Subido por Fernanda Farinango

LAB Introducción a MikroTik RouterOS v6.41.0.01

Anuncio
Introducción a
MikroTik RouterOS
& RouterBOARD
v6.41.0.01
Manual de Laboratorio
ABC Xperts ®
Network Xperts ®
Academy Xperts ®
Derechos de autor y marcas registradas
Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts
Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier
medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos
en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte
de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio
Tabla de Contenido
Laboratorio 1. Reseteo Físico .................................................................................................................................. 1
Laboratorio 2. Primer ingreso a un equipo MikroTik – WebFig.......................................................................... 2
Laboratorio 3. Primer ingreso a un equipo MikroTik – Winbox.......................................................................... 3
Laboratorio 4. Primer ingreso a un equipo Mikrotik – SSH o Telnet ................................................................. 5
Laboratorio 5. Reset vía winbox .............................................................................................................................. 6
Laboratorio 6. Home AP Quick Set – Internet (Automático) ............................................................................... 7
Laboratorio 7. Home AP Quick Set – Internet (Estatico) ..................................................................................... 9
Laboratorio 8. Home AP Quick Set – Internet (PPPoE)...................................................................................... 11
Laboratorio 9. Home AP Quick Set – Local Network.......................................................................................... 12
Laboratorio 10. Home AP Quick Set – Wireless .................................................................................................. 14
Laboratorio 11. Home AP Quick Set – Wireless – WPS ..................................................................................... 15
Laboratorio 12. Home AP Quick Set – Guest Wireless Network ...................................................................... 16
Laboratorio 13. Home AP Quick Set – IP Cloud .................................................................................................. 17
Laboratorio 14. Home AP Quick Set – VPN.......................................................................................................... 18
Laboratorio 15. CPE Quick Set – CPE Wireless (modo Router) ....................................................................... 19
Laboratorio 16. CPE Quick Set – CPE Wireless (modo Bridge) ....................................................................... 22
Laboratorio 17. Configurar Password de administración ................................................................................. 23
Laboratorio 18. Configurar Nombre al Router MikroTik .................................................................................... 24
Laboratorio 19. Filter Input – Reglas Básicas ..................................................................................................... 25
Laboratorio 20. Filter Forward – Reglas Básicas ................................................................................................ 26
Laboratorio 21. Filter ICMP – Reglas Básicas ..................................................................................................... 27
Laboratorio 22. Filtro – Layer 7 Protocol.............................................................................................................. 29
Laboratorio 23. NAT – srcnat + masquerade ....................................................................................................... 30
Laboratorio 24. NAT – dstnat + dst-nat................................................................................................................. 32
Laboratorio 25. NAT – dstnat + redirect ............................................................................................................... 33
Laboratorio 26. Creación de respaldos de Configuración ................................................................................ 34
Ac a d e m y Xp e r ts
i
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 1: Reseteo Físico
Laboratorio 1. Reseteo Físico
Objetivos:
El botón Reset Físico nos ayuda a borrar toda configuración que tenga nuestro equipo MikroTik, al momento de realizar el
proceso la configuración que se cargará será la de por defecto.
•
También es útil para cuando pierdo acceso al equipo MikroTik por olvido de usuario o contraseña de nuestro
dispositivo.
Pasos:
1. Ubicaremos el botón RES en nuestro equipo MikroTik y lo desconectaremos:
2.
Ahora con la ayuda de un clip presionaremos el botón RES y luego conectaremos el equipo y mantenemos:
3.
Esperaremos a que la luz de ACT comience a parpadear y soltamos el clip
4.
5.
Por ultimo conectaremos un cable desde nuestra PC a la ether2 de nuestro dispositivo MikroTik.
Configurar a nuestra PC que tenga que el direccionamiento de red será de forma automática (Obtener una
dirección IP automática)
Verificar que hemos recibido la siguiente dirección en nuestra PC: 192.168.88.254
6.
Ac a d e m y Xp e r ts
1
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 2: WebFig
Laboratorio 2. Primer ingreso a un equipo MikroTik – WebFig
Objetivos:
•
Una de las formas de acceder a un equipo MikroTik es por medio del WebFig usando un navegador en nuestra
PC.
Solo debemos especificar la IP que tenga nuestro equipo Mikrotik.
•
Pasos:
3. Una vez que completamos el laboratorio anterior y verificamos que el equipo MikroTik nos dio la dirección IP
podremos acceder vía WebFig.
