Subido por juanr.jutsu

Conceptos-Fundamentales-de-MikroTik-RouterOS-v6.39.2.01-3

Anuncio
Por Mauro Escalante
Libro de Estudio
RouterOS
Conceptos Fundamentales
de MikroTik RouterOS
v6.39.2.01
Ruteo Estático, Bridge, Wireless,
Administración de Red, Firewall,
Colas Simples, Túneles (VPN)
Conceptos Fundamentales
de MikroTik RouterOS
v6.39.2.01
Libro de Estudio
ABC Xperts ®
Network Xperts ®
Academy Xperts ®
Derechos de autor y marcas registradas
Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts
Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier
medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos
en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte
de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.39.2.01 – Libro de Estudio
Tabla de Contenido
Introducción ........................................................................................................................................................ vi
Resumen ......................................................................................................................................................................... vii
Audiencia ......................................................................................................................................................................... vii
Organización ................................................................................................................................................................... vii
Convenciones usadas en este libro................................................................................................................................ viii
Comentarios y preguntas ............................................................................................................................................... viii
Partners de Academy Xperts en Latinoamérica .............................................................................................. ix
Empresas Asociadas ........................................................................................................................................................ ix
Universidades e Institutos Superiores ............................................................................................................................... x
Deseas convertirte en Academia o ser Partner de Academy Xperts? .............................................................................. x
Un poco de Historia (Costa Rica) ..................................................................................................................................... xi
Cubriendo un País con MikroTik. ............................................................................................................................. xi
Capítulo 1: RouterOS .......................................................................................................................................... 1
Sobre MikroTik ................................................................................................................................................................. 1
¿Qué es RouterOS? ......................................................................................................................................................... 1
Característica de RouterOS ............................................................................................................................................. 2
Qué hay de nuevo en la Versión 6 ................................................................................................................................... 4
Detalle de cambios en las últimas versiones de RouterOS.............................................................................................. 7
6.39.2 (2017-Jun-06 08:01) ...................................................................................................................................... 7
6.39.1 (2017-May-03 10:06) ..................................................................................................................................... 8
6.39 (2017-Abril-27 10:06) ........................................................................................................................................ 8
Qué es RouterBOARD? ................................................................................................................................................. 15
Arquitecturas Soportadas: ...................................................................................................................................... 15
Programa Made For MikroTik (MFM) ............................................................................................................................. 15
Por qué trabajar con un router integrado?...................................................................................................................... 15
Nomenclatura de los productos RouterBOARD ............................................................................................................. 16
Nomenclatura de los productos CloudCoreRouter ......................................................................................................... 17
Nomenclatura de los productos CloudCoreSwitch ......................................................................................................... 17
Ingresando al Router por Primera vez............................................................................................................................ 18
WebFig - Ingreso por Web Browser ............................................................................................................................... 18
Skins ............................................................................................................................................................................... 19
Quickset.......................................................................................................................................................................... 20
WinBox ........................................................................................................................................................................... 21
RoMON........................................................................................................................................................................... 21
Secrets ................................................................................................................................................................... 23
Peer Discovery ....................................................................................................................................................... 23
Aplicaciones ........................................................................................................................................................... 23
Otras formas de acceso: SSH y Telnet .......................................................................................................................... 24
Acceso por puerto serial (puerto de Consola) ........................................................................................................ 24
Bootloader .............................................................................................................................................................. 24
Consola Serial / Terminal Serial ............................................................................................................................. 24
Configuración Básica o dejar el router en Blanco .......................................................................................................... 25
Actualizando el router ..................................................................................................................................................... 26
Cómo hacer un Upgrade ........................................................................................................................................ 27
Actualización automática ........................................................................................................................................ 28
RouterBoot firmware Upgrade ................................................................................................................................ 28
Paquetes de RouterOS .................................................................................................................................................. 29
Paquetes principales de RouterOS ........................................................................................................................ 29
Paquetes extra de RouterOS ................................................................................................................................. 30
Listado de paquetes RouterOS y las respectivas arquitecturas ............................................................................. 31
Administración de usuarios en un RouterOS ................................................................................................................. 31
Grupos de Usuario (User Group) ........................................................................................................................... 31
Información Sensitiva ............................................................................................................................................. 32
Usuarios del Router (router users) ......................................................................................................................... 33
Monitoreo de los usuarios activos .......................................................................................................................... 34
AAA Remoto ........................................................................................................................................................... 35
SSH Keys ............................................................................................................................................................... 35
