (IPIP).01 – Laboratorios Capítulo 8 Nota Importante: Recordar que cuando se va a crear un túnel.ID de red de LAN en Red A 192.168.z/30 . Academy Xperts 33 . se creará un túnel Capa 3 (IP) sobre una conexión Capa 3 (IP).1.a. la única información que posee cada localidad es la IP externa de los routers de borde de cada destino remoto (Figura 8.IP de la Laptop en Red B 192.IP de interface LAN en R1 (ether2 en este LAB) 10.1.IP de interface LAN en R2 (ether2 en este LAB) 10.168.w/30 . w.168.x/30 .1 . y & z. 20.2 56 64 0ms 3 10. RouterOS v6.01 – Laboratorios Capítulo 8 • a=1 (192.6 remote-address=10.35.1.20.0/24) • b=2 (192.1.1.20.6/30) Laboratorio 8.1.2/30) • x=1 (10.1.30.1.2 SEQ HOST SIZE TTL TIME STATUS 0 10.1.30.1 – Túnel IP-IP Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel.168.30.20.1.30.6 R2 (Router 2) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel.1.2 56 64 14ms R2 (Router 2) debe verificar que llega a la IP del tunel remoto ejecutando un ping / ping 10.20.1.4.1.30.1.0/24) • w=2 (10.1. Recuerde que: • local-address se refiere la IP externa local (R2) • remote-address se refiere a la IP externa remota (R1) /interface ipip add name=ipip-tunnel1 local-address=10.168.1.30.2 56 64 3ms 1 10. Recuerde que: • local-address se refiere la IP externa local (R1) • remote-address se refiere a la IP externa remota (R2) /interface ipip add name=ipip-tunnel1 local-address=10.30.1.2 56 64 3ms 2 10.2.5/30) • z=6 (10.20.1/30) • y=5 (10.30.1.1 Academy Xperts 34 .2 Paso 2 R1 (Router 1) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada /ip address add address=10.1/30 interface=ipip-tunnel1 R2 (Router 2) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada /ip address add address=10.2/30 interface=ipip-tunnel1 Paso 3 R1 (Router 1) debe verificar que llega a la IP del tunel remoto ejecutando un ping /ping 10.1.20.2 remote-address=10.20. 168.30.6 Academy Xperts 35 .1.30.4.0/24) especificando como Gateway la dirección IP de la inteface del túnel IPIP remota /ip route add dst-address=192.35.20.1.2.1.254 R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.20.30.30.168. RouterOS v6.30.2.1 56 64 1ms 2 10.2.0/24 gateway=10.30.20.254 Finalmente la interconexión entre las Redes remotas A & B queda según la Figura 8.2 R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.0/24) especificando como Gateway la dirección IP de la inteface del túnel IPIP remota /ip route add dst-address=192.168.1.01 – Laboratorios Capítulo 8 SEQ HOST SIZE TTL TIME STATUS 0 10.168.20.168.1 56 64 3ms 1 10.168.1 Paso 5 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.20.1 56 64 1ms Paso 4 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.0/24 gateway=10.1 56 64 1ms 3 10.20. 35. Para este tipo de túnel (EoIP) no es obligatorio configurar la dirección IP local (externa).30. Una de las formas de constatar que ambas redes están trabajando en el mismo dominio de Broadcast es que las direcciones IP de las laptops estén en la misma subred.1) • Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes • No es necesario que los Routers desactiven/eliminen los túneles IPIP Paso 2 R1 (Router 1) debe configurar la dirección IP remota (externa) para armar el túnel.01 – Laboratorios Capítulo 8 Laboratorio 8.168.20. y puesto que formarán parte del mismo Bridge también estarán dentro del mismo dominio de Colisión.168. al ejecutar el Winbox podrán ver las direcciones MAC de los routers remotos.1.30.0/24 gateway=10.2 tunnel-id=10 Academy Xperts 36 . De esta manera las redes remostas A y B estarán en el mismo dominio de broadcast. Esto no podría ser posible si es que ambas redes no compartieran el mismo dominio de Broadcast. RouterOS v6. Recuerde que: • local-address se refiere la IP externa local (R1) • remote-address se refiere a la IP externa remota (R2) /interface eoip add name=eoip-tunnel1 remote-address=10.1 (dst-address=192. Esto significa que genera una dirección MAC en la interface del túnel.0/24 gateway=10. Al final de este laboratorio se comprobará que efectivamente se genera un túnel de Capa 2 (Ethernet) porque se podrá agregar la interface EoIP en un Bridge.1 Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.1 (dst-address=192.4.2 – Túnel EoIP Objetivos: • Crear un túnel EoIP y verificar que las redes remotas se encuentran en el