4. Abriremos un navegador de nuestra preferencia en nuestro PC
5. Especificaremos la IP por defecto de nuestro equipo MikroTik 192.168.88.1 en el navegador.
6.
Al momento de presionar [intro] ingresaremos de forma automática al WebFig.
Ac a d e m y Xp e r ts
2
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 3: Winbox
Laboratorio 3. Primer ingreso a un equipo MikroTik – Winbox
Objetivos:
•
•
•
Pasos:
Winbox es la herramienta propietaria de MikroTik para poder acceder y realizar las configuraciones de una forma
más didáctica y de manera gráfica.
Winbox lo podemos descargar desde www.mikrotik.com/download o desde el acceso WebFig del Router.
Los podemos usar para ingresar al equipo por medio dirección IP (Capa 3) o dirección MAC (capa 2).
1.
Descargar Winbox desde www.mikrotik.com/download
2.
podemos descargar Winbox desde la página del Router MikroTik (WebFig)
3.
De cualquiera de las formas que hallamos descargado el Winbox se nos creara un archivo ejecutable llamado
winbox.exe el cual lo ejecutaremos para poder abrir la Herramienta y poder ingresar a nuestro equipo MikroTik
Ac a d e m y Xp e r ts
3
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 3: Winbox
4.
Una vez ejecutada la herramienta nos ubicamos en la opción Neighbors para poder visualizar a nuestro equipo
MikroTik y poder ingresar por primera vez.
5.
Ahora solo nos queda seleccionar a nuestro equipo y daremos clic en el botón Connect y se nos abrirá nuestro
equipo y es lo que tendremos al ingresar por primera vez a nuestro equipo MikroTik:
6.
Al momento de ingresar nos aparecerá esta pantalla la cual nos indica que podemos seleccionar entre iniciar con
la configuración por defecto [OK] o borrar toda dicha configuración [Remove Configuration]. En este caso
daremos clic en [OK].
Ac a d e m y Xp e r ts
4
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 4: SSH o Telnet
Laboratorio 4. Primer ingreso a un equipo Mikrotik – SSH o
Telnet
Objetivos:
•
•
Pasos:
Otra de las opciones para poder configurar a nuestros equipos es vía línea de comando ingresando de forma
remota por SSH o Telnet.
Para ello podemos usar la herramienta putty.exe (Descargar)
1.
Una vez que descargamos la herramienta putty.exe la vamos a ejecutar y especificaremos la IP del equipo al cual
vamos a ingresar en este caso tendremos que poner la IP por defecto del equipo MikroTik la cual es 192.168.88.1
y seleccionamos como método de acceso vía SSH.
2.
Clic en el botón Open y luego especificaremos que el usuario es admin
Ac a d e m y Xp e r ts
5
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 5: Reset vía Winbox
Laboratorio 5. Reset vía winbox
Objetivos:
•
•
La opción Reset Configuration vía Winbox la podemos usar para realizar un reseteo completo del equipo MikroTik,
es decir, para poder borrar toda configuración y dejar al equipo en blanco.
También nos puede cargar la configuración de algún respaldo en específico luego de realizar el proceso de
reseteo
Pasos:
1. Por el momento en nuestros equipos MikroTik tenemos cargada la configuración por defecto, lo que haremos
ahora será eliminar dicha configuración para poder tener el equipo MikroTik sin ninguna configuración.
2. Lo podemos realizar vía el menú de Winbox [system-Reset Configuration] y debemos marcar las dos últimas
opciones [No Default Configuration] y [Do Not Backup] para poder realizar el proceso de forma correcta.
3.
lo podemos realizar vía línea de comando con el comando system Reset-Configuration nodefaults=yes skin-backup=yes
3.
Luego de ello el equipo MikroTik se reiniciará durante unos 50 segundos y luego esperamos a que en el Winbox
aparezca nuestro equipo MikroTik ya sin dirección IP por defecto ahora el ingreso al equipo será por dirección
MAC (Capa 2). Para ello daremos clic en la dirección MAC de nuestro equipo y luego conectar.
Ac a d e m y Xp e r ts
6
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 6: Quick Set, Automático
Laboratorio 6. Home AP Quick Set – Internet (Automático)
Objetivos:
•
•
Uno de los primeros procesos en un equipo MikroTik es configurarle la WAN (la salida a internet)
Para ello este curso se basa en la configuración vía la opción Quick Set la cual es una interfaz gráfica que nos
ofrece Winbox para poder configurar de una manera más personalizada y rápida.