Private Keys ........................................................................................................................................................... 36
Administración de servicios en un RouterOS (IP Services) ........................................................................................... 36
Administración de los respaldos (backup) de las configuraciones ................................................................................. 37
Comando export ..................................................................................................................................................... 37
Guardar archivos de Backup .................................................................................................................................. 37
Licencias RouterOS........................................................................................................................................................ 38
Academy Xperts
i
RouterOS v6.39.2.01 – Libro de Estudio
Niveles de Licencias ............................................................................................................................................... 38
Cambio de Niveles de Licencias ............................................................................................................................ 39
Uso de las Licencias ............................................................................................................................................... 39
NetInstall......................................................................................................................................................................... 40
Procedimientos para usar Netinstall ....................................................................................................................... 40
Recursos adicionales ..................................................................................................................................................... 42
Preguntas de repaso del Capítulo 1 ............................................................................................................................... 43
Laboratorio – Capítulo 1 ................................................................................................................................................. 43
Capítulo 2: Ruteo Estático ................................................................................................................................ 44
Conceptos de Ruteo ....................................................................................................................................................... 44
Routing o enrutamiento .......................................................................................................................................... 44
Etiquetas de Rutas ................................................................................................................................................. 45
Significado de las etiquetas de rutas más comunes: ............................................................................................. 45
Rutas Estáticas............................................................................................................................................................... 46
Propiedades generales ........................................................................................................................................... 46
Propiedades de solo-lectura ................................................................................................................................... 47
Configurando la Ruta por Defecto .................................................................................................................................. 48
Gestión de Rutas Dinámicas .......................................................................................................................................... 48
Preguntas de repaso del Capítulo 2 ............................................................................................................................... 49
Laboratorio – Capítulo 2 ................................................................................................................................................. 49
Capítulo 3: Bridge.............................................................................................................................................. 50
Conceptos de Bridging ................................................................................................................................................... 50
Usando Bridges .............................................................................................................................................................. 51
Creando un Bridge ......................................................................................................................................................... 52
Preguntas de repaso del Capítulo 3 ............................................................................................................................... 52
Laboratorio – Capítulo 3 ................................................................................................................................................. 52
Capítulo 4: IEEE 802.11 (Wireless) .................................................................................................................. 53
Teoría de Wireless ......................................................................................................................................................... 53
Free-space path loss (FSPL) Perdida de camino en el espacio vacío. .................................................................. 53
PATH LOSS (Pérdida de camino) .......................................................................................................................... 53
FREE SPACE PATH LOSS (FSPL) ....................................................................................................................... 54
Perdida de camino en el espacio vacío .................................................................................................................. 54
Línea de Vista................................................................................................................................................................. 55
Radio LOS y Optical LOS. .............................................................................................................................................. 55
Pérdida en cables y conectores ............................................................................................................................. 56
Zonas de Fresnel............................................................................................................................................................ 56
Cálculo de Presupuesto de Enlace Inalámbrico ............................................................................................................. 57
Tablas de compatibilidad de características para los diferentes protocolos .................................................................. 60
Matriz de Características Wireless ......................................................................................................................... 60
Matriz de Configuraciones WDS ............................................................................................................................ 60
Matriz de Modos Estación (station) ........................................................................................................................ 60
IEEE 802.11 ................................................................................................................................................................... 61
Estándares Wireless....................................................................................................................................................... 61
Wireless Bands (RouterOS) ........................................................................................................................................... 61
802.11a ................................................................................................................................................................... 63
Channel Width (RouterOS)............................................................................................................................................. 64
Frecuencias Soportadas................................................................................................................................................. 64
Scan List ......................................................................................................................................................................... 65
Problema del Nodo Oculto ............................................................................................................................................. 66
Diversidad Espacial ................................................................................................................................................ 67
basic-rates / supported-rates .......................................................................................................................................... 68
Tasas Básicas (802.11b) ........................................................................................................................................ 68
Tasas Básicas (802.11a/g) ..................................................................................................................................... 68
Tasas Básicas (802.11n) ........................................................................................................................................ 68
Tasas Básicas (802.11ac) ...................................................................................................................................... 69
