LAB Conceptos Fundamentales de MikroTik RouterOS v6.39.2.01

May 16, 2018 | Author: Yerko Navarro Flores | Category: Ip Address, Firewall (Computing), Router (Computing), Domain Name System, Gateway (Telecommunications)


Comments



Description

Conceptos Fundamentalesde MikroTik RouterOS v6.39.2.01 Manual de Laboratorio ABC Xperts ® Network Xperts ® Academy Xperts ® Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales. RouterOS v6.39.2.01 – Manual de Laboratorio Tabla de Contenido Capítulo 1 ............................................................................................................................................................. 1 Laboratorio 1.1 – Configuración Inicial ............................................................................................................................. 1 Configuración del AP (Instructor) ............................................................................................................................. 1 Configuración del Cliente (Alumno) .......................................................................................................................... 4 Laboratorio 1.2 – SNTP Client.......................................................................................................................................... 7 Configuración del CPE ............................................................................................................................................. 7 Laboratorio 1.3 – SNTP Server ........................................................................................................................................ 8 Configuración NTP-Server ....................................................................................................................................... 8 Configuración NTP-Client ......................................................................................................................................... 8 Capítulo 2 ........................................................................................................................................................... 10 Laboratorio 2 – Enrutamiento Estático ........................................................................................................................... 10 Capítulo 3 ........................................................................................................................................................... 13 Laboratorio 3.1 - Bridge y Slave ..................................................................................................................................... 13 Configuración SLAVE (Switch) ............................................................................................................................... 13 Configuración BRIDGE ........................................................................................................................................... 13 Capítulo 4 ........................................................................................................................................................... 15 Wireless .......................................................................................................................................................................... 15 Capítulo 5 ........................................................................................................................................................... 22 Administración de Red ................................................................................................................................................... 22 Capítulo 6 ........................................................................................................................................................... 25 Firewall ........................................................................................................................................................................... 25 Reglas de Firewall input ......................................................................................................................................... 25 Reglas de Firewall Forward .................................................................................................................................... 26 Reglas de NAT ....................................................................................................................................................... 26 Capítulo 7 ........................................................................................................................................................... 29 QoS ................................................................................................................................................................................ 29 Mangle .................................................................................................................................................................... 29 Capítulo 8 ........................................................................................................................................................... 31 Objetivos y Conceptos previos a túneles IPIP ................................................................................................................ 31 Proceso Túnel IPIP ................................................................................................................................................. 33 Laboratorio 8.1 – Túnel IP-IP ......................................................................................................................................... 34 Laboratorio 8.2 – Túnel EoIP.......................................................................................................................................... 36 Objetivos y Conceptos previos a túneles PPTP ............................................................................................................. 38 Laboratorio 8.3 – Túnel PPTP (R1 Server – R2 Client).................................................................................................. 39 Laboratorio 8.4 – Túnel PPTP (R1 Client – R2 Server).................................................................................................. 42 Laboratorio 8.5 – Bridge a través de un túnel PPTP usando BCP ................................................................................. 44 Academy Xperts i RouterOS v6.39.2.01 – Laboratorios Capítulo 1 Capítulo 1 Laboratorio 1.1 – Configuración Inicial Objetivo: • Realizar la configuración a través de línea de comandos • Armar el primer laboratorio, el mismo que se utilizará durante los días de capacitación MTCNA. • Comprender los parámetros de configuración básicos y dar salida a Internet a un router MikroTik. Escenario: Configuración del AP (Instructor) Configuración de R1 1. Establecer la conexión WAN a internet a través de la interface ether1 por medio de una configuración dhcp- client /ip dhcp-client add interface=ether1 disabled=no 2. El Instructor debe comprobar que el dhcp-client entregó el DNS /ip dns print servers: dynamic-servers: 172.16.1.1 allow-remote-requests: no max-udp-packet-size: 4096 query-server-timeout: 2s query-total-timeout: 10s 3. El Instructor debe activar Allow Remote Request /ip dns set allow-remote-requests=yes Academy Xperts 1 RouterOS v6.39.2.01 – Laboratorios Capítulo 1 4. El Instructor debe comprobar que el dhcp-client entregó la ruta por default de manera automática /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 172.16.1.1 1 1 ADC 172.16.1.0/26 172.16.1.57 ether1 0 5. El Instructor debe crear un Security Profile para habilitar la seguridad /interface wireless security-profiles add name=Clave mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2- \ pre-shared-key=mikrotik 6. