Introducción a MikroTik RouterOS & RouterBOARD v6.41.0.01 Manual de Laboratorio ABC Xperts ® Network Xperts ® Academy Xperts ® Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales. RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio Tabla de Contenido Laboratorio 1. Reseteo Físico .................................................................................................................................. 1 Laboratorio 2. Primer ingreso a un equipo MikroTik – WebFig.......................................................................... 2 Laboratorio 3. Primer ingreso a un equipo MikroTik – Winbox.......................................................................... 3 Laboratorio 4. Primer ingreso a un equipo Mikrotik – SSH o Telnet ................................................................. 5 Laboratorio 5. Reset vía winbox .............................................................................................................................. 6 Laboratorio 6. Home AP Quick Set – Internet (Automático) ............................................................................... 7 Laboratorio 7. Home AP Quick Set – Internet (Estatico) ..................................................................................... 9 Laboratorio 8. Home AP Quick Set – Internet (PPPoE)...................................................................................... 11 Laboratorio 9. Home AP Quick Set – Local Network.......................................................................................... 12 Laboratorio 10. Home AP Quick Set – Wireless .................................................................................................. 14 Laboratorio 11. Home AP Quick Set – Wireless – WPS ..................................................................................... 15 Laboratorio 12. Home AP Quick Set – Guest Wireless Network ...................................................................... 16 Laboratorio 13. Home AP Quick Set – IP Cloud .................................................................................................. 17 Laboratorio 14. Home AP Quick Set – VPN.......................................................................................................... 18 Laboratorio 15. CPE Quick Set – CPE Wireless (modo Router) ....................................................................... 19 Laboratorio 16. CPE Quick Set – CPE Wireless (modo Bridge) ....................................................................... 22 Laboratorio 17. Configurar Password de administración ................................................................................. 23 Laboratorio 18. Configurar Nombre al Router MikroTik .................................................................................... 24 Laboratorio 19. Filter Input – Reglas Básicas ..................................................................................................... 25 Laboratorio 20. Filter Forward – Reglas Básicas ................................................................................................ 26 Laboratorio 21. Filter ICMP – Reglas Básicas ..................................................................................................... 27 Laboratorio 22. Filtro – Layer 7 Protocol.............................................................................................................. 29 Laboratorio 23. NAT – srcnat + masquerade ....................................................................................................... 30 Laboratorio 24. NAT – dstnat + dst-nat................................................................................................................. 32 Laboratorio 25. NAT – dstnat + redirect ............................................................................................................... 33 Laboratorio 26. Creación de respaldos de Configuración ................................................................................ 