Tasas Soportadas (802.11b) .................................................................................................................................. 69
Tasas Soportadas (802.11a/g) ............................................................................................................................... 70
Tasas Soportadas (802.11n) .................................................................................................................................. 70
Tasas Soportadas (802.11ac) ................................................................................................................................ 70
HT chains ....................................................................................................................................................................... 71
802.11n - Data Rates ..................................................................................................................................................... 71
802.11ac - Data Rates.................................................................................................................................................... 72
Tipos de Modulación ...................................................................................................................................................... 73
Modo de Frecuencia (frequency-mode) ......................................................................................................................... 74
Rate Flapping ................................................................................................................................................................. 74
Academy Xperts
ii
RouterOS v6.39.2.01 – Libro de Estudio
Configuración básica de un Access Point (AP) .............................................................................................................. 74
Perfil de Seguridad (Security profile) .............................................................................................................................. 75
Configuración básica de una Estación (client/station) .................................................................................................... 76
Filtrado por MAC address............................................................................................................................................... 76
Access-list .............................................................................................................................................................. 77
Parámetros adicionales: ......................................................................................................................................... 77
Connect-list: ............................................................................................................................................................ 78
Default-authentication ............................................................................................................................................. 78
Default-forwarding .................................................................................................................................................. 79
WPA, WPA2 ................................................................................................................................................................... 79
Protocolos Wireless propietarios de MikroTik ................................................................................................................ 79
NV2 (Nstreme Version 2) ....................................................................................................................................... 79
Herramientas de monitoreo ............................................................................................................................................ 80
Wireless scan ......................................................................................................................................................... 80
Snooper .................................................................................................................................................................. 80
Registration table .................................................................................................................................................... 80
Redes inalámbricas en Modo Bridge.............................................................................................................................. 81
Preguntas de repaso del Capítulo 4 ............................................................................................................................... 81
Laboratorio – Capítulo 4 ................................................................................................................................................. 81
Capítulo 5: Network Management .................................................................................................................... 82
ARP / RARP ................................................................................................................................................................... 82
Modos ARP ............................................................................................................................................................ 83
Tabla ARP .............................................................................................................................................................. 84
Servidor / Cliente DHCP ................................................................................................................................................. 84
DHCP Server Setup ............................................................................................................................................... 85
DHCP Client ........................................................................................................................................................... 88
Gestión de Asignaciones ................................................................................................................................................ 88
Preguntas de repaso del Capítulo 5 ............................................................................................................................... 89
Laboratorio – Capítulo 5 ................................................................................................................................................. 89
Capítulo 6: Firewall............................................................................................................................................ 90
Conceptos básicos de Firewall ....................................................................................................................................... 90
¿Cómo funciona un firewall? .................................................................................................................................. 90
Mapa de Protocolos ................................................................................................................................................ 96
Flujo de Paquetes........................................................................................................................................................... 96
Diagrama de flujo para Capa 2 (Bridging) en RouterOS v5 ................................................................................... 97
Diagrama de flujo para Capa 3 (Routing) en RouterOS v5 .................................................................................... 97
Diagrama de flujo para Capa 3 (Routing) en RouterOS v6 .................................................................................... 97
Diferencias principales en diagrama de flujo entre v5 y v6 .................................................................................... 98
Detalle de facilidades ............................................................................................................................................. 99
Procesos y decisiones automáticas ....................................................................................................................... 99
Diagrama de mangle incluyendo RAW ................................................................................................................. 100
Connection Tracking y sus Estados ............................................................................................................................. 101
Ubicación del connection tracking ................................................................................................................................ 101
TCP-States ........................................................................................................................................................... 103
Estados de las Conexiones (connection-state) .................................................................................................... 103
Estructura: chains y acciones ....................................................................................................................................... 103
Filtrado Firewall en acción .................................................................................................................................... 104
Consejos Básicos y trucos ................................................................................................................................... 104
Filtrado por Parámetros ........................................................................................................................................ 104
Filter actions ................................................................................................................................................................. 104
Protegiendo tu router (input)......................................................................................................................................... 104
Protegiendo a todos los clientes (forward) ................................................................................................................... 105