mismo dominio de broadcast Bases Conceptuales: El túnel Ethernet Sobre IP (Ether Over IP) es un túnel de Capa 2 (Ethernet) sobre una conexión en Capa 3 (IP). El diagrama inicial de configuración es el que se presenta en la Figura 8.2) R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.20.2.2. Sin embargo se debe configurar el tunnel-id que debe ser el mismo en los routers que arman el túnel.1.1. Esta última característica (formar parte del mismo dominio de Colisión) es la razón por la cual los Bridges o las redes Bridge deben ser evitadas al máximo. Otra forma de verificar es que a pesar de que ambas laptops tengan direcciones IP de distintas subredes. y en este bridge agregar las interfaces ether2 y eoip-tunnel1 /interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 /interface bridge port add bridge=bridge1 interface=eoip-tunnel1 Paso 4 Las laptops de las Redes A y B deben configurar una IP de la misma subred.2 Note que la Laptop de la Red B (192.1/24 Laptop Red B: 192.1. Academy Xperts 37 .1.168. RouterOS v6. Figura 8.1.2/24 Con esta configuración ambas laptops debe poder hacer PING entre ellos. y en este bridge agregar las interfaces ether2 y eoip-tunnel1 /interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 /interface bridge port add bridge=bridge1 interface=eoip-tunnel1 R2 (Router 2) debe crear un Bridge. Recuerde que: • local-address se refiere la IP externa local (R2) • remote-address se refiere a la IP externa remota (R1) /interface eoip add name=eoip-tunnel1 remote-address=10.1.168.4.1.1 tunnel-id=10 Paso 3 R1 (Router 1) debe crear un Bridge.168.2.2) no podrá hacer PING a R2 (Router 2) ya que están en una subred diferente.35. Por ejemplo: Laptop Red A: 192.01 – Laboratorios Capítulo 8 R2 (Router 2) debe configurar la dirección IP remota (externa) para armar el túnel. La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local RouterOS soporta los tipos de encriptación • MPPE 40bit RC4 • MPPE 128bit RC4 El tráfico PPTP utiliza • TCP puerto 1723 • IP protocol GRE o GRE = Generic Routing Encapsulation o GRE = IP protocol ID 47 PPTP puede ser usado con la mayoría de firewalls y routers habiitando TCP 1723 y GRE (protocolo 47). PPTP incluye contabilización y autenticación PPP para cada conexión PPTP. RouterOS soporta Multilink PPP (también conocido como MP. pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP. o El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar. MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP. • La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar frames Ethernet a través de enlaces PPP. MLPPP.01 – Laboratorios Capítulo 8 Objetivos y Conceptos previos a túneles PPTP Objetivos: • Crear un túnel PPTP. Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura através de una conexión enmascarada (NATeada). • PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. pero se puede configurar un diferente de MRRU si el equipo con el que va a conversar permite/acepta ese nuevo valor.35. El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP. • PPTP encapsula el PPP en líneas virtuales que corren sobre IP. ya que los enlaces PPP no tienen direcciones MAC. o MRRU = Maximum Received Reconstructed Unit o El MRRU es similar al MTU (Maximum Transmission Unit).4. De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. Los clientes PPTP están disponibles en casi todos los sistemas operativos. RouterOS v6. Por este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. o Por default el MRRU es 1500 bytes. • MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño. para lo cual se requerirá que R1 actúe como PPTP-Server y R2 actúe como PPTP-Client Bases Conceptuales: • PPTP es un túnel seguro para transportar tráfico IP usando PPP. incluso en Windows. Para esto se necesita que el Bridge tenga una dirección MAC o una interface tipo Ethernet. MP es un ejemplo de tecnología de agregación de enlace. MLP. De esta manera el tráfico puede ser ruteado a través del firewall o router. pero solo se aplica a los paquetes Multilink. Academy Xperts 38 . o Multilink) con lo cual se provee un método para esparcir el tráfico a través de múltiples conexiones PPP distintas. En una simple línea PPP los frames no pueden arrivar fuera de orden. MPPP. 2 • Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes • No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP Paso 2 R1 (Router 1) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración: 1. y también debe eliminar el Bridge1 creados en el Laboratorio 8.35.01 – Laboratorios Capítulo 8 Laboratorio 8.1 Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe remover los puertos (ether2 y eoip-tunnel1) agregados a Bridge1. Crear el PPP SECRET.3.4. RouterOS v6.3 2. El perfil/profile que se utilizará es DEFAULT (sin encriptación) /ppp secret add name=prueba password=prueba service=pptp local-address=10.3.2 R2 (Router 2) debe remover los puertos (ether2 y eoip-tunnel1) agregados a Bridge1. y también debe eliminar el Bridge1 creados en el Laboratorio 8. Habilitar el servicio PPTP SERVER /interface pptp-server server set enabled=yes default-profile=default Paso 3 R2 (Router 2) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración: Academy Xperts 39 .3.2 \ remote-address=10.2.2.3 – Túnel PPTP (R1 Server – R2 Client) El diagrama inicial de configuración es el que se presenta en la Figura 8. 168.2.mschap1. R .2 user="prueba" password="prueba" profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no allow=pap.1.2. RouterOS v6.2.1.3 remote-address: 10.3 -.2 remote-address: 10.dynamic.1. Esta interface se ha generado dinámicamente (D) /interface pptp-server print Flags: X .2. D .3 R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.2.3.2.1.6 encoding: mtu: 1450 mru: 1450 local-address: 10.[Q quit|D dump|C-z pause] Nota: El pptp-server asignó las direcciones local (local-addres) y remota (remote-address) a ambas interfaces del túnel Paso 5 1.1.chap.3. R1 debe verificar el estatus de la conexión (connected) /interface pptp-server monitor <pptp-prueba> status: connected uptime: 7m1s user: prueba caller-id: 10.disabled.1.running # NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING 0 DR <pptp-prueba> prueba 1450 10.3.disabled.01 – Laboratorios Capítulo 8 /interface pptp-client add name=pptp-out1 connect-to=10.3.2.2 \ user=prueba password=prueba profile=default disabled=no Paso 4 1.2 Academy Xperts 40 . /interface pptp-client print Flags: X .0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192. R2 debe verificar el estatus de la conexión (connected) /interface pptp-client monitor pptp-out1 do file interval numbers [admin@R2] > interface pptp-client monitor pptp-out1 status: connected uptime: 12m22s encoding: mtu: 1450 mru: 1450 local-address: 10.35. R2 (Router 2) debe verificar que la interface pptp-client se encuentra corriendo (R).0/24 gateway=10.1.6 2m31s 2.1.3.4.2 -.0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.[Q quit|D dump|C-z pause] Paso 6 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24 gateway=10.3.running 0 R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.1.2. R .168.mschap2 2.168. R1 (Router 1) debe verificar que se ha generado una interface pptp y que se encuentra corriendo (R). 254 Academy Xperts 41 .168.1. RouterOS v6.4.168.01 – Laboratorios Capítulo 8 Paso 7 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.35.2.254 R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192. 01 – Laboratorios Capítulo 8 Laboratorio 8.1.4.4.3.4.0/24 gateway=10.5. RouterOS v6.168.running # NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING 0 DR <pptp-prueba> prueba 1450 10.2) • Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes • No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP • Es IMPORTANTE que se mantenga el túnel PPTP creado en el Laboratorio 8. El perfil/profile que se utilizará es DEFAULT (sin encriptación) /ppp secret add name=prueba password=prueba service=pptp local-address=10. /interface pptp-client print Flags: X . R .0/24 gateway=10.1.6 \ user=prueba password=prueba profile=default disabled=no Paso 4 1.1 Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.5.2 1m16s R2 debe verificar el estatus de la conexión (connected) interface pptp-server monitor <pptp-prueba> status: connected uptime: 4m23s user: prueba caller-id: 10.5. D .4.2 encoding: mtu: 1450 mru: 1450 local-address: 10.dynamic.4 remote-address: 10.disabled.4.3 para demostrar que un mismo router puede actuar como Cliente y Server a la vez. R1 (Router 1) debe verificar que la interface pptp-client se encuentra corriendo (R).5 -. R2 (Router 2) debe verificar que se ha generado una interface pptp y que se encuentra corriendo (R).