34 Ac a d e m y Xp e r ts i RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 1: Reseteo Físico Laboratorio 1. Reseteo Físico Objetivos: El botón Reset Físico nos ayuda a borrar toda configuración que tenga nuestro equipo MikroTik, al momento de realizar el proceso la configuración que se cargará será la de por defecto. • También es útil para cuando pierdo acceso al equipo MikroTik por olvido de usuario o contraseña de nuestro dispositivo. Pasos: 1. Ubicaremos el botón RES en nuestro equipo MikroTik y lo desconectaremos: 2. Ahora con la ayuda de un clip presionaremos el botón RES y luego conectaremos el equipo y mantenemos: 3. Esperaremos a que la luz de ACT comience a parpadear y soltamos el clip 4. 5. Por ultimo conectaremos un cable desde nuestra PC a la ether2 de nuestro dispositivo MikroTik. Configurar a nuestra PC que tenga que el direccionamiento de red será de forma automática (Obtener una dirección IP automática) Verificar que hemos recibido la siguiente dirección en nuestra PC: 192.168.88.254 6. Ac a d e m y Xp e r ts 1 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 2: WebFig Laboratorio 2. Primer ingreso a un equipo MikroTik – WebFig Objetivos: • Una de las formas de acceder a un equipo MikroTik es por medio del WebFig usando un navegador en nuestra PC. Solo debemos especificar la IP que tenga nuestro equipo Mikrotik. • Pasos: 3. Una vez que completamos el laboratorio anterior y verificamos que el equipo MikroTik nos dio la dirección IP podremos acceder vía WebFig. 4. Abriremos un navegador de nuestra preferencia en nuestro PC 5. Especificaremos la IP por defecto de nuestro equipo MikroTik 192.168.88.1 en el navegador. 6. Al momento de presionar [intro] ingresaremos de forma automática al WebFig. Ac a d e m y Xp e r ts 2 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 3: Winbox Laboratorio 3. Primer ingreso a un equipo MikroTik – Winbox Objetivos: • • • Pasos: Winbox es la herramienta propietaria de MikroTik para poder acceder y realizar las configuraciones de una forma más didáctica y de manera gráfica. Winbox lo podemos descargar desde www.mikrotik.com/download o desde el acceso WebFig del Router. Los podemos usar para ingresar al equipo por medio dirección IP (Capa 3) o dirección MAC (capa 2). 1. Descargar Winbox desde www.mikrotik.com/download 2. podemos descargar Winbox desde la página del Router MikroTik (WebFig) 3. De cualquiera de las formas que hallamos descargado el Winbox se nos creara un archivo ejecutable llamado winbox.exe el cual lo ejecutaremos para poder abrir la Herramienta y poder ingresar a nuestro equipo MikroTik Ac a d e m y Xp e r ts 3 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 3: Winbox 4. Una vez ejecutada la herramienta nos ubicamos en la opción Neighbors para poder visualizar a nuestro equipo MikroTik y poder ingresar por primera vez. 5. Ahora solo nos queda seleccionar a nuestro equipo y daremos clic en el botón Connect y se nos abrirá nuestro equipo y es lo que tendremos al ingresar por primera vez a nuestro equipo MikroTik: 6. Al momento de ingresar nos aparecerá esta pantalla la cual nos indica que podemos seleccionar entre iniciar con la configuración por defecto [OK] o borrar toda dicha configuración [Remove Configuration]. En este caso daremos clic en [OK]. Ac a d e m y Xp e r ts 4 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 4: SSH o Telnet Laboratorio 4. Primer ingreso a un equipo Mikrotik – SSH o Telnet Objetivos: • • Pasos: Otra de las opciones para poder configurar a nuestros equipos es vía línea de comando ingresando de forma remota por SSH o Telnet. Para ello podemos usar la herramienta putty.exe (Descargar) 1. Una vez que descargamos la herramienta putty.exe la vamos a ejecutar y especificaremos la IP del equipo al cual vamos a ingresar en este caso tendremos que poner la IP por defecto del equipo MikroTik la cual es 192.168.88.1 y seleccionamos como método de acceso vía SSH. 2. Clic en el botón Open y luego especificaremos que el usuario es admin Ac a d e m y Xp e r ts 5 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 5: Reset vía Winbox Laboratorio 5. Reset vía winbox Objetivos: • • La opción Reset Configuration vía Winbox la podemos usar para realizar un reseteo completo del equipo MikroTik, es decir, para poder borrar toda configuración y dejar al equipo en blanco. También nos puede cargar la configuración de algún respaldo en específico luego de realizar el proceso de reseteo Pasos: 1. Por el momento en nuestros equipos MikroTik tenemos cargada la configuración por defecto, lo que haremos ahora será eliminar dicha configuración para poder tener el equipo MikroTik sin ninguna configuración. 