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no 7. El Instructor debe configurar la tarjeta Wireless para que el R1 actúe como AP (Access Point). En este punto el AP utilizará el Security Profile que se configuró en el paso 6. Se usará la banda 2GHz-b/g/n /interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=MikroTik_MTCNA radio-name=NombreAP security-profile=Clave Academy Xperts 2 1.1. Asignación de direcciones IP • Cada participante deberá trabajar con un grupo de direcciones específicas para las interfaces Wireless y LAN.9/30 interface=wlan1 comment=Estudiante3 /ip address add address=10.1. El parámetro que se encargará de enmascarar/ocultar la red privada es action=masquerade /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 9.01 – Laboratorios Capítulo 1 8.1. Asignar dirección IP a la Wlan1 del AP (Dependiendo de los requerimientos) /ip address add address=10.1.1.1/30 interface=wlan1 comment=Estudiante1 /ip address add address=10.1.5/30 interface=wlan1 comment=Estudiante2 /ip address add address=10.1.39.1) 10. • El instructor debe asignar un número a cada estudiante con el cual deberá validar las subredes entregadas en base a la siguiente tabla (Tabla L0-1. El Instructor debe configurar la regla de NAT para que las redes privadas (clientes/alumnos) puedan salir a Internet. En el parámetro out-interface se especifica la interfaz por donde R1 sale a internet (en este caso ether1).1.2. RouterOS v6.1.17/30 interface=wlan1 comment=Estudiante5 Academy Xperts 3 .13/30 interface=wlan1 comment=Estudiante4 /ip address add address=10. Verificar que el instructor ha configurado una red Wireless con los correspondientes parámetros de autenticación y encriptación. • SSID: MikroTik_MTCNA • Autenticación: WPA PSK y/o WPA2 PSK • Cifrado: AES • WPA1 y/o WPA2 Pre-Shared key: mikrotik 3. Configurar la tarjeta Wireless del Estudiante /interface wireless security-profiles add authentication-types=wpa2-psk mode=dynamic-keys \ name=ClaveCPE wpa2-pre-shared-key=mikrotik /interface wireless set wlan1 mode=station-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=MikroTik_MTCNA radio-name=NombreAlumno security-profile=ClaveCPE Academy Xperts 4 . Hacer un reset a toda la configuración del router /system reset-configuration no-defaults=yes 2.2. RouterOS v6.01 – Laboratorios Capítulo 1 Configuración del Cliente (Alumno) Configuración Wlan (Estudiante) 1.39. El estudiante debe estar conectado al AP del instructor. Verificar por medio de ping que puede llegar a una dirección IP pública.39. Para esto deberá especificar la IP del Gateway correspondiente según la Tabla L0-1. El estudiante debe configurar la dirección IP correspondiente a la wlan1 de acuerdo a la Tabla L0-1.0.1.2.8.1.8. El estudiante debe configurar la ruta por default (0.0.0.1.8. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no 5.1.0/0 gateway=10. por ejemplo. Configurar la ruta por default 1.1 y basado en la asignación entregada por el instructor.2/30 interface=wlan1 2.0/0) para poder salir a Internet. a la IP 8.1 /ip route add dst-address=0. Debe verificar revisando en la tabla de registro y obtener un resultado similar al siguiente: /interface wireless registration-table print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME 0 wlan1 NombreAP E4:8D:8C:88:9A:B1 yes -42dBm@1Mbps 1Mbps 1m32s Asignar IP a interface wlan 1. Verificar por medio de ping que puede llegar al AP (interface wlan) del Instructor.1 2.01 – Laboratorios Capítulo 1 4. Academy Xperts 5 . /ip address add address=10.0. Para esto deberá hacer ping a la IP de la subred /30 correspondiente. RouterOS v6. 8.com Configurar interface Ether1 del router e Interface Ethernet de Laptop Estudiante 1.1.168.71.2. El estudiante debe configurar la interface Ether1 en base la dirección asignada según la Tabla L0-1.1. /ip address add address=192. Verificar por medio de ping que puede resolver un nombre de dominio. por ejemplo google.8.8.1. El estudiante debe configurar la regla de src-nat para poder permitir que su laptop salga a internet. /ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade 3. RouterOS v6. Verificar por medio de ping que puede llegar desde la laptop a la dirección IP de la interface Ether1 de su router Academy Xperts 6 .8 allow-remote-requests=yes 2.254/24 interface=ether1 2. Para esto deberá especificar la IP de los servidores DNS1 y DNS2 correspondientes según la Tabla L0-1. El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres de dominio.39.1.01 – Laboratorios Capítulo 1 Configurar el DNS 1. Es importante también configurar el router para que actúe como caché DNS (allow-remote-requests). /ip dns set servers=10. El estudiante debe configurar los parámetros de la tarjeta de red Ethernet de su laptop 4.1. com SEQ HOST SIZE TTL TIME STATUS 0 216.39. Cada alumno debe configurar el SNTP-Client especificando las direcciones IP de los NTP servers /system ntp client set enabled=yes primary-ntp=216. En este laboratorio se usarán los servidores NTP de Google.239. Configuración del CPE Si la clase no dispone de un servidor NTP (Network Time Protocol).google. /system clock set time-zone-name=América/Guayaquil 4.google.2. Verificar que se posee la hora y zona horario correctas.34.com y time2.15 56 41 209ms 1 216.239.239.com SEQ HOST SIZE TTL TIME STATUS 0 216.google.32.15 secondary-ntp=216.32. Cada alumno debe configurar el Time Zone Name en el cual Debe indicar la ubicación donde se encuentra.2 – SNTP Client Objetivo: • Configurar el router MikroTik para que tenga actualizada la fecha y hora.15 3.34.239. 1. Cada alumno debe obtener las direcciones IP de los servidores NTP de Google. RouterOS v6.239.32.15 56 41 199ms /ping time2.239.15 56 41 199ms 2.com /ping time1. Academy Xperts 7 .google. entonces los clientes/alumnos deben conectarse a un servidor NTP externo.15 56 41 209ms 1 216. para esto deberá hacer un ping a time1.32.01 – Laboratorios Capítulo 1 Laboratorio 1. 39.34.239. Habilitar el NTP-Server /system ntp server set enabled=yes manycast=yes Configuración NTP-Client 1. Configurar con una ntp-client el NTP-Server /system ntp client set enabled=yes primary-ntp=216.15 3.239. RouterOS v6.3 – SNTP Server Configuración NTP-Server 1. Configurar la zona horaria en el NTP-Server /system clock set time-zone-name=América/Guayaquil 2.32. Configurar zona Horaria /system clock set time-zone-name=América/Guayaquil Academy Xperts 8 .01 – Laboratorios Capítulo 1 Laboratorio 1.15 secondary-ntp=216.2. 168.4 enabled=yes Academy Xperts 9 .2.01 – Laboratorios Capítulo 1 2.96. Configurar SNTP-Client /system ntp client set primary-ntp=192. RouterOS v6.39. 2 Configuración de E2 1.4.2. RouterOS v6. el cual basados en el requisito de que la comunicación debe ir en sentido horario.3.0/30 gateway=10. Poner direcciones IP Configuración de E1 1. El Gateway para el E1 será 10.2 /ip route add distance=1 dst-address=10.01 – Laboratorios Capítulo 2 Capítulo 2 Laboratorio 2 – Enrutamiento Estático Objetivo: • Trabajar en equipo. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E1 /ip address add address=10. Se deben armar grupos de 4 estudiantes • Comunicar varias redes LAN • Esquema basado en enrutamiento estático • Comprender los términos dst-address. gateway Escenario: • Los equipos deben estar SIN configuración • Luego de configurar los routers basados en el diagrama.1/30 comment=E1-E3 interface=ether4 2.2.2 /ip route add distance=1 dst-address=10.3. Para ello debemos especificar un Gateway.4. 10.0/30 gateway=10. El tráfico deberá fluir en sentido horario Parte 1. Realizar proceso de RUTEO para que el router E1 pueda alcanzar a las redes (10.3.4.2. se debe realizar ruteo estático.2.2.0/30.4.1/30 comment=E1-E2 interface=ether3 /ip address add address=10.0/30).3.2.1.2.2.2. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E2 Academy Xperts 10 .1.39. 