Escenario:
Internet
ether3
10.1.1.1/24
R-Trainer
ether1
10.1.1.X/24
R-Estudiante
Diagrama elaborado por:
ACADEMY XPERTS
Figura
1-1
ID de alumno
Detalle
Quick Set – Internet (automatico)
Pasos:
1.
3.
Para este escenario el R-Trainer ya está previamente configurado, nos basaremos en la configuración del REstudiante para ello tenemos el siguiente escenario. Estaremos conectados a un switch directamente.
Iniciamos sesión en nuestro equipo MikroTik y comprobamos que no tenga ninguna configuración caso contrario
realizar el laboratorio 5 de nuevo.
Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo Home AP
4.
Ubicaremos la opción Internet
5.
Le daremos clic en la opción Automatic y con ello lo que estamos haciendo es especificarle que los parámetros
de configuración para la salida a internet serán configurados de forma automática (Esta opción es válida solo si el
Router que me va a dar el servicio de internet tiene habilitado un DHCP-Server.
2.
Ac a d e m y Xp e r ts
7
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 6: Quick Set, Automático
6.
Para que nos den el direccionamiento, teniendo seleccionado en el modo Automatic ahora iremos a [IP-DHCP
Client] y activaremos la interfaz que en este caso hará de WAN en nuestro dispositivo MikroTik y comprobaremos
que nos den una dirección IP.
7.
Ahora que ya recibimos el direccionamiento IP podemos comprobar por medio del comando PING que tengamos
salida a internet, ejecutando el siguiente comando ping 8.8.8.8 y ping google.com
Ac a d e m y Xp e r ts
8
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 7: Quick Set, Estático
Laboratorio 7. Home AP Quick Set – Internet (Estático)
Objetivos:
•
•
Uno de los primeros procesos en un equipo MikroTik es configurarle la WAN (la salida a internet)
Para ello este curso se basa en la configuración vía la opción Quick Set la cual es una interfaz gráfica que nos
ofrece Winbox para poder configurar de una manera más personalizada y rápida.
Escenario:
Internet
ether3
10.1.1.1/24
R-Trainer
ether1
10.1.1.20/24
R-Estudiante
Diagrama elaborado por:
ACADEMY XPERTS
Figura
ID de alumno
Detalle
1-2
Quick Set – Internet (Estatico)
Pasos:
1. Este proceso será realizado para cuando el Router que nos va a dar el servicio de internet no tiene configurado
ningún DHCP-Server y todo tiene que ser de manera estático. Para realizar este proceso primero resetearemos la
configuración del equipo una vez más.
2.
Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo Home AP
3.
Ubicaremos la opción Internet y daremos clic en Static
4.
Ahora configuraremos los siguientes parámetros IP address, Netmask, Gateway, DNS Servers que nos
corresponda (estos datos serán dados por el Trainer.
Ac a d e m y Xp e r ts
9
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 7: Quick Set, Estático
5.
Con dichas configuraciones luego de completar el resto de parámetros el equipo MikroTik ya debería tener salida
a internet.
Ac a d e m y Xp e r ts
10
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 8: Quick Set, PPPoE
Laboratorio 8. Home AP Quick Set – Internet (PPPoE)
Objetivos:
•
•
Uno de los primeros procesos en un equipo MikroTik es configurarle la WAN (la salida a internet)
Para ello este curso se basa en la configuración vía la opción Quick Set la cual es una interfaz gráfica que nos
ofrece Winbox para poder configurar de una manera más personalizada y rápida.
Escenario:
Internet
ether3
10.1.1.1/24
R-Trainer
ether1
10.1.1.x/24
R-Estudiante
Diagrama elaborado por:
ACADEMY XPERTS
Figura
ID de alumno
Detalle
1-3
Quick Set – Internet (PPPoE)
Pasos:
1.
2.
3.
4.
Ciertos servicios de internet hoy en día son dados por medio del protocolo PPPoE, el cual nos provee el servicio
teniendo que especificar un usuario y una contraseña.
También nos da más seguridad en la transferencia de nuestros datos por la RED.
Comenzaremos reseteando la configuración del equipo MikroTik una vez mas
Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo Home AP
5.
Ubicaremos la opción Internet y daremos clic en PPPoE
6.
Especificaremos el PPPoE User, PPPoE Password, PPPoE Service Name que nos especifique el Trainer.
7.
Al momento de especificar la dirección de Red local ya podremos ver como nuestro equipo ya se conecta a
internet.