2. Lo podemos realizar vía el menú de Winbox [system-Reset Configuration] y debemos marcar las dos últimas opciones [No Default Configuration] y [Do Not Backup] para poder realizar el proceso de forma correcta. 3. lo podemos realizar vía línea de comando con el comando system Reset-Configuration nodefaults=yes skin-backup=yes 3. Luego de ello el equipo MikroTik se reiniciará durante unos 50 segundos y luego esperamos a que en el Winbox aparezca nuestro equipo MikroTik ya sin dirección IP por defecto ahora el ingreso al equipo será por dirección MAC (Capa 2). Para ello daremos clic en la dirección MAC de nuestro equipo y luego conectar. Ac a d e m y Xp e r ts 6 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 6: Quick Set, Automático Laboratorio 6. Home AP Quick Set – Internet (Automático) Objetivos: • • Uno de los primeros procesos en un equipo MikroTik es configurarle la WAN (la salida a internet) Para ello este curso se basa en la configuración vía la opción Quick Set la cual es una interfaz gráfica que nos ofrece Winbox para poder configurar de una manera más personalizada y rápida. Escenario: Internet ether3 10.1.1.1/24 R-Trainer ether1 10.1.1.X/24 R-Estudiante Diagrama elaborado por: ACADEMY XPERTS Figura 1-1 ID de alumno Detalle Quick Set – Internet (automatico) Pasos: 1. 3. Para este escenario el R-Trainer ya está previamente configurado, nos basaremos en la configuración del REstudiante para ello tenemos el siguiente escenario. Estaremos conectados a un switch directamente. Iniciamos sesión en nuestro equipo MikroTik y comprobamos que no tenga ninguna configuración caso contrario realizar el laboratorio 5 de nuevo. Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo Home AP 4. Ubicaremos la opción Internet 5. Le daremos clic en la opción Automatic y con ello lo que estamos haciendo es especificarle que los parámetros de configuración para la salida a internet serán configurados de forma automática (Esta opción es válida solo si el Router que me va a dar el servicio de internet tiene habilitado un DHCP-Server. 2. Ac a d e m y Xp e r ts 7 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 6: Quick Set, Automático 6. Para que nos den el direccionamiento, teniendo seleccionado en el modo Automatic ahora iremos a [IP-DHCP Client] y activaremos la interfaz que en este caso hará de WAN en nuestro dispositivo MikroTik y comprobaremos que nos den una dirección IP. 7. Ahora que ya recibimos el direccionamiento IP podemos comprobar por medio del comando PING que tengamos salida a internet, ejecutando el siguiente comando ping 8.8.8.8 y ping google.com Ac a d e m y Xp e r ts 8 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 7: Quick Set, Estático Laboratorio 7. Home AP Quick Set – Internet (Estático) Objetivos: • • Uno de los primeros procesos en un equipo MikroTik es configurarle la WAN (la salida a internet) Para ello este curso se basa en la configuración vía la opción Quick Set la cual es una interfaz gráfica que nos ofrece Winbox para poder configurar de una manera más personalizada y rápida. Escenario: Internet ether3 10.1.1.1/24 R-Trainer ether1 10.1.1.20/24 R-Estudiante Diagrama elaborado por: ACADEMY XPERTS Figura ID de alumno Detalle 1-2 Quick Set – Internet (Estatico) Pasos: 1. Este proceso será realizado para cuando el Router que nos va a dar el servicio de internet no tiene configurado ningún DHCP-Server y todo tiene que ser de manera estático. Para realizar este proceso primero resetearemos la configuración del equipo una vez más. 2. Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo Home AP 3. Ubicaremos la opción Internet y daremos clic en Static 4. Ahora configuraremos los siguientes parámetros IP address, Netmask, Gateway, DNS Servers que nos corresponda (estos datos serán dados por el Trainer. Ac a d e m y Xp e r ts 9 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 7: Quick Set, Estático 5. Con dichas configuraciones luego de completar el resto de parámetros el equipo MikroTik ya debería tener salida a internet. Ac a d e m y Xp e r ts 10 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 8: Quick Set, PPPoE Laboratorio 8. Home AP Quick Set – Internet (PPPoE) Objetivos: • • Uno de los primeros procesos en un equipo MikroTik es configurarle la WAN (la salida a internet) Para ello este curso se basa en la configuración vía la opción Quick Set la cual es una interfaz gráfica que nos ofrece Winbox para poder configurar de una manera más personalizada y rápida. Escenario: Internet ether3 10.1.1.1/24 R-Trainer ether1 10.1.1.x/24 R-Estudiante Diagrama elaborado por: ACADEMY XPERTS Figura ID de alumno Detalle 1-3 Quick Set – Internet (PPPoE) Pasos: 1. 