Introducción a MikroTik RouterOS & RouterBOARD v 6.41.0.01 Libro de Estudio
ABC Xperts ® Network Xperts ® Academy Xperts ®
Derechos de autor y marcas registradas
Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts
Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
Tabla de Contenido Introducción ............................................................................................................................................................... iii
Resumen Resumen ................................................................................................................................................................. iv Audienci Audienciaa ................................................................................................................................................................. iv Convenc Convencione ioness usadas usadas en este libro libro ........................................................................................................................... iv Comenta Comentarios rios y pregun preguntas tas...........................................................................................................................................v Partners de Academy Xperts en Latinoamérica................................................................................................... vi
Empresas Empresas Asociad Asociadas as................................................................................................................................................ vi Universid Universidades ades e Instituto Institutoss Superio Superiores res ....................................................................................................................... vi Deseas convertirte en Academia o ser Partner de Academy Xperts? ......................................................................... vi Un poco de Historia Historia (Costa Rica) Rica) ............................................................................................................................. vii Cubriend Cubriendoo un País con MikroTik. MikroTik. ...................................................................................................................... vii Detalle de cambios en las cinco últimas versiones de RouterOS .................................................................. viii
6.41 (2017-D (2017-Dic-2 ic-222 11:55) 11:55) ................................................................................................................................ viii Capítulo 1: Introducción ............................................................................................................................................ 1
Sobre Sobre MikroTik MikroTik......................................................................................................................................................... 1 ¿Qué es RouterOS RouterOS??................................................................................................................................................. 1 Caracter Característic ísticaa de RouterOS RouterOS ...................................................................................................................................... 2 Qué hay de nuevo nuevo en la Versión Versión 6 ............................................................................................................................ 4 Licencia Licenciass Router RouterOS.................................................................................................................................................. OS.................................................................................................................................................. 6 Niveles Niveles de Licencias Licencias ......................................................................................................................................... 7 Cambio Cambio de Niveles Niveles de Licencia Licenciass ........................................................................................................................ 8 Uso de las Licencias Licencias ......................................................................................................................................... 8 Qué es RouterB RouterBOARD OARD??............................................................................................................................................ 8 Arquitectu Arquitecturas ras Soportad Soportadas: as:................................................................................................................................. 9 Programa Programa Made For MikroTik (MFM)......................................................................................................................... 9 Por qué trabajar trabajar con un router integrado? integrado? ................................................................................................................. 9 Nomencla Nomenclatura tura de los producto productoss Router RouterBOARD BOARD ......................................................................................................... 9 Nomenclatura de los productos CloudCoreRouter ................................................................................................... 11 Nomenclatura de los productos CloudCoreSwitch ................................................................................................... 11 Capítulo 2: Primeros Pasos en RouterOS (Quick Set) ....................................................................................... 13
Configuración Básica o dejar el router en Blanco? ................................................................................................... 13 Opciones Opciones del Reset Reset Configu Configuration ration........................................................................................................................... 14 Botón de Reset Reset Físico ............................................................................................................................................ 14 Ingresan Ingresando do al Router Router por Primera Primera vez ..................................................................................................................... 14 WebFig WebFig - Ingreso Ingreso por Web Brow B rowser ser ........................................................................................................................ 14 Skins Skins ..................................................................................................................................................................... 15 Quickset Quickset................................................................................................................................................................. ................................................................................................................................................................. 16 WinBox WinBox .................................................................................................................................................................. 17 Home AP Usage .................................................................................................................................................... 18 Internet Internet .................................................................................................................................................................. 19 Internet Internet Automáti Automático co ......................................................................................................................................... 19 Internet Internet Estático Estático.............................................................................................................................................. 19 Internet Internet PPPoE PPPoE ............................................................................................................................................... 19 DHCP DHCP Server Server / Client Client.............................................................................................................................................. 20 Escenari Escenarioo de comunic comunicaci ación ón DHCP DHCP .................................................................................................................. 20 DNS....................................................................................................................................................................... 23 Wireless Wireless................................................................................................................................................................. 24 Estandar Estandar 802.11 ............................................................................................................................................. 25 Estándare Estándaress Wireless Wireless ....................................................................................................................................... 25 Bandas Bandas (RouterOS (RouterOS)) ........................................................................................................................................ 25 Basic Rate ...................................................................................................................................................... 25 Wireless Wireless Guest ............................................................................................................................................... 27 WPS............................................................................................................................................................... 27 VPN Access Access – PPTP .............................................................................................................................................. 27 DynamicD DynamicDNS NS – IP Clud .......................................................................................................................................... 27 CPE Usage ............................................................................................................................................................ 28 Configur Configuració aciónn Modo Router Router............................................................................................................................. 28 Configur Configuració aciónn Modo Bridge ............................................................................................................................. 29 Release Release de RouterOS RouterOS ............................................................................................................................................ 31 Actualiza Actualizando ndo el router router ............................................................................................................................................. 31 Cómo hacer hacer un Upgrade Upgrade ................................................................................................................................. 32 Actualiza Actualización ción automá automática tica................................................................................................................................. 33 Academy Xperts
i
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
RouterBo RouterBoot ot firmware firmware Upgrade Upgrade ......................................................................................................................... 34 Paquetes Paquetes de RouterOS RouterOS ................................................................................................................................... 34 Paquetes Paquetes extra extra de Router RouterOS OS........................................................................................................................... 34 Configu Configurand randoo un passwo password rd ..................................................................................................................................... 34 System System identity identity....................................................................................................................................................... 35 Administración de los respaldos (backup) de las configuraciones ............................................................................. 35 Comando Comando export ............................................................................................................................................. 36 Guardar Guardar archivos archivos de Backup Backup ........................................................................................................................... 36 Capítulo 3: Firewall Básico ..................................................................................................................................... 37
Concepto Conceptoss básicos básicos de Firewall Firewall................................................................................................................................ 37 ¿Cómo ¿Cómo funcion funcionaa un firewall? firewall? ........................................................................................................................... 37 Flujo Flujo de Paquetes Paquetes .................................................................................................................................................. 38 Diagrama de flujo de paquetes en Bridge o Capa 2 (MAC) ............................................................................... 39 Diagrama de flujo de paquetes en Ruteo o Capa 3 (IP) .................................................................................... 39 Estructura Estructura:: chains chains y accione accioness ................................................................................................................................. 39 Filtrado Filtrado Firewall Firewall en acción acción............................................................................................................................... 40 Consejos Consejos Básicos Básicos y trucos trucos .............................................................................................................................. 40 Filtrado Filtrado por Parámetro Parámetros................................................................................................................................... s................................................................................................................................... 40 Filter Filter actions actions .......................................................................................................................................................... 40 Protegien Protegiendo do tu router router (input) (input) ................................................................................................................................... 41 Protegien Protegiendo do a todos todos los clientes (forward) (forward) ............................................................................................................... 41 Source Source NAT ........................................................................................................................................................... 42 masquer masquerade ade & src-nat src-nat..................................................................................................................................... 42 Destinatio Destinationn NAT ..................................................................................................................................................... 43 dst-nat dst-nat & redirec redirectt ............................................................................................................................................ .... ........................................................................................................................................ 44 Capítulo 4: Administración ..................................................................................................................................... 45
Herramien Herramientas tas RouterOS RouterOS – ping ............................................................................................................................... 45 Herramien Herramientas tas RouterOS RouterOS – tracerou traceroute te ...................................................................................................................... 45 Tracerou Traceroute te ............................................................................................................................................................. ........... .................................................................................................................................................. 45 Herramientas RouterOS – Monitor de Tráfico de Interface ....................................................................................... 46 Herramien Herramientas tas RouterOS RouterOS – Torch Torch............................................................................................................................. 47 Graphing Graphing (Gráficos (Gráficos)) ................................................................................................................................................ 48 Interface Interface Graphing Graphing .......................................................................................................................................... 49 Queue Queue Graphing Graphing ............................................................................................................................................. 50 Resource Resource Graphing Graphing......................................................................................................................................... 50 Graphics Graphics en WinBox WinBox ....................................................................................................................................... 50 Recursos Recursos adicion adicionales ales ............................................................................................................................................. 51 Ponerse Ponerse en contacto contacto con Soporte MikroTik MikroTik ............................................................................................................. 51 Supout.rif Supout.rif........................................................................................................................................................ 51 Supout.rif Supout.rif Viewer ............................................................................................................................................ 52 Autosupo Autosupout.rif ut.rif ................................................................................................................................................. 52 Registros (logging) del sistema y registros de depuración ........................................................................................ 53 Configur Configuració aciónn del del Logging Logging............................................................................................................................... 53 Actions Actions ........................................................................................................................................................... 54 Tópicos Tópicos .......................................................................................................................................................... 55 Capítulo Capít ulo 5: Training .................................................................................................................................................. 57
Cursos Cursos de Certific Certificació aciónn MikroTik MikroTik............................................................................................................................. 57 MTCNA MTCNA .......................................................................................................................................................... 57 MTCTCE MTCTCE ........................................................................................................................................................ 57 MTCWE ......................................................................................................................................................... 58 MTCUME MTCUME ....................................................................................................................................................... 58 MTCIPv6E MTCIPv6E ...................................................................................................................................................... 58 MTCRE MTCRE .......................................................................................................................................................... 58 MTCINE MTCINE ......................................................................................................................................................... 59
Academy Xperts
ii
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
Introducción MikroTik es una empresa que nace en Latvia (Letonia) en 1996 con el claro objetivo de proveer un sistema operativo de red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico y multi-núcleo, este hardware es el RouterBOARD. A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes por nuestros racks, siendo Cisco el referente, sin embargo siempre había representado un costo más o menos importante a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP. No es sino hasta hace una década aproximadamente en que MikroTik Mikr oTik se empieza a hacer conocer en Latinoamérica Latinoaméri ca y varios emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica (Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas. Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD. Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino que han ido escalando escalando en credibilidad en las empresa empresa medianas y grandes grandes en Latinoamérica, rompiendo paradigmas de fabricantes y costos de implementación. Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.
Mauro Escalante
CEO Academy Xperts CEO Network Xperts
Academy Xperts
iii
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
Resumen Este libro inicia con laboratorios de ruteo estático en los que aplicando diferentes parámetros de distancia, routing-mark, o haciendo uso de ECMP, se llega a la conclusión de que estas técnicas por si solas no son suficientes para proveer funciones como un failover confiable, o un ruteo dinámico automático. Se realizan varias pruebas valiosas con ECMP que sirven para usos posteriores como Balanceo de Carga con PCC. Si bien es cierto que hasta versión del libro no se profundiza en todos los conceptos que rigen OSPF, OSP F, sin embargo se realizan sendos laboratorios donde se podrán plasmar las principales funciones del protocolo, no solo entre rutas y routers dentro del mismo área de backbone, sino también con un área externa al área de backbone. En las próximas versiones de este libro se están agregando puntos elementales de conocimiento y nuevos laboratorios de OSPF. Si dispones de este libro es seguramente porque lo has adquirido y tienes 12 meses garantizados de actualización a los textos, ejercicios y demás recursos a partir de tu compra. La alta disponibilidad del gateway se logra utilizando el protocolo estándar VRRP (Virtual Router Redundancy Protocol) y constituye una configuración obligatoria e indispensable en toda red de misión crítica. En este libro se presentan varios ejercicios VRRP con los cuales se intenta demostrar los diferentes escenarios y sus alternativas de solución. Finalmente la sección de túneles PPP se complementa con ejercicios muy elaborados, explicando al detalle los procesos involucrados y los escenarios de configuración. Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de certificación, pero que resultan claves para el correcto entendimiento de la materia. La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y www.youtube.com/abcxperts
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio ritmo. Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción. Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía de autoestudio MikroTik.
Audiencia Las personas que leen este libro deben estar familiarizados con: Operaciones de red en Capa 2 Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP Este libro está dirigido a: Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a: Redes Corporativas Clientes WISP e ISP Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes corporativa y PYMES Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario (Help Desk) • •
•
! !
•
•
Convenciones usadas en este libro En este libro se utilizarán las siguientes convenciones tipográficas: Itálicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso de términos técnicos Courier new
Indica direcciones IP y ejemplos de línea de comando Courier new en itálica
Indica texto que puede ser reemplazado Courier new en negrita
Indica datos de entrada del usuario Este icono significa un consejo, sugerencia, o una nota general. Este icono indica una advertencia o precaución.
Academy Xperts
iv
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
Comentarios y preguntas Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección: Network Xperts S.A.
Av. Juan T. Marengo y J. Orrantia Edificio Professional Center, Piso 5, Ofic. 507 Guayaquil, ECUADOR +593-4-600-8590 +593-9-9535-2132 A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información adicional: http://cursos.abcxperts.com
Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
[email protected]
Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros Websites y canal de YouTube http://www.abcxperts.com http://www.academyxperts.com http://www.youtube.com/abcxperts
Academy Xperts
v
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
Partners de Academy Xperts en Latinoamérica Nuestro recorrido por América Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros estudiantes el mejor y más completo material de estudio & laboratorio, laborat orio, y lo que es muy importante… que el contenido siempre esté actualizado. Nos encantaría estar presente en cada uno de los 14 países y las más de 40 ciudades que recorremos todos los años, pero el tiempo y la disponibilidad física nos es un obstáculo. Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en diferentes países país es que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido y el acceso a la suscripción anual de este libro (y todos sus recursos) por un cómodo valor.
Empresas Asociadas
Universidades e Institutos Superiores
Deseas convertirte en Academia o ser Partner de Academy Xperts? •
•
•
Si eres Universidad o Instituto Superior que cuenta con el respectivo acuerdo ministerial de tu país, puedes optar por convertirte en una Academia MikroTik. Escríbenos a
[email protected] para para darte más información. Si eres Trainer Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitación, te invitamos escribirnos a
[email protected] para para proporcionarte los detalles. Si deseas que organicemos cursos en tu ciudad/país de residencia, escríbenos a
[email protected]
Academy Xperts
vi
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
Un poco de Historia (Costa Rica) Cubriendo un País con MikroTik. En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing. Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta esta empresa. Se lograron 2 Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps. En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas bajo la misma marca MikroTik y su sistema operativo RouterOS. Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o se necesitara más velocidad. Esta empresa fue nombrada Redes Redes Inalámbricas de Costa Rica S.A (REICO). Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones inalámbricas inalámbric as en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de 80,000 Km de red de acceso. acceso. Posee más de 100 100 radio bases instaladas estratégicamente para alcanzar una cobertura de más del 80% del territorio y a más del 90% de la población. La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales, turísticos, comerciales, etc. Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK. REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro, Claro, Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa Rica 2014.
Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico sobre los inicios de MikroTik en Latinoamérica.
Academy Xperts
vii
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
Detalle de cambios en las cinco últimas versiones de RouterOS Para una revisión más amplia del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link: http://abcxperts.com/index.php/bitacora-de-cambios
6.41 (2017-Dic-22 11:55) *** NOTA IMPORTANTE : Realizar un respaldo (backup) antes de hacer la actualización ( upgrade) ! RouterOS (v6.40rc36-rc40 y) v6.41rc1+ contiene una nueva implementación de bridge que soporta la descarga (offloading) de hardware ( hw-offload) ! Esta actualización convertirá toda la configuración “ master-port” de la interface en una nueva configuración bridge, y elimina la opción “ master-port” como tal. ! El bridge manejará todo el forwarding de Capa 2 ( Layer2) y el uso del switch-chip (hw-offload) se encenderá automáticamente según las condiciones apropiadas. ! El resto de la configuración específica del Switch RouterOS permanece intacto en los menús usuales por ahora ! Por favor, es importante tener en mente que al hacer downgrade a las versiones previas de RouterOS no restaurará la configuración “master-port”, por lo tanto, debe utilizar la copias de seguridad ( backup) para restaurar la configuración cuando haga el downgrade *** Parámetros Críticos bridge ! Se implementaron "bridges" basados en software " vlan-aware" ! https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_VLAN_Filtering switch ! La conversión “ master-port” en un bridge con la opción “ hw” (hardware offload) ! https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Bridge_Hardware_Offloading detnet ! Se implementó la característica " /interface detect-internet " ! https://wiki.mikrotik.com/wiki/Manual:Detect_internet bridge ! Implementación general de hw-offload bridge (se introdujo en v6.40rc36) routerboot ! El sistema de numeración de versión de RouterBOOT se fusionó con RouterOS w60g ! Se agregó el soporte Point to Multipoint ! Se revisó los modos de interface " master" y "slave" a formas más familiares "bridge", "ap-bridge", "stationbridge" wireless ! Nuevo driver con soporte inicial para anchos de canal de 160 y 80+80 MHz *** Parámetros Generales arm ! Se implementaron mejoras menores en la distribución de carga del CPU de los dispositivos de la serie RB1100 arp ARP después de un reboot en la interfaces que no tienen ! Se corrigió un problema en las entradas estáticas ARP dirección IP bgp ! Se agregó el soporte de 32-bit private ASN bridge ! Se agregó el soporte de comentarios para VLANs ! Se agregó soporte inicial para hardware "igmp-snooping" en CRS1xx/2xx ! Se agregó soporte para "/interface list" como un puerto bridge ! Se asume "point-to-point=yes " para todas las interfaces Full Duplex Ethernet cuando se utiliza STP (como estándar) ! Se apaga automáticamente la característica " fast-forward" si ambos puertos bridge tienen la etiqueta “H” MDB” ! Se cambió el orden de la columna en las tablas “ Host” y “MDB Academy Xperts
viii
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
! ! ! ! ! ! ! ! ! ! ! ! !