Ac a d e m y Xp e r ts
11
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 9: Quick Set, Local Network
Laboratorio 9. Home AP Quick Set – Local Network
Objetivos:
•
Uno de los primeros procesos en un equipo MikroTik es configurarle la LAN (para que nuestros dispositivos en la
red ahora tengan salida a internet)
Para ello este curso se basa en la configuración vía la opción Quick Set la cual es una interfaz gráfica que nos
ofrece Winbox para poder configurar de una manera más personalizada y rápida.
•
Escenario:
Internet
ether1
10.1.1.1/24
ether1
10.1.1.X/24
R-Trainer
eth2
192.168.N.254/24
R-Estudiante
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
ID de alumno
Detalle
1-4
Quick Set – Local Network
Pasos:
1.
Ya una vez que tenemos la configuración WAN lista procederemos a configurar la red LAN. Para ellos vamos a
ubicar en el Quick Set la parte Local Network.
2.
Ahora especificaremos los parámetros IP address, Netmask que nos especifique el Trainer. Aparte de ellos
configuraremos DHCP Server para esa red LAN y activaremos el NAT.
3.
Una vez realizado estos pasos daremos clic en Apply en la ventana de Quick Set.
4.
Verificar que nuestro PC tenga configurado el modo de recibir de forma automática una dirección IP y luego de
ello verificar que se nos fue entregada una dirección IP del rango de la dirección de red LAN.
Ac a d e m y Xp e r ts
12
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 9: Quick Set, Local Network
5.
Verificar que tengamos salida a internet en nuestra PC.
NOTA IMPORTANTE:
Al realizar toda esta configuración el Quick Set de forma automática nos crea una interfaz bridge y los puertos
erher2…..etherX, wlan1 quedan dentro de dicho bridge.
Por ende, te vas a poder conectar cualquier otro host en los demás puertos y también recibirán direccionamiento IP de la
red LAN, lo mismo con los dispositivos Wi-Fi que se conecten a nuestro equipo MikroTik (Esta configuración la veremos
más adelante).
Ac a d e m y Xp e r ts
13
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 10: Quick Set, Wireless
Laboratorio 10. Home AP Quick Set – Wireless
Objetivos:
•
Por ahora nuestros dispositivos (Host, Servidores, Routers) tienen servicio de internet por cableado
•
Ahora configuraremos la Red Wireless para los dispositivos Wi-Fi
Escenario:
Internet
wlan1
ether1
10.1.1.1/24
ether1
10.1.1.X/24
R-Trainer
eth2
192.168.N.254/24
R-Estudiante
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
ID de alumno
Detalle
1-5
Quick Set – Wireless
Pasos:
1. Ubicaremos en la ventana de Quick Set las opciones Wireless
2.
Ahora especificaremos los parámetros network name, band, WiFi Password que nos especifique el Trainer.
3.
Daremos clic en Apply y conectar algún dispositivo a dicha red y verificar que tenga salida a internet.
Ac a d e m y Xp e r ts
14
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 11: Quick Set, Wireless WPS
Laboratorio 11. Home AP Quick Set – Wireless – WPS
Objetivos:
•
Con la opción WPS en el AP nosotros podemos por dos minutos darle acceso a la red a dispositivos Wifi clientes
que soporten WPS sin la necesidad de especificar la contraseña de la Red
Escenario:
Internet
ether1
10.1.1.1/24
ether1
10.1.1.X/24
eth2
192.168.N.254/24
R-Trainer
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
1-6
Detalle
ID de alumno
Quick Set – Home AP – Wireless - WPS
Pasos:
1.
Daremos clic en el botón WPS Accept en el Quick Set y se habilitara el acceso por minutos al AP
2.
En este ejemplo usaremos un dispositivo móvil con WPS cliente para conectarnos al AP
Ac a d e m y Xp e r ts
15
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 12: Quick Set, Guest Wireless Network
Laboratorio 12. Home AP Quick Set – Guest Wireless Network
Objetivos:
•
Por medio del Quick Set también es posible crear redes wireless adicionales a la que tenemos
•
La aplicación útil para esto podría ser crear una red wireless para los invitados
Escenario:
Internet
wlan1
ether1
10.1.1.1/24
ether1
10.1.1.X/24
R-Trainer
eth2
192.168.N.254/24
R-Estudiante
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
1-7
ID de alumno
Detalle
Quick Set – Guest Wireless Network
Pasos:
1.