2. 3. 4. Ciertos servicios de internet hoy en día son dados por medio del protocolo PPPoE, el cual nos provee el servicio teniendo que especificar un usuario y una contraseña. También nos da más seguridad en la transferencia de nuestros datos por la RED. Comenzaremos reseteando la configuración del equipo MikroTik una vez mas Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo Home AP 5. Ubicaremos la opción Internet y daremos clic en PPPoE 6. Especificaremos el PPPoE User, PPPoE Password, PPPoE Service Name que nos especifique el Trainer. 7. Al momento de especificar la dirección de Red local ya podremos ver como nuestro equipo ya se conecta a internet. Ac a d e m y Xp e r ts 11 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 9: Quick Set, Local Network Laboratorio 9. Home AP Quick Set – Local Network Objetivos: • Uno de los primeros procesos en un equipo MikroTik es configurarle la LAN (para que nuestros dispositivos en la red ahora tengan salida a internet) Para ello este curso se basa en la configuración vía la opción Quick Set la cual es una interfaz gráfica que nos ofrece Winbox para poder configurar de una manera más personalizada y rápida. • Escenario: Internet ether1 10.1.1.1/24 ether1 10.1.1.X/24 R-Trainer eth2 192.168.N.254/24 R-Estudiante 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura ID de alumno Detalle 1-4 Quick Set – Local Network Pasos: 1. Ya una vez que tenemos la configuración WAN lista procederemos a configurar la red LAN. Para ellos vamos a ubicar en el Quick Set la parte Local Network. 2. Ahora especificaremos los parámetros IP address, Netmask que nos especifique el Trainer. Aparte de ellos configuraremos DHCP Server para esa red LAN y activaremos el NAT. 3. Una vez realizado estos pasos daremos clic en Apply en la ventana de Quick Set. 4. Verificar que nuestro PC tenga configurado el modo de recibir de forma automática una dirección IP y luego de ello verificar que se nos fue entregada una dirección IP del rango de la dirección de red LAN. Ac a d e m y Xp e r ts 12 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 9: Quick Set, Local Network 5. Verificar que tengamos salida a internet en nuestra PC. NOTA IMPORTANTE: Al realizar toda esta configuración el Quick Set de forma automática nos crea una interfaz bridge y los puertos erher2…..etherX, wlan1 quedan dentro de dicho bridge. Por ende, te vas a poder conectar cualquier otro host en los demás puertos y también recibirán direccionamiento IP de la red LAN, lo mismo con los dispositivos Wi-Fi que se conecten a nuestro equipo MikroTik (Esta configuración la veremos más adelante). Ac a d e m y Xp e r ts 13 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 10: Quick Set, Wireless Laboratorio 10. Home AP Quick Set – Wireless Objetivos: • Por ahora nuestros dispositivos (Host, Servidores, Routers) tienen servicio de internet por cableado • Ahora configuraremos la Red Wireless para los dispositivos Wi-Fi Escenario: Internet wlan1 ether1 10.1.1.1/24 ether1 10.1.1.X/24 R-Trainer eth2 192.168.N.254/24 R-Estudiante 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura ID de alumno Detalle 1-5 Quick Set – Wireless Pasos: 1. Ubicaremos en la ventana de Quick Set las opciones Wireless 2. Ahora especificaremos los parámetros network name, band, WiFi Password que nos especifique el Trainer. 3. Daremos clic en Apply y conectar algún dispositivo a dicha red y verificar que tenga salida a internet. Ac a d e m y Xp e r ts 14 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 11: Quick Set, Wireless WPS Laboratorio 11. Home AP Quick Set – Wireless – WPS Objetivos: • Con la opción WPS en el AP nosotros podemos por dos minutos darle acceso a la red a dispositivos Wifi clientes que soporten WPS sin la necesidad de especificar la contraseña de la Red Escenario: Internet ether1 10.1.1.1/24 ether1 10.1.1.X/24 eth2 192.168.N.254/24 R-Trainer 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura 1-6 Detalle ID de alumno Quick Set – Home AP – Wireless - WPS