1 /ip route add distance=1 dst-address=10.3.0/30).4.0/30 gateway=10.2.3.4.3.1. El Gateway para el E4 será 10.3.4.2 /ip route add distance=1 dst-address=10. Para ellos debemos especificar un Gateway.2.2.2 /ip route add distance=1 dst-address=10.4.3.1 Configuración de E3 1. 10.1.1.1 /ip route add distance=1 dst-address=10.3.4. el cual basados en el requisito de que la comunicación debe ir en sentido horario.0/30 gateway=10.2. Para ellos debemos especificar un Gateway. Realizar proceso de RUTEO para que el router E2 pueda alcanzar a las redes (10.4.1.2.4. el cual basados en el requisito de que la comunicación debe ir en sentido horario.1.2 Academy Xperts 11 .0/30).1.1 Configuración de E4 1.2.1.0/30 gateway=10.0/30).3. RouterOS v6.1.3. El Gateway para el E3 será 10.2/30 comment=E2-E1 interface=ether3 /ip address add address=10.1.4.1. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E3 /ip address add address=10.1/30 comment=E4-E3 interface=ether4 2.2/30 comment=E3-E1 interface=ether4 /ip address add address=10.2.0/30. Realizar proceso de RUTEO para que el router E3 pueda alcanzar a las redes (10.4.2.01 – Laboratorios Capítulo 2 /ip address add address=10.2/30 comment=E2-E4 interface=ether4 2. El Gateway para el E2 será 10. el cual basados en el requisito de que la comunicación debe ir en sentido horario.39.3.4.2.3.4.3.3.4.1.1. 10.0/30 gateway=10.4.0/30 gateway=10.1.1.4. 10.0/30.0/30.0/30 gateway=10. Realizar proceso de RUTEO para que el router E4 pueda alcanzar a las redes (10.1 /ip route add distance=1 dst-address=10. Para ellos debemos especificar un Gateway.2/30 comment=E3-E4 interface=ether3 2. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E4 /ip address add address=10.2.1 /ip route add distance=1 dst-address=10.1.2.1.1/30 comment=E4-E2 interface=ether3 /ip address add address=10.3.3. 16.1 .1 realiza un ping a la dirección 192. 2. Cuál es el gateway que seguirá el paquete cuando la estación 172.168.161. Como llego desde la Red A hasta la Red C Academy Xperts 12 .2. Adicionalmente hacer que entre las PC’s se puedan realizar ping entre ellas.1.168. RouterOS v6. Cuál es el gateway que seguirá el paquete cuando la estación 172.254 .1.01 – Laboratorios Capítulo 2 Paso Final 1.1 realiza un ping a la dirección 192. Enrutamiento estático .1. Probar conectividad entre todos.39. 255. Configuración SLAVE (Switch) Parte 1. Asignar una dirección IP que esté dentro del mismo rango en nuestra PC y verificar que tenemos salida a Internet • Crear un bridge. Cada alumno debe configurar la interface ethe2 como esclavo de la interface ether1.0 Puerta de enlace predeterminada : 192. Configurar puerto ether3 1.1 por .71.71. Probar conectividad en el Computador Configuración BRIDGE 1.255.100 Mascara de subred : 255.01 – Laboratorios Capítulo 3 Capítulo 3 Laboratorio 3. RouterOS v6. Poner un direccionamiento diferente en la interface bridge. Agregar las interfaces ether3 y ether4 en este bridge. Para ello la interface ether2 debe declara a la interface ether1 como master-port /interface ethernet set ether2 master-port=ether1 2.71.168.254 3. Cada alumno debe crear un bridge al cual le pondrá por nombre LAN2 /interface bridge add name=LAN2 Academy Xperts 13 .1 .254 Servidor DNS Preferido : 192.2.168. Luego debe cambiar el último octeto en la dirección IP que tiene en su laptop. por la siguiente dirección IP: Dirección IP : 192.Bridge y Slave Objetivos: • Poner en práctica los conceptos vistos en este capítulo sobre Bridge. Puerto Master y Slave Escenario: • Configurar la interface ether2 como esclavo (slave) de la interface principal (ether1). Cada alumno debe cambiar su cable de red hacia la interface ether2 en su respectivo router.168.39. y por último poner una IP que esté dentro del mismo rango que el bridge en nuestra PC y verificar conectividad. 1 Mascara de subred : 255. Cada alumno debe configurar una dirección IP en su laptop que pertenezca al mismo rango del direccionamiento que se acaba de definir en el bridge. Realizar pruebas de navegación en el computador Academy Xperts 14 .255.168.39.111.01 – Laboratorios Capítulo 3 2.168.0 Puerta de enlace predeterminada : 192.111.111.255. Debe agregarse las interfaces ether3 y ether4 al bridge llamado LAN2 /interface bridge port add interface=ether3 bridge=LAN2 /interface bridge port add interface=ether4 bridge=LAN2 3.254 Servidor DNS Preferido : 192.168. Se asigna una dirección IP a la interface bridge (LAN2) /ip address add address=192.254 5.111.254/24 interface=LAN2 4. Por ejemplo: Dirección IP : 192.2.168. RouterOS v6. 1. Crear Ruta por defecto 0. Scan.0/0 Gateway 172.01 – Laboratorios Capítulo 4 Capítulo 4 Wireless Objetivos: • Poner en práctica los conceptos básicos de wireless • Aprender a configurar un enlace wireless entre (AP – CPE) • Para el CPE practicar: Las tres formas de conectarse a un AP (connect-list. Configuración Estudiante 1 Parte 1.0. Time) Escenario: 1.16. El E2 va ser CPE el cual debe conectarse al AP usando los métodos de conexión al AP descritos en los objetivos.16.2/30 interface=ether4 2.1.0.39.16.1/30 interface=ether4 Configuración Estudiante 2 (Resetear el Router antes de iniciar) 1.1.2.16. y SSID) • Para el AP practicara: Accelist-list (Password.1. Verificar que el Router del estudiante 1 tenga salida a internet Parte 2. RouterOS v6. Pondremos la dirección IP en el ether4 para la conexión con el Router del estudiante 1 /ip address add address=172.1 /ip route add gateway=172.1 Academy Xperts 15 . Configurar dirección IP para la conexión con el Router del Estudiante 2 /ip address add address=172. Formar grupos de dos personas el E1 va ser AP y debe tener salida a internet por medio del nuevo direccionamiento que se crea en el RP y el cual es enviado atreves del Switch 2. 8.39. Configurar DNS /ip dns set servers=172.1.01 – Laboratorios Capítulo 4 3. /interface wireless security-profiles add name=Clave mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm \ wpa2-pre-shared-key=laboratorio4 7.8 allow-remote-requests=yes 4.16.2.8.8.8. RouterOS v6. Crear Security-Profiles y Configurar tarjeta wireless en modo ap-bridge para que el Router del estudiante 3 se pueda conectar. Configurar NAT /ip firewall nat add chain=srcnat out-interface=ether4 action=masquerade 5.1. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no /interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=Grupo1 radio-name=NombreAlumno security-profile=Clave Academy Xperts 16 .8 y ping google. Verificar conectividad a internet (ping 8.com) 6.8. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no Academy Xperts 17 .1/30 interface=wlan1 Configuración Estudiante 3 (Resetear el Router antes de iniciar) 9. /ip address add address=10.39.2. Configurar la tarjeta Wireless del Estudiante /interface wireless security-profiles add name=ClaveCPE mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm \ wpa2-pre-shared-key=laboratorio4 /interface wireless set wlan1 mode=station-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=Grupo1 radio-name=NombreAlumno security-profile=ClaveCPE 10.01 – Laboratorios Capítulo 4 8.1. Configurar dirección IP en la interfaz wlan1 del Router del alumno dos para la conexión con el Router del alumno 3.2. RouterOS v6. Para esto deberá especificar la IP del Gateway.0.01 – Laboratorios Capítulo 4 11. a la IP 8. 14. El estudiante debe configurar la ruta por default (0.8 allow-remote-requests=yes Academy Xperts 18 .2. Es importante también configurar el router para que actúe como caché DNS (allow-remote-requests).1. RouterOS v6.0. por ejemplo.39.2.2.1. Para esto deberá especificar la IP de los servidores DNS1 y DNS2. Para esto deberá hacer ping a la IP de la subred /30 correspondiente.8.2/30 interface=wlan1 13.0/0) para poder salir a Internet.2. Configurar la ruta por default.0.8. 