Se deshabilita “hw-offload" cuando se configura " horizon" o "external-fdb " Se corrigió un problema en los contadores “ fast-forward” ARP (se introdujo en (v6.40rc36) Se corrigió un problema en ARP Se corrigió un problema de conectividad cuando habían múltiples interfaces VLAN en un bridge Se corrigió un problema en el servicio hw-offloaded IGMP Snooping cuando se detenía Se corrigió un problema de multicast forwarding (se introdujo en v6.40rc36) MST activas Se implementaron entradas dinámicas para anulaciones de puertos MST Se implementó "igmp-snooping" basado en software Se implementó "MSTP" basado en software Se removió "frame-types" y "ingress-filtering " de las interfaces bridge (se introdujo en v6.40rc36) Se configura "igmp-snooping=no " por default en los nuevos bridges Se muestra "admin-mac" únicamente si "auto-mac=no" Se muestra la dirección local de la interface del bridge en la tabla host
btest RAM del dispositivo está casi llena Se mejoró la confiabilidad del Bandwidth Test cuando la RAM capsman ! Se agregó la opción " vlan-mode=no-tag " ! Se agregó la posibilidad de hacer downgrade al CAP con el comando Upgrade desde CAPsMAN ! Se retorna el chain CA completo cuando se emiten nuevos certificados ! Se utiliza el valor "adaptive-noise-immunity " desde la configuración local del CAP certificate CRL en RAM (únicamente por CLI) ! Se agregó la opción para almacenar CRL ! Se corrigió un problema en la codificación URL del requerimiento SCEP "get" CRL después que el Sistema arranca ! Se mejoró la actualización CRL ! Se muestra la etiqueta "Expired" cuando falla el fetch CRL inicial CRL local no existe ! Se muestra la etiqueta “ invalid” cuando el archivo CRL chr KVM ! Se agregó soporte para el globo de memoria KVM ! Se agregó a suspensión del soporte console ! No se detiene el proceso "/certificate sign " si la consola se agota 1 minuto ! Se removió "/setup" crs317 ! Se agregó soporte inicial para HW offloaded MPLS forwarding FAN ! Se corrigió un problema de confiabilidad en el controlador FAN crs326 ! Se corrigió un problema con la velocidad de procesamiento del paquete en el switch chip si difiere la velocidad del Puerto de enlace individual ! Se mejoró el desempeño de transmisión de SFP+ a los puertos Ethernet crs3xx ! Se agregó tasas de límites de entrada ingress/egress ! Se ocultan las opciones de switch no usadas como " vlan-mode", "vlan-header-mode" y "default-vlan-id " ! Configuración de VLAN switch integrado con configuración de VLAN bridge con hw-offload dhcp ! Se corrigió un problema en la caída de servicios DHCP después de hacer un reboot cuando se utilizaba la opción
!
DHCP
Se corrigió un problema de servicio DHCP que no respondía causado por imposibilidad de leer las opciones no RAW configuradas de RAW ! Se requiere que el nombre de la DHCP option sea único dhcp-client ! Se limita y se hace cumplir que el valor mínimo del cliente DHCP " default-route-distance " sea 1 dhcp-server ! Se agregó el argumento " option-set" (únicamente por CLI) ! Se agregó la contabilización RADIUS básica dhcpv4-client ! Se agregó el cliente DHCP dinámico para cliente móviles que lo requieren !
Academy Xperts
ix
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
Se permite utilizar DUID para el cliente con un string de identidad como la option 61 dhcpv4-server ! Se agregó la variable de opción " NETWORK_GATEWAY" ! Se agrega "\0" en "hostname" si está presente discovery ! Se utiliza "/interface list" en lugar del nombre de interface bajo ciertas configuraciones de neighbor !
discovery
e-mail !
No se muestra los errores cuando se envía un e-mail desde un script
eoip Se hace que el parámetro L2MTU sea solo de lectura ( read-only) ethernet ! Se removió el parámetro " master-port" export ! Se corrigió un problema en la exportación de la lista de interface fetch ! Se aceptan todos los códigos de estatus HTTP 2xx filesystem ! Se mejoró el chequeo de integridad adicional en los reboots firewall ! Se agregó el matcher "tls-host" en firewall health ! Se corrigió un problema de lecturas falsas de voltaje en CCR1009 hotspot ! Se corrigió "dst-port" para que requiera un protocolo válido en " walled-garden ip " ! Se corrigió la funcionabilidad Walled Garden IP cuando se utiliza address-list ike1 DPD a 5 segundos ! Se configuró el intervalo de reintento DPD ! Se deshabilita la creación del peer utilizando el modo base ! Se corrige un problema de caída en xauth si el usuario no existe ! Se corrigió un problema de corrupción de memoria cuando se utiliza IPv6 ! Se mejoró la estabilidad en phase1 rekeying PH2 que no coinciden ! Se liberaron las identificaciones de pares PH2 32 netmask si no se ha proporcionado nada en el modo config ! Se utiliza / 32 ike2 ! Se agregó soporte para redes divididas múltiples ! Se chequean las identidades en " initial-contact" ! No se permite configurar nat-traversal PH1 en el boot ! Se corrigió un problema del reseteo del tiempo de vida PH1 ! Se corrigió un problema en el procesamiento del cookie DDoS iniciador ! Se corrigió un problema en el cookie DDoS respondedor que notifica primero el chequeo del tipo ! Se mata la conexión cuando el peer cambia la dirección TSi vacío ! Se utiliza la dirección de configuración del peer cuando está disponible un TSi interface interface reset-counters " (únicamente por CLI) ! Se agrega el comando "/ interface ! Se agregó por default "/interface list " "dynamic" la cual contiene interfaces dinámicas interface list " desde uno y otro ! Se agregó la opción para unir y excluir "/ interface ! Se corrigió un problema de configuración corrupta de "/ interface list " después del upgrade ippool6 ! Se trata de asignar el prefijo deseado por el cliente si el prefijo no está siendo usado ipsec ! Se agregó soporte a los grupos DH 19, 20 y 21 para phase1 y phase2 ! Se permite especificar la dirección "remote-peer" como un nombre DNS ! Se corrigió un problema de uso de tamaño de incorrecto de esp proposal !
Academy Xperts
x
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
! ! ! ! !
Se corrigió un problema en la política enable/disable Se mejoró el desempeño de IPSec acelerado por hardware en 750Gr3 Se mejoró la confiablidad en el uso de certificado Se renombró el argumento "firewall" a "notrack-chain " en la configuración peer Se salta las políticas inválidas para phase2
ipv6 !
Se agregó la dirección de server dinámica "/ ip dns" de RA cuando RA está permitido por la configuración
l2tp Se mejoró la confiabilidad en el procesamiento del paquete en FastPath l2tp-server PPP no respondan después de hacer cambios en L2TP server ! Se corrigió un problema que hacía que los servicios PPP con configuración IPSec lcd ! Se corrigió el estado " flip-screen=yes" después del reboot log ! Se agregó el tópico " bridge" log ! Se corrigió el nombre de la interface en los mensajes de log ! Se optimizaron los logs del tópico "poe-out" lte interface lte apn " (Passthrough requiere reconfiguración) ! Se agregó menú "/ interface ! Se agregó el soporte Passthrough ! Se agregó soporte para el modem no-configurable Yota port" adicional para el uso de GPS GPS ! Se agregó soporte para ZTE ME3630 E1C con "/ port ! Se agregó automáticamente la configuración "/ip dhcp-client " en la interface ! Se cambiaron los valores default a " add-default-route=yes ", "use-peer-dns=yes " y "default-routedistance=2" ! Se corrigió el soporte Passthrough ! Se corrigió la autenticación para modos no-LTE APN sin nombre ! Se corrigió un error cuando se trataba de agregar el perfil APN LTE después de un reset ! Se corrigió una rara caída cuando se inicializaba el modem LTE ! Se corrigió la autenticación del usuario de R11e-LTE cuando se utilizaba un Nuevo firmware ! Se integró la adquisición de la dirección IP sin el cliente DHCP para wAP LTE kit-US ! Se limitó la distancia de ruta por default mínima a 1 ! Se actualiza el comando de información con valores " location area code " y "physical cell id " m11g ! Se mejoró el desempeño Ethernet cuando hay una carga alta mac-server interface list " en lugar del nombre de la interface en las configuraciones de MAC server ! Se utiliza "/ interface modem ! Se agregó soporte inicial para Alcatel IK40 y Olicard 500 neighbor ! Se muestran los vecinos en el puerto del bridge actual en lugar del bridge mismo netinstall flash/etc” en el primer bootup ! Se corrigió un problema en "/ flash/etc ! Se corrigió un problema de pérdida de configuración por default en el primer inicio después de reset/netinstall ospf ! Se corrigió un problema en la elección del vecino en OSPF v2 y v3 ovpn-server MAC del Server generada automáticamente ! No se cambia periódicamente la dirección MAC poe ! Se agregó un nuevo estatus " controller-error " para "poe-out" ! Se corrigieron los logs excesivos de falso positivo en modo auto-on cuando se conectaba a un dispositivo a 100 Mbps alimentado por otra fuente de poder log de los mensajes de estatus PoE PoE relacionados en el tópico debug ! Se hace log ppp !
Academy Xperts
xi
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
Se agregó soporte inicial para PLE902 Se agregó soporte para Sierra MC7750 , Verizon USB730L PPP después del "idle-timeout" incluso si el tráfico está siendo procesado No se desconecta la conexión PPP MSS está perdida en los paquetes forwrded Se corrigió la funcionabilidad "change-mss" cuando la opción MSS Se corrigió el proceso de negociación de encriptación L2TP y PPTP en los cambios de configuración PPP se reseteaba a los valores por default después del reboot Se corrigió una situación cuando la configuración PPP pppoe-client ! Se restablece apropiadamente la sesión MLPPP cuando una de la líneas para de transmitir paquetes pppoe-server ! Se corrigió una situación cuando los servidores PPPoE se volvían inválidos en el reboot quickset interface list " en firewall, neighbor discovery , MAC-Telnet y MAC-Winbox ! Se agregó el soporte para "/ interface ! Se corrigió el modo LTE quickset en el campo APN CPE ! Se corrigió una situación cuando Quickset cambiaba automáticamente el modo a CPE ! Se renombró el nombre DNS estático de la IP del router a "router.lan" radius ! Se limita el máximo valor del timeout del RADIUS a 3 segundos route ! Se corrigió una caída de ruta potencial en la actualización de la tabla de ruteo scheduler ! Se muestra apropiadamente una larga configuración scheduler sfp SFP cuando se recibía información mala del SFP DDMI ! Se corrigió el monitor de potencia de la interface SFP sftp ! Se agregó una funcionabilidad que importa el archive " .auto.rsc" o hace un reboot al router en la subida ".auto.npk" sms SMS ! Se corrigió un problema menor en el envío SMS log de las respuestas USSD decodificadas ! Se hace log snmp ! Se corrigió el valor "ifHighSpeed" de las interfaces VLAN, VRRP y Bonding ! Se corrigió los requerimientos de host del bridge en los dispositivos con múltiples interfaces bridge ! Se corrigió las solicitudes masivas cuando se utilizaban non-repeaters OID obtenido de la misma tabla ! Se corrigió la carga consecutiva de OID ! Se muestra únicamente los OIDs disponibles en " /system health print oid " ssh ! No se utiliza DH group1 con strong-crypto habilitado x86 ! Se refuerza el grupo 2048bit DH en arquitecturas tile y x86 system USB en la información del dispositivo ! Se muestra la topología USB tile ! Se mejoró el proceso de encriptación por hardware tr069-client interface lte apn " ! Se corrigieron los parámetros de configuración "/ interface traceroute ! Se mejoró el procesamiento de resultados de "/tool traceroute " upnp NAT si está especificado en el requerimiento UPnP ! Se agregó el parámetro "src-address" en la regla NAT ! Se niega el requerimiento UPnP si el puerto ya está siendo utilizado por el router ups UPS duplicados ! Se corrigen los “ failed” de UPS userman 999 usuarios ! Se permite generar más de 999 ! ! ! ! ! !
Academy Xperts
xii
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD
w60g ! !
Se agregaron las opciones " put-stations-in-bridge " and "isolate-stations " para manejar clientes conectados Las estaciones conectadas son tratadas como interfaces deparadas
webfig Se agregó el archivo favicon Se corrigió un problema que hacía que el router se reseteara a su configuración por default Se corrigió la interfaz gráfica de usuario de terminal en el browser Safari winbox ! Se agregó la pestaña " W60G station " en el menú Wireless ! Se agregó la configuración " notrack-chain " a los IPSec peers ! Se agregó el soporte para el símbolo "_" en la ventana de terminal ! Se agregó el menú switch en RB1100AHx4 ! No se muestra MetaROUTER en RB1100AHx4 ! No se muestra menús duplicados de " Switch" en CRS326 ! No se muestra parámetros de " Template" duplicados para el filtro en la lista de políticas IPSec ARP ! No se muestra parámetros de filtro duplicados " Published" en la lista ARP ! No se muestra pestañas innecesarias del menú " Switch” certificate sign " ! Se corrigió el proceso "/ certificate ! Se corrigió el orden en el ordenamiento de puerto bridge por el nombre de interface ! Se muestra advertencias en el menú de configuración "/ system routerboard settings " wireless ! Se agregó la opción " allow-signal-out-off-range " para las entradas de Access List ! Se agregó la información regulatoria de dominio de " indonesia3" ! Se agregó la opción de scan pasivo ( passive scan) para el wireless scan ! Se agregó soporte para CHARGEABLE_USER_ID en EAP Accounting ! Se chequean los APs contra las reglas connect-list que inician con una señal más fuerte ! No se muestra las frecuencias de scan en background en el campo de canal de comando del monitor ! Se mejoró la confiabilidad en el proceso de selección " rx-rate" EAP ! Se incrementó el contador de retransmisión de mensaje EAP log de "signal-strength" cuando se conecta satisfactoriamente al AP ! Se hace log ! Se pasa la dirección MAC de la interface en los frames Sniffer TZSP ! Se actualiza los datos de país de " UK 5.8 Fixed " y "Australia" ! Se actualize la información regulatoria de dominio de " united kingdom " ! ! !
Academy Xperts
xiii
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
Capítulo 1: Introducción MikroTik, RouterOS, RouterBOARD, Licenciamiento
Sobre MikroTik MikroTik es una compañía fundada en 1996 en Riga, capital de Latvia, creada para desarrollar routers y sistemas inalámbricos para Proveedores de Servicios de Internet (ISP – Internet Service Provider)
En 1997 MikroTik creó el sistema de software RouterOS que proporciona estabilidad, control y flexibilidad para todos los tipos de interfaces de datos y ruteo En el 2002 MikroTik decidió fabricar su propio hardware y de esta forma nace el RouterBOARD. MikroTik tiene distribuidores en muchas partes del mundo, y clientes probablemente en casi todos los países del planeta. Páginas de interés: www.mikrotik.com - Website oficial www.routerboard.com - Página oficial de los productos RouterBOARD wiki.mikrotik.com - Portal de documentación tiktube.com - Portal de videos mum.mikrotik.com - Eventos y conferencias del MikroTik User Meeting forum.mikrotik.com - Foro de soporte oficial
¿Qué es RouterOS? MikroTik RouterOS es el sistema operativo del hardware MikroTik RouterBOARD, que tiene las características necesarias para un ISP: Firewall, Router, MPLS, VPN, Wireless, HotSpot, Calidad de Servicio (QoS), etc. RouterOS es un sistema operativo independiente basado en el kernel de Linux v3.3.5 que proporciona todas las funciones en una instalación rápida y sencilla, con una interfaz fácil de usar. RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles con x86, como tarjetas embebidas y sistemas miniITX. RouterOS soporta computadores multi-core y multi CPU. Soporta tambien Multiprocesamiento Simétrico (SMP: Symmetric MultiProcessing). Se puede ejecutar en los motherboards Intel más recientes y aprovechar los nuevos CPUs multicore. Multiprocesamiento Simétrico
Es una arquitectura arquitectur a de Software y Hardware donde dos o más procesadores idénticos idénti cos son conectados a una simple memoria compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son controlados por una simple instancia del OS (Sistema Operativo), en el cual todos los procesadores son tratados en forma igualitaria, sin que ninguno sea reservado para propósitos especiales. En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos, tratándolos como procesadores separados. El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo. Soporta una gran variedad de interfaces de red, incluyendo tarjetas Ethernet de 10 Gigabit, tarjetas wireless 802.11a/b/g/n/ac y módems 3G y 4G.
Academy Xperts
1
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
Fechas de liberación de las versiones de RouterOS • • • •
v6 - May 2013 v5 - Mar 2010 v4 - Oct 2009 v3 - Ene 2008
Característica de RouterOS Soporte de Hardware • • •
•
• •
Compatible con arquitectura i386 Compatible con SMP (multi-core y multi-CPU) Requiere un mínimo de 32MB de RAM (reconoce hasta máximo 2GB, excepto exc epto en los dispositivos Cloud Cl oud Core, donde no existe un máximo) Soporta los medios de almacenamiento IDE, SATA, USB y flash, con un mínimo de 64MB de espacio. Incluye HDDs, tarjetas CF y SD, y discos SDD Tarjetas de red soportadas por el kernel de Linux v3.3.5 (PCI, PCI-X) Soporte de configuración de Chip de Switch: o
•
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
Compatibilidad de diferentes tipos de interfaces y dispositivos. Existe una lista de compatibilidad que alimentada por los usuarios en el siguiente link: o
http://wiki.mikrotik.com/wiki/Supported_Hardware
Instalación •
Netinstall: Instalación basada en red desde una tarjeta de red habilitada con PXE o EtherBoot. o
• •
http://wiki.mikrotik.com/wiki/Manual:Netinstall
Netinstall: Instalación a un drive secundario montado en Windows Instalación basada en CD
Configuración • •
Acceso basado en MAC para configuración inicial. http://wiki.mikrotik.com/wiki/Manual:First_time_startup WinBox: herramientas de configuración gráfica (GUI) independiente para Windows. o
• •
o •
http://wiki.mikrotik.com/wiki/Manual:Winbox
WebFig: Interface de configuración avanzada basada en web Poderosa interface de configuración basada en Línea de Comandos (CLI: command line) con capacidades de scripting integrado, accesible a través de terminal local, consola serial, telnet y ssh. http://wiki.mikrotik.com/wiki/Manual:Scripting
API: una forma de crear sus propias configuraciones y aplicaciones de monitoreo. o
http://wiki.mikrotik.com/wiki/Manual:API
Respaldo y Restauración (Backup/Restore) • •
Copia de seguridad se configuración binaria Exportar e Importar la Configuración en formato de texto legible
Firewall •
Filtrado basado en el estado del paquete (Statefull filtering) Source NAT y Destination NAT.