Pasos: 1. Daremos clic en el botón WPS Accept en el Quick Set y se habilitara el acceso por minutos al AP 2. En este ejemplo usaremos un dispositivo móvil con WPS cliente para conectarnos al AP Ac a d e m y Xp e r ts 15 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 12: Quick Set, Guest Wireless Network Laboratorio 12. Home AP Quick Set – Guest Wireless Network Objetivos: • Por medio del Quick Set también es posible crear redes wireless adicionales a la que tenemos • La aplicación útil para esto podría ser crear una red wireless para los invitados Escenario: Internet wlan1 ether1 10.1.1.1/24 ether1 10.1.1.X/24 R-Trainer eth2 192.168.N.254/24 R-Estudiante 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura 1-7 ID de alumno Detalle Quick Set – Guest Wireless Network Pasos: 1. Ubicaremos en la ventana de Quick Set las opciones Wireless 2. Configuraremos los siguientes parámetros Guest Network, Guest WiFi Password que nos especifique el Trainer. 3. Daremos clic en Apply y conectar algún dispositivo a dicha red y verificar que tenga salida a internet. Ac a d e m y Xp e r ts 16 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 13: Quick Set, IP Cloud Laboratorio 13. Home AP Quick Set – IP Cloud Objetivos: • • A partir de RouterOS v6.14 ofrece un servicio de nombres DNS dinámicos para dispositivos RouterBoard. Esto significa que el dispositivo puede obtener automáticamente un nombre de dominio de trabajo, esto es útil si cambia de dirección IP a menudo, y que siempre quieren saber cómo conectarse a su Router. Escenario: Internet 3e2e016a91b9.sn.mynetname.net eth2 192.168.N.254/24 172.16.10.120 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura 1-8 Detalle ID de alumno Quick Set – Home AP – Wireless – IP Cloud Pasos: 1. Nos ubicaremos en el menú [IP-Cloud] podemos habilitarlo dándole clic en DDNS Enabled y con dicho configuramos nos va a generar un DNS Name el cual podemos usar ahora para ingresar a nuestro equipo MikroTik. Ac a d e m y Xp e r ts 17 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 14: Quick Set, VPN Laboratorio 14. Home AP Quick Set – VPN Objetivos: • Si nuestro equipo MikroTik posee una dirección IP publica podemos configurarle una VPN para que desde cualquier otra red pública podemos ingresar a los dispositivos que tenemos en nuestra red LAN. Escenario: Pasos: 1. Ubicaremos en la ventana de Quick Set las opciones VPN 2. Activaremos el servicio y especificaremos VPN Password 3. Con dicha configuración una vez que le demos Apply desde cualquier parte del mundo con tal solo crear la conexión VPN desde una host con la salida a internet podremos ingresar a todos los dispositivos que tenga en mi Red LAN. Ac a d e m y Xp e r ts 18 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 15: Quick Set, CPE modo router Laboratorio 15. CPE Quick Set – CPE Wireless (modo Router) Objetivos: • • Esta opción en un equipo MikroTik me va a permitir extender más mi red Principal Lo podemos realizar creando una nueva red LAN o con la extensión repartir el mismo direccionamiento de la red principal • En este caso veremos el modo Router Escenario: eth2 172.16.N.2 54/24 wlan1 192.168.N.253/24 172.16.N.1 /24 Internet ether1 10.1.1.1/24 ether1 10.1.1.X/24 eth2 192.168.N.254/24 R-Trainer R-Estudiante 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura 1-10 Detalle ID de alumno Quick Set – CPE Wireless (modo Router) Pasos: 1. Una que ingresamos a nuestro equipo MikroTik daremos clic en Quick Set y seleccionaremos el modo CPE 2. Ubicaremos en la ventana de Quick Set la opción Wireless 3. Seleccionamos la Red wireless a la cual nos vamos a conectar y especificamos el parámetro Wifi Password. Y luego le damos clic en el botón Connect. Ac a d e m y Xp e r ts 19 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 15: Quick Set, CPE modo router 4. Una vez que demos clic en el botón Connect observaremos que ya estamos conectados. 