Ubicaremos en la ventana de Quick Set las opciones Wireless
2.
Configuraremos los siguientes parámetros Guest Network, Guest WiFi Password que nos especifique el Trainer.
3.
Daremos clic en Apply y conectar algún dispositivo a dicha red y verificar que tenga salida a internet.
Ac a d e m y Xp e r ts
16
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 13: Quick Set, IP Cloud
Laboratorio 13. Home AP Quick Set – IP Cloud
Objetivos:
•
•
A partir de RouterOS v6.14 ofrece un servicio de nombres DNS dinámicos para dispositivos RouterBoard.
Esto significa que el dispositivo puede obtener automáticamente un nombre de dominio de trabajo, esto es útil si
cambia de dirección IP a menudo, y que siempre quieren saber cómo conectarse a su Router.
Escenario:
Internet
3e2e016a91b9.sn.mynetname.net
eth2
192.168.N.254/24
172.16.10.120
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
1-8
Detalle
ID de alumno
Quick Set – Home AP – Wireless – IP Cloud
Pasos:
1.
Nos ubicaremos en el menú [IP-Cloud] podemos habilitarlo dándole clic en DDNS Enabled y con dicho
configuramos nos va a generar un DNS Name el cual podemos usar ahora para ingresar a nuestro equipo
MikroTik.
Ac a d e m y Xp e r ts
17
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 14: Quick Set, VPN
Laboratorio 14. Home AP Quick Set – VPN
Objetivos:
•
Si nuestro equipo MikroTik posee una dirección IP publica podemos configurarle una VPN para que desde
cualquier otra red pública podemos ingresar a los dispositivos que tenemos en nuestra red LAN.
Escenario:
Pasos:
1.
Ubicaremos en la ventana de Quick Set las opciones VPN
2.
Activaremos el servicio y especificaremos VPN Password
3.
Con dicha configuración una vez que le demos Apply desde cualquier parte del mundo con tal solo crear la
conexión VPN desde una host con la salida a internet podremos ingresar a todos los dispositivos que tenga en mi
Red LAN.
Ac a d e m y Xp e r ts
18
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 15: Quick Set, CPE modo router
Laboratorio 15. CPE Quick Set – CPE Wireless (modo Router)
Objetivos:
•
•
Esta opción en un equipo MikroTik me va a permitir extender más mi red Principal
Lo podemos realizar creando una nueva red LAN o con la extensión repartir el mismo direccionamiento de la red
principal
•
En este caso veremos el modo Router
Escenario:
eth2
172.16.N.2 54/24
wlan1
192.168.N.253/24
172.16.N.1 /24
Internet
ether1
10.1.1.1/24
ether1
10.1.1.X/24
eth2
192.168.N.254/24
R-Trainer
R-Estudiante
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
1-10
Detalle
ID de alumno
Quick Set – CPE Wireless (modo Router)
Pasos:
1.
Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo CPE
2.
Ubicaremos en la ventana de Quick Set la opción Wireless
3.
Seleccionamos la Red wireless a la cual nos vamos a conectar y especificamos el parámetro Wifi Password. Y
luego le damos clic en el botón Connect.
Ac a d e m y Xp e r ts
19
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 15: Quick Set, CPE modo router
4.
Una vez que demos clic en el botón Connect observaremos que ya estamos conectados.
5.
Ubicaremos en la ventana de Quick Set la opción Wireless Network
6.
Configuraremos los parámetros IP Address, Netmask, Gateway, DNS Servers tiene que ser direccionamiento que
tenga el AP al cual nos estamos conectando. (También nos permite escoger de qué manera queremos configurar
la salida a internet, en este caso lo haremos de manera estático)
7.
Ubicaremos en la ventana de Quick Set la opción Local Network
Ac a d e m y Xp e r ts
20
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 15: Quick Set, CPE modo router
8.
Configuraremos el direccionamiento que va a manejar este dispositivo para su red LAN. Crearemos de igual
manera un DHCP Server, habilitaremos el NAT
9.
Daremos clic en Apply y comprobamos que el equipo MikroTik tenga salida a internet y también nuestros hosts
que tengan salida a internet.
NOTA IMPORTANTE:
Al no activar la opción en el Quick Set llamada Bridge All LAN Ports el direccionamiento LAN estará configurado en la
interfaz ether1. Si la activamos se creará un Bridge entre todos los puertos y podremos conectar varios Host al equipo
MikroTik.