•
NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp).
•
o o • •
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
Soporte para IPv6. o
•
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list
Filtros de Capa 7 personalizados. o
•
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
Listas de direcciones (Address lists). o
•
http://wiki.mikrotik.com/wiki/Manual:IP/Services#Service_Ports
Marcas internas: mark-connection, mark-routing y mark-packet Filtrado basado en dirección IP y rango de direcciones, puerto y rango de puertos, protocolo IP, DSCP y muchos más. o
•
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
http://wiki.mikrotik.com/wiki/Manual:IPv6_Overview
PCC: clasificador basado en conexión, utilizado en configuraciones de balanceo de carga. o
http://wiki.mikrotik.com/wiki/Manual:PCC
Ruteo (Routing) • •
Ruteo Estático Virtual Routing and Forwarding (VRF). o
http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding
Academy Xperts
2
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
• • • • • •
Ruteo basado en políticas (Policy based routing) Interface de ruteo. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Routes_with_interface_as_a_gateway Ruteo ECMP. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Multipath_.28ECMP.29_routes Protocolos de ruteo dinámico IPv4: RIP v1/v2, OSPFv2, BGP v4 Protocolos de ruteo dinámico IPv6: RIPng, OSPFv3, BGP Bidirectional Forwarding Detection ( BFD). o
http://wiki.mikrotik.com/wiki/Manual:Routing/BFD
MPLS • •
Static Label bindings para IPv4 Label Distribution protocol para IPv4. o
•
Túneles de Ingeniería de Tráfico RSVP. o
• • •
http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS http://wiki.mikrotik.com/wiki/Manual:MPLS/TE_Tunnels
Autodescubrimiento y señalización basado en VPLS MP-BGP MP-BGP basado en MPLS IP VPN Es el siguiente link se puede revisar la lista completa de las características de MPLS
VPN •
IPsec: túnel y modo de transporte, certificado o PSK, protocolos de seguridad AH y ESP. Soporte de encriptación por hardware en RouterBOARD 1000. o
• • • • •
Point to point Tunneling (OpenVPN, PPTP, PPPoE, L2TP, SSTP) Características avanzadas de PPP (MLPPP, BCP) Soporte para túneles simples ( IPIP, EoIP) IPv4 e IPv6 Soporte para túnel 6to4 (IPv6 sobre red IPv4) VLAN: soporte para IEEE802.1q Virtual LAN, Soporte de Q-in-Q. o
•
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
VPNs basadas en MPLS. o
http://wiki.mikrotik.com/wiki/Manual:RouterOS_features#MPLS
Wireless • • • • • • • • • • •
Cliente y Access Point inalámbrico IEEE802.11a/b/g Soporte completo para IEEE802.11n Protocolos propietarios Nstreme y Nstreme2 Protocolo NV2. http://wiki.mikrotik.com/wiki/Manual:Nv2 Wireless Distribution System (WDS) Virtual AP WEP, WPA, WPA2 Control por Lista de Acceso (Access List) Roaming de cliente Wireless WMM. http://wiki.mikrotik.com/wiki/Manual:WMM Protocolo HWMP+ Wireless MESH. o
•
http://wiki.mikrotik.com/wiki/Manual:Interface/HWMPplus
Protocolo de ruteo wireless MME. o
http://wiki.mikrotik.com/wiki/Manual:Routing/MME
DHCP • • • • • • •
DHCP server por interface DHCP client y relay Arrendamiento de direcciones IP (leases) DHCP estáticas y dinámicas Soporte RADIUS Opciones personalizadas de DHCP Delegación de prefijo DHCPv6 (DHCPv6-PD) Cliente DHCPv6
HotSpot • • • •
Acceso Plug-n-Play a la red Autenticación de clientes de red locales Contabilización de usuarios (Users Accounting) Soporte RADIUS para Autenticación y Contabilización
QoS •
Sistema Hierarchical Token Bucket ( HTB) QoS con CIR, MIR, burst y soporte de prioridades. o
• •
http://wiki.mikrotik.com/wiki/Manual:HTB
Colas Simples (Simple Queues) para implementación de QoS básico para una solución rápida y simple Entrega equitativa de ancho de banda al cliente en forma dinámica ( PCQ).
Academy Xperts
3
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
o
http://wiki.mikrotik.com/wiki/Manual:PCQ
Proxy •
Servidor proxy para almacenamiento en caché de HTTP
•
Proxy Transparente HTTP
•
Soporte de protocolo SOCKS. o
•
Entradas estáticas DNS. o
• • • •
http://wiki.mikrotik.com/wiki/Manual:IP/SOCKS http://wiki.mikrotik.com/wiki/Manual:IP/DNS
Soporte para almacenamiento en caché en un drive separado Soporte para Proxy Padre (parent proxy) Lista de Control de Acceso (access control list) Lista de almacenamiento en caché (caching list)
Herramientas
•
Ping, traceroute Test de ancho de banda (Bandwidth test), ping flood Packet sniffer, torch Telnet, ssh E-mail y herramientas de envío SMS Herramientas de ejecución de Scripts automatizados CALEA. http://wiki.mikrotik.com/wiki/CALEA Herramienta File Fetch.
•
Generador avanzado de tráfico
• • • • • • •
o
http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
Características adicionales •
Soporte para Samba. o
•
Soporte para OpenFlow. o
• • •
• • • • • • •
http://wiki.mikrotik.com/wiki/Manual:System/Time#SNTP_client
Soporte para VRRP v2 y v3. o
•
http://wiki.mikrotik.com/wiki/Manual:OpenFlow
Bridging: spanning tree protocol (STP, RSTP), bridge firewall y MAC natting. Herramienta de actualización de Dynamic DNS NTP client/server y sincronización con sistema GPS. o
•
http://wiki.mikrotik.com/wiki/Manual:IP/SMB
http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP
SNMP M3P: MikroTik Packet Packer Protocol para enlaces Wireless y Ethernet MNDP: MikroTik neighbor discovery protocol, soporta CDP (Cisco discovery protocol) Autenticación y Contabilización RADIUS TFTP server. http://wiki.mikrotik.com/wiki/Manual:IP/TFTP Soporte para interface Sincrónica (Farsync cards only) (Se removió en la versión v5.x) Asincrónico: serial PPP dial-in/dial-out, dial on demand ISDN: dial-in/dial-out, soporte para128K bundle, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial on demand
Qué hay de nuevo en la Versión 6 Novedades Generales
•
Drivers y Kernel actualizados a linux-3.3.5 Soporte inicial para OpenFlow. http://wiki.mikrotik.com/wiki/Manual:OpenFlow Nuevas características para pantallas táctiles LCD.
•
Método de login mac-cookie para el HotSpot (mayormente usado en teléfonos inteligentes).
• •
o o • • •
http://wiki.mikrotik.com/wiki/Manual:LCD_TouchScreen http://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction#MAC_Cookie
Opciones configurables del kernel en el menú /ip settings y /ipv6 settings (ip forward, filtros rp etc.) El timeout del ARP puede ser cambiado en /ip settings El Neighbor discovery puede ser deshabilitado por default en las interfaces dinámicas en el menú /ip neighbor discovery settings
•
Para habilitar/deshabilitar el descubrimiento (discovery) en la interface se debe usar el comando /ip neighbor discovery set (interface number/name) discover=yes/no
• • • • •
Muestra el last-logged-in en la lista de usuarios GRE soporta todos los protocolos de encapsulación, no solo IPv4 e IPv6 La etiqueta ‘Slave’ se muestra en las interfaces que están en bridge, bonding o grupo de switch El cliente SSH provee la nueva propiedad output-to-file , muy útil cuando se realiza scripting. Soporte para API sobre TLS (SSL). http://wiki.mikrotik.com/wiki/Manual:API
Academy Xperts
4
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
• • • • •
API se encuentra habilitado por default DNS reintenta las búsquedas con TCP si se reciben resultados truncados DNS rota los servidores únicamente en falla DNS cache guarda en bitácora los requerimientos de los tópicos "dns" y "packet"; WebFig ahora soporta autenticación RADIUS (vía MS-CHAPv2). o
• • • •
http://wiki.mikrotik.com/wiki/Manual:Webfig
Se agregó un nuevo parámetros en Web Proxy: max-cache-object-size Se incrementó el contador de conexiones Max client/server en el Web Proxy Si el cliente NTP está habilitado, el log muestra la hora y fecha correctas cuando el router ha realizado un reboot Trunking 802.1Q con el chip de switch Atheros. o
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
OpenFlow: Es la primera interfaz de comunicaciones estándar definida entre las capas de control y forward de una
arquitectura SDN. Permite el acceso directo y la manipulación del plano de forward de los dispositivos de red tales como switches y routers, tanto físicos como virtuales (basados en hypervisor) El OpenFlow basado en tecnologías SDN, permite direccionar el consumo de ancho de banda, adaptar la red a las necesidades cambiantes del negocio, y reducir las complejidad de las operaciones y de la administración. https://www.opennetworking.org/sdn-resources/openflow
SDN = Software-Defined Networking. Es la separación del
de la red del Un controla diferentes dispositivos. https://www.opennetworking.org/sdn-resources/sdn-definition Mac-Cookie: es una nueva función HotSpot, diseñado para mejorar la accesibilidad de los teléfonos inteligentes,
computadoras portátiles y otros dispositivos móviles. Si tenemos activado esto podremos: Primer inicio de sesión correcto. Mac cookie mantiene un registro de nombre de usuario y la contraseña de la dirección MAC si solo hay un HotSpot con tales MAC. Aparece un nuevo Host. HotSpot chequea si hay un registro de cookies mac para la dirección y los registros. •
PPP • • • • •
SSTP puede forzar una encriptación AES en lugar del RC4 por default El profile de PPP provee ahora los parámetros bridge-path-cost y bridge-port-priority Secrets muestra la fecha y hora de last-logged-out HotSpot y PPP ahora soportan múltiples address-lists Únicamente se crean 2 reglas de mangle mss para todas las interfaces PPP
Firewall • • • •
Nuevos comparadores (matchers) de interfaces all-ether, all-wireless, all-vlan, all-ppp Comparador con prioridad Nuevas opciones en change-dscp: from-priority y from-priority-to-high-3-bits Nuevas acciones de mangle: snif-tzsp, snif-pc
Wireless •
Opciones de Canales Wireless: se puede crear una lista de canales personalizados. o
http://wiki.mikrotik.com/wiki/Manual:Wireless_Advanced_Channels
DHCP • • •
El cliente DHCP ahora soporta opciones personalizadas El cliente DHCP v4 ahora tiene la opción special-classless para el parámetro add-default-route Se puede agregar la opción (Option 82) de información del agente relay. o
• • • •
http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay
Soporte de la opción DHCPv6 DNS Soporte de DHCPv6 Relay Soporte de ruta enmarcada DHCP server RADIUS Opción de configuración por entrega de IP (lease) DHCP
IPsec • • • • •
• • •
Se mejoró significativamente la configuración Road Warrior cuando se usa con el soporte Mode Configuration. Soporte Mode Conf (unity split include, address pools, DNS) IPsec peer puede ser configurado como pasivo: no iniciará una negociación ISAKMP SA Soporte Xauth ( xauth PSK e Hybrid RSA) Plantilla de políticas: permite generar una política solo si src/dst address, protocol y proposal coinciden con la plantilla Peer groups Se puede usar Multiple peers con la misma dirección IP. Para los peers con un sistema especificado de dirección IP completo se auto-iniciará una negociación ISAKMP SA.
Academy Xperts
5
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
• •
generate-policy puede ahora tener un valor port-strict que usará el puerto del peer's proposal La dirección origen (source address) de la fase 1 se puede ahora configurar
Certificados •
•
• • •
Las claves CA (CA keys) ya no son almacenados, cada operación CA ahora requiere un CA passphrase válido. Se usa el parámetro set-ca-passphrase para que el servidor SCEP almacene la clave CA (CA key) en forma encriptada Para los certificados marcados como trusted=yes, CRL se actualizará automáticamente una vez por hora desde las fuentes HTTP IPsec y SSTP respetan los CRLs Soporte para server/cliente SCEP El administrador de certificados puede ahora emitir certificados firmados por sí mismo.
Ruteo (Routing) • •
•
Nuevo parámetro use-dn en OSPF. Obliga a ignorar el DN bit en los LSAs. Se cambió la lógica de propagación BGP MED. Ahora se descarta cuando se envía una ruta con non-empty AS_PATH a un par externo Las rutas conectadas se vuelven inactivas cuando la interface se cae. Esto significa que los protocolos de ruteo dinámico detendrán la distribución de las rutas conectadas que no tengan la etiqueta Active.
Colas (Queues) • •
•
• • •
• •
•
Se mejoró el desempeño del uso de las colas simpes (simple queues) Se mejoró la administración de las colas (/queue simple y /queue tree), permitiendo el manejo de decenas de miles de colas Las entradas de /queue tree con parent=global se ejecutan en forma separada de las /queue simple y antes de las /queue simple Se crean por default los tipos de encolamiento (queue types): pcq-download-default y pcq-upload-default Las colas simples (simple queues) tienen configuraciones de prioridad separados para download/upload/total Los padres global-in, global-out, global-total en /queue tree se reemplazan con global que es el equivalente a globaltotal en la versión 5 Las colas simples se ejecutan en un lugar diferente: al final de los chains postrouting y local-in Los parámetros target-addresses e interface en colas simples se unen en un solo parámetro destino, ahora soporta múltiples interfaces para una sola cola dst y ahora soporta una interface como destino El parámetro dst-address en las colas simples se cambia a dst
Exportar una configuración configuración compacta • •
Ahora por default la configuración se exporta en modo compacto Para realizar un export completo de la configuración se debe usar el parámetro verbose /export verbose file=myConfig
Herramientas • • •
Soporte FastPath. http://wiki.mikrotik.com/wiki/Manual:Fast_Path Se renombró en e-mail el tls a start-tls y se agregó como un parámetro configurable La herramienta Fetch ahora tiene soporte para HTTPS. o
• • •
http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
Se agregó soporte de la cabecera IPv6 al generador de tráfico(traffic generator) Reproducción de archivos pcap dentro de la red usando el nuevo comando trafficgen inject-pcap La NAND Flash puede ser particionada en los routerboards y se pueden instalar versiones separadas de RouterOS en cada una de las particiones. o
http://wiki.mikrotik.com/wiki/Manual:Partitions
Licencias RouterOS Los dispositivos RouterBOARD vienen pre-instalados con una licencia RouterOS. Esto significa que si compra un dispositivo RouterBOARD no se debe hacer nada respecto a la licencia. En cambio, cuando se trabaja con sistemas X86 (por ejemplo PCs), ahí si se necesita obtener una clave de licencia (license key). La clave de licencia (license key) es un bloque de símbolos que necesitan copiarse desde su cuenta en mikrotik.com, o desde el email que usted recibe. Ejemplo de License Key recibido por email License key for your router, -----BEGIN MIKROTIK SOFTWARE KEY-----------LlCoU6wx6QFaGCbTieJCgAcloa4cPrF776F/9=Dxk+0+vZ39KBonqfyXrfBdrng3ajK/zFGr8KtgAcU gcwHLNA== -----END MIKROTIK SOFTWARE KEY-------------Ejemplo de License Key desde la cuenta en mikrotik.com
Academy Xperts
6
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
Se puede copiar la clave en cualquier lugar en la ventana terminal, o haciendo click en “Paste key” en el menú de Licencias de Winbox. Es necesario/requerido hacer un reboot para que la clave (key) tenga efecto (se active).
El esquema de licenciamiento de RouterOS se basa en el número de SoftwareID que está asociado al medio de almacenamiento (HDD, NAND). La información también se puede leer desde la consola del CLI /system license print software-id: 5ATP-QYIX nlevel: 4 features:
Niveles de Licencias Tenemos 6 tipos de licencias cuyas principales diferencias se muestran en la tabla a continuación: Nivel 0 (L0) : Demo (24 Horas) Nivel 1 (L1) : Free (Muy limitada) Nivel 3 (L3) : Es una licencia solo para estaciones Wireless o WISP CPE (Cliente WiFi, cliente o CPE). Para arquitecturas x86 la licencia Nivel 3 no pude ser adquirida de forma individual. Si se desea ordenar más de 100 licencias L3, se debe escribir un correo a [email protected] Nivel 4 (L4) : WISP (Requeridos para un Access Point) Nivel 5 (L5) : WISP (Mas Capacidades) Nivel 6 (L6) : Controlador ( Capacidades ilimitadas) • • •
• • •
Datos importantes sobre las Licencias: • •
• •
El nivel de licencia determina las capacidades permitidas en un Router RouterBOARD viene con una licencia pre-instalada, la misma que varía dependiendo del tipo de arquitectura del RouterBOARD. Para un sistema X86 deben adquirirse las licencias. Una licencia es válida solo para un equipo La licencia Nivel 2 (L2) fue una licencia transicional entre el formato de licencia old-legacy (pre v2.8). Estas licencias ya no están disponibles. Si usted posee este tipo de licencia L2, la misma trabajará, pero al hacer el upgrade usted tendrá que comprar una nueva licencia.