[Q quit|D dump|C-z pause] Nota: El pptp-server asignó las direcciones local (local-addres) y remota (remote-address) a ambas interfaces del túnel Paso 5 1.2.1.4 – Túnel PPTP (R1 Client – R2 Server) El diagrama inicial de configuración es el que se presenta en la Figura 8.disabled.5.4. Esta interface se ha generado dinámicamente (D) /interface pptp-server print Flags: X .35. Crear el PPP SECRET. R .3 (dst-address=192.5 2.3.3 (dst-address=192.1.168. Paso 2 R2 (Router 2) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración: 1.1.running Academy Xperts 42 .3) R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.1. Habilitar el servicio PPTP SERVER /interface pptp-server server set enabled=yes default-profile=default Paso 3 R1 (Router 1) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración: /interface pptp-client add name=pptp-out1 connect-to=10.4 \ remote-address=10.1.2.2. 35.0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.mschap2 2.0/24 gateway=10.1.01 – Laboratorios Capítulo 8 0 R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.1.1.4.0/24 gateway=10.5.2.1. R1 debe verificar el estatus de la conexión (connected) /interface pptp-client monitor pptp-out1 do file interval numbers [admin@R2] > interface pptp-client monitor pptp-out1 status: connected uptime: 12m22s encoding: mtu: 1450 mru: 1450 local-address: 10.4.2.168.5.168.168.168.4.mschap1.4.5.168. Academy Xperts 43 .0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.5 remote-address: 10.chap.1. RouterOS v6.5 Paso 7 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.5.4 -.2 user="prueba" password="prueba" profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no allow=pap.168.4.254 Nota: Al final de este ejercicio puede constatar que un mismo router puede actuar como Cliente y como Server al mismo tiempo cuando se configuran túneles.4 R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.[Q quit|D dump|C-z pause] Paso 6 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.2.254 R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192. • RouterOS puede trabajar con otros dispositivos que soporte BCP de acuerdo al estándar siempre y cuando el BCP esté habilitado.5 – Bridge a través de un túnel PPTP usando BCP Objetivos: • Interconectar 2 redes remotas (Red A y Red B) y formar una sola red Ethernet (un mismo dominio de broadcast) • Se requiere usar encriptación para proteger la integridad de los datos. /interface bridge add name=bridge_local protocol-mode=rstp /interface bridge port add bridge=bridge_local interface=ether2 Academy Xperts 44 . éste constituye una parte independiente del túnel PPP. Notas importantes: • Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes • No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP • No es necesario que los Routers desactiven/eliminen los túneles PPTP creados en los Laboratorios 8. los estudiantes deberán ingesar por MAC Winbox a los respectivos dispositivos.168. El motivo es porque los puertos PPP no tienen dirección MAC.4.5) 2.0/24 gateway=10. L2TP y PPPoE.4. 6.5. BCP puede utilizarse en lugar de EoIP + Túnel VPN • Para hacer Bridging.168.4 (dst-address=192.1 Paso 1 1. • Esta actividad se realizará con túnel PPTP y protocolo BCP Bases Conceptuales: • RouterOS soporta BCP (Bridge Control Protocol) para las interfaces PPP.168. • BCP permite que los paquetes pasen en Bridge a través de un enlace PPP. R1 (Router 1) debe eliminar la IP asignada a la interface ether2 (192.0/24 gateway=10. El diagrama de configuración al que se desea llegar es el que se presenta en la Figura 8. Después de eliminar las direcciones IP de las interfaces ether2. BCP puede utilizarse en lugar de un enlace WDS en una red inalámbrica Cuando se establece el BCP. PPTP.1.254/24) 3.01 – Laboratorios Capítulo 8 Laboratorio 8. R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.2. y se debe segurar que el Bridge tiene una dirección MAC.5. Primero se debe crear una interface Bridge.4. RouterOS v6. Requerimientos: • BCP debe ser habilitado en ambos lados (PPP server y PPP cliente) para poder funcionar. razón por la cual el Bridging y el Routing se pueden realizar al mismo tiempo de forma independiente.168.35.254/24) 