Ac a d e m y Xp e r ts
21
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 16: Quick Set, CPE modo bridge
Laboratorio 16. CPE Quick Set – CPE Wireless (modo Bridge)
Objetivos:
•
•
Esta opción en un equipo MikroTik me va a permitir extender más mi red Principal
Lo podemos realizar creando una nueva red LAN o con la extensión repartir el mismo direccionamiento de la red
principal
•
En este caso veremos el modo Bridge
Escenario:
wlan1
192.168.N.253/24
192.168.N .251/24
Internet
ether1
10.1.1.1/24
ether1
10.1.1.X/24
eth2
192.168.N.254/24
R-Trainer
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
1-11
Detalle
ID de alumno
Quick Set – CPE Wireless (modo Bridge)
Pasos:
1. Conectar el equipo MikroTik a la red Wireless.
2. Verificar que esté conectado.
3. Configurar el modo Bridge en la ventana de Quick Set
4.
Configuramos el direccionamiento en la interfaz Bridge (puede ser especificado de modo estático o automático)
5.
Luego de dar Apply el equipo queda en modo Bridge y el mismo direccionamiento IP de la red principal será
entregado ahora por medio de este equipo.
Ac a d e m y Xp e r ts
22
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 17: Configurar Password
Laboratorio 17. Configurar Password de administración
Objetivos:
•
Por ahora el acceso a los equipos MikroTik ha sido por medio del usuario admin y dicho usuario no tiene
password, lo que haremos será especificar un password para esta cuenta admin.
Pasos:
1.
Unos ubicaremos en el menú del Winbox e iremos a [System – Password]
2.
En esta ventana especificaremos el nuevo password que queramos especificar, en el campo Old password no
especificaremos nada porque el equipo no tiene ninguna contraseña por el momento.
3.
Verificar que puedan ingresar el equipo MikroTik con la contraseña que acabamos de especificar.
Ac a d e m y Xp e r ts
23
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 18: Configurar Identidad
Laboratorio 18. Configurar Nombre al Router MikroTik
Objetivos:
•
Especificar un nombre al equipo MikroTik por defecto todos vienen con el nombre MikroTik
Pasos:
1. Unos ubicaremos en el menú del Winbox e iremos a [System – Identity]. Y configuramos el nombre que
deseamos ponerle al equipo MikroTik
Ac a d e m y Xp e r ts
24
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 19: Filter Input
Laboratorio 19. Filter Input – Reglas Básicas
Objetivos:
•
Configurar las 4 reglas básicas de Firewall INPUT
Escenario:
•
La Figura 1-12 (Filter Input – Reglas Básicas) muestra la configuración que deberán conseguir cada uno de los
estudiantes
Internet
ether1
10.1.1.1/24
ether1
10.1.1.X/24
R-Trainer
eth2
192.168.N.254/24
R-Estudiante
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
ID de alumno
Detalle
1-12
Filter Input – Reglas Básicas
Pasos:
1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas que
administren su Router. En el caso de este ejercicio las direcciones serán: la IP de su laptop (la IP del comando a
continuación es solo un ejemplo), y la red WAN Wireless.
/ip firewall address-list
add address=192.168.100.254 list=”IPs permitidas Administrar Router”
add address=10.1.1.1-10.1.1.63 list=”IPs permitidas Administrar Router”
2.
/ip
add
add
add
add
Crear las 4 reglas básicas en INPUT
firewall filter
chain=input comment=”IN–establecidas/relacionadas” connection-state=established,related
action=drop chain=input comment=”IN – invalidas” connection-state=invalid
chain=input src-address-list=”IPs permitidas Administrar Router”
action=drop chain=input comment=”IN – Descartar todo lo demas”
Ac a d e m y Xp e r ts
25
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 20: Filter Forward
Laboratorio 20. Filter Forward – Reglas Básicas
Objetivos:
•
Configurar las 4 reglas básicas de Firewall FORWARD
Escenario:
•
La Figura 1-13 (Filter forward – Reglas Básicas) muestra la configuración que deberán conseguir cada uno de los
estudiantes
Internet
ether1
10.1.1.1/24
ether1
10.1.1.X/24
R-Trainer
eth2
192.168.N.254/24
R-Estudiante
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
ID de alumno
Detalle
1-13
Filter forward – Reglas Básicas
Pasos:
1.