Academy Xperts
7
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
•
•
El protocolo dinámico BGP está incluido en la Licencia Nivel 3 (L3) únicamente para los RouterBOARDs. Para activar BGP en otros dispositivos se necesitará una licencia L4 o superior. Todas las licencias: o Nunca expiran o Incluyen soporte gratis vía email por 15 a 30 días o Pueden usar un número ilimitado de interfaces o Las Licencias únicamente son válidas para una sola instalación o Las licencias vienen con una capacidad de upgrade de software ilimitado
Realizando un Upgrade desde RouterOS v3 (2009)
*** Este tópico se desarrollará en la próxima versión del manual Usos Típicos: • • • •
Nivel 3: CPE, Clientes Wireless Nivel 4: WISP Nivel 5: Amplio WISP Nivel 6: infraestructuras internas ISP (Cloud Core)
Cambio de Niveles de Licencias No se puede actualizar el nivel de licencia. Si se desea usar un nivel de Licencia diferente, entonces se debe comprar el nivel apropiado/requerido. Se debe tener mucho cuidado cuando se compre la licencia, ya que se debe elegir el nivel de licenciamiento adecuado. Por qué no se puede cambiar el nivel de licencia (hacer upgrade)? Un ejemplo práctico sería actualizar el motor de un vehículo de 2L a 4L, para lo cual se requiere pagar la diferencia. Por este motivo no se puede cambiar de niveles de licenciamiento fácilmente. Esta es una política usada por muchas compañías de software. •
•
Uso de las Licencias Se puede formatear o hacer un re-flash al drive?
Formatear, y hacer una re-imagen del drive con herramientas que no son MikroTik (por ejemplo DD y Fdisk) destruirán su licencia. Se debe actuar con cautela y contactar al soporte de MikroTik antes de hacer esto. No se recomienda ya que el soporte de MikroTik podría negar su requerimiento para reemplazar una licencia. Por este motivo MikroTik provee las herramienta Netinstall o la instalación por CD. Con Cuántas computadoras se puede usar la licencia?
Al mismo tiempo, la licencia de RouterOS se puede usar únicamente en un solo sistema. La licencia está ligada al HDD (disco duro) en donde se instala. Sin embargo se puede mover el HDD a otro sistema de cómputo. No se puede mover la licencia a otro HDD. Si se formatea o se sobre escribe el HDD con la licencia RouterOS, se borrará todo el contenido del drive, y se deberá adquirir una nueva licencia. Si de forma accidental se removió la licencia, debe contactar al equipo de soporte para ayuda. Se puede usar e l HDD para algún a actividad diferente que RouterOS?
No se puede Se puede mover la licencia a otro HDD?
Si su HDD actual se destruye, o ya no puede ser usado, se puede transferir la licencia a otro HDD. Para ejecutar esta actividad, se deberá solicitar una clave (key) de reemplazo que costará 10 USD. Qué es la clave de reemplazo?
Es una clave especial que es emitida por el Equipo de Soporte MikroTik si es que usted accidentalmente perdió la licencia. El soporte de MikroTik decide si es o no su culpa de forma directa. Esta clave de reemplazo cuesta 10 USD y tiene las mismas características que la que perdió. Es posible que antes de que el equipo de soporte emita la clave, pueda pedirle prueba de que el viejo drive en verdad en verdad está dañado. En algunos caso esto puede implicar que deba enviar el drive muerto a MikroTik. Nota: Se puede emitir únicamente una clave de reemplazo por cada clave original. No se puede usar el procedimiento de reemplazo de clave dos veces para una sola clave. En estos casos se debe adquirir una nueva key. Para una revisión más detallada sobre Licenciamiento, le recomendamos visitar el siguiente link: http://wiki.mikrotik.com/wiki/Manual:License
Qué es RouterBOARD? Es una familia de soluciones de hardware con circuitos diseñados por MikroTik para responder a las necesidades de los clientes a nivel mundial. Todas las placas RouterBOARD operan con el sistema operativo RouterOS. Esta división de hardware se caracteriza por incluir su sistema operativo RouterOS y actualizaciones de por vida. Estos dispositivos tienen la ventaja de tener una excelente relación costo/beneficio comparados con otras soluciones en el mercado. Academy Xperts
8
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
Arquitecturas Soportadas:
Soluciones Integradas • • •
Estos productos se proporcionan completos con carcasas y adaptadores de corriente. Listo para usar y pre configurados con la funcionalidad más básica. Todo lo que necesitas hacer es conectarlo y conectarse a Internet o a una red corporativa.
RouterBOARD solamente
Son pequeñas placas madres que se venden "tal cual". Se debe elegir el modelo y solicitar adicionalmente, adaptador de corriente y las interfaces, todo esto por separado. Es ideal para el montaje de sistemas/implementaciones propietarias. Enclosures
Son cubiertas para interiores/exteriores, sirven para albergar los dispositivos RouterBOARD. La Selección se realiza en base a: Localización prevista El modelo del RouterBOARD El tipo de conexiones necesarias (USB, antenas, etc.). • • •
Interfaces •
•
Módulos Ethernet, fibra SFPs, o tarjetas de radio inalámbricas para ampliar la funcionalidad de los dispositivos RouterBOARD y PCs con RouterOS. Una vez más, la selección se basa según las necesidades.
Accesorios
Abarca toda la gama de dispositivos adicionales para los productos MikroTik, tales como: adaptadores de corriente, soportes, antenas e inyectores PoE.
Programa Made For MikroTik (MFM) Este programa consta de dos partes: “Mikrotik Certified Integrators” y “Mikrotik Certified Accessories” http://www.mikrotik.com/mfm Accesorios Certificados MikroTik (MikroTik Certified Accesories)
Son hechos por empresas homologadas de MikroTik, y que hacen los accesorios específicamente para productos MikroTik. Esto incluye productos compatibles con RouterBOARD, antenas externas y otros productos. Integrador Certificado MikroTik (MikroTik Certified Integrator)
Son empresas que hacen soluciones basados en un RouterBOARD MikroTik y RouterOS. Estos productos incluyen en el ensamblado de dispositivos CPE/AP, preinstalación de antenas integradas y soluciones para montaje en rack con RouterOS.
Por qué trabajar con un router integrado? Con este tipo de solución se puede atender muchas necesidades. Los routers integrados proveen poca o ninguna expansión, ya que vienen con una configuración de hardware fija (WiFi, puertos ethernet, memorias on-board, puertos USB) Esta es una solución simple, pero muy sólida para muchas necesidades. •
•
Nomenclatura de los productos RouterBOARD Los nombres de los routers son elegidos según características, y basados en una nomenclatura establecida. La abreviatura para RouterBOARD es RB Para complementar información se puede ir al siguiente link http://wiki.mikrotik.com/wiki/Manual:Product_Naming Formato para la nomenclatura de los productos:
Academy Xperts
9
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
Nombre de la tarjeta (board name)
Actualmente existen 3 tipos de nombres de tarjetas: •
Número de 3 dígitos o El primer dígito representa la serie o El segundo dígito indica el número de interfaces cabeladas potenciales (Ethernet, SFP, SFP+) o El tercer dígito indica el número de interfaces wireless potenciales (tarjetas embebidas, y slots mPCI y
mPCIe)
•
Usando una palabra (word).- Los nombres que actualmente se usan son: o OmniTIK o Groove o SXT o SEXTANT o METAL o Si la tarjeta (board) sufre un cambio fundamental en el hardware (como por ejemplo un CPU
completamente diferente) se agregará una revisión de versión al final
•
Nombres excepcionales.- Las tarjetas 600, 800, 1000, 1100, 1200, 2011 representan de forma independiente las
series, o tienen más de 9 interfaces cableadas, por lo que los nombres fueron simplificados a cientos totales o el año de desarrollo. Características de la Tarjeta
Las características de la tarjeta siguen a continuación de la sección Nombre de la Tarjeta (sin espacios o guiones), excepto cuando el nombre de la tarjeta es una palabra. Entonces las carácterísticas de la tarjeta se separan por un espacio. Las características que actualmente se usan son las siguientes. Están listadas en el orden en que son mayormente usadas U : USB P : Power Injection con Controlador i : Puerto simple Power Injector sin Controlador A : Más memoria (y usualmente el nivel de licencia más alto) H : Un CPU más potente G : Gigabit (puede incluir U, A, H si no se usa con L) L : Edición Light (ligera) S : Puerto SFP (uso legacy – dispositivos SwitchOS) e : Tarjeta de extensión PCIe x : Donde N es el número de núcleos (core) de CPU (x2, x9, x16, x36, x72, etc.) • • • • • • • • • •
Detalles de la tarjeta Wireless Embebida
Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
•
•
•
•
Banda (band) o 5 : 5 GHz o 2 : 2.4 GHz o 52 : Dual band. 5 GHz y 2.4 GHz Potencia por chain (power per chain) o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g Protocolo ( protocol) o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g o n : para tarjetas con soporte 802.11n o ac : para tarjetas con soporte 802.11ac Número de Chains (number_of_chains) (number_of_chains) o (not used) : single chain o D : dual chain o T : triple chain
Tipo de Conector (connector type) • • •
(not used) : únicamente una opción de conector en ese modelo MMCX : conector de tipo MMCX u.FL : conector de tipo u.FL
Tipo de Enclosure (enclosure type)
Academy Xperts
10
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
• •
• • • • • •
(not used) : Tipo de enclosure principal para un producto BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal ya viene en el case RM : enclosure para montar en rack (rack-mount enclosure) IN : enclosure para interiores (indoor enclosure) OUT : enclosure para exteriores (outdoor enclosure) SA : enclosure para antena sectorial (sector antenna enclosure) HG : enclosure para antena de alta ganancia (high gain antenna enclosure) EM : memoria extendida (extended memory)
Ejemplo: Decodificar la siguiente nomenclatura nomenclatura RB912UAG-5HPnD • • • •
RB : RouterBOARD 912 : Board de la serie 9na, con 1 interface cableada (Ethernet) y 2 interfaces wireless (embebida y miniPCIe) UAG : Tiene puerto USB, más memoria y puerto Gigabit Ethernet 5HPnD : Tiene una tarjeta embebida de 5GHz, de alta potencia, dual chain, con soporte 80211n.
Nomenclatura de los productos CloudCoreRouter El formato para la nomenclatura de estos productos es la siguiente:
Número de 4 dígitos • • •
El primer dígito representa la serie El segundo dígito es reservado El tercero y cuarto dígito indican el número total de núcleos por CPU en el dispositivo
Lista de Puertos • • •
G : número de puertos Gigabit Ethernet S : número de puertos SFP S+ : número de puertos SFP+
Tipo de Enclosure (enclosure type) • •
• • • • • •
(not used) : Tipo de enclosure principal para un producto BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal ya viene en el case RM : enclosure para montar en rack (rack-mount enclosure) IN : enclosure para interiores (indoor enclosure) OUT : enclosure para exteriores (outdoor enclosure) SA : enclosure para antena sectorial (sector antenna enclosure) HG : enclosure para antena de alta ganancia (high gain antenna enclosure) EM : memoria extendida (extended memory)
Nomenclatura de los productos CloudCoreSwitch El formato para la nomenclatura de estos productos es la siguiente:
Número de 3 dígitos • •
El primer dígito representa la serie El segundo y tercer dígito indican el número de interfaces cableadas (Ethernet, SFP, SFP+)
Lista de Puertos • • •
G : número de puertos Gigabit Ethernet S : número de puertos SFP S+ : número de puertos SFP+
Detalles de la tarjeta Wireless Embebida
Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
•
•
Banda (band) o 5 : 5 GHz o 2 : 2.4 GHz o 52 : Dual band. 5 GHz y 2.4 GHz Potencia por chain (power per chain)
Academy Xperts
11
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
•
•
o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g Protocolo ( protocol) o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g o n : para tarjetas con soporte 802.11n o ac : para tarjetas con soporte 802.11ac Número de Chains (number_of_chains) (number_of_chains) o (not used) : single chain o D : dual chain o T : triple chain
Tipo de Enclosure (enclosure type) • •
• • • • • •
(not used) : Tipo de enclosure principal para un producto BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal ya viene en el case RM : enclosure para montar en rack (rack-mount enclosure) IN : enclosure para interiores (indoor enclosure) OUT : enclosure para exteriores (outdoor enclosure) SA : enclosure para antena sectorial (sector antenna enclosure) HG : enclosure para antena de alta ganancia (high gain antenna enclosure) EM : memoria extendida (extended memory)
Por qué construir su propio Router?
Puede ayudar a solucionar una gran variedad de necesidades especificas que desea cubrir. Dependiendo del board que use, puede tener muchas ranuras de Expansión muy útiles. Gran variedad de complementos. Configuración personalizable. • •
Academy Xperts
12
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Capítulo 2: Primeros Pasos en RouterOS (Quick Set) Configuración Básica, WebFig, Quick Set, WinBox, Actualización Router, Paquetes
Configuración Básica o dejar el router en Blanco? •
•
•
Usted puede o no tener una configuración básica cuando recién ha instalado el equipo, debido a que el equipo provee una configuración inicial, por defecto, para permitirle usar el equipo sin previa configuración definida por el usuario. Usted puede optar por no tomar la configuración básica por defecto, o dejar en blanco los equipos para poderlo configurar a gusto del cliente, usuario o administrador. Puede visitar el siguiente link para revisar cómo se comportará el dispositivo: o
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
Configuración Configuración Básica
Dependiendo del hardware, se tendrá una configuración por defecto que puede incluir: Puertos WAN Puertos LAN DHCP client (WAN) y servidor (LAN) Reglas básicas de Firewall Reglas NAT Direccionamiento LAN IP por defecto Al momento de tener acceso por medio de WinBox, podrá revisar la configuración por defecto por medio de una ventana emergente inicial, que consta de opciones de visualización de configuración o de borrar configuraciones y dejar en blanco. En cualquier momento usted puede observar la configuración por defecto, con el comando: • • • • • •
/system default-configuration print
Al conectar por primera vez con WinBox, haga clic en OK. Después se revisará la opción: remove-configuration El router tiene la configuración básica por defecto que la muestra en una ventana Cuando el equipo es nuevo viene con varias configuraciones por defecto, entre las que sobresalen las siguientes: A partir del release v6.41; se crea un bridge ( bridge1) por defecto entre wlan1 , ether2, ether3, ether4 y ether5, eliminando la opción “master-port” . A este bridge1 se le asigna la dirección IP 192.168.88.1/24 Se crea un dhcp-server en bridge1 y el rango del pool es de 192.168.88.2 a 192.168.88.254 Se configuran reglas de /ip firewall fitler y /ip firewall nat que impiden que se pueda acceder al router por ether1 • •
•
• • •
Configuración Configuración en Blanco
Puede ser utilizado en situaciones en las que no se requiere la configuración básica por defecto. No hay necesidad de Reglas de firewall por defecto. No hay necesidad de Reglas de NAT por defecto • •
Academy Xperts
13
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Los pasos mínimos para configurar un acceso básico a Internet (si el router no tiene una configuración básica por defecto) Direcciones IP de LAN Puerta de enlace predeterminada y servidor DNS Dirección IP de la WAN Regla de NAT (enmascaramiento) Cliente SNTP y la zona horaria • • • • •
Opciones del Reset Configuration • • • •
Resetea a la configuración por default Conserva los usuarios RouterOS después del Reset Resetea a un Router y lo deja sin ninguna configuración (blank) Se puede ejecutar un script después del Reset
Botón de Reset Físico Cuando se usa el botón reset en el router: Se carga el respaldo (backup) del RouterBOOT Loader Se resetea cualquier configuración que tenga el router Se habilita el modo CAPs (AP Controlado) Se inicia en modo NetInstall • • • •
Ingresando al Router por Primera vez Dentro de las formas que tenemos para ingresar al router están las siguientes: WebFig (Web Browser) WinBox - http://www.mikrotik.com/download SSH Telnet Emulador de Terminal a través de conexión serial o puerto de consola (RS-232) • • • • •
WebFig - Ingreso por Web Browser Este método de ingreso puede ser usado cuando el router ya tiene algunos parámetros previamente configurados. Proporciona una manera intuitiva de conectarse a un router/dispositivo/PC (que tiebfrine instalado RouterOS) únicamente colocando en el navegador web la dirección IP asignada al router. Por defecto se utiliza 192.168.88.1 WebFig es un utilitario de RouterOS basado en Web que permite monitorear, configurar y hacer labores de troubleshooting en el router. Está diseñado como una alternatica al WinBox ya que ambos tienen similares diseños de menú de acceso a las opciones de RouterOS. WebFig se puede acceder directamente desde el router, esto quiere decir que no es necesario instalar ningún software adicional, tan solo tener un Web Browser con soporte JavaScript. WebFig es una plataforma independiente, por lo que puede ser usado directamente desde varios dispositivos móviles sin la necesidad del desarrollo de software específico. Algunas de las tareas que se pueden ejecutar con WebFig son: Configuración – Ver y editar la configuración actual Monitoreo – Mostrar el estatus actual del router, información de ruteo, estadísticas de interface, registros (logs), etc. Troubleshooting – RouterOS provee muchas herramientas para realizar troubleshooting (como ping, traceroute, packet sniffers, traffic generators, y otras) y todas las que puede ser usadas con WebFig. • • •
Academy Xperts
14
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
El servicio http de RouterOS puede escuchar también en IPv6. Para acceso vía browser debe ingresar la dirección IPv6, por ejemplo 2001:db8:1::4 Si se requiere conectar a la dirección local, se debe recordar especificar el nombre de la interface o el ID de la interface en Windows. Por ejemplo fe80::9f94:9396%ether1 Pasos para ingresar por Web browser:
Conecte al router con un cable Ethernet y posteriormente a su tarjeta de red. Abra un navegador (Mozilla, Chrome, Internet Explorer, etc.) Escriba en el browser la dirección IP por default: 192.168.88.1 Si se le solicita, inicie sesión. Nombre de usuario es admin y la contraseña está en blanco por defecto. Al momento de ingresar verá lo siguiente: • • • •
Skins Esta herramienta permite crear interfaces más amigables para el usuario. No puede ser considerado como una herramienta de seguridad total, ya que si el usuario posee los suficientes derechos de acceso, podrá acceder a los recursos ocultos. Diseño de Skins Si el usuario tiene los permisos adecuados (es decir que el grupo tiene permisos de edición) entonces tiene acceso a botón de Design Skin (Diseño de Skin). Los posibles operadores son: Hide menu – Ocutará todos los items y sus sub menús Hide submenu – Ocultará únicamente ciertos sub menús Hide tabs – Si los detalles de sub menú tienen varias pestañas, es posible ocultarlas por esta vía Rename menus, items – Hacer que ciertas características sean más obvias, o traducirlas a algún lenguaje Add note to to item (in detail view) – Agregar comentarios Make item read-only (in detail view) – Para campos muy sensibles en seguridad par ael usuario, los cuales pueden ser puestos en modo de “solo lectura” Hide flags (en modo de vista detallada) – Mientras es posible únicamente ocultar la bandera en modo detallado, esta bandera no será visible en la vista de lista y en modo detallado Add limits for field - (en modo de vista detallada) Donde está presente muestra la lista de tiempos que están separados por coma o por newline, de valores permitidos: • • • • • •
•
•
Academy Xperts
15
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
!
number interval '..' por ejemplo: 1..10 mostrará los valores para los campos con números, por
!
field prefix (Text fields, MAC address, set fields, combo-boxes). Si se requiere limitar la
ejemplo MTU size.