Address-list conceptos básicos .................................................................................................................................... 105
Source NAT .................................................................................................................................................................. 106
masquerade & src-nat .......................................................................................................................................... 106
Destination NAT ........................................................................................................................................................... 107
dst-nat & redirect .................................................................................................................................................. 108
scripts ........................................................................................................................................................................... 108
Preguntas de repaso del Capítulo 6 ............................................................................................................................. 108
Laboratorio – Capítulo 6 ............................................................................................................................................... 108
Capítulo 7: Colas Simples y QoS ................................................................................................................... 109
Principales cambios en la v6 de RouterOS .................................................................................................................. 109
Por qué estos cambios? ....................................................................................................................................... 110
Características de las Colas Simples en v6 ......................................................................................................... 110
Conceptos generales.................................................................................................................................................... 111
Academy Xperts
iii
RouterOS v6.39.2.01 – Libro de Estudio
Principios de limitación de velocidad ............................................................................................................................ 111
Simple Queues (Colas Simples)................................................................................................................................... 112
Identificadores de Flujo ........................................................................................................................................ 113
Propiedades HTB ................................................................................................................................................. 114
Tipos de Colas (Queue Types) ............................................................................................................................. 115
PFIFO, BFIFO y MQ PFIFO ......................................................................................................................................... 116
RED .............................................................................................................................................................................. 117
SFQ .............................................................................................................................................................................. 118
PCQ .............................................................................................................................................................................. 119
Nueva implementación de PCQ (a partir de la v5.0RC5) ..................................................................................... 122
Interface Queue ............................................................................................................................................................ 122
Burst ............................................................................................................................................................................. 123
Preguntas de repaso del Capítulo 7 ............................................................................................................................. 125
Laboratorio – Capítulo 7 ............................................................................................................................................... 125
Capítulo 8: Túneles PPP ................................................................................................................................. 126
Introducción .................................................................................................................................................................. 126
RouterOS y Túneles ..................................................................................................................................................... 127
/ppp profile (perfiles de usuario) ................................................................................................................................... 127
/ppp secret (base de datos de usuario) ........................................................................................................................ 129
/ppp active (usuarios activos) ....................................................................................................................................... 130
/ppp aaa (AAA remoto) ................................................................................................................................................. 131
/ppp client (cliente PPP) ............................................................................................................................................... 131
/ip pool .......................................................................................................................................................................... 132
PPPoE .......................................................................................................................................................................... 133
Operación PPPoE ................................................................................................................................................ 134
Tipos de paquetes utilizados ................................................................................................................................ 135
MTU ...................................................................................................................................................................... 135
pppoe client (Cliente PPPoE) ............................................................................................................................... 136
Status ................................................................................................................................................................... 136
Scanner ................................................................................................................................................................ 137
Configuración del Server PPPoE (Concentrador de Acceso) .............................................................................. 138
PPTP ............................................................................................................................................................................ 140
PPTP Client (cliente pptp) .................................................................................................................................... 142
PPTP Server (servidor pptp) ................................................................................................................................ 142
L2TP ............................................................................................................................................................................. 143
L2TP Client (cliente l2tp) ...................................................................................................................................... 144
L2TP Server (servidor l2tp) .................................................................................................................................. 144
Clientes y servidores SSTP .......................................................................................................................................... 145
Clientes y Servidores OpenVPN .................................................................................................................................. 147
Configuración de Rutas entre redes ............................................................................................................................. 147
Preguntas de repaso del Capítulo 8 ............................................................................................................................. 148
Laboratorio – Capítulo 8 ............................................................................................................................................... 148
Capítulo 9: Herramientas RouterOS .............................................................................................................. 149
E-mail ........................................................................................................................................................................... 149
Send Email ........................................................................................................................................................... 149
Netwatch....................................................................................................................................................................... 150
Ping .............................................................................................................................................................................. 152