Cada estudiante debe crear un address-list donde deben especificar las direcciones IP que estarán permitidas
navegar a Internet. En el caso de este ejercicio las direcciones serán el segmento de la red LAN (local)
/ip firewall address-list
add address=192.168.100.0/24 list=”IPs-navegar-internet”
2. Crear las 4 reglas basicas en Forward
/ip firewall filter
add chain=forward comment=”FW – establecidas y relacionadas” connectionstate=established,related
add action=drop chain=forward comment=”FW – invalidas” connection-state=invalid
add chain=forward src-address-list=”IPs-Navegar-internet”
add action=drop chain=forward comment=”FW – Descartar todo lo demas”
Ac a d e m y Xp e r ts
26
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 21: Filtros ICMP
Laboratorio 21. Filter ICMP – Reglas Básicas
Objetivos:
•
Configurar unas de las reglas fundamentales para proteger al Router de las intrusiones de Red más conocidos.
•
Protección contra el Ping Flooding (inundación de Paquetes ICMP)
Escenario:
Internet
ether1
10.1.1.1/24
ether1
10.1.1.X/24
R-Trainer
eth2
192.168.N.254/24
R-Estudiante
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
ID de alumno
Detalle
1-14
Filter ICMP – Reglas Básicas
Pasos:
1.
/ip
add
add
Se debe crear una regla de jump para generar un chain personalizado
firewall filter
action=jump chain=input comment="IN - Salto a control ICMP" jump-target=ICMP protocol=icmp
action=jump chain=forward comment="IN - Salto a control ICMP" jump-target=ICMP protocol=icmp
2.
Se deben crear las reglas de control de mensajeria ICMP. Estas reglas pueden quedar ubicadas al final de todas
las reglas ya que serán llamadas cuando se invoque el chain ICMP.
firewall filter
chain=ICMP icmp-options=0:0 limit=5,5:packet protocol=icmp
chain=ICMP icmp-options=8:0 limit=5,5:packet protocol=icmp
chain=ICMP icmp-options=11:0 limit=5,5:packet protocol=icmp
chain=ICMP icmp-options=3:3 limit=5,5:packet protocol=icmp
chain=ICMP icmp-options=3:4 limit=5,5:packet protocol=icmp
action=drop chain=ICMP protocol=icmp
/ip
add
add
add
add
add
add
3.
Se debe ubicar adecuadamente esta regla. Se sugiere que las mismas estè antes de la regla que acepta las IPs
que pueden administrar el Router. De esta forma se previene que cualquier de los equipos que tenga acceso al
Router pudiera estar infectado y de esta forma comprometer la integridad del dispositivo.
Ac a d e m y Xp e r ts
27
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 21: Filtros ICMP
4.
las reglas de ICMP pueden ser ubicadas de una mejor manera entre las reglas de input y las reglas de forward
Ac a d e m y Xp e r ts
28
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 22: Filtros Layer 7
Laboratorio 22. Filtro – Layer 7 Protocol
Objetivos:
•
El firewall de MikroTik tiene implementado la función de bloquea a nivel de capa 7
•
En este ejercicio haremos bloqueo de páginas web
Pasos:
1. Generar la expresión regular especificando lo que vamos a bloquear en nuestro Red. Para ello nos ubicaremos en
[IP-Firewall-Layer7 Protocol] y generaremos la siguiente expresión.
/ip firewall layer7-protocol
add name="redes sociales" regexp="^.+(facebook|youtube|twitter|instagram|viber).+\$"
2.
Crearemos un address-list llamado bloquear y agregamos las IP de las personas a las que queremos bloquear
estas páginas.
/ip firewall address-list
add address=192.168.1.253 list=bloquear
add address=192.168.1.23 list=bloquear
3.
Por ultimo generamos la regla de filtro con el chain forward y la ubicamos antes del filtro de IPs permitidas
navegación.
/ip firewall filter
add action=drop chain=forward layer7-protocol="redes sociales" src-address-list=bloquear
Ac a d e m y Xp e r ts
29
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 23: NAT srcnat + masquerade
Laboratorio 23. NAT – srcnat + masquerade
Objetivos:
1. Enmascarar las redes LAN que se crean en una Res ya estructurada o una red que recién este siendo armada.
2. Crear una nueva Red LAN en nuestra estructura ya armada.
Escenario:
Nueva Red
172.16.100.254/24
Internet
eth3
172.16.100.1/24
ether1
10.1.1.1/24
ether1
10.1.1.X/24
R-Trainer
eth2
192.168.N.254/24
R-Estudiante
192.168.N.1/24
Diagrama elaborado por:
ACADEMY XPERTS
Figura
ID de alumno
Detalle
1-15
NAT – srcnat + masquerade
Pasos:
1. Como sabemos en nuestro Router actual tenemos todos los puertos dentro de un bridge entonces debemos
sacar primero ese puerto del bridge para poder configurarle la dirección IP de la nueva LAN.