•
•
longitud del prefijo, se debe agregar el símbolo “$” al final Add Tab – Se agregará una cinta gris con una etiqueta editable que separará los campos. La cinta se añadirá antes de campo Add Separator – Agregará un campo horizontal de baja altura antes del campo
Quickset Es un menú especial de configuración que permite prepara el router a través de unos pocos clicks. Está disponible en WinBox y WebFig para: Dispositivos CPE (Licencia Nivel 3, una interface wireless, una interface ethernet) Dispositivos AP a partir de RouterOS v5.15 (Licencia Nivel 4, una interface wireless, más interfaces ethernet) • •
Academy Xperts
16
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
WinBox WinBox es un utilitario propietario de MikroTik que posee una rápida y simple interface GUI que permite el acceso a los routers con RouterOS instalado. Es un programa binario Win32, pero también puede correr en Linux y Mac OSX usando wine Casi todas las funciones de RouterOS están disponibles en WinBox, sin embargo algunas funciones avanzadas y configuraciones críticas únicamente están disponibles desde consola. Por ejemplo los cambios de las direcciones MAC en una interface. El WinBox se puede descargar desde el sitio web de MikroTik o del router. o
http://www.mikrotik.com/download
Se puede para acceder al router a través de IP (capa 3 OSI) o MAC (capa 2 OSI). Utilizando Winbox • • • • •
Haga clic en el ícono de WinBox, para abrir la aplicación y darle click en refresh. Escriba la dirección IP 192.168.88.1 Haga clic en Conectar Esperar a que se cargue la interfaz completa: Haga clic en OK
También se puede ingresar el número del puerto después de la dirección IP, separándolo con “:”, como por ejemplo 192.168.88.1:9999
El puerto se puede cambiar en el menú de Servicios de RouterOS Importante: Se recomienda utilizar la dirección IP siempre que sea posible. Las sesiones MAC utilizan broadcast de red y no es 100% confiable. Se puede utilizar el “discovery neighbor” para listar los routers disponibles. Debe hacer click en el botón “Neighbor”
Academy Xperts
17
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Si se hace click en la dirección IP entonces se realiza la conexión por Capa 3 (Layer 3). Si se hace click en la dirección MAC entonces se realiza la conexión por Capa 2 (Layer 2). Importante: La opción Neighbor Discovery mostrará también los dispositivos que no son compatibles con WinBox, como por ejemplo los routers Cisco y cualquier otro dispositivo que utilice el protocolo CDP (Cisco Discovery Protocol).
Home AP Usage • •
• • • •
Local Network Internet o Automático o Estático o PPPoE Wireless, Guest Wireless WPS VPN Access (PPTP) DynamicDNS (ipcloud)
Escenario
Local Network
Configurar Red LAN para poder ingresar al Router MikroTik por medio de capa 3. Ingresar por Capa 2 es un poco inestable
Luego Configurar una dirección IP en su PC, que este dentro del mismo segmento de Red
Academy Xperts
18
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Internet Tenemos 3 opciones por las cuales podemos configurar la salida a internet. Estático Automático PPPoE • • •
Internet Automático La opción Automático hará lo siguiente: Creara un DHCP-Client en la interfaz WAN (ether1) Configura DNS Configura Ruta por defecto • • •
Verificar • •
New Terminal: ping 8.8.8.8 New Terminal: ping google.com
Internet Estático Con la opción Internet – Estático debemos manualmente: Configurar una dirección WAN Configurar DNS Configurar Ruta por defecto • • •
Verificar • •
New Terminal: ping 8.8.8.8 New Terminal: ping google.com
Internet PPPoE Con la opción internet – PPPoE nosotros: Nos conectamos a un servidor PPPoE Nos provee una conexión sobre capa 2 Nos administra direccionamiento WAN automáticamente • • •
Academy Xperts
19
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
•
Nos configura ruta por defecto
DHCP Server / Client El protocolo DHCP (protocolo de configuración dinámica de host) se utiliza para la fácil distribución de direcciones IP en una red. El RouterOS Mikrotik incluye ambas partes: Servidor /Cliente. El router soporta un servidor DHCP individual por cada interface Ethernet. El servidor Mikrotik con las funciones principales que es la de brindar a un cliente asignaciones de una dirección IP con su respectiva mascara IP, como también la dirección de la puerta de enlace (gateway) y la del servidor DNS. La interface que aloja el servidor DHCP debe tener su propia dirección IP y que a la vez no debe estar incluida en el pool de direcciones que los clientes van a recibir cuando lo soliciten. El protocolo DHCP se encuentra en la capa de Red del mapa de protocolos.
Escenario de comunicación DHCP DHCP Server siempre escucha en el puerto 67/UDP. DHCP Client escucha en el puerto 68/UDP. La negociación inicial involucra la comunicación entre direcciones broadcast. En algunas fases el “sender” usa dirección origen 0.0.0.0 y/o direcciones destino 255.255.255.255. Se debe tener cuidado de eto cuando se construye un firewall. El proceso para asignaciones de una dirección IP para un cliente es el siguiente: • • • • •
•
•
•
•
DHCP-DISCOVER. src-mac=, dst-mac=, ip=255.255.255.255:67 DHCP-OFFER. src-mac=, dst-mac=, ip=255.255.255.255:67 DHCP-REQUEST. src-mac=, dst-mac=, ip=255.255.255.255:67 DHCP-ACKNOWLEGMENT. src-mac=, dst-mac=, ip=255.255.255.255:67
Academy Xperts
protocol=udp,
protocol=udp,
protocol=udp,
protocol=udp,
src-ip=0.0.0.0:68,
src-ip=:67,
src-ip=0.0.0.0:68,
src-ip=:67,
dst-
dst-
dst-
dst-
20
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
DHCP Server Setup
La interface que va a ser configurada como DHCP-Server debe tener su propia dirección y al mismo tiempo esa dirección no debe ser incluida en el pool de una dirección. Un pool es un rango d direcciones que estarán disponibles para los clientes.
En la ventana de DHCP-Server, se presiona el botón DHCP Setup y luego se sigue con los requisitos que se piden:
Academy Xperts
21
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
1.
Interface a la que va a ser asignado el servidor DHCP:
2. Dirección de red:
3. Puerta de enlace:
4.
Pool de dirección para los clientes DHCP:
5.
DNS server (se puede usar más de uno):
Academy Xperts
22
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
6. Tiempo de asignaciones:
7.
Luego esto presionamos next y de esta forma se termina el proceso:
En la ventana se puede ver el DHCP server Creado. En esta configuración automática (ejecutando el DHCP Setup) se genera los siguientes parámetros: Se crea un pool de dirección: un grupo de dirección para asignar a los clientes. Se crea el servidro DHCP: su nombre y parámetros (como la interface que aceptará solicitudes de los clientes). Se crea el espacio de direcciones: la dirección IP de red y varios parámetros. • • •
NOTA IMPORTANTE: si usted tiene un ambiente en bridge, el servidor DHCP debe estar configurado en la interface del bridge. Si se configura el DHCP Server en un puerto que forma parte del bridge, el servidor DHCP no funcionara. DHCP CLIENT
Permite que una interface Ethernet pueda solicitar una dirección IP Un DHCP Server remoto entregará: o Dirección IP o Máscara y Gateway o Direcciones de DNS server El DHCP Client proveerá estas opciones o Hostname o ID de cliente (en este caso, la dirección MAC) •
•
DNS DNS es un sistema jerárquico distribuido de nombres para computadoras, servicios o cualquier recurso que esté conectado a Internet o a una red privada. Asocia As ocia información variada con los nombres de dominio domini o asignados a cada una de las entidades que participan. Traduce los nombres de dominio (que pueden ser fácilmente memorizados) a direcciones IP. El DNS es un componente esencial para la mayoría de los servicios de Internet ya que constituye el servicio de directorio primario de Internet. Componentes Para la operación práctica del sistema DNS se utilizan tres componentes principales: Academy Xperts
23
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
•
•
•
Los Clientes fase 1: Un programa cliente DNS que se ejecuta en la computadora del usuario y que genera peticiones DNS de resolución de nombres a un servidor DNS (Por ejemplo: ¿Qué dirección IP corresponde a academyxperts.com?); Los Servidores DNS: Que contestan las peticiones de los clientes. Los servidores recursivos tienen la capacidad de reenviar la petición a otro servidor si no disponen de la dirección solicitada. Y las Zonas de autoridad, porciones del espacio de nombres raros de dominio que almacenan los datos. Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos últimos no son delegados a otras zonas de autoridad.
Mikrotik DNS Caché
El Caché DNS se utiliza para minimizar los requerimientos DNS hacia un servidor DNS externo, así como también para disminuir el tiempo de resolución DNS. Es un Caché DNS simple con ítems locales. Cuando en un router Mikrotik se activa la característica de DNS se lo puede configurar como un DNS server para cualquier cliente DNS-compatible. Más aun, el router Mikrotik puede especificarse como un Servidor DNS Primario en las configuraciones de DHCP Server. Cuando está habilitada la opción de requerimientos remotos (allow-remote-request), el router Mikrotik responde a los requerimientos DNS TCP y UDP en el puerto 53. La facilidad DNS se usa para proveer la resolución de nombres de dominio para el mismo router y también para los clientes conectados a él.
Wireless La opción Wireless nos permite configurar una Red Wi-Fi de una manera mas optima, permitiendo la capacidad de elegir en que banda va a trabajar y con que estándar va a manejar Nos permite configurar un clave de seguridad Modifica el Security-profile por default y configura la clave generada anteriormente y con los métodos de autenticación y encriptación mas seguros
Los usuarios que se conectan a la red Wireless estarán dentro del mismo segmento de Red LAN
Academy Xperts
24
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Estandar 802.11 El estándar IEEE 802.11 define el uso de los dos niveles inferiores de la arquitectura OSI (capas físicas y de enlace de datos), especificando sus normas de funcionamiento en la WLAN. Los protocolos de la rama 802.x definen la tecnología de redes de área local y área metropolitana. El sistema se divide en celdasa las cuales se denominan BSS (Basic Service Set) el cual esta formado por nodoslos que pueden ser fijos o móviles, llamados estaciones. Recuerde: MikroTik RouterOS opera en 5GHz (802.11 a/n/ac) y 2.4 GHz(802.11 b/g/n). Estándares Wireless
Bandas (RouterOS) Los estándares 802.11b/g/n (en 2.4GHz) utilizan el espectro de 2.400 a 2.500 GHz. Los estándares 802.11a/n/ac (en 5GHz) utilizan el espectro de 4.915 a 5.825 GHz, el cual es fuertemente regulado en diferentes países. Estos rangos se los conoce generalmente como las bandas de 2.4 GHz y 5 GHz. Cada espectro a su vez se subdivide en canales, y poseen una frecuencia central y un ancho de banda específico. RouterOS trabaja en las bandas 2.4 GHz y 5 GHz. El mismo estándar IEEE 802.11 también establece lo que se conoce como una máscara espectral (máscara de canal o máscara de transmisión) cuyo objetivo es reducir la interferencia de los canales adyacentes limitando la radiación excesiva en frecuencias que van más allá del ancho de banda necesario.
El término Interferencia del Canal Adyacente se refiere a la degradación del desempeño como resultado de la sobre posición (overlapping) del espacio de frecuencia que ocurre debido a un diseño inapropiado de reuso de canal. Se considera un canal adyacente al canal próximo o previo al canal en el cual se está trabajando. En el caso de la gráfica anterior, el canal 3 es adyacente al canal 2.
Basic Rate Las tasas básicas (basic rates) corresponden a la tasa de datos de clientes
Academy Xperts
25
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
basic-rates: son las tasas de velocidad mínima que un cliente debería soportar al momento de conectarse a un AP.
•
Para que haya comunicación entre el AP y el Cliente, ambos deberán tener el mismo basic-rate. Tasas Básicas (802.11b) basic-rates-b (11Mbps | 1Mbps | 2Mbps | 5.5Mbps; Default: 1Mbps) • Especifica la lista de tasas básicas (basic rates) usadas por las bandas 2.4ghz-b, 2.4ghz-b/g y 2.4ghz-onlyg • El Cliente se conectará con el AP únicamente si soporta todas las básicas anunciadas por el AP. • El AP podrá establecer un enlace WDS únicamente si soporta todas las tasas básicas del otro AP • Esta propiedad tiene efecto únicamente en los modos AP, y cuando se configura un valor en el parámetro rate- set
Tasas Básicas (802.11a/g) (802.11a/g) basic-rates-a/g (12Mbps|18Mbps|24Mbps|36Mbps|48Mbps|54Mbps|6Mbps|9Mbps; Default:6Mbps) • Similar a las propiedades de las tasas básicas b (basic-rates-b), (basic-rates-b) , pero utilizadas para las bandas 5ghz, 5ghz-10mhz, 5ghz-5mhz, 5ghz-turbo, 2.4ghz-b/g, 2.4ghz-onlyg, 2ghz-10mhz, 2ghz-5mhz y 2.4ghz-g-turbo.
Tasas Básicas (802.11ac) vht-basic-mcs vht-basic-mcs (none | MCS 0-7 | MCS 0-8 | MCS 0-9; Default: MCS 0-7 ) • • •
Esquemas de codificación y modulación que debe soportar cada cliente que se conecta. Se refiere a la especificación MCS de 802.11ac Se puede configurar el intervalo MCS para cada Stream Stream Espacial (spatial stream) o none – No se s e utilizará utiliz ará el Stream Espacial Espaci al seleccionado selecc ionado o MCS 0-7 – El cliente debe soportar MCS-0 a MCS-7 o MCS 0-8 – El cliente debe soportar MCS-0 a MCS-8 o MCS 0-9 – El cliente debe soportar so portar MCS-0 a MCS-9
Academy Xperts
26
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Wireless Guest La opción Wireless – Guest creara: Una Red Wi-Fi secundaria para los invitados Solo hace crear un AP-Virtual en la tarjeta Wireless Los clientes que se conectan a esta red estarán dentro del mismo segmento de red LAN • • •
WPS Permite por 2 minutos a equipos clientes que soporten WPS conectarse a la red sin la necesidad de ingresar la contraseña de la Red Wi-Fi
Clientes WPS
VPN Access – PPTP Esta opción nos permite crear una VPN para que desde cualquier ubicación geográfica nos podamos conectar de manera segura a toda nuestra Red LAN. Siempre y cuando nuestro Router tenga configurada una dirección publica.
DynamicDNS – IP Clud A partir de RouterOS v6.14 ofrece un servicio de nombres DNS dinámicos para dispositivos RouterBoard. Esto significa que el dispositivo puede obtener automáticamente un nombre de dominio de trabajo, esto es útil si cambia de dirección IP a menudo, y que siempre quieren saber como conectarse a su Router.
Academy Xperts
27
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
CPE Usage Configuración Router Bridge Wireless • •
Configuración Modo Router Modo Router te permite conectarte a una Red Wi-Fi y obtener direccionamiento IP de forma: automática, estática o PPPoE Para luego poder configurar una Red LAN
Academy Xperts
28
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Wireless
Wireless Network
Local Network
Configuración Modo Bridge Te va a permitir pasar el direccionamiento IP del AP a las red LAN del equipo CPE
Brigde trabaja en la capa 2 del modelo OSI. El Bridge Ethernet trabaja con el protocolo CSMA/CD, el cual le permite censar y escuchar la red antes de transmitir. Cuando algunos equipos al mismo tiempo transmiten, se generan colisiones que hacen que la red colapse. Permite interconectar segmentos de red o a su vez los divide transfiriendo datos de una red a otra en base a su dirección física MAC. El termino bridge formalmente, responde a un dispositivo que se comporta de acuerdo al estándar IEEE 802.1D.
Academy Xperts
29
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Creación de un bridge en RouterOS.
Academy Xperts
30
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Mediante la eliminación elimi nación de configuración maestro (master) y esclavo (slave), se debe utilizar una inteface bridge para vincular a los puertos requeridos en una sola LAN. Ventajas: Completa visibilidad de todas las estadísticas de puerto de los puertos involucrados. •
Desventajas: La función de switch se hace a través de software, por lo que provee una velocidad de transferencia de paquetes menos óptima. •
Release de RouterOS • • •
Bugfix Only – Correciones, No hay nuevas Caracteristicas Current – Las mismas correciones + Nuesvas Caracteristicas Release Candidate – Proximo Release en que se esta trabajando
Actualizando el router Cuando realizar una Actualización
Si el router MikroTik se encuentra desactualizado, podemos realizar en cualquier momento la actualización siempre y cuando intentemos mejorar o corregir lo siguiente: Corregir un error conocido. Cuando se necesita una nueva característica. Mejora del rendimiento. • • •
Academy Xperts
31
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
NOTA: Leer la lista de cambios antes de realizar un Upgrade, en especial si tiene una versión inferior a la v6. http://wiki.mikrotik.com/wiki/Manual:RouterOS6_news El Procedimiento •
•
•
Se requiere una planificación. o Los pasos posiblemente tengan que hacerse en un orden preciso y con planificación previa. Se requiere pruebas ... o Antes de que ponga en acción la nueva actualización, es necesario realizar pruebas en ambientes controlados, o sino realizar un backup de la configuración anterior, como medida de contingencia en caso de que la nueva actualización no funcione como se espera. Recomendaciones: Si el dispositivo funciona correctamente no se recomienda realizar un upgrade, de preferencia mantenerse con la configuración anterior.