Formato de la cabecera (header) ICMP ............................................................................................................... 152
Mensajes de Control ICMP ................................................................................................................................... 153
MAC ping .............................................................................................................................................................. 155
Traceroute .................................................................................................................................................................... 155
Profiler (Carga del CPU)............................................................................................................................................... 156
Torch ............................................................................................................................................................................ 158
Graphing (Gráficos) ...................................................................................................................................................... 159
Interface Graphing ................................................................................................................................................ 161
Queue Graphing ................................................................................................................................................... 161
Resource Graphing .............................................................................................................................................. 161
Graphics en WinBox ............................................................................................................................................. 162
SNMP ........................................................................................................................................................................... 162
SNMP dentro del mapa de Protocolos TCP/IP ..................................................................................................... 164
Community (Comunidad) ...................................................................................................................................... 164
Management information base (MIB) ................................................................................................................... 165
Identificadores de Objetos (OID - Object identifiers) ............................................................................................ 165
Traps .................................................................................................................................................................... 165
SNMP write ........................................................................................................................................................... 165
Academy Xperts
iv
RouterOS v6.39.2.01 – Libro de Estudio
System identity ............................................................................................................................................................. 166
IP Neighbor................................................................................................................................................................... 167
IP Neighbor discovery .......................................................................................................................................... 168
Ponerse en contacto con Soporte MikroTik.................................................................................................................. 169
Supout.rif .............................................................................................................................................................. 169
Supout.rif Viewer .................................................................................................................................................. 169
Autosupout.rif ....................................................................................................................................................... 170
Registros (logging) del sistema y registros de depuración ........................................................................................... 170
Configuración del Logging .................................................................................................................................... 170
Actions .................................................................................................................................................................. 171
Tópicos ................................................................................................................................................................. 172
Bandwidth Test ............................................................................................................................................................. 173
Bandwidth Test Server ......................................................................................................................................... 173
Bandwidth Test Client ........................................................................................................................................... 173
Ping Speed ................................................................................................................................................................... 174
SMS .............................................................................................................................................................................. 175
Packet Sniffer ............................................................................................................................................................... 176
IP-Scan ......................................................................................................................................................................... 177
Telnet............................................................................................................................................................................ 178
SSH .............................................................................................................................................................................. 178
MAC Telnet................................................................................................................................................................... 178
Sigwatch ....................................................................................................................................................................... 178
Wake on Lan (Activación de la Lan) ............................................................................................................................. 179
Fetch............................................................................................................................................................................. 179
Dynamic DNS ............................................................................................................................................................... 180
Flood Ping .................................................................................................................................................................... 183
Generator Traffic (Generador de Tráfico) ..................................................................................................................... 183
Monitor de Tráfico de Interface..................................................................................................................................... 187
Academy Xperts
v
RouterOS v6.39.2.01 – Libro de Estudio
Introducción
MikroTik es una empresa que nace en Latvia (Letonia) en 1996 con el claro objetivo de proveer un sistema operativo de red
altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al
mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico
y multi-núcleo, este hardware es el RouterBOARD.
A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes
por nuestros racks, siendo Cisco el referente, sin embargo, siempre había representado un costo más o menos importante
a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP.
No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios
emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y
RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica
(Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y
gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas.
Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del
networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su
internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y
medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD.
Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino
que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de
fabricantes y costos de implementación.
Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar
en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente
importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.
Mauro Escalante
CEO Academy Xperts
CEO Network Xperts
Academy Xperts
vi
RouterOS v6.39.2.01 – Libro de Estudio
Resumen
Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de
certificación, pero que resultan claves para el correcto entendimiento de la materia.
La información aquí presentada
www.youtube.com/abcxperts
se
complementa
con
nuestros
recursos
en
www.abcxperts.com
y
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es
invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el
material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas
que optan por leer un libro y estudiar a su propio ritmo.
Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de
RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción.
Tenemos una tarea inmensa por delante, pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía
de autoestudio MikroTik.