16.8. El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres de dominio. /ip dns set servers=10.8.0. Configurar el DNS. Verificar por medio de ping que puede llegar al AP (interface wlan) del Estudiante 2.1.8.1. Verificar que los equipos se hayan conectado entre si /interface wireless registration-table print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME 0 wlan1 NombreAlumno E4:8D:8C:88:9A:B1 yes -47dBm@1Mbps 11Mbps 6m59s 12. Verificar por medio de ping que puede llegar a una dirección IP pública. Configurar dirección IP en el interfaz wlan1 /ip address add address=10. /ip route add dst-address=0.8.1 15.0/0 gateway=10. Verificar por medio de ping que puede llegar desde la laptop a la dirección IP 8.39. El estudiante debe configurar la regla de src-nat para poder permitir que su laptop salga a internet.168.8. RouterOS v6.com 18. por ejemplo google.01 – Laboratorios Capítulo 4 17. Configurar interface Ether4 del router e Interface Ethernet de Laptop Estudiante /ip address add address=192. Academy Xperts 19 .2.71. Verificar por medio de ping que puede resolver un nombre de dominio. Verificar que tenga Navegación. /ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade 20.8 22. El estudiante debe configurar los parámetros de la tarjeta de red Ethernet de su laptop 21.254/24 interface=ether4 19.8. Verificamos que tengamos comunicación con el Router AP una vez mas 7. Verificar que no tenga navegación 3. Configuramos los parámetros necesarios para usar la opción de scanner. RouterOS v6. Resetear tarjeta Wireless /interface wireless reset-configuration wlan1 Academy Xperts 20 .01 – Laboratorios Capítulo 4 Configuración Estudiante 3 (Scanner) 1. 6. Guardar los cambios y salir 5. Poner en modo station-bridge b. Una vez que encontramos el SSID al que nos vamos a conectar lo seleccionamos y presionamos el botón Connect. Daremos clic en el botón Scanner ubicado en la parte superior de la ventana Wireless Tables y buscaremos el SSID que tiene configurado el estudiante 2 en su equipo presionando el botón Start. Verificar que tengamos navegación normal Configuración Estudiante 3 (Connect List) 1. Resetear tarjeta Wireless /interface wireless reset-configuration wlan1 2. Activamos la tarjeta wireless /interface wireless set wlan1 disabled=no 4. Seleccionar el security-profiles c.39. los cuales son: a.2. Verificar que tengamos navegación normal Configuración Estudiante 2 (Access List) 1. caso contrario revisar los pasos anteriores.39. SSID: Sin SSID c. 3. Academy Xperts 21 . a. Configuramos los datos necesarios en la tarjeta wireless para poder usar la opción de Connect List. Verificamos que tengamos comunicación con el Router AP una vez mas 6. Verificar que se tiene navegación en el computador. Seleccionar el Security profiles d. Modo: Station bridge b. Guardar cambios y salir. Luego ya con la MAC que vemos lo trabajaremos con una regla de Access-List y le cambiaremos la clave y luego verificaremos si E2 tiene navegación /interface wireless access-list add mac-address=E4:8D:8C:87:C5:14 interface=wlan1 \ private-pre-shared-key=mikrotik123 3.01 – Laboratorios Capítulo 4 2. RouterOS v6. Para esto necesitamos que el estudiante 2 identifique cual es la Dirección MAC de su interfaz Wlan1 y dársela al estudiante 3 para que la pueda poner en el campo MAC Address en las configuraciones en la ventana de Connect List 5. Activar tarjeta Wireless 4.2. Iremos a la pestaña de Connect List. Verificamos que tengamos a E2 (CPE) registrado en nuestra tabla de registros /interface wireless registration-table print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME wlan1 R2 E4:8D:8C:87:C5:14 no -42dBm@1Mbps 1Mbps 1m15s 2. 1.2.1. poner puertos 4y5 en el bridge y crearle un nuevo direccionamiento y darle por medio de DHCP-Server IP al computador. RouterOS v6.1 Select pool of ip addresses given out by DHCP server addresses to give out: 172. Configurar dirección IP en el ether4 /ip address add address=172. 4.16. E1 debe darle un nuevo direccionamiento a E2 por medio de un DHCP Server y a su vez E2 debe configurar un DHCP Client para poder recibir ese direccionamiento.16.2-172.16. E1 se va conectar con RP vía wireless.01 – Laboratorios Capítulo 5 Capítulo 5 Administración de Red Objetivos: • Poner en práctica los conceptos vistos en este capitulo • Comprender las bases y configuraciones de un DHCP • Poder fusionar un bridge + un DHCP Server • Y comprender las funciones de DHCP Client Escenario: 1.1/24 1. Verificar que el Router del estudiante 1 tenga salida a internet Parte 2.16.1 Select lease time lease time: 10m Academy Xperts 22 .1/24 interface=ether4 2. Configurar el DHCP-Server en la interfaz ether4 con siguiente dirección IP 172.0/24 Select gateway for given network gateway for dhcp network: 172. Por último E2 debe crear un Bridge.1. pero con un nuevo SSID y un nuevo direccionamiento 3.1.16.16.1.39. Configurar el DHCP-Server /ip dhcp-server setup Select interface to run DHCP server on dhcp server interface: ether4 Select network for DHCP addresses dhcp address space: 172. Formar Grupo de dos personas E1 y E2 2.1.254 Select DNS servers dns servers: 172.1. Configuración Estudiante 1 Parte 1.16. Agregar los puertos al bridge /interface bridge port add interface=ether2 bridge=DHCP-Server /interface bridge port add interface=ether3 bridge=DHCP-Server 3.168.71.39. RouterOS v6. Verificar que se entregó la dirección IP a la interfaz ether4 Parte 3. Configurar la interfaz ether4 como DHCP-Client /ip dhcp-client add interface=ether4 disabled=no Parte 2. Crear un bridge y asignarle una DHCP-Server 1. Crear Bridge /interface bridge add name=DHCP-Server 2.2.1/24 interface=DHCP-Server Academy Xperts 23 . Activar Allow remote requests en la ventana de DNS /ip dns set allow-remote-requests=yes Parte 4.01 – Laboratorios Capítulo 5 Configuración Estudiante 2 (Resetear el Router antes de iniciar) Parte 1. Asignar dirección IP al bridge /ip address add address=192. 254 Select DNS servers dns servers: 192.1 Select pool of ip addresses given out by DHCP server addresses to give out: 192. Crear DHCP-Server para la interfaz bridge “DHCP-Server” /ip dhcp-server setup Select interface to run DHCP server on dhcp server interface: DHCP-Server Select network for DHCP addresses dhcp address space: 192.01 – Laboratorios Capítulo 5 4. RouterOS v6. 7.71.39.2.71.168.71.2-192.168.168.168.1 Select lease time lease time: 10m 5. Configurar NAT /ip firewall nat add chain=srcnat out-interface=ether4 action=masquerade 6.71. Verificar que pueda navegar Academy Xperts 24 .0/24 Select gateway for given network gateway for dhcp network: 192.71.168. Verificar que la laptop haya recibido la dirección IP automáticamente. y la red WAN Wireless /ip firewall address-list add address=192.related add action=drop chain=input comment="IN . RouterOS v6.IPs permitidas Administrar este router" src-address-list=\ "IPs permitidas Administrar Router" add action=drop chain=input comment="IN .168.39.1.2. Crear las 4 reglas básicas en INPUT /ip firewall filter add chain=input comment="IN .1. En el caso de este ejercicio las direcciones serán: la IP de su laptop (la IP del comando a continuación es solo un ejemplo). 2. . Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas que administren su router.254 list="IPs permitidas Administrar Router" add address=10. . Configurar reglas NAT para ciertos tipos de redireccionamientos en una RED .Permitir conexiones establecidas y relacionadas" connection-state=\ established. Poner en práctica las términos address-list y Layer7 protocol Escenario: 1.Rechazar conexiones invalidas" connection-state=invalid add chain=input comment="IN . Todas las reglas afectaran solo a sus propias LAN Reglas de Firewall input Tarea 1: Reglas Básicas de Filter Input 1. Poner en práctica los conceptos vistos en este capítulo. Deben tener la red activa.100. se recomienda restaurar la configuración Principal y trabajarla hay.1.1.63 list="IPs permitidas Administrar Router" 2.1-10.Descartar todo lo demas" Academy Xperts 25 . Proteger a un equipo MIKROTIK con las reglas principales para protección.01 – Laboratorios Capítulo 6 Capítulo 6 Firewall Objetivos: . Abrir un Winbox y verificar si puede visualizar la MAC de la interface del rute a la cual está conectado 3. El estudiante debe cambiar la dirección IP de su laptop y probar el acceso a su propio router.2 no se puede ingresar. Caso contrario debe revisar su address-list Reglas de NAT Parte1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas navegar a Internet. Crear las 4 reglas básicas en FORWARD /ip firewall filter add chain=forward comment="IN . Cada estudiante debe poder navegar a Internet.39. Puesto que en la Tarea 2. Caso contrario el vecino debe validar su address-list 2.100.Descartar todo lo demas" Tarea 2: Pruebas de validación de reglas 1. el estudiante debe tratar de ingresar por Capa 2 2.168. La regla más usada por los administradores de Redes con equipos MIKROTIK /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 Academy Xperts 26 . Escribir la MAC-address de la interface del router e intentar ingrese Reglas de Firewall Forward Tarea 1: Reglas Básicas de Filter Forward 1.related add action=drop chain=forward comment="IN . RouterOS v6. Puesto que la nueva IP no está definida en el address-list no debe poder ingresar Tarea 3: Acceso vía por Capa 2 1.IPs permitidas navegar internet" src-address-list=\ "IPs permitidas navegar internet" add action=drop chain=forward comment="IN .Permitir conexiones establecidas y relacionadas" connection-state=\ established.2.01 – Laboratorios Capítulo 6 Tarea 2: Pruebas de validación de reglas 1.Rechazar conexiones invalidas" connection-state=invalid add chain=forward comment="IN .0/24 list="IPs permitidas navegar internet" 2. Regla de NAT & (action: masquerade) 1. En el caso de este ejercicio las direcciones serán el segmento de la red LAN (local) /ip firewall address-list add address=192. Cada estudiante debe poder ingresar vía Winbox al router de su vecino. com). Para ello tenemos la IP publica 201.academyxperts.0.230.10. Por ejemplo tenemos el ambiente de una red ISP la cual tiene un servidor cache y quiere que sus clientes sean redireccionados al servidor cache.3 to-ports=6457 Parte 2.+(facebook|youtube|twitter|instagram).com \ src-address=200.2.102. Segundo configuraremos el web proxy para redireccionar una página (www.01 – Laboratorios Capítulo 6 Parte2.hi5. Regla para redireccionar un tráfico en específico a otro Servidor externo.230. Y por último crear la regla de Filter para bloquear y poner en marcha la regla. /ip proxy access add action=deny dst-host=*hi5* redirect-to=www. Redireccionar: Que todo el tráfico DNS (53) de nuestra LAN sea redireccionados a los DNS del mismo Router RP.168.0/24 list=LAN Academy Xperts 27 . Action: redirect + web proxy 1. /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53 /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53 Parte 4. Bloquearemos un conjunto de redes sociales con la opción de Layer7. Luego de a ver creado la regla de web-proxy lo que haremos ahora será redireccionarlo por medio del chain: dstnat y la acción: redirect /ip firewall nat add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8081 Parte 3.39.+\$" /ip firewall address-list add address=192.com) al otra página (www.168. Address-List + Layer7 + Firewall Filter (Redes sociales) 1.academyxperts.4 \ dst-port=80 protocol=tcp to-addresses=192. Primero activaremos el web-proxy y definimos el puerto que vamos a usar. RouterOS v6.168.200.3 (action: dst-nat) /ip firewall nat add action=dst-nat chain=dstnat comment=DSTNAT dst-address=201.0. Action: redirect + DNS 1. /ip firewall layer7-protocol add name="redes sociales" regexp="^.200. luego con la opción address-List agregaremos a quien bloquearle ese contenido de Layer7. esto será aplicado a nuestra LAN.102.0/24 3. Escenario: cuando se cambian los DNS en nuestros clientes (Para este caso simular cambiando los DNS de nuestra PC por cualquier DNS) 2.4 y la ip de nuestro servidor de cache 192. por defecto viene el 8080 /ip proxy set enabled=yes port=8081 2. Regla de NAT & (action: dstnat) 2. La regla tiene que ser aplicada tanto como TCP como UDP de DNS. 01 – Laboratorios Capítulo 6 /ip firewall filter add action=drop chain=forward layer7-protocol="redes sociales" src-address-list=LAN Academy Xperts 28 . RouterOS v6.2.39. 443 new-connection-mark=conn_HTTP/S protocol=tcp /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_HTTP/S \ new-packet-mark=conn_HTTP/S. /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_HTTP/S \ dst-port=80. Comprender el uso de las reglas de Mangle Escenario: Mangle Parte 1.PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_Resto \ new-connection-mark=conn_Resto /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_Resto \ new-packet-mark=conn_Resto.pkt passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_Email \ dst-port=25. RouterOS v6. Otros. En este caso analizaremos los tráfico que son sensibles en la Red tales como: HTTP.994 new-connection-mark=conn_Email protocol=tcp /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_Email \ new-packet-mark=conn_Email.39. Crearemos las reglas de Mangle para poder marcar las conexiones a la cuales les vamos a asignar la calidad de servicio. VOZ.2.PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_P2P \ new-connection-mark=conn_P2P p2p=all-p2p /ip firewall mangle > add action=mark-packet chain=prerouting connection-mark=conn_P2P \ new-packet-mark=conn_P2P.01 – Laboratorios Capítulo 6 Capítulo 7 QoS Objetivo: .PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_VOZ \ dst-port=10000-20000 new-connection-mark=conn_VOZ protocol=udp /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_VOZ \ new-packet-mark=conn_VOZ. EMAIL.587. Poner crear una buena calidad de servicio para una LAN . 1. Poner en práctica los conocimientos adquiridos en este capitulo . Para ello necesitamos los puertos que manejen cada uno de ellos.pkt passthrough=no Academy Xperts 29 . P2P.110. 168. RouterOS v6.pkt \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.254/32 /queue simple add limit-at=256k/256k max-limit=2M/2M name=EMAIL packet-marks=conn_Email.100.254/32 /queue simple add limit-at=768k/768k max-limit=2M/2M name=HTTP/S packet-marks=conn_HTTP/S.39.168. Configurar la calidad de servicio para las siguientes conexiones que acabamos de marcar anteriormente por medio de las reglas de Mangle.pkt \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.254/32 Academy Xperts 30 .100.PKT \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.254/32 /queue simple add limit-at=64k/64k max-limit=2M/2M name=RESTO packet-marks=conn_Resto.2.168.254/32 /queue simple add limit-at=256k/256k max-limit=2M/2M name=P2P packet-marks=conn_P2P.254/32 /queue simple add limit-at=512k/512k max-limit=2M/2M name=VOZ packet-marks=conn_VOZ.100.100.PKT \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.01 – Laboratorios Capítulo 6 Parte 2.100.PKT \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.100. /queue simple add max-limit=2M/2M name=INTERNET target=192.168.168. 