Antes de realizar una actualización
Es importante saber la arquitectura soportada (mipsbe, ppc, x86, mipsle, tile) en la cual se va a realizar la actualización. Winbox indica la arquitectura del equipo.
Debe conocer qué ficheros se necesitan: NPK: paquete de actualización de RouterOS (siempre que se realiza un Upgrade y para usar el Netinsta Netinstall) ll) ZIP: Paquetes adicionales (sobre la base de las necesidades) Verificar los Cambios: proceso de verificación post-actualización que valida el cambio efectuado en su dispositivo y el correcto funcionamiento (siempre que se realiza un upgrade) • • •
Cómo hacer un Upgrade Existen tres maneras Descargar archivos y copiar en el router Buscar actualizaciones (System -> Packages) Actualizaciones Actualizac iones automáticas (System -> Automatic Updates) Se sugiere mantener siempre actualizado su RouterOS para mejor funcionamiento ya que siempre los desarrolladores están añadiendo nuevas funciones y mejorando el rendimiento y la estabilidad mediante la liberación de actualizaciones. • • •
Requisitos y sugerencias
Cuando se utiliza un dispositivo RouterBOARD, siempre se sugiere actualizar el podrá actualizar el RouterOS. Para hacer esto, ejecutar el comando
RouterBoot bootloader ,
después ya se
/system routerboard upgrade
Descargando los archivos
Copiar los archivos en el router por medio de la ventana File. Por ejemplo: routeros-mipsbe-6-28.npk ntp-6.28-mipsbe.npk Reiniciar el equipo /system reboot Comprobar que se realizó la actualización Para realizar este proceso lo principal que debemos hacer es tener descargado los paquetes de actualización que necesitamos. Primer paso es visitar la web: http://www.mikrotik.com y y nos dirigiremos a la página de descarga (downloads). Una recomendación es descargar paquetes combinados en vez de solo la versión que desea, ya que en estos paquetes combinados, vendrán con todas las funciones incluidas, tales como, paquetes adicionales para la actualización requerida. • • • •
• •
Academy Xperts
32
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Buscar actualizaciones • • • •
A través del menú System / Packages Presionar el botón Ckeck for Updates a continuación Download & Upgrade Luego el equipo se reiniciará automáticamente Verificamos la instalación de los paquetes y el estado del router
Desde el lanzamiento del RouterOS v5.21, se añadió la actualización automática. Para actualizar la versión de RouterOS, todo lo que se necesita hacer es hacer clic en un botón Check For Updates. Esta característica está disponible en la línea de comandos, Winbox GUI, Webfig GUI y QuickSet. La función de actualización automática se conecta a los servidores de descarga descarga MikroTik, y comprueba si hay una nueva versión de RouterOS para su dispositivo. En caso afirmativo, se muestra una lista de cambios, y el botón de actualización se mostrará. Al hacer clic en el botón Actualizar, los paquetes de software se descargarán automáticamente, y el dispositivo se reiniciará. Incluso si usted tiene un sistema con paquetes personalizados instalados, solo los paquetes que usted desea tener en su equipo se descargarán. El proceso es fácil y rápido, con el uso de los servidores FTP.
Actualización automática Copie los archivos requeridos en uno de los routers para que sirva como fuente del archivo de actualización. Configurar todos los router para que apunten hacia el router interno • •
Objetivos •
Hacer un router como punto central de la red con las actualizaciones, que actualizará el RouterOS en otros routers.
Academy Xperts
33
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
• • • • •
Subir los paquetes RouterOS necesarios para este router. Mostrar los paquetes disponibles Se selecciona y se descarga los paquetes deseados Reiniciar y luego verificar el estado del router Comprobar la versión actual
[admin@Mikrotik] > /system RouterBOARD print RouterBoard: yes Model: 951Ui-2HnD Serial-number: 458802555182 Current-firmware: 3.18 Upgrade-firmware: 3.18
RouterBoot firmware Upgrade Es una de las opciones más rápidas y seguras para realizar una actualización por medio de línea de comando utilizando el software de Winbox. Actualizar si es necesario (esto es un ejemplo): /system RouterBoard Upgrade Do you really want to Upgrade firmware? [y/n]: Yes Echo: system, info, critical firmware Upgrade successfully, please reboot for changes to take effect! Reboot, yes? [y/N]:
Paquetes de RouterOS advanced-tools (mipsle, mipsbe, ppc, x86) – herramientas avanzadas de. netwatch, ip-scan, sms tool, wake-onLAN dhcp (mipsle, mipsbe, ppc, x86) – client y server DHCP (Dynamic Host Control Protocol) hotspot (mipsle, mipsbe, ppc, x86) – servidor de portal cautivo HotSpot para administración de usuarios ipv6 (mipsle, mipsbe, ppc, x86) – soporte de direccionamiento IPv6 mpls (mipsle, mipsbe, ppc, x86) – soporte de MPLS (Multi Protocol Labels Switching) ppp ppp (mipsle, mipsbe, ppc, x86) – cliente MlPPP, clientes y servers PPP, PPTP, L2TP, PPPoE, ISDN PPP routerboard (mipsle, mipsbe, ppc, x86) – acceso y manejo del RouterBOOT. Información específica del RouterBOARD. routing (mipsle, mipsbe, ppc, x86) – protocolos de ruteo dinámico como RIP, BGP, OSPF y utilitarios de ruteo como BFD, filtros para rutas. security (mipsle, mipsbe, ppc, x86) – IPSEC, SSH, Secure WinBox system (mipsle, mipsbe, ppc, x86) – características de ruteo básico como ruteo estático, direccionamiento ip, sNTP, telnet, API, queues, qu eues, firewall, web proxy, DNS cache, TFTP, IP pool, SNMP, packet sniffer, sniffer , e-mail send tool, graphing, bandwidth-test, torch, EoIP, IPIP, bridging, VLAN, VRRP etc.). También, para la plataforma RouterBOARD MetaROUTER | Virtualization wireless (mipsle, mipsbe, ppc, x86) – soporte para la interface Wireless. Algunas veces se liberan sub-tipos. Por ejemplo wireless-fp se introdujo para soportar FastPath, wireless-cm2 se introdujo para soportar CAPsMAN v2 y wireless-rep se introdujo para soportar el modo repetidor. Ocasionalmente estos paquetes se liberan en forma separada, antes de que las nuevas características se puedan fusionar en un solo paquete principal de Wireless. •
• • • • • •
•
• •
•
Paquetes extra de RouterOS calea (mipsle, mipsbe, ppc, x86) – herramienta de recolección de datos para usos específicos requeridos por la "Communications Assistance for Law Enforcement Act" en USA gps gps (mipsle, mipsbe, ppc, x86) – soporte a dispositivos GPS (Global Positioning System) multicast (mipsle, mipsbe, ppc, x86) – PIM-SM (Protocol Independent Multicast - Sparse Mode); IGMP-Proxy (Internet Group Managing Protocol – Proxy) ntp ntp (mipsle, mipsbe, ppc, x86) – NTP (Network Time Protocol server), también incluye un cliente NTP sencillo. El cliente NTP también está embebido en el system package y funciona sin que éste paquete ( ntp ntp) esté instalado. openflow (mipsle, mipsbe, ppc, x86) – habilita el soporte para OpenFlow ups ups (mipsle, mipsbe, ppc, x86) – interface de administración ups APC user-manager (mipsle, mipsbe, ppc, x86) – servidor MikroTik User Manager para cntrolar el Hotspot y otros servicios de usuario. •
• •
•
• • •
Configurando un password Por defecto al iniciar en un equipo mikrotik iniciamos con estas credenciales: Usuario: admin Clave: en blanco Con la opción (system – Password) se puede definir una contraseña de administración para el usuario “admin” • •
Academy Xperts
34
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
System identity A pesar de que no es una herramienta, es importante para establecer la identidad del sistema No se puede establecer a 100 router y que todos tengan el mismo nombre “Mikrotik”. Esto hace casi imposible la resolución de problemas. Una vez establecido, se hará la identificación del router con el cual se está trabajando y hará mucho más simple la identificación Sintaxis •
•
•
/system identity print Name: Mikrotik
/system identity set name=my-router name =my-router /system identity print Name: my-router
Administración de los respaldos (backup) de las configuraciones Los backup de configuración se pueden utilizar para realizar copias de seguridad de la configuración de un RouterOS MikroTik en un archivo binario, que puede ser almacenada en el router o descargado a través de FTP para su uso futuro. La opción restore (restauración) se puede utilizar para recuperar la configuración del router, tal y como era en el momento de la creación de la copia de seguridad, a partir de un archivo de backup. La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la pantalla de la consola o a un archivo de texto, que se puede descargar desde el router mediante el protocolo FTP. Tipos de Backups • •
Backup Binario Comando export
Academy Xperts
35
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Primeros Pasos en RouterOS
Backup Binario
Realiza un respaldo completo del sistema Incluye contraseñas y usuarios Los archivos de backup serán guardados por defecto en el mismo router. Se recomienda que el archivo backup se guarde en una PC o en una unidad externa ya que resultaría ilógico que se guarde en el mismo dispositivo. Se pueden generar “n” archivos de backup, y se guarda por defecto, con nombre del host, año, fecha, hora. • • •
Comando export Se puede visualizar la configuración completa o parcial Se usa el comando comando compact para mostrar la configuración no predeterminada La sentencia print permite visualizar la configuración parcial o total. Si se ingresa en la pagina principal únicamente el comando export, entonces se respalda toda la configuración del router • • •
/export file = nombre_del_archivo •
El comando export NO respalda los usuarios del router.
/ip firewall filter export # jan/01/2014 01:58:17 by RouterOS 5.24 # software id = PEVF-794H # /ip firewall filter Add action=Accept chain=input comment=”default configuration” disabled=no \ Protocol=icmp Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=established Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=related Add action=drop chain=input comment=”default configuration” disabled=no di sabled=no \ Protocol=ethernet-gateway
Guardar archivos de Backup Una vez que se han generado los archivos de respaldo, se recomienda copiarlos en un servidor o Por medio de SFTP en la forma recomendada o FTP (Se lo habilita en el menú IP Services o Arrastrar y Soltar usando la ventana Files Dejar los archivos de respaldo en el router no es una buena práctica o al menos no es algo recomendado. Los routers no hacen respaldos en cintas o en CDs. •
•
Academy Xperts
36
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 3: Firewall Básico
Capítulo 3: Firewall Básico Conceptos Básicos, Estructura, chain, action, filter, src-nat, dst-nat
Conceptos básicos de Firewall Un firewall es un dispositivo o sistema de seguridad de red que permite (en base a un conjunto de reglas) controlar el tráfico que ingresa y sale a la red. Generalmente un firewall crea una barrera entre una red que se considera segura (usualmente la red interna o LAN) y otra red que se asume no es segura (comúnmente red externa, y/o Internet). El firewall filtra el tráfico entre dos o más redes. Los routers que gestionan el tráfico entre redes contienen componentes de firewall, y de igual manera algunos firewalls pueden desempeñar ciertas funciones de ruteo, pudiendo incluso proveer servicios de túneles (VPN), asignación de direcciones pro DHCP, y otros.
•
•
•
•
•
•
•
•
En la actualidad, un firewall es una herramienta indispensable para proteger nuestra conexión a Internet. El hecho de hacer uso de una conexión a Internet puede ser causa de múltiples ataques a nuestro equipo de cómputo desde el exterior, cuanto más tiempo estemos en línea, mayor es la probabilidad de que la seguridad de nuestro sistema se vea comprometida por un intruso desconocido. Por lo tanto, ya no solamente es necesario tener instalado y actualizado un software antivirus y un software antispyware sino también es totalmente recomendable mantener instalado y actualizado un software de firewall. Un firewall firewal l es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red privada. P ueden implementarse firewalls en hardware, software o en ambos. Los firewalls se utilizan con frecuencia para impedir que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet. El firewall MikroTik protege al equipo frente a ataques de Internet, contenidos Web peligrosos, análisis de puertos y otros comportamientos de naturaleza sospechosa. El Firewall implementa filtrado de paquetes y de este modo provee funciones de seguridad, que son usadas para administrar los datos que fluyen hacia, desde, y a través del router: Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes conectadas directamente y al router en sí mismo. Y también sirve como un filtro para el tráfico de salida. RouterOS funciona como un Stateful Firewall, lo cual significa que desarrolla una inspección del estado de los paquetes, y realiza el seguimiento del estado de las conexiones de red que viajan a través del router RouterOS también soporta: Source y Destination NAT o NAT o Helpers para las aplicaciones populares o UPnP El firewall provee marcado interno de conexiones, Routing y paquetes.
¿Cómo funciona un firewall? El Firewall opera usando reglas. Esta tiene 2 opciones: The matcher : Todas las condiciones tienes que ser verificadas y deben coincidir, para poder aplicar. The Action : Una vez que todos los parámetros coinciden y pasa la primera verificación, se procede con la acción. El matcher analiza y compara estos siguientes parámetros: Source MAC address IP addresses (network or list) y address types (broadcast, local, multicast, unicast) Port o port range Protocol Protocol options (ICMP type y code fields, TCP flags, IP options) Interface por donde el paquete llega o sale DSCP byte Y muchos mas… RouterOS puede filtrar por: Dirección IP, rango de direcciones, puerto, rango de puertos Protocolo IP, DSCP y otros parámetros Soporta Listas de Direcciones estáticas y Dinámicas • •
• • • • • • • •
• • •
Academy Xperts
37
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 3: Firewall Básico
Puede hacer match de paquetes por patrón en su contenido, especificado en Expresiones Regulares, conocido como Layer 7 matching El Firewall de RouterOS también soporta IPv6 Un firewall constituye una especie de barrera delante de nuestro equipo, esta barrera examina todos y cada uno de los paquetes de información que tratan de atravesarlo. En función de reglas previamente establecidas, el firewall decide qué paquetes deben pasar y cuáles deben ser bloqueados. Muchos tipos de firewalls son capaces de filtrar el tráfico de datos que intenta salir de nuestra red al exterior, evitando así que los diferentes tipos de código malicioso como caballos de Troya, virus y gusanos, entre otros, sean efectivos. El firewall actúa de intermediario entre nuestro equipo (o nuestra red local) e Internet, filtrando el tráfico que pasa por él. Un firewall, como ya se ha descrito, intercepta todos y cada uno de los paquetes destinados a nuestro equipo y los procedentes de él, realizando este trabajo antes de que algún otro servicio los pueda recibir. De lo anterior podemos concluir que un firewall puede controlar todas las comunicaciones de un sistema a través de Internet. Se dice que un puerto de comunicaciones está abierto si el sistema devuelve una respuesta al llegar un paquete de petición de establecimiento de conexión. En caso contrario el puerto se considera cerrado y nadie puede conectarse a él. El punto fuerte de un firewall reside en que al analizar cada paquete que fluye a través del mismo, puede decidir si lo deja pasar en uno u otro sentido, y puede decidir si las peticiones de conexión a determinados puertos deben responderse o no. Los firewalls también se caracterizan por su capacidad para mantener un registro detallado de todo el tráfico e intentos de conexión que se producen (lo que se conoce como un log). Estudiando Estudi ando los registros o logs es posible determinar los orígenes de posibles ataques y descubrir patrones de comunicación que identifican ciertos programas maliciosos. Sólo los usuarios con privilegios administrativos pueden acceder a estos registros, pero es una característica que se le puede exigir a estas aplicaciones. •
http://wiki.mikrotik.com/wiki/Firewall
Flujo de Paquetes Todas las comunicaciones de Internet se realizan mediante el intercambio o flujo de paquetes o datos, que son la unidad mínima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino, independientemente de donde se encuentren las máquinas que se comunican, debe llevar anexada la información referente a la dirección IP de cada máquina en comunicación, así como el puerto a través del que se comunican. La dirección IP de un dispositivo lo identifica de manera única dentro de una red. Los puertos de comunicación también son una parte muy importante de la que el Firewall deberá verificar y controlar también, debido a que la mayoría de comunicaciones se realizan bajo protocolos los cuales realizan el envió de paquetes mediante puertos tales como: TCP es el protocolo de comunicación que garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron. TCP usa el concepto de número de puerto para identificar a las aplicaciones aplicac iones emisoras y receptoras. Cada lado de la conexión TCP tiene asociado un número de puerto (de 16 bits sin signo, con lo que existen 65536 puertos posibles) asignado por la aplicación emisora o receptora. Los puertos son clasificados en tres categorías: bien conocidos, registrados y dinámicos/privados. Los puertos bien conocidos son asignados por la Internet Assigned Numbers Authority (IANA), van del 0 al 1023 y son usados normalmente por el sistema o por procesos con privilegios. Las aplicaciones que usan este tipo de puertos son ejecutadas como servidores y se quedan a la escucha de conexiones. Algunos ejemplos son: FTP (21), SSH (22), Telnet (23), SMTP (25) y HTTP (80). Los puertos registrados son normalmente empleados por las aplicaciones de usuario de forma temporal cuando conectan con los servidores, pero también pueden representar servicios que hayan sido registrados por un tercero (rango de puertos registrados: 1024 al 49151). Los puertos dinámicos/privados también pueden ser usados por las aplicaciones de usuario, pero este caso es menos común. Los puertos dinámicos/privados no tienen significado fuera de la conexión TCP en la que fueron usados (rango de puertos dinámicos/privados: 49152 al 65535, recordemos que el rango total de 2 elevado a la potencia 16, cubre 65536 números, del 0 al 65535) User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas (Encapsulado de capa 4 Modelo OSI), este protocolo no garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron. UDP utiliza puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud de 16 bits, por lo que el rango de valores válidos va de 0 a 65.535. El puerto 0 está reservado, pero es un valor permitido como puerto origen si el proceso emisor no espera recibir mensajes como respuesta. Los puertos 1 a 1023 se llaman puertos bien conocidos y en sistemas operativos tipo Unix enlazar con uno de estos puertos requiere acceso como súper usuario. Los puertos 1024 a 49.151 son puertos registrados. Los puertos 49.152 a 65.535 son puertos efímeros y son utilizados como puertos temporales, sobre todo por los clientes al comunicarse con los servidores. •
• •
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Para facilitarnos el entendimiento MikroTik ha creado diagramas para ayudarnos a la configuración avanzada en el flujo de paquetes. Es bueno estar familiarizado con ellos para saber qué está pasando con los paquetes y en qué orden irán. Para este curso, se analizara superficialmente y de manera simple los gráficos. • • •
Academy Xperts
38
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 3: Firewall Básico
http://wiki.mikrotik.com/wiki/Packet_Flow
Diagrama de flujo de paquetes en Bridge o Capa 2 (MAC) En este diagrama la parte de Ruteo se encuentra simplificada como un cuadro (Layer 3)
Diagrama de flujo de paquetes en Ruteo o Capa 3 (IP) En este diagrama la parte de Bridge se encuentra simplificada como un cuadro (Bridging)
Estructura: chains y acciones •
•
Un chain: es una agrupación de reglas basado en los mismos criterios. Hay tres cadenas predeterminadas en función de criterios predefinidos. o input: El tráfico que va al router o forward : El tráfico que va a través del router o output: El tráfico procedente del router Por ejemplo, se puede implementar un chain pasado en: o Basado en el criterio: todo el tráfico del icmp.