Audiencia
Las personas que leen este libro deben estar familiarizados con:
•
•
Operaciones de red en Capa 2
Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP
Este libro está dirigido a:
•
•
•
Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a:
§
Redes Corporativas
§
Clientes WISP e ISP
Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes
corporativa y PYMES
Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario
(Help Desk)
Organización
Este libro consta de 8 capítulos. Al final de cada capítulo existe una lista de que resume las ideas principales. El apéndice
proporciona material de referencia de utilidad,
Capítulo 1, MikroTik, RouterOS y RouterBOARD
Una rápida revisión sobre quién es MikroTik, el desarrollo del hardware RouterBOARD, y la base de su sistema operativo
RouterOS en el kernel de Linux. Se enumeran todas las nuevas características que hacen a la versión 6.x.El contenido de
este capítulo se apoya en los videos tutoriales de nuestro canal de conocimiento ABCxperts (http://www.abcxperts.com) en
la plataforma YouTube (http://www.youtube.com/abcxperts).
Capítulo 2, Ruteo Estático
Trabajar en ruteo estático es muy sencillo en el RouterOS, sin embargo, es muy importante fortalecer los conceptos y
comprender los diferentes parámetros asociados con esta tarea. Los instructores (MikroTik Trainer Partners) deben fortalecer
este entendimiento con ejercicios de laboratorio y prácticas teóricas. En nuestro canal de YouTube
(http://www.youtube.com/abcxperts) tenemos video basados en Webinars específicamente sobre Conceptos de Ruteo,
Subnetting, y VLSM.
Capítulo 3, Bridge
Una revisión del concepto de bridge, ventajas y desventajas.
Capítulo 4, Wireless
El mundo de Wireless en RouterOS es sumamente extenso y versátil, sin embargo, en este capítulo del curso se sientan las
bases para poder realizar enlaces básicos y de mediana envergadura para punto-punto y punto-multipunto. En este capítulo
se revisan temas como la seguridad Wireless, filtrado por MAC (address-list y access-list), HT chains, rate flapping, etc.
Capítulo 5, Network Management
RouterOS es un sistema operativo que provee diferentes herramientas de administración y monitoreo. En este capítulo se
revisarán temas como ARP, DHCP Server, DHCP Cliente, Herramientas de RouterOS (email, netwatch, ping, traceroute,
profiler, IP neighbors)
Capítulo 6, Firewall
La función Firewall de RouterOS es sumamente poderosa y en esta sección se tratará de cubrir las opciones y acciones más
importantes destinadas a proteger el router y la red, así como también las formas de proveer acceso a recursos de LAN a
través de un dispositivo que da la cara a Internet o red externa. Existen decenas de parámetros y situaciones entre las que
se revisarán: Flujo de paquetes, Connection Track, Chains, Actions, Filtros, NAT (src-nat, dst-nat), Mangle.
Capítulo 7, Colas Simples y QoS
Si bien es cierto las Colas Simples (simple-queues) son “simples”, sin embargo, proporcionan una posibilidad casi ilimitada
para realizar una verdadera implementación de calidad de servicio (QoS) de la mano con las reglas de Mangle. Colas simples
Academy Xperts
vii
RouterOS v6.39.2.01 – Libro de Estudio
tiene sus limitaciones sobre la eficiencia de la asignación de ancho de banda, pero en los ejercicios que se desarrollen se
podrá emular una estructura jerárquica que podrá ser mejorada en el curso de Control de Tráfico Avanzado.
Capítulo 8, Túneles
Por qué son necesarios los túneles? Cómo entender las interfaces virtuales que se generan? Cómo interconectar dos o más
redes remotas a través de internet? Viajan los datos en forma segura o están expuesto en la nube? Este capítulo enseña
cómo crear los diferentes tipos de túneles PPP en RouterOS. Se revisarán los parámetros y esquema de configuración de
túneles: PPPoE, PPTP, L2TP, SSTP y OVPN
Convenciones usadas en este libro
En este libro se utilizarán las siguientes convenciones tipográficas:
Itálicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso
de términos técnicos
Courier new
Indica direcciones IP y ejemplos de línea de comando
Courier new en itálica
Indica texto que puede ser reemplazado
Courier new en negrita
Indica datos de entrada del usuario
Este icono significa un consejo, sugerencia, o una nota general.