5. • Para hacer Bridging.2.4 (dst-address=192.5.4) 4.1. R1 (Router 1) debe remover la ruta creada en el Laboratorio 8. No está relacionado a ninguna dirección IP de la interface PPP.4 Paso 2 (configuración en R1 <Router 1> en la RED A) 1. R2 (Router 2) debe eliminar la IP asignada a la interface ether2 (192.3 y 8. /interface bridge add name=bridge_local protocol-mode=rstp /interface bridge port add bridge=bridge_local interface=ether2 2.1.254/24 interface=bridge_local 4. y muy importante especificar la opción bridge en el Profile. Para esto asignamos la MAC de la interface ether2 al bridge com MAC de Administración. /ip address add address=192. En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge. y lo hace dividiendo el paquete hacia múltiples canales y por consiguiente incrementando el valor de MTU y MRRU.168.01 – Laboratorios Capítulo 8 2. Primero se debe crear una interface Bridge. por lo que la configuración del Profile PPP es sencilla. por lo que el valor MTU de la interface no es suficiente. po lo que se debe especificar un valor de MRRU mayor.4. por lo que la configuración del Profile PPP es sencilla y no requiere que se asignen direcciones IP a las interfaces de túnel local y remoto. D4:CA:6D:E5:7F:DF es la dirección MAC de ether2 en el router del laboratorio ejemplo. Debemos asegurarnos que el Bridge posee una dirección MAC. Para esto asignamos la MAC de la interface ether2 al bridge com MAC de Administración.1. Se asume que la interface wlan ya tiene asignada su IP desde los laboratorios anteriores. Por lo tanto es muy importante especificar la opción bridge en el Profile. El motivo es porque los puertos PPP no tienen dirección MAC. Usted debe obtener la dirección MAC de su equipo. Asignamos las IP a la interface bridge_local. /interface bridge set bridge_local admin-mac=D4:CA:6D:E5:7F:DF 3.35. /interface bridge set bridge_local admin-mac=D4:CA:6D:B4:31:19 3.253/24 interface=bridge_local 4. Para asegurar una operación apropiada se sugiere modificar el valor del MRRU en el router que hace de Server. D4:CA:6D:B4:31:19 es la dirección MAC de ether2 en el router del laboratorio ejemplo. Usted debe obtener la dirección MAC de su equipo. Debemos asegurarnos que el Bridge posee una dirección MAC. y se deba segurar que el Bridge tiene una dirección MAC. /ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes Academy Xperts 45 .168. En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge. /ip address add address=192. el túnel PPP necesita pasar los paquetes con la cabecera de Capa 2 incluida. /interface pptp-server server set enabled=yes mrru=1600 Paso 3 (configuración en R2 <Router 2> en la RED B) 1. Recuerde que R2 actuará como Cliente PPTP por lo que NO necesita configurar SECRET. /ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes /ppp secret add profile=ppp_bridge name=pruebabridge password=pruebabridge 5. Recuerde que MRRU permite habilitar soporte multi-link sobre un enlace único. Para el caso de túneles PPTP el MTU es de 1460. Asignamos las IP a la interface bridge_local. RouterOS v6. Cuando se hace Bridge. Se asume que la interface wlan ya tiene asignada su IP desde los laboratorios anteriores. Por lo tanto solo se va a user/password. 1.2/24 Con esta configuración ambas laptops debe poder hacer PING entre ellos. Por ejemplo: Laptop Red A: 192.2 user=pruebabridge password=pruebabridge disabled=no Pasó 4 Las laptops de las Redes A y B deben configurar una IP de la misma subred. De esta forma se asegura que los paquetes pasen adecuadamente por el tunel PPP.1/24 Laptop Red B: 192.1. Recuerde que se debe especificar el valor de MRRU del mismo valor al que se especificó en el pptp-server. Se debe crear la interface pptp-client. Academy Xperts 46 . /interface pptp-client add profile=ppp_bridge mrru=1600 connect-to=10.168. RouterOS v6.35.01 – Laboratorios Capítulo 8 5.168.1.1.4. Conceptos Fundamentales de MikroTik RouterOS por Mauro Escalante .
Report "kupdf.com_lab-conceptos-fundamentales-de-mikrotik-routeros-v635401.pdf"
×
Please fill this form, we will try to respond as soon as possible.
Your name
Email
Reason
-Select Reason-
Pornographic
Defamatory
Illegal/Unlawful
Spam
Other Terms Of Service Violation
File a copyright complaint
Description
Copyright © 2024 DOKUMEN.SITE Inc.