Academy Xperts
39
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 3: Firewall Básico
Basado en tráficos provenientes de puertos puertos Ethernet, por ejemplo: Ether2 hacia una red LAN remota o una red bridge. Los usuarios definen los chains, y estos mismos son creados dependiendo de los parámetros que se puedan comparar, y si desean pueden realizar un «jump» para una vez que el match ha sido confirmado, se realizara un salto hacia otra regla en el firewall, esto se los define en «jump target» Una acción dicta lo que va a realizar el filtro o regla cuando los paquetes aplican con todas las condiciones para ser filtrado. Los paquetes se comprueban secuencialmente contra de las reglas existentes en la cadena de firewall actual hasta que se produce una coincidencia. (Cuando se tenga el # significa que respetará un orden: primero uno si coinciden, se aplica la acción, y de ahí pasara a la siguiente si se encuentra habilitada esa opción, en caso contrario hasta ahí llegara el análisis) o
•
•
•
Filtrado Firewall en acción Se puede aprovechar la seguridad de un firewall de diferentes maneras tales como: Confiar en la seguridad de nuestra LAN, ya que lo proveniente de la WAN es lo inseguro. Bloqueamos todos y permitimos únicamente en lo que estamos estamos de acuerdo. Permitiremos todo y bloquearemos únicamente lo que causa problemas. • • •
Consejos Básicos y trucos Antes de realizar cambios en el firewall ingresemos en “modo seguro” Después de realizar configuraciones y cambios en las reglas firewall, se aconseja probar las debilidades: una herramienta recomendada: ShieldsUP Antes de comenzar se recomienda escribir en texto plano o en papel una descripción sencilla de las políticas que se quiere aplicar. o Una vez que las entiende y está de acuerdo con ellos, se procede con ingreso al router. o Añadir las siguientes reglas progresivamente, una vez que esté satisfecho con las reglas básicas ingresadas. o Si se es nuevo en el área de seguridad, lo recomendable es que no ingrese reglas que apunten en todas direcciones, suficiente con hacer lo básico, pero hay que hacerlo bien. Es una buena idea poner fin a sus cadenas con las reglas "catch-all" y ver lo que se puede haber perdido. Usted necesitará dos reglas "catch-all", "catch- all", uno de "log" y uno de "drop" para todo tráfico sin precedentes. Ambos deben basarse en los mismos parámetros comparados para que sea útil para usted. Una vez que vea lo que llega a las reglas "catch-all", puede agregar nuevas reglas basadas en el comportamiento deseado por el firewall. • •
•
• •
•
Filtrado por Parámetros Antes de decidir en tomar una acción en el firewall, primero hay que identificarlo. Nosotros tenemos muchos parámetros por el cual podemos comparar. • •
Filter actions Una vez realizada el match con todos los parámetros de una regla, y coinciden, entonces se realizara una acción. El firewall de MikroTik tiene las 10 siguientes acciones:
1. accept: Acepte el paquete. El Paquete ya no pasaría a la siguiente regla de firewall. 2. add-dst-to-address-list: dirección destino, después de hacer match el paquete pasa a la siguiente regla. 3. add-src-to-address-list: dirección origen. Después de hacer match el paquete pasa a la siguiente regla. 4. drop: el paquete es desechado. Después de hacer match el paquete pasa a la siguiente regla. 5. jump: jump es definido por el usuario y sirve para saltar a una regla en específico, específico, definido por el jump-target. jump-target. Después de hacer match el paquete pasa a la siguiente regla definida en jump-target. 6. log: añade un mensaje en los logs con la siguiente información: in-interface , out-interface , src-mac , protocol , src-ip:port->dst-ip:port y length of the packet . Después de hacer match el paquete pasa a la siguiente regla. 7. passthrough passthrough: si esta opción está marcada, habilitará la opción de ignorar resta regla y pasar a la siguiente (muy útil para estadísticas de red).
Academy Xperts
40
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 3: Firewall Básico
8. reject: desecha los paquetes icmp y envía un mensaje definido por el usuario el paquete no pasa a la siguiente regla. 9. return: pasa el control del filtro de nuevo, en donde se originó el filtro anterior. Después de hacer match el paquete pasa a la siguiente regla (únicamente si la regla anterior no ocasiona que se deseche el paquete y pare el match). 10. tarpit: captura y retiene los paquetes TCP (replicas con SYN/ACK para paquetes entrantes TCP SYN). Después de hacer match el paquete pasa a la siguiente regla.
Protegiendo tu router (input)
• •
El chain=input analiza todo el tráfico entrante al router. Al aplicar una regla chain=input , se controla el ingreso de información al router
MikroTik da las siguientes sugerencias para el I nput
Asumiendo que la interfaz ether1 está conectada a una WAN insegura. Aceptar el tráfico de icmp-echo-reply (si se desea tener replica de ping sobre internet, esto es útil cuando manejamos servidores) Desechar todo el tráfico icmp-echo-request (Cuando no deseamos que nos hagan ping otro dispositivo. Con esto evitamos estar en la mira de ataques como smurf attack u otros) Aceptar todo el tráfico entrante establecido y relacionado. Desechar todo el tráfico inválido. Realizar un Log de todo el resto del tráfico Desechar todo el resto de tráfico. •
•
• • • •
Protegiendo a todos los clientes (forward) •
El trafico forward es el tráfico que pasa a través del router.
MikroTik da las siguientes sugerencias para el Forward
Asumiendo que la interfaz ether1 está conectada a una WAN insegura. Aceptar todo el tráfico forward establecido y relacionado. Desechar todo el tráfico inválido. Hacer Log de todo el resto del tráfico (para verificar si es que algún paquete importante ha sido bloqueado) Desechar todo el resto de tráfico. • • • •
Academy Xperts
41
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 3: Firewall Básico
Source NAT
El Network Address Translation (NAT) permite a los hosts de una red LAN, comunicarse con redes externas Source NAT (srcnat) traduce las direcciones IP (de una LAN) a direcciones IP públicas cuando se accede al Internet. También realiza la traducción de IP pública a privada privada cuando el tráfico se genera desde desde la WAN hacia una una LAN. Las direcciones IP que no son Públicamente Ruteables, son direcciones IP que no pueden ser usados en Internet. o Estas direcciones privadas son: •
•
! ! !
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
masquerade & src-nat El primer chain para NAT es srcnat. Es usado para aplicar acciones a los datos salientes del router. Al igual que los filtros de firewall, las reglas de NAT tienen algunas propiedades y acciones ( 13 acciones ). ). La primera y más básica acción de NAT es action=masquerade . masquerade reemplaza la dirección IP origen en paquetes por otra IP determinada (ejemplo una privada a publica) para facilitar el enrutamiento. Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por la dirección de la interfaz externa (WAN) chain=src-nat permite realizar cambios en dirección IP y puerto origen de los paquetes a unos especificados por el administrador de la red •
Ejemplo de uso:
Dos empresas (alfa y beta) se han fusionado, pero hay un problema en sus redes locales ya que ambas redes utilizan el mismo espacio de direcciones (por ejemplo, 172.16.0.0/16.). Ellos no desean cambiar sus segmentos de red, ya que todos Academy Xperts
42
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 3: Firewall Básico
los dispositivos en la empresa (impresoras, proyectores, copiadoras, etc.) tienen direcciones asignadas e implicaría pérdida de tiempo. Solución: Orientándonos al concepto de NAT, lo único que se requerirá son reglas básicas de NAT con src-nat y posiblemente reglas de dst-nat, independientemente que las redes locales de cada una sean iguales.
Destination NAT
•
•
action=dst-nat es una acción usada en chain=dstnat para re direccionar el tráfico entrante hacia una
diferente IP o puerto. Ejemplo de aplicación: Se tiene una granja de servidores (Web, Mail y SSH) y solo una dirección IP pública en el router de borde. Se desea acceder desde del exterior hacia cada servidor en forma independiente.
Academy Xperts
43
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 3: Firewall Básico
dst-nat & redirect • •
•
action=redirect cambia el puerto destino del tráfico hacia un puerto del propio router.
Ejemplo de aplicación: Todo tráfico http (TCP, puerto 80) va a ser reenviado al web proxy del router por TCP puerto 8080. Este concepto en otros dispositivos se lo conoce como port-forwarding
Sintaxis NAT
Agregar regla masquerade /ip firewall nat add action=masquerade chain=srcnat
Cambiar el source IP address add chain=srcnat src-address=192.168.0.109 action=src-nat to-addresses=10.5.8.200
Destination NAT. Redirecciona todo el tráfico WEB (TCP, port 80) hacia el web proxy del router sobre el port 8080 add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
Academy Xperts
44
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
Capítulo Capítulo 4: Administración herramientas RouterOS, supout.rif, logging
Herramientas RouterOS – ping Es una herramienta de conectividad básica que utiliza mensajes de ICMP Echo para determinar si un host remoto está activo o inactivo, y también para determinar el retardo de ida y vuelta cuando se comunica con dicho host remoto La herramienta ping envía un mensaje ICMP (type 8) al host remoto y espera por el mensaje ICMP echo-reply (type 0) de retorno. El intervalo entre estos eventos se conoce como “round trip”. Si la respuesta (que se conoce como “pong”) no llega hasta que finaliza el intervalo de tiempo de espera, se asume que el tiempo se ha agotado (timed-out). Otro parámetro significativo que se reporta en la herramienta ping es ttl (Time To Live), el cual disminuye en cada máquina en que el paquete es procesado. El paquete alcanzara su destino únicamente cuando el ttl sea mayor que el número de routers entre el origen y el destino. Como usar un Ping
En la ventana de Terminal del WinBox, lo podemos usar para realizar algún ping /ping www.mikrotik.com HOST SIZE TTL TIME STATUS 159.148.147.196 56 50 163ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 160ms Sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
Otros Ejemplos de ping /ping 10.1.101.3 HOST SIZE TTL TIME STATUS 10.1.101.3 56 64 3ms 10.1.101.3 56 64 10ms 10.1.101.3 56 64 7ms sent=3 received=3 packet-loss=0% min-rtt=3ms avg-rtt=6ms max-rtt=10ms /ping 10.1.101.9 HOST
sent=3 received=0 packet-loss=100%
SIZE
TTL TIME
STATUS timeout timeout timeout
Herramientas RouterOS – traceroute Traceroute Traceroute es una herramienta de diagnóstico de red que muestra la ruta (path) y mide el retardo del tránsito de los paquetes a través de una red IP. El histórico de la ruta se registra como el tiempo de ida y vuelta (round-trip) de los paquetes recibidos desde cada host sucesivo (nodo remoto) en la ruta (path). La suma de los tiempos medios en cada salto indica el tiempo total empleado para establecer la conexión.
Academy Xperts
45
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
Traceroute procede a menos que todos los paquetes (3 paquetes) que se envían, se pierdan más de dos veces, entonces se pierde la conexión y la ruta ya no puede evaluada. Por otro lado, el ping sólo calcula los tiempos finales de ida y vuelta desde el punto de destino. Traceroute envía una secuencia de paquetes UDP (User Datagram Protocol) direccionados al host destino. También puede usar paquetes ICMP Echo Request, o paquetes TCP SYN. El valor del TTL se utiliza para determinar los routers intermedios por los cuales se está atravesando hasta llegar al destino. Los routers disminuyen en uno los valores TTL de los paquetes y descartan los paquetes cuyos valores de TTL son cero. Cuando un router recibe un paquete con ttl=0, envía de retorno un mensaje de error ICMP que indica ICMP Time Exceeded . Los valores de fecha y hora de retorno de cada router a lo largo del camino son los valores de la demora (latencia). Este valor generalmente se mide en milisegundos para cada paquete.
/tool traceroute www.mikrotik.com # ADDRESS LOSS SENT LAST 100% 3 timeout 216.113.124.190 0% 3 13.9ms 12.2
AVG
BEST
WORST
11.1
13.9
1.2
STD-DEV
STATUS
El emisor espera una respuesta dentro de un número especificado de segundos. Si un paquete no es reconocido dentro del intervalo esperado, se muestra un asterisco (*). El protocolo IP no requiere que los paquetes tomen la misma ruta hacia un destino en particular, por lo tanto los hosts que se muestran podría ser hosts que otros paquetes han atravesado. Si el host en el salto #N no contesta, el salto se omite en la salida. Más información es: https://en.wikipedia.org/wiki/Traceroute
Herramientas RouterOS – Monitor de Tráfico de Interface El trafico pasa a través de cualquier interfaz y puede asi ser monitoreada /interface monitor-traffic [id | name]
Caracteristicas Estatus del tráfico en tiempo real Disponible para cada interface en la pestaña traffic También puede monitorearse desde WebFig y el CLI • • •
Academy Xperts
46
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
Ejemplo Monitorear la ether2 y el trafico agregado. “Aggregate” se usa controlar la cantidad total de trafico manejado por el router. /interface monitor-traffic rx-packets-per-second: rx-drops-per-second: rx-errors-per-second: rx-bits-per-second: tx-packets-per-second: tx-drops-per-second: tx-errors-per-second: tx-bits-per-second:
ether2,aggregate 9 14 0 0 0 0 6.6kbps 10.2kbps 9 12 0 0 0 0 13.6kbps 15.8kbps
Herramientas RouterOS – Torch El Torch es una herramienta de monitorización de tráfico en tiempo real que se puede utilizar para monitorear el tráfico a través de una interfaz. Se puede monitorear el tráfico clasificado por nombre de protocolo, dirección origen, dirección destino, puert o. La herramienta torch muestra el protocolo que se ha elegido y la tasa de datos tx/rx de cada uno de ellos.
El siguiente ejemplo monitorea el tráfico generado por el protocolo telnet, el cual pasa a través de la interface ether1: /tool torch ether1 port=telnet SRC-PORT DST-PORT 1439 23 (telnet)
TX 1.7kbps
RX 368bps
Para ver qué protocolos se envían a través de ether1: /tool torch PRO.. tcp udp icmp Academy Xperts
ether1 protocol=any-ip TX RX 1.06kbps 608bps 896bps 3.7kbps 480bps 480bps
47
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
ospf
0bps
192bps
Para ver qué protocolos están enlazados al host 10.0.0.144/32 conectado a la interface ether1: /tool torch ether1 src-address=10.0.0.144/32 protocol=any PRO.. SRC-ADDRESS TX RX tcp 10.0.0.144 1.01kbps 608bps icmp 10.0.0.144 480bps 480bps
Graphing (Gráficos) Es una herramienta para monitorear en el tiempo varios parámetros RouterOS y pone los datos recogidos en gráficos. Esta herramienta puede mostrar gráficos de: Estado de salud del RouterBOARD (voltaje y temperatura) Utilización de recursos (CPU, memoria y utilización de disco) Tráfico que pasa através de las interfaces Tráfico que pasa através de las colas simples (simple queue) • • • •
Graphing consiste de dos partes: La primera parte recoge información La segunda parte muestra los datos en una página web Para acceder a los gráficos, debe escribir en el web browser http://[Direccion_IP_Router]/graphs/ y luego elegir el gráfico que se desea visualizar. • •
Academy Xperts
48
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
/tool graphing store-every (24hours | 5min | hour; Default: 5min) – Cuán frecuente se escriben los datos recolectados al drive •
del sistema •
page-refresh (integer | never; Default: 300) – Cuán frecuente se refresca la página de gráficos
Interface Graphing /tool graphing interface
Esta opción permite configurar en cuál interface las gráficas recogerán los datos de uso de ancho de banda.
Propiedades •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos
Academy Xperts
49
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
•
comment (string; Default: ) – Descripción de la entrada actual Define si el ítem es es usado disabled (yes | no; Default: no) – Define interface (all | interface name; Default: all) – Define qué interfaces serán monitoreadas. all all significa que se van
•
store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
• •
a monitorear todas las interfaces.
Queue Graphing /tool graphing queue
Esta opción permite configurar en cuál cola simple (simple queue) las gráficas recogerán los datos de uso de ancho de banda.