5. Ubicaremos en la ventana de Quick Set la opción Wireless Network 6. Configuraremos los parámetros IP Address, Netmask, Gateway, DNS Servers tiene que ser direccionamiento que tenga el AP al cual nos estamos conectando. (También nos permite escoger de qué manera queremos configurar la salida a internet, en este caso lo haremos de manera estático) 7. Ubicaremos en la ventana de Quick Set la opción Local Network Ac a d e m y Xp e r ts 20 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 15: Quick Set, CPE modo router 8. Configuraremos el direccionamiento que va a manejar este dispositivo para su red LAN. Crearemos de igual manera un DHCP Server, habilitaremos el NAT 9. Daremos clic en Apply y comprobamos que el equipo MikroTik tenga salida a internet y también nuestros hosts que tengan salida a internet. NOTA IMPORTANTE: Al no activar la opción en el Quick Set llamada Bridge All LAN Ports el direccionamiento LAN estará configurado en la interfaz ether1. Si la activamos se creará un Bridge entre todos los puertos y podremos conectar varios Host al equipo MikroTik. Ac a d e m y Xp e r ts 21 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 16: Quick Set, CPE modo bridge Laboratorio 16. CPE Quick Set – CPE Wireless (modo Bridge) Objetivos: • • Esta opción en un equipo MikroTik me va a permitir extender más mi red Principal Lo podemos realizar creando una nueva red LAN o con la extensión repartir el mismo direccionamiento de la red principal • En este caso veremos el modo Bridge Escenario: wlan1 192.168.N.253/24 192.168.N .251/24 Internet ether1 10.1.1.1/24 ether1 10.1.1.X/24 eth2 192.168.N.254/24 R-Trainer 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura 1-11 Detalle ID de alumno Quick Set – CPE Wireless (modo Bridge) Pasos: 1. Conectar el equipo MikroTik a la red Wireless. 2. Verificar que esté conectado. 3. Configurar el modo Bridge en la ventana de Quick Set 4. Configuramos el direccionamiento en la interfaz Bridge (puede ser especificado de modo estático o automático) 5. Luego de dar Apply el equipo queda en modo Bridge y el mismo direccionamiento IP de la red principal será entregado ahora por medio de este equipo. Ac a d e m y Xp e r ts 22 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 17: Configurar Password Laboratorio 17. Configurar Password de administración Objetivos: • Por ahora el acceso a los equipos MikroTik ha sido por medio del usuario admin y dicho usuario no tiene password, lo que haremos será especificar un password para esta cuenta admin. Pasos: 1. Unos ubicaremos en el menú del Winbox e iremos a [System – Password] 2. En esta ventana especificaremos el nuevo password que queramos especificar, en el campo Old password no especificaremos nada porque el equipo no tiene ninguna contraseña por el momento. 3. Verificar que puedan ingresar el equipo MikroTik con la contraseña que acabamos de especificar. Ac a d e m y Xp e r ts 23 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 18: Configurar Identidad Laboratorio 18. Configurar Nombre al Router MikroTik Objetivos: • Especificar un nombre al equipo MikroTik por defecto todos vienen con el nombre MikroTik Pasos: 1. Unos ubicaremos en el menú del Winbox e iremos a [System – Identity]. Y configuramos el nombre que deseamos ponerle al equipo MikroTik Ac a d e m y Xp e r ts 24 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 19: Filter Input Laboratorio 19. Filter Input – Reglas Básicas Objetivos: • Configurar las 4 reglas básicas de Firewall INPUT Escenario: • La Figura 1-12 (Filter Input – Reglas Básicas) muestra la configuración que deberán conseguir cada uno de los estudiantes Internet ether1 10.1.1.1/24 ether1 10.1.1.X/24 R-Trainer eth2 192.168.N.254/24 R-Estudiante 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura ID de alumno Detalle 1-12 Filter Input – Reglas Básicas Pasos: 1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas que administren su Router. En el caso de este ejercicio las direcciones serán: la IP de su laptop (la IP del comando a continuación es solo un ejemplo), y la red WAN Wireless. /ip firewall address-list add address=192.168.100.254 list=”IPs permitidas Administrar Router” add address=10.1.1.1-10.1.1.63 list=”IPs permitidas Administrar Router” 2. /ip add add add add Crear las 4 reglas básicas en INPUT firewall filter chain=input comment=”IN–establecidas/relacionadas” connection-state=established,related action=drop chain=input comment=”IN – invalidas” connection-state=invalid chain=input src-address-list=”IPs permitidas Administrar Router” action=drop chain=input comment=”IN – Descartar todo lo demas” Ac a d e m y Xp e r ts 25 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 20: Filter Forward Laboratorio 20. Filter Forward – Reglas Básicas Objetivos: • Configurar las 4 reglas básicas de Firewall FORWARD Escenario: • La Figura 1-13 (Filter forward – Reglas Básicas) muestra la configuración que deberán conseguir cada uno de los estudiantes Internet ether1 10.1.1.1/24 ether1 10.1.1.X/24 R-Trainer eth2 192.168.N.254/24 R-Estudiante 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura ID de alumno Detalle 1-13 Filter forward – Reglas Básicas Pasos: 1. Cada estudiante debe crear un address-list donde deben especificar las direcciones IP que estarán permitidas navegar a Internet. En el caso de este ejercicio las direcciones serán el segmento de la red LAN (local) /ip firewall address-list add address=192.168.100.0/24 list=”IPs-navegar-internet” 2. Crear las 4 reglas basicas en Forward /ip firewall filter add chain=forward comment=”FW – establecidas y relacionadas” connectionstate=established,related add action=drop chain=forward comment=”FW – invalidas” connection-state=invalid add chain=forward src-address-list=”IPs-Navegar-internet” add action=drop chain=forward comment=”FW – Descartar todo lo demas” Ac a d e m y Xp e r ts 26 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 21: Filtros ICMP Laboratorio 21. Filter ICMP – Reglas Básicas Objetivos: • Configurar unas de las reglas fundamentales para proteger al Router de las intrusiones de Red más conocidos. • Protección contra el Ping Flooding (inundación de Paquetes ICMP) Escenario: Internet ether1 10.1.1.1/24 ether1 10.1.1.X/24 R-Trainer eth2 192.168.N.254/24 R-Estudiante 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura ID de alumno Detalle 1-14 Filter ICMP – Reglas Básicas Pasos: 1. /ip add add Se debe crear una regla de jump para generar un chain personalizado firewall filter action=jump chain=input comment="IN - Salto a control ICMP" jump-target=ICMP protocol=icmp action=jump chain=forward comment="IN - Salto a control ICMP" jump-target=ICMP protocol=icmp 2. Se deben crear las reglas de control de mensajeria ICMP. Estas reglas pueden quedar ubicadas al final de todas las reglas ya que serán llamadas cuando se invoque el chain ICMP. firewall filter chain=ICMP icmp-options=0:0 limit=5,5:packet protocol=icmp chain=ICMP icmp-options=8:0 limit=5,5:packet protocol=icmp chain=ICMP icmp-options=11:0 limit=5,5:packet protocol=icmp chain=ICMP icmp-options=3:3 limit=5,5:packet protocol=icmp chain=ICMP icmp-options=3:4 limit=5,5:packet protocol=icmp action=drop chain=ICMP protocol=icmp /ip add add add add add add 3. Se debe ubicar adecuadamente esta regla. Se sugiere que las mismas estè antes de la regla que acepta las IPs que pueden administrar el Router. De esta forma se previene que cualquier de los equipos que tenga acceso al Router pudiera estar infectado y de esta forma comprometer la integridad del dispositivo. Ac a d e m y Xp e r ts 27 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 21: Filtros ICMP 4. las reglas de ICMP pueden ser ubicadas de una mejor manera entre las reglas de input y las reglas de forward Ac a d e m y Xp e r ts 28 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 22: Filtros Layer 7 Laboratorio 22. Filtro – Layer 7 Protocol Objetivos: • El firewall de MikroTik tiene implementado la función de bloquea a nivel de capa 7 • En este ejercicio haremos bloqueo de páginas web Pasos: 1. Generar la expresión regular especificando lo que vamos a bloquear en nuestro Red. Para ello nos ubicaremos en [IP-Firewall-Layer7 Protocol] y generaremos la siguiente expresión. /ip firewall layer7-protocol add name="redes sociales" regexp="^.+(facebook|youtube|twitter|instagram|viber).+\$" 2. Crearemos un address-list llamado bloquear y agregamos las IP de las personas a las que queremos bloquear estas páginas. /ip firewall address-list add address=192.168.1.253 list=bloquear add address=192.168.1.23 list=bloquear 3. Por ultimo generamos la regla de filtro con el chain forward y la ubicamos antes del filtro de IPs permitidas navegación. /ip firewall filter add action=drop chain=forward layer7-protocol="redes sociales" src-address-list=bloquear Ac a d e m y Xp e r ts 29 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 23: NAT srcnat + masquerade Laboratorio 23. NAT – srcnat + masquerade Objetivos: 1. Enmascarar las redes LAN que se crean en una Res ya estructurada o una red que recién este siendo armada. 