0. Por esta razón.16.16.0.2. Si se desea tener comunicación entre las redes A y B (Figura 8. PPTP.1. Esto significa que los routers públicos en Internet no pueden usar las IPs privadas como una red de destino (a menos que sea para uso exclusivo & privado de cada ISP). RouterOS v6.1.168.0 /16 Existen diferentes tipos de túneles que se usan para diferentes aplicaciones.0 /8 • 172.168. dependiendo de la naturaleza de la misma. • En este ejercicio se realizará un túnel IP-IP que es uno de lo túneles más básicos.0 /12 • 192. Una vez creada esta interface.0.0/24 y 192.0/24 no son direcciones IP públicamente ruteables.39.1) que están separadas por la nube de Internet. L2TP. la opción de ruteo no es viable ya que las IPs privadas 172. RouterOS de MikroTik permite trabajar con túneles • IPIP • EoiP • GRE • PPP (PPP.1. se debe crear una VPN • VPN = Virtual Private Network • En Español = Red Privada Virtual • También se la conoce como = Túnel Esto se realiza creando una Interface Virtual en cada router remoto. EoIP. si se desea que las redes A y B se comuniquen.0. Bases Conceptuales: Es importante entender por qué realizamos un túnel y los elementos que formarán parte de esta importante herramienta que permitirá interconectar a dos redes remotas separadas por la nube de Internet. se podrán establecer conexiones en Capa 2 (L2) o en Capa 3 (L3). Recuerde que las siguientes redes son Redes Privadas y NO son Públicamente Ruteables • 10. OVPN SSTP) • IPsec Academy Xperts 31 .01 – Laboratorios Capítulo 8 Capítulo 8 Objetivos y Conceptos previos a túneles IPIP Objetivos: • Entender cuál es el obejtivo de los túneles y cómo configurarlos. 1.39.0/24) y las IP externas (10.3) En este escenario cada estudiante trabajará con las IPs privadas (192.168.1. Los ejercicios que desarrollaremos serán una simulación del escenario en la red pública para lo cual trabajaremos con el router del Trainer como medio de acceso a la nube (Figura 8.1.m/30) asignadas al inicio del curso. Academy Xperts 32 .2.1.2). RouterOS v6.01 – Laboratorios Capítulo 8 Para efectos de nuestros laboratorios debe quedar muy claro que cuando levantamos un tunel a través de Internet nos encontramos ante una nube de la cual prácticamente desconocemos todo lo que ocurre dentro (Figura 8.n. 2. RouterOS v6.1.IP de interface WAN en R-trainer (wlan1 en este LAB) Nota Importante: Para las configuraciones en éste laboratorio asumiremos los siguientes valores para a.a.IP de interface LAN en R2 (ether2 en este LAB) 10.ID de red de LAN en Red B 192.IP de interface LAN en R1 (ether2 en este LAB) 10.IP de la Laptop en Red B 192.168.IP de la Laptop en Red A 192.z/30 .1 .39.b.IP de interface WAN en R-trainer (wlan1 en este LAB) R2 (Router 2) 192.5) R1 (Router 1) 192.ID de red de LAN en Red A 192.IP de interface WAN en R1 (wlan1 en este LAB) 10.1 .x/30 .1.1.w/30 . y & z.b.1. Estos valores fueron asignados previamente por el instructor al inicio del curso.4) Proceso Túnel IPIP Como denota el nombre de este túnel (IPIP).a.b.01 – Laboratorios Capítulo 8 Nota Importante: Recordar que cuando se va a crear un túnel. Este tipo de túnel es muy básico y no posee autenticación ni encriptación. Para el ejemplo en este texto usaremos las siguientes interfaces y direcciones IP (Figura 8. b.254 .0/24 .168.168. se creará un túnel Capa 3 (IP) sobre una conexión Capa 3 (IP). w. Academy Xperts 33 .168.IP de interface WAN en R2 (wlan1 en este LAB) 10.a. x.0/24 .168.1.168.1.1.1.1. Si tiene dudas por favor consulte su entrenador.1.254 .y/30 . la única información que posee cada localidad es la IP externa de los routers de borde de cada destino remoto (Figura 8. 2 56 64 3ms 1 10.30.2/30 interface=ipip-tunnel1 Paso 3 R1 (Router 1) debe verificar que llega a la IP del tunel remoto ejecutando un ping /ping 10.1.30.1.1.20.2 56 64 0ms 3 10.6 R2 (Router 2) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel.6/30) Laboratorio 8.1.1 Academy Xperts 34 .1.30.1.2 remote-address=10.1. Recuerde que: • local-address se refiere la IP externa local (R2) • remote-address se refiere a la IP externa remota (R1) /interface ipip add name=ipip-tunnel1 local-address=10.1.2 56 64 14ms R2 (Router 2) debe verificar que llega a la IP del tunel remoto ejecutando un ping / ping 10.20.2 56 64 3ms 2 10.1.1.2.1/30 interface=ipip-tunnel1 R2 (Router 2) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada /ip address add address=10. RouterOS v6.1. Recuerde que: • local-address se refiere la IP externa local (R1) • remote-address se refiere a la IP externa remota (R2) /interface ipip add name=ipip-tunnel1 local-address=10.2.30.01 – Laboratorios Capítulo 8 • a=1 (192.168.20.1 – Túnel IP-IP Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel.1.1.2 Paso 2 R1 (Router 1) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada /ip address add address=10.1.2 SEQ HOST SIZE TTL TIME STATUS 0 10.30.1.39.20.20.1.5/30) • z=6 (10.20.6 remote-address=10.30.0/24) • b=2 (192.168.20.1.2/30) • x=1 (10.0/24) • w=2 (10.30.30.20.1/30) • y=5 (10. 168.1 Paso 5 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.30.1 56 64 3ms 1 10.6 Academy Xperts 35 .2.1.168.254 R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.254 Finalmente la interconexión entre las Redes remotas A & B queda según la Figura 8.2.39.20.30.0/24) especificando como Gateway la dirección IP de la inteface del túnel IPIP remota /ip route add dst-address=192.30.168.20.2.0/24) especificando como Gateway la dirección IP de la inteface del túnel IPIP remota /ip route add dst-address=192.1 56 64 1ms 3 10.168.168.2 R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.20.2.1 56 64 1ms Paso 4 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.20.1.30. RouterOS v6.1.30.1 56 64 1ms 2 10.20.168.30.0/24 gateway=10.1.20.01 – Laboratorios Capítulo 8 SEQ HOST SIZE TTL TIME STATUS 0 10.0/24 gateway=10. Esto no podría ser posible si es que ambas redes no compartieran el mismo dominio de Broadcast.168.2 tunnel-id=10 Academy Xperts 36 .168.1.0/24 gateway=10. El diagrama inicial de configuración es el que se presenta en la Figura 8.0/24 gateway=10. al ejecutar el Winbox podrán ver las direcciones MAC de los routers remotos.20. Esta última característica (formar parte del mismo dominio de Colisión) es la razón por la cual los Bridges o las redes Bridge deben ser evitadas al máximo. Una de las formas de constatar que ambas redes están trabajando en el mismo dominio de Broadcast es que las direcciones IP de las laptops estén en la misma subred.2 – Túnel EoIP Objetivos: • Crear un túnel EoIP y verificar que las redes remotas se encuentran en el mismo dominio de broadcast Bases Conceptuales: El túnel Ethernet Sobre IP (Ether Over IP) es un túnel de Capa 2 (Ethernet) sobre una conexión en Capa 3 (IP).1) • Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes • No es necesario que los Routers desactiven/eliminen los túneles IPIP Paso 2 R1 (Router 1) debe configurar la dirección IP remota (externa) para armar el túnel.1 (dst-address=192.2) R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.1. Al final de este laboratorio se comprobará que efectivamente se genera un túnel de Capa 2 (Ethernet) porque se podrá agregar la interface EoIP en un Bridge.2. De esta manera las redes remostas A y B estarán en el mismo dominio de broadcast.2. Sin embargo se debe configurar el tunnel-id que debe ser el mismo en los routers que arman el túnel. Recuerde que: • local-address se refiere la IP externa local (R1) • remote-address se refiere a la IP externa remota (R2) /interface eoip add name=eoip-tunnel1 remote-address=10.39. RouterOS v6. Esto significa que genera una dirección MAC en la interface del túnel.20.01 – Laboratorios Capítulo 8 Laboratorio 8.30.1 Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.1. Otra forma de verificar es que a pesar de que ambas laptops tengan direcciones IP de distintas subredes. Para este tipo de túnel (EoIP) no es obligatorio configurar la dirección IP local (externa).30.2.1 (dst-address=192. y puesto que formarán parte del mismo Bridge también estarán dentro del mismo dominio de Colisión. Recuerde que: • local-address se refiere la IP externa local (R2) • remote-address se refiere a la IP externa remota (R1) /interface eoip add name=eoip-tunnel1 remote-address=10.1/24 Laptop Red B: 192.2) no podrá hacer PING a R2 (Router 2) ya que están en una subred diferente.1.168.01 – Laboratorios Capítulo 8 R2 (Router 2) debe configurar la dirección IP remota (externa) para armar el túnel.2/24 Con esta configuración ambas laptops debe poder hacer PING entre ellos.168.1.2.168.2 Note que la Laptop de la Red B (192.2.1.1.39. Figura 8. y en este bridge agregar las interfaces ether2 y eoip-tunnel1 /interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 /interface bridge port add bridge=bridge1 interface=eoip-tunnel1 R2 (Router 2) debe crear un Bridge.1.1 tunnel-id=10 Paso 3 R1 (Router 1) debe crear un Bridge. y en este bridge agregar las interfaces ether2 y eoip-tunnel1 /interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 /interface bridge port add bridge=bridge1 interface=eoip-tunnel1 Paso 4 Las laptops de las Redes A y B deben configurar una IP de la misma subred. RouterOS v6. Academy Xperts 37 . Por ejemplo: Laptop Red A: 192. En una simple línea PPP los frames no pueden arrivar fuera de orden. pero se puede configurar un diferente de MRRU si el equipo con el que va a conversar permite/acepta ese nuevo valor. MLPPP. De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. MPPP. Para esto se necesita que el Bridge tenga una dirección MAC o una interface tipo Ethernet. o Por default el MRRU es 1500 bytes. Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura através de una conexión enmascarada (NATeada). RouterOS soporta Multilink PPP (también conocido como MP.39. para lo cual se requerirá que R1 actúe como PPTP-Server y R2 actúe como PPTP-Client Bases Conceptuales: • PPTP es un túnel seguro para transportar tráfico IP usando PPP. incluso en Windows. MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP. o MRRU = Maximum Received Reconstructed Unit o El MRRU es similar al MTU (Maximum Transmission Unit). Academy Xperts 38 . Por este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. MLP. ya que los enlaces PPP no tienen direcciones MAC. De esta manera el tráfico puede ser ruteado a través del firewall o router. Los clientes PPTP están disponibles en casi todos los sistemas operativos. o El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar. El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP.01 – Laboratorios Capítulo 8 Objetivos y Conceptos previos a túneles PPTP Objetivos: • Crear un túnel PPTP. • PPTP encapsula el PPP en líneas virtuales que corren sobre IP. • MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño. o Multilink) con lo cual se provee un método para esparcir el tráfico a través de múltiples conexiones PPP distintas.2. MP es un ejemplo de tecnología de agregación de enlace. • La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar frames Ethernet a través de enlaces PPP. • PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. PPTP incluye contabilización y autenticación PPP para cada conexión PPTP. La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local RouterOS soporta los tipos de encriptación • MPPE 40bit RC4 • MPPE 128bit RC4 El tráfico PPTP utiliza • TCP puerto 1723 • IP protocol GRE o GRE = Generic Routing Encapsulation o GRE = IP protocol ID 47 PPTP puede ser usado con la mayoría de firewalls y routers habiitando TCP 1723 y GRE (protocolo 47). RouterOS v6. pero solo se aplica a los paquetes Multilink. pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP. 3.3.3.01 – Laboratorios Capítulo 8 Laboratorio 8. y también debe eliminar el Bridge1 creados en el Laboratorio 8. Habilitar el servicio PPTP SERVER /interface pptp-server server set enabled=yes default-profile=default Paso 3 R2 (Router 2) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración: Academy Xperts 39 .2 R2 (Router 2) debe remover los puertos (ether2 y eoip-tunnel1) agregados a Bridge1. RouterOS v6.39.2. El perfil/profile que se utilizará es DEFAULT (sin encriptación) /ppp secret add name=prueba password=prueba service=pptp local-address=10.3 2. y también debe eliminar el Bridge1 creados en el Laboratorio 8. Crear el PPP SECRET.2.2.2 • Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes • No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP Paso 2 R1 (Router 1) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración: 1.1 Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe remover los puertos (ether2 y eoip-tunnel1) agregados a Bridge1.2 \ remote-address=10.3 – Túnel PPTP (R1 Server – R2 Client) El diagrama inicial de configuración es el que se presenta en la Figura 8. 1. R2 (Router 2) debe verificar que la interface pptp-client se encuentra corriendo (R).[Q quit|D dump|C-z pause] Paso 6 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.3. R .[Q quit|D dump|C-z pause] Nota: El pptp-server asignó las direcciones local (local-addres) y remota (remote-address) a ambas interfaces del túnel Paso 5 1. D .3.6 2m31s 2.168. /interface pptp-client print Flags: X .1.39.0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.running 0 R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.2 user="prueba" password="prueba" profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no allow=pap.2.3 remote-address: 10.2.2.1.2.2 -. RouterOS v6.1.168.3 R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.running # NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING 0 DR <pptp-prueba> prueba 1450 10.168. R .1.01 – Laboratorios Capítulo 8 /interface pptp-client add name=pptp-out1 connect-to=10.1. Esta interface se ha generado dinámicamente (D) /interface pptp-server print Flags: X . R2 debe verificar el estatus de la conexión (connected) /interface pptp-client monitor pptp-out1 do file interval numbers [admin@R2] > interface pptp-client monitor pptp-out1 status: connected uptime: 12m22s encoding: mtu: 1450 mru: 1450 local-address: 10.3.1.chap. R1 debe verificar el estatus de la conexión (connected) /interface pptp-server monitor <pptp-prueba> status: connected uptime: 7m1s user: prueba caller-id: 10.3 -.2 remote-address: 10.3.3.disabled.3.6 encoding: mtu: 1450 mru: 1450 local-address: 10.168.0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.1.mschap2 2.2 Academy Xperts 40 .disabled.2.dynamic.0/24 gateway=10.1. R1 (Router 1) debe verificar que se ha generado una interface pptp y que se encuentra corriendo (R).0/24 gateway=10.1.2.2.2.2 \ user=prueba password=prueba profile=default disabled=no Paso 4 1.2.mschap1. 254 Academy Xperts 41 .2.39. RouterOS v6.168.254 R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.1.01 – Laboratorios Capítulo 8 Paso 7 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.2. R . Crear el PPP SECRET.1.2 1m16s R2 debe verificar el estatus de la conexión (connected) interface pptp-server monitor <pptp-prueba> status: connected uptime: 4m23s user: prueba caller-id: 10.168.2.39.01 – Laboratorios Capítulo 8 Laboratorio 8. El perfil/profile que se utilizará es DEFAULT (sin encriptación) /ppp secret add name=prueba password=prueba service=pptp local-address=10.4 \ remote-address=10.0/24 gateway=10.3 (dst-address=192.2 encoding: mtu: 1450 mru: 1450 local-address: 10.4. Paso 2 R2 (Router 2) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración: 1.running # NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING 0 DR <pptp-prueba> prueba 1450 10.5 -.5. R . Esta interface se ha generado dinámicamente (D) /interface pptp-server print Flags: X .1. Habilitar el servicio PPTP SERVER /interface pptp-server server set enabled=yes default-profile=default Paso 3 R1 (Router 1) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración: /interface pptp-client add name=pptp-out1 connect-to=10.4.5.2.disabled. R1 (Router 1) debe verificar que la interface pptp-client se encuentra corriendo (R). R2 (Router 2) debe verificar que se ha generado una interface pptp y que se encuentra corriendo (R).4 – Túnel PPTP (R1 Client – R2 Server) El diagrama inicial de configuración es el que se presenta en la Figura 8. RouterOS v6.6 \ user=prueba password=prueba profile=default disabled=no Paso 4 1.3 (dst-address=192.1.4.1. D .disabled.dynamic.2) • Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes • No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP • Es IMPORTANTE que se mantenga el túnel PPTP creado en el Laboratorio 8.3) R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.5 2.1 Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.5.