Propiedades •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos •
allow-target (yes | no; Default: yes) – Define si se permite el acceso a los gráficos desde la dirección objetivo de
la cola
•
comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado simple-queue (all | queue name; Default: all) – Define qué colas serán monitoreadas. all all significa que se van a
•
store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
• •
monitorear todas las colas. Importante: Si la cola simple (simple queue) queue) tiene un target-address=0.0.0.0/0 entonces todos estarán habilitados para para acceder a los gráficos de las colas incluso si la dirección permitida se configura con una dirección específica. Esto ocurre porque los gráficos de la cola por default son accesibles también desde la dirección objetivo (target address).
Resource Graphing /tool graphing resource
Esta opción permite habilitar los gráficos de los recursos del sistema.
Graphing recolecta los datos de: Uso de CPU Uso de Memoria Uso de Disco • • •
Propiedades •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos • • •
comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Graphics en WinBox WinBox permite visualizar la misma data r ecolectada como en el web page. Debe abrir la ventana en Tools/Graphing. Luego debe hacer doble-click de lo que desea ver las gráficas Academy Xperts
50
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
Recursos adicionales Wiki http://wiki.mikrotik.com/wiki/Manual:TOC • •
•
Aquí se encontrará información acerca del RouterOS Todos los comandos del RouterOS o Explicación o Sintaxis o Ejemplos Consejos y trucos adicionales
Tiktube http://www.tiktube.com/ • • • •
Recursos en videos sobre varios temas Presentados por Trainers, Partners, IPSs, etc. Se encontrará diversas presentaciones Los videos están en varios lenguajes
Foros de Discusión http://forum.mikrotik.com/ • • • •
Moderado por el personal de MikroTik Es un foro de discusiones sobre diversos temas Aquí se puede encontrar una gran cantidad de información Se puede encontrar una solución a su problema
Soporte MikroTik • • •
Mail: [email protected] Instrucciones para solicitar soporte: http://www.mikrotik.com/support.html El apoyo de Mikrotik si el router fue comprado a fábrica es de: o 15 días (nivel licencia 4) o 30 días (nivel 5 Licencia y el nivel 6)
Distribuidores/Soporte •
El distribuidor mayorista/reseller proporcionará soporte siempre y cuando el router haya sido comprado a él Se pueden contratar a Consultores Certificados para necesidades especiales
•
http://www.mikrotik.com/consultants
•
Ponerse en contacto con Soporte MikroTik Supout.rif El archivo de soporte se utiliza para depurar MikroTik RouterOS y para resolver las preguntas de soporte más rápido. Toda la información del Router MikroTik se guarda en un archivo binario, que se almacena en el router y puede ser descargado desde el router mediante ftp. Se puede revisar el contenido de este archivo en su cuenta de MikroTik, simplemente debe ir a la sección Supout.rif y cargar el archivo. Este archivo ( supout.rif) contiene la configuración del router, los registros (logs) y otros detalles que ayudarán al grupo de soporte de MikroTik para resolver su problema.
Sintaxis
Lo hacemos con el siguiente comando en “Terminal” Academy Xperts
51
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
/system sup-output Created: 14% --[Q quit|D dump|C-z pause] /system sup-output Created: 100% --[Q quit|D dump|C-z pause]
Una vez que se complete la carga al 100% podremos ver el archivo en “Files”
Supout.rif Viewer Para acceder al Supout.rif Viewer solo tienes que acceder a tu cuenta Mikrotik. Usted debe tener una cuenta (es una buena idea tener una de todos modos)
El primer paso es localizar y cargar el archivo que ha generado
Autosupout.rif Un archivo se puede generar de forma automática en caso de fallo de software (ex Kernel Panic o el sistema deja de responder durante un minuto.) Hecho a través del organismo de control (sistema) •
•
Academy Xperts
52
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
Registros (logging) del sistema y registros de depuración RouterOS es capaz de registrar (log) diversos eventos del sistema y la información del estatus. Los registros (log) se pueden guardar en la memoria RAM de los routers, en un disco, en un archivo, pueden ser enviados por correo electrónico o incluso enviarse a un servidor remoto de registro del sistema. Este último se conoce como syslog y está acorde con el RFC 3164. Syslog corre sobre UDP 514 /log
Todos los mensajes almacenados en la memoria local del router se pueden imprimir desde el menú / log. Cada entrada contiene la fecha y hora cuando se produjo el evento, los temas que pertenecen a este mensaje, y el mensaje en sí mismo. Si los registros se muestran en la misma fecha en que se agrega la entrada de registro, entonces únicamente se mostrará el tiempo.
En el siguiente ejemplo el comando mostrará todos los mensajes donde uno de los tópicos es info y detectará nuevas entradas hasta que se presiona Ctrl+C /log print follow where topics~".info" 12:52:24 script,info hello from script -- Ctrl-C to quit.
Cuando se usa print se puede utilizar el modo follow. Esto ocasionará que cada vez que cada vez que se presione la barra espaciadora en el teclado, se insertará un separador /log print follow where topics~".info" 12:52:24 script,info hello from script = = =
= = =
= = =
= = =
= = =
= = =
= = =
= = =
= = =
-- Ctrl-C to quit.
Configuración del Logging /system logging •
• •
action (name; Default: memory) – Especifica una de las acciones por default del sistema, o las acciones especificadas por el usuario en el menú actions prefix (string; Default: ) – Prefijo que se puede agregar al inicio de los mensajes de registro topics (account, async, backup, bgp, calc, critical, ddns, debug, dhcp, e-mail, error, event, firewall, gsm, hotspot, igmp-proxy, info, ipsec, iscsi, isdn, l2tp, ldp, manager, mme, mpls, ntp, ospf, ovpn, packet, pim, ppp, pppoe, pptp, radius, radvd, raw, read, rip, route, rsvp, script, sertcp, state, store, system, telephony, tftp, timer, ups, warning, watchdog, web-proxy, wireless, write; Default: info) – Registra todos los mensajes que caen en el tópico especificado especificad o
o en la lista de tópicos. Se puede utilizar el carácter “!” antes del tópico para excluir los mensajes que caen ese tópico. El signo “!” es la negación lógica. Por ejemplo, si se desea registrar los eventos NTP pero sin mucho detalles se puede escribir /system logging add topics=ntp,debug,!packet
Academy Xperts
53
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
Actions /system logging action • •
•
•
•
•
•
•
• •
•
•
bsd-syslog (yes|no; Default: ) – Especifica si se usa el bsd-syslog según se define en RFC-3164 disk-file-count (integer [1..65535]; Default: 2) – Especifica el número de archivos que se utilizarán para guardar los mensajes de registro (log). Se aplica únicamente si action=disk disk-file-name (string; Default: log) – Nombre del archivo que se usará para guardar los mensajes de registro (log). Se aplica únicamente si action=disk Especifica el tamaño tamaño máximo del del archivo archivo en número número de disk-lines-per-file (integer [1..65535]; Default: 100) – Especifica líneas. Se aplica únicamente si action=disk disk-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log) en disco luego de que se han alcanzado los valores especificados en disk-lines-per-file y disk-file-count. Se aplica únicamente si action=disk email-to (string; Default: ) – Dirección email hacia donde se enviarán los registros. Se aplica únicamente si action=email memory-lines (integer [1..65535]; Default: 100) – Especifica el número de registros en el buffer de memoria local. Se aplica únicamente si action=memory memory-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log) en memoria luego de que se han alcanzado los valores especificados en memory-lines. Se aplica únicamente si action=memory name (string; Default: ) – Nombre de la acción (action) remember (yes|no; Default: ) – Especifica si se debe mantener los mensajes de registro registr o que aún no se han mostrado en consola. Se aplica únicamente si action=echo remote (IP/IPv6 Address[:Port]; Default: 0.0.0.0:514) – Especifica Especifica la dirección IP/IPv6 del servidor servidor de registro remoto (syslog server) y el número de puerto UDP. Se aplica únicamente si action=remote src-address (IP address; Default: 0.0.0.0) – Dirección origen que se utiliza cuando se envían paquetes al servidor
remoto •
•
syslog-facility (auth, authpriv, cron, daemon, ftp, kern, local0, local1, local2, local3, local4, local5, local6, local7, lpr, mail, news, ntp, syslog, user, uucp; Default: daemon) syslog-severity (alert, auto, critical, debug, emergency, error, info, notice, warning; Default: auto) – Nivel de
indicador de severidad definido en RFC-3164: Emergency: system is unusable Alert: action must be taken immediately Critical: critical conditions Error: error conditions Warning: warning conditions Notice: normal but significant condition Informational: informational messages Debug: debug-level messages ! ! ! ! ! ! ! !
•
target (disk, echo, email, memory, remote; Default: memory) – Facilidad Facilidad de almacenamien almacenamiento to o destino de los
mensajes de registro (log) disk - logs are saved to the hard drive echo - logs are displayed on the console screen email - logs are sent by email memory - logs are stored in local memory buffer remote - logs are sent to remote host Importante: Las accione spor default no se pueden eliminar ni cambiar de nombre ! ! ! ! !
Academy Xperts
54
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
Tópicos Cada entrada de registro (log) tiene un tópico que describe el origen del mensaje de registro. Por lo tanto puede haber más de un tópico asignado a dicho mensaje de registro. Por ejemplo OSPF depura los registros que tienen 4 diferentes tópicos: route, ospf, debug y raw. 11:11:43 11:11:43 11:11:43 11:11:43 11:11:43
route,ospf,debug SEND: Hello Packet 10.255.255.1 route,ospf,debug,raw PACKET: route,ospf,debug,raw 02 01 00 2C 0A FF FF 03 route,ospf,debug,raw 00 00 00 00 00 00 00 00 route,ospf,debug,raw 00 00 00 28 0A FF FF 01
-> 224.0.0.5 on lo0 00 00 00 00 E7 9B 00 00 FF FF FF FF 00 0A 02 01 00 00 00 00
Lista de opciones independiente de los tópicos: critical – Las entradas de registro marcadas como críticas. Estas entradas de registro se muestran en consola cada vez que el usuario hace log in debug – Depura las entradas de registro error – Mensajes de error info – Entrada de registro informativa packet – Entrada de registro que muestra el contenido de los paquetes enviados/recibidos raw raw – Entrada de registro que muestra el contenido crudo (raw) de los paquetes enviados/recibidos warning – Mensaje de Advertencia. Tópicos usados por varias facilidades de RouterOS account – Registra los mensajes generados por la opción accounting async – Registra los mensajes generados por los dispositivos asíncronos backup – Registra los mensajes generados por la opción de creación de backup bfd bfd – Registra los mensajes generados por el protocolo Routing/BFD bgp bgp – Registra los mensajes generados por el protocolo Routing/BGP calc – Registra los mensajes del cálculo de rutas ddns – Registra los mensajes generados por la herramienta Tools/Dynamic DNS dhcp – Registra los mensajes generados por el cliente DHCP, server y relay e-mail – Registra los mensajes generados por la herramienta Tools/email event - Registra los mensajes generados por el evento de routing. Por ejemplo, cuando una nueva ruta se ha instalado en la tabla de ruteo. Firewall - Registra los mensajes generados por el firewall cuando se configura action=log Gsm Gsm – Registra los mensajes generados por los dispositivos GSM Hotspot – Registra los mensajes relacionados con HotSpot igmp-proxy – Registra los mensajes generados con IGMP Proxy ipsec – Entradas de registro IpSec •
• • • • • •
• • • • • • • • • •
• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
iscsi isdn l2tp – Registra los mensajes generados por Interface/L2TP cliente y servidor ldp – Registra los mensajes generados por el protocolo MPLS/LDP manager – Registra los mensajes generados por User Manager mme mme – mensajes de protocolo de ruteo MME mpls – Mnesajes MPLS ntp ntp – Registra los mensajes generados por el cliente sNTP ospf – Registra los mensajes generados por el protocolo de ruteo Routing/OSPF ovpn – Registra los mensajes generados por el túnel OpenVPN pim pim – Registra los mensajes generados por Multicast PIM-SM ppp ppp – Registra los mensajes generados por la opción ppp pppoe – Registra los mensajes generados por PPPoE server/client pptp – Registra los mensajes generados por PPTP server/client radius – Registra los mensajes generados por RADIUS Client radvd – Registra los mensajes generados por el IPv6 radv deamon read – Mensajes de la herramienta SMS rip rip – Mensajes del protocolo de ruteo RIP route – Registra los mensajes generados por la opción de ruteo rsvp – Mensajes generados por el Protocolo de Reservación de Recurso (Resource Reservation Protocol) script - Registra los mensajes generados por los scripts sertcp – Registra los mensajes relacionados por la opción responsable de /ports remote-access simulator Mensajes de estado estado de routing y del cliente DHCP DHCP state – Mensajes store – Registra los mensajes generados por la opción store system – Mensaje genéricos del sistema
Academy Xperts
55
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
• • •
• • • • •
telephony tftp – Mensajes generados por el servidor TFTP timer – Registra los mensajes relacionados a los timers usados en RouterOS. Por ejemplo los registros (log) keepalive bgp 12:41:40 route,bgp,debug,timer KeepaliveTimer expired 12:41:40 route,bgp,debug,timer RemoteAddress=2001:470:1f09:131::1 ups ups – Mensajes generados por la herramientas de monitoreo UPS watchdog – Registra los mensajes generados por watchdog web-proxy – Registra los mensajes generados por web proxy wireless – Registra los mensajes generados por Interface/Wireless write – Mensajes de la herramienta SMS
Academy Xperts
56
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 5: Training
Capítulo 5: Training Certificaciones, MTCNA, MTCTCE, MTCWE, MTCUME, MTCRE, MTCINE
Cursos de Certificación MikroTik
MTCNA MTCNA es la primera certificación del portafolio que ofrece MikroTik para su sistema operativo RouterOS. Este curso representa una guía completa para administradores de red y usuarios que desean iniciar sus conocimientos en configuración de equipos MikroTik RouterOS, como también para aquellos que desean afianzar su expertise y orientarse hacia un estudio formal de las principales funciones del Sistema Operativo RouterOS. Contenido
1. 2. 3. 4. 5. 6. 7. 8. 9.
Introducción ARP, DHCP Ruteo Bridge Wireless Firewall QoS Túneles Herramientas de RouterOS
MTCTCE MTCTCE es una de las seis certificaciones avanzadas de MikroTik RouterOS. Este curso cubre los principales temas relacionados con la optimización del tráfico en una red LAN/WAN/Wireless, no solo concentrándose en la correcta implementación de la Calidad de Servicio (QoS) sino también prestando especial importancia al tráfico que en pequeñas proporciones puede ocasionar un flujo notable a través de canales de comunicación de baja velocidad o en conexiones de internet restringidas. Contenido
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14.
DNS DHCP Firewall – Filter Firewall – Chain Input Firewall – Chain Forward Bogon IPs Firewall NAT Firewall Mangle HTB Queue Tree Burst Web Proxy TTL Balanceo de carga
Academy Xperts
57
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 5: Training
MTCWE MTCWE es una de las seis certificaciones avanzadas de MikroTik RouterOS. Este curso realiza un revisión profunda a los parámetros de configuración wireless de RouterOS. Los laboratorios han sido desarrollados de tal manera m anera que arrojen resultados que serán lo más cercanos a los ambientes reales real es y típicos en producción. Para la ejecución de los mismos se deben trabajar con estadísticas obtenidas de las prácticas anotando dichos resultados en tablas que podrán ser evaluadas a lo largo de los demás laboratorios. Contenido
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.
Banda, Frecuencia, scan-list Herramientas Wireless DFS – Selección Dinámica de frecuencia Análisis de la tabla de registros + Troubleshooting Configuraciones avanzadas para Troubleshooting Modificando data-rates y tx-power Virtual AP Access-List y Connect-List Administración Centralizada Access-list Radius Seguridad Wireless Protegiendo de ataques por “de autenticación” y “clonación de MAC” Wireless WDS y MESH Bridge Transparente Wireless Protocolo Nstreme Protocolo Nstreme Dual 802.11n 802.11ac
MTCUME MTCUME es una de las cinco certificaciones avanzadas de MikroTik RouterOS Este curso permitirá al estudiante obtener todos los conocimientos necesarios para comprender el funcionamiento del paquete User Manager en un RouterOS MikroTik, asociado con los servicios Login(router), Wireless, DHCP, HotSpot, PPP Contenido
1. 2. 3. 4. 5. 6. 7.
PPP PPTP/L2TP PPPoE PPP Bridging IPSec Hotspot RADIUS
MTCIPv6E Este curso permite obtener el expertise necesario para entender el funcionamiento de las redes de la actual transición al protocolo IPv6, conociendo mas sobre el protocolo IPv6, un avistamiento profundo del paquete IPv6, seguridad, mecanismos de transición, interoperabilidad, manejo de tuneles, soporte PPP, ruteo, hotspot entre otros temas enfocados en el protocolo IPv6. Contenido
1. 2. 3. 4. 5. 6.
Introducción a IPv6 Protocolo IPv6 Paquete IPv6 Seguridad IPv6 Mecanismos de transición Interoperabilidad
MTCRE MTCRE es una de las seis certificaciones avanzadas de Mikrotik RouterOS Este curso permite obtener el expertise necesario para entender el funcionamiento del ruteo estático aplicando diferentes parámetros de distancia, routing mark, o haciendo uno de ECMP, llegando a la conclusión de que estas técnicas por si solas no son suficientes para proveer funciones como un Failover confiable Contenido
1. Ruteo Estático 2. Direccionamiento punto a punto 3. VPN 4. OSPF Academy Xperts
58
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 5: Training
5. VRRP
MTCINE MTCINE es el TOP de las certificaciones avanzadas de MikroTik RouterOS Es el curso estrella del sistema operativo MikroTik RouterOS y centra su estudio en los protocolos BGP y MPLS El estudiante podrá entender y fortalecer conceptos como sistemas Autónomos, Algoritmo Path vector, transporte y tipos de paquetes BGP, iBGP & eBGP, distribución de rutas, loopbacks, atributos de prefijos, reflectores de rutas y confederaciones BGP. Contenido
1. 2. 3. 4.
BGP Multicast MPLS Ingeniería de trafico
Academy Xperts
59