2. Crear una nueva Red LAN en nuestra estructura ya armada. Escenario: Nueva Red 172.16.100.254/24 Internet eth3 172.16.100.1/24 ether1 10.1.1.1/24 ether1 10.1.1.X/24 R-Trainer eth2 192.168.N.254/24 R-Estudiante 192.168.N.1/24 Diagrama elaborado por: ACADEMY XPERTS Figura ID de alumno Detalle 1-15 NAT – srcnat + masquerade Pasos: 1. Como sabemos en nuestro Router actual tenemos todos los puertos dentro de un bridge entonces debemos sacar primero ese puerto del bridge para poder configurarle la dirección IP de la nueva LAN. 2. Configurar la nueva dirección IP en interfaz ether3 172.16.100.1/24 para ellos nos vamos a [IP-Address-list] Ac a d e m y Xp e r ts 30 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 23: NAT srcnat + masquerade 3. Y por último creamos la regla de NAT para enmascarar nuestra nueva red y darle salida a la red de internet. Para ello nos vamos a [IP-Firewall-NAT] /ip firewall nat add chain=srcnat src-address=172.16.100.0/24 action=masquerade NOTA IMPORTANTE: Recordemos siempre que el parámetro Out. Interface será el puerto que este como WAN en el dispositivo MikroTik. Ac a d e m y Xp e r ts 31 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 24: NAT dstnat + dst-nat Laboratorio 24. NAT – dstnat + dst-nat Objetivos: • Podemos usar la acción dst-nat para poder crear un nateo de algún servidor en mi red privada y que ahora pueda ser visto y accedido desde cualquier otra red publica Escenario: Pasos: 1. Creamos la regla de re-direccionamiento en el Router que contenga la IP pública. Para ellos nos ubicamos en la opción [IP-Firewall-NAT] /ip firewall nat add chain=dstnat action=dst-nat dst-address=190.12.55.236 protocol=tcp dst-port=1234 to-addresses=192.168.1.20 to-ports=20-21 Ac a d e m y Xp e r ts 32 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 25: NAT dstnat + redirect Laboratorio 25. NAT – dstnat + redirect Objetivos: • • • • Pasos: 1. /ip add add La acción redirect me permite crear un re-direccionamiento para que los clientes antes de salir a la red de internet primero pasen por el DNS Server del equipo MikroTik o por el Web-Proxy del equipo MikroTik. DNS Server: se puede crear este re-direccionamiento para que sin importar que DNS se configure el cliente siempre salgan por los DNS especificados en el Router MikroTik y adicionalmente que en las opciones de DNS se pueden crear políticas de re-direccionamiento de páginas (esto se lo revisara en cursos más avanzados de MikroTik) Web-Proxy: se lo puede configurar de dos maneras estático o transparente, el estático trata de que tenemos que ir host tras host configurando los navegadores con la dirección IP del web-proxy para que puedan salir por allí. Y el transparente trata de que los clientes no sabrán que existe un web-proxy filtrando sus peticiones a internet. El uso de DNS y Web-Proxy se los revisa de forma completa en la certificación de MTCTCE Generar la regla de redirect para el tráfico de DNS. firewall nat chain=dstnat action=redirect protocol=tcp dst-port=53 to-ports=53 chain=dstnat action=redirect protocol=udp dst-port=53 to-ports=53 2. Generar la regla de redirect para el tráfico para el Web-Proxy /ip firewall nat add chain=dstnat action=redirect protocol=tcp dst-port=80 to-ports=8080 Ac a d e m y Xp e r ts 33 RouterOS v6.41.0.01 – Introducción a MikroTik RouterOS & RouterBOARD – Manual de Laboratorio – Lab 26: Backup & Export Laboratorio 26. Creación de respaldos de Configuración Objetivos: • Generar los dos tipos de respaldos que podemos generar en los equipos MikroTik • Backup (. backup) y export (. rsc) Pasos: 1. El respaldo *.backup lo podemos generar desde la venta de File usando el winbox. Encontraremos un botón con nombre Backup y el cual nos generara un respaldo. A dicho respaldo podemos o no especificarle un nombre y una clave. (no son campos obligatorios). 2. El respaldo *.rsc lo podemos generar mediante una conexión SSH, Telnet o New Terminal ejecutando el comando export file=nombrar_al_archivo 3. Para cargar los respaldos *.backup recordemos que solo tenemos que seleccionar el respaldo en la venta de File y luego dar clic en el botón Restore y listo. Para cargar los respaldos *.rsc en otro equipo MikroTik solo debemos copiarlo en la ventana de File de dicho dispositivo y luego por medio del comando import file-name=nombrar_al_archivo podremos subir la configuración. 4. Ac a d e m y Xp e r ts 34