[Q quit|D dump|C-z pause] Nota: El pptp-server asignó las direcciones local (local-addres) y remota (remote-address) a ambas interfaces del túnel Paso 5 1.4.1.168.5. /interface pptp-client print Flags: X .4.2.1.0/24 gateway=10.3 para demostrar que un mismo router puede actuar como Cliente y Server a la vez.4 remote-address: 10.3.1.3.running Academy Xperts 42 .2. R1 debe verificar el estatus de la conexión (connected) /interface pptp-client monitor pptp-out1 do file interval numbers [admin@R2] > interface pptp-client monitor pptp-out1 status: connected uptime: 12m22s encoding: mtu: 1450 mru: 1450 local-address: 10.1.1.168.5.5 remote-address: 10.4. Academy Xperts 43 .1. RouterOS v6.0/24 gateway=10.mschap1.254 Nota: Al final de este ejercicio puede constatar que un mismo router puede actuar como Cliente y como Server al mismo tiempo cuando se configuran túneles.4 -.4.168.5.2.2.0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.168.chap.5.5 Paso 7 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.0/24 gateway=10.4.1.4 R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.4.2.168.168.39.[Q quit|D dump|C-z pause] Paso 6 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.5.2.2 user="prueba" password="prueba" profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no allow=pap.0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.mschap2 2.168.01 – Laboratorios Capítulo 8 0 R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.1.254 R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192. El motivo es porque los puertos PPP no tienen dirección MAC.168. • Esta actividad se realizará con túnel PPTP y protocolo BCP Bases Conceptuales: • RouterOS soporta BCP (Bridge Control Protocol) para las interfaces PPP. /interface bridge add name=bridge_local protocol-mode=rstp /interface bridge port add bridge=bridge_local interface=ether2 Academy Xperts 44 .168. éste constituye una parte independiente del túnel PPP.0/24 gateway=10. Requerimientos: • BCP debe ser habilitado en ambos lados (PPP server y PPP cliente) para poder funcionar. RouterOS v6.39. BCP puede utilizarse en lugar de EoIP + Túnel VPN • Para hacer Bridging.1. R2 (Router 2) debe remover la ruta creada en el Laboratorio 8. L2TP y PPPoE. • RouterOS puede trabajar con otros dispositivos que soporte BCP de acuerdo al estándar siempre y cuando el BCP esté habilitado.5.2. BCP puede utilizarse en lugar de un enlace WDS en una red inalámbrica Cuando se establece el BCP. R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.1.0/24 gateway=10.01 – Laboratorios Capítulo 8 Laboratorio 8. razón por la cual el Bridging y el Routing se pueden realizar al mismo tiempo de forma independiente. Primero se debe crear una interface Bridge. • BCP permite que los paquetes pasen en Bridge a través de un enlace PPP.1 Paso 1 1. y se debe segurar que el Bridge tiene una dirección MAC. • Para hacer Bridging. R1 (Router 1) debe eliminar la IP asignada a la interface ether2 (192.168. 6.4.5.3 y 8.4 (dst-address=192. los estudiantes deberán ingesar por MAC Winbox a los respectivos dispositivos.4 (dst-address=192.5 – Bridge a través de un túnel PPTP usando BCP Objetivos: • Interconectar 2 redes remotas (Red A y Red B) y formar una sola red Ethernet (un mismo dominio de broadcast) • Se requiere usar encriptación para proteger la integridad de los datos. R2 (Router 2) debe eliminar la IP asignada a la interface ether2 (192. El diagrama de configuración al que se desea llegar es el que se presenta en la Figura 8.4) 4.168.5) 2. No está relacionado a ninguna dirección IP de la interface PPP. Después de eliminar las direcciones IP de las interfaces ether2.254/24) 5.2.5.2.254/24) 3. PPTP.4. Notas importantes: • Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes • No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP • No es necesario que los Routers desactiven/eliminen los túneles PPTP creados en los Laboratorios 8.4 Paso 2 (configuración en R1 <Router 1> en la RED A) 1. 253/24 interface=bridge_local 4. Por lo tanto es muy importante especificar la opción bridge en el Profile. Recuerde que R2 actuará como Cliente PPTP por lo que NO necesita configurar SECRET. Para esto asignamos la MAC de la interface ether2 al bridge com MAC de Administración. por lo que el valor MTU de la interface no es suficiente. Asignamos las IP a la interface bridge_local. En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge. Para el caso de túneles PPTP el MTU es de 1460. y lo hace dividiendo el paquete hacia múltiples canales y por consiguiente incrementando el valor de MTU y MRRU. y muy importante especificar la opción bridge en el Profile.39. Cuando se hace Bridge. Se asume que la interface wlan ya tiene asignada su IP desde los laboratorios anteriores.1. por lo que la configuración del Profile PPP es sencilla. y se deba segurar que el Bridge tiene una dirección MAC. Debemos asegurarnos que el Bridge posee una dirección MAC. Usted debe obtener la dirección MAC de su equipo. Se asume que la interface wlan ya tiene asignada su IP desde los laboratorios anteriores. Usted debe obtener la dirección MAC de su equipo. D4:CA:6D:E5:7F:DF es la dirección MAC de ether2 en el router del laboratorio ejemplo.254/24 interface=bridge_local 4. /ip address add address=192. /interface pptp-server server set enabled=yes mrru=1600 Paso 3 (configuración en R2 <Router 2> en la RED B) 1. Asignamos las IP a la interface bridge_local. /ip address add address=192. /interface bridge add name=bridge_local protocol-mode=rstp /interface bridge port add bridge=bridge_local interface=ether2 2. Para esto asignamos la MAC de la interface ether2 al bridge com MAC de Administración. /ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes /ppp secret add profile=ppp_bridge name=pruebabridge password=pruebabridge 5.168.2. Debemos asegurarnos que el Bridge posee una dirección MAC. D4:CA:6D:B4:31:19 es la dirección MAC de ether2 en el router del laboratorio ejemplo. el túnel PPP necesita pasar los paquetes con la cabecera de Capa 2 incluida.1. Primero se debe crear una interface Bridge. El motivo es porque los puertos PPP no tienen dirección MAC. /ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes Academy Xperts 45 .01 – Laboratorios Capítulo 8 2. RouterOS v6.168. por lo que la configuración del Profile PPP es sencilla y no requiere que se asignen direcciones IP a las interfaces de túnel local y remoto. Para asegurar una operación apropiada se sugiere modificar el valor del MRRU en el router que hace de Server. po lo que se debe especificar un valor de MRRU mayor. En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge. /interface bridge set bridge_local admin-mac=D4:CA:6D:B4:31:19 3. Por lo tanto solo se va a user/password. /interface bridge set bridge_local admin-mac=D4:CA:6D:E5:7F:DF 3. Recuerde que MRRU permite habilitar soporte multi-link sobre un enlace único. Por ejemplo: Laptop Red A: 192.1/24 Laptop Red B: 192.39. Recuerde que se debe especificar el valor de MRRU del mismo valor al que se especificó en el pptp-server. RouterOS v6.1.1. Academy Xperts 46 . De esta forma se asegura que los paquetes pasen adecuadamente por el tunel PPP. /interface pptp-client add profile=ppp_bridge mrru=1600 connect-to=10.168. Se debe crear la interface pptp-client.2 user=pruebabridge password=pruebabridge disabled=no Pasó 4 Las laptops de las Redes A y B deben configurar una IP de la misma subred.168.1.2/24 Con esta configuración ambas laptops debe poder hacer PING entre ellos.2.1.01 – Laboratorios Capítulo 8 5. 01 – Laboratorios Capítulo 8 Academy Xperts 47 .2. RouterOS v6.39.
Copyright © 2024 DOKUMEN.SITE Inc.