Este icono indica una advertencia o precaución.
Comentarios y preguntas
Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección:
Network Xperts S.A.
Av. Juan T. Marengo y J. Orrantia
Edificio Professional Center, Piso 5, Ofic. 507
Guayaquil, ECUADOR
+593-4-600-8590
+593-9-9535-2132
A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información
adicional:
http://cursos.abcxperts.com
Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
libro@abcxperts.com
Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros
Websites y canal de YouTube
http://www.abcxperts.com
http://www.academyxperts.com
http://www.youtube.com/abcxperts
Academy Xperts
viii
RouterOS v6.39.2.01 – Libro de Estudio
Partners de Academy Xperts en Latinoamérica
Nuestro recorrido por América Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos
y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros
estudiantes el mejor y más completo material de estudio & laboratorio, y lo que es muy importante… que el contenido siempre
esté actualizado.
Nos encantaría estar presente en cada uno de los 14 países y las más de 40 ciudades que recorremos todos los años, pero
el tiempo y la disponibilidad física nos es un obstáculo.
Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en
diferentes países que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido
y el acceso a la suscripción anual de este libro (y todos sus recursos) por un cómodo valor.
Empresas Asociadas
Academy Xperts
ix
RouterOS v6.39.2.01 – Libro de Estudio
Universidades e Institutos Superiores
Deseas convertirte en Academia o ser Partner de Academy Xperts?
•
•
•
Si eres Universidad o Instituto Superior que cuenta con el respectivo acuerdo ministerial de tu país, puedes
optar por convertirte en una Academia MikroTik. Escríbenos a libro@abcxperts.com para darte más información.
Si eres Trainer Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitación, te
invitamos escribirnos a mescalante@academyxperts.com para proporcionarte los detalles.
Si deseas que organicemos cursos en tu ciudad/país de residencia, escríbenos a cursos@academyxperts.com
Academy Xperts
x
RouterOS v6.39.2.01 – Libro de Estudio
Un poco de Historia (Costa Rica)
Cubriendo un País con MikroTik.
En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing.
Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2
Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps.
En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas
bajo la misma marca MikroTik y su sistema operativo RouterOS.
Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron
formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o
se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A (REICO).
Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones
inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de
80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para alcanzar una cobertura de
más del 80% del territorio y a más del 90% de la población.
La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales,
turísticos, comerciales, etc.
Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus
más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK.
REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con
grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica
en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro,
Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa
Rica 2014.
Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico
sobre los inicios de MikroTik en Latinoamérica.
Academy Xperts
xi
RouterOS v6.39.2.01 – Libro de Estudio
Academy Xperts
xii
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Capítulo 1: RouterOS
MikroTik, RouterOS y RouterBOARD
Sobre MikroTik
MikroTik es una compañía fundada en 1996 en Riga, capital de Latvia, creada para desarrollar routers y sistemas
inalámbricos para Proveedores de Servicios de Internet (ISP – Internet Service Provider)
En 1997 MikroTik creó el sistema de software RouterOS que proporciona estabilidad, control y flexibilidad para todos los
tipos de interfaces de datos y ruteo
En el 2002 MikroTik decidió fabricar su propio hardware y de esta forma nace el RouterBOARD. MikroTik tiene distribuidores
en muchas partes del mundo, y clientes probablemente en casi todos los países del planeta.
Páginas de interés:
www.mikrotik.com - Website oficial
www.routerboard.com - Página oficial de los productos RouterBOARD
wiki.mikrotik.com - Portal de documentación
tiktube.com - Portal de videos
mum.mikrotik.com - Eventos y conferencias del MikroTik User Meeting
forum.mikrotik.com - Foro de soporte oficial
¿Qué es RouterOS?
MikroTik RouterOS es el sistema operativo del hardware MikroTik RouterBOARD, que tiene las características necesarias
para un ISP: Firewall, Router, MPLS, VPN, Wireless, HotSpot, Calidad de Servicio