2.
Configurar la nueva dirección IP en interfaz ether3 172.16.100.1/24 para ellos nos vamos a [IP-Address-list]
Ac a d e m y Xp e r ts
30
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 23: NAT srcnat + masquerade
3.
Y por último creamos la regla de NAT para enmascarar nuestra nueva red y darle salida a la red de internet. Para
ello nos vamos a [IP-Firewall-NAT]
/ip firewall nat
add chain=srcnat src-address=172.16.100.0/24 action=masquerade
NOTA IMPORTANTE:
Recordemos siempre que el parámetro Out. Interface será el puerto que este como WAN en el dispositivo MikroTik.
Ac a d e m y Xp e r ts
31
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 24: NAT dstnat + dst-nat
Laboratorio 24. NAT – dstnat + dst-nat
Objetivos:
•
Podemos usar la acción dst-nat para poder crear un nateo de algún servidor en mi red privada y que ahora pueda
ser visto y accedido desde cualquier otra red publica
Escenario:
Pasos:
1. Creamos la regla de re-direccionamiento en el Router que contenga la IP pública. Para ellos nos ubicamos en la
opción [IP-Firewall-NAT]
/ip firewall nat
add chain=dstnat action=dst-nat dst-address=190.12.55.236 protocol=tcp dst-port=1234
to-addresses=192.168.1.20 to-ports=20-21
Ac a d e m y Xp e r ts
32
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 25: NAT dstnat + redirect
Laboratorio 25. NAT – dstnat + redirect
Objetivos:
•
•
•
•
Pasos:
1.
/ip
add
add
La acción redirect me permite crear un re-direccionamiento para que los clientes antes de salir a la red de internet
primero pasen por el DNS Server del equipo MikroTik o por el Web-Proxy del equipo MikroTik.
DNS Server: se puede crear este re-direccionamiento para que sin importar que DNS se configure el cliente
siempre salgan por los DNS especificados en el Router MikroTik y adicionalmente que en las opciones de DNS se
pueden crear políticas de re-direccionamiento de páginas (esto se lo revisara en cursos más avanzados de
MikroTik)
Web-Proxy: se lo puede configurar de dos maneras estático o transparente, el estático trata de que tenemos que
ir host tras host configurando los navegadores con la dirección IP del web-proxy para que puedan salir por allí. Y
el transparente trata de que los clientes no sabrán que existe un web-proxy filtrando sus peticiones a internet.
El uso de DNS y Web-Proxy se los revisa de forma completa en la certificación de MTCTCE
Generar la regla de redirect para el tráfico de DNS.
firewall nat
chain=dstnat action=redirect protocol=tcp dst-port=53 to-ports=53
chain=dstnat action=redirect protocol=udp dst-port=53 to-ports=53
2. Generar la regla de redirect para el tráfico para el Web-Proxy
/ip firewall nat
add chain=dstnat action=redirect protocol=tcp dst-port=80 to-ports=8080
Ac a d e m y Xp e r ts
33
RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 26: Backup & Export
Laboratorio 26. Creación de respaldos de Configuración
Objetivos:
•
Generar los dos tipos de respaldos que podemos generar en los equipos MikroTik
•
Backup (. backup) y export (. rsc)
Pasos:
1.
El respaldo *.backup lo podemos generar desde la venta de File usando el winbox. Encontraremos un botón con
nombre Backup y el cual nos generara un respaldo. A dicho respaldo podemos o no especificarle un nombre y
una clave. (no son campos obligatorios).
2.
El respaldo *.rsc lo podemos generar mediante una conexión SSH, Telnet o New Terminal ejecutando el comando
export file=nombrar_al_archivo
3.
Para cargar los respaldos *.backup recordemos que solo tenemos que seleccionar el respaldo en la venta de File
y luego dar clic en el botón Restore y listo.
Para cargar los respaldos *.rsc en otro equipo MikroTik solo debemos copiarlo en la ventana de File de dicho
dispositivo y luego por medio del comando import file-name=nombrar_al_archivo podremos subir la
configuración.
4.
Ac a d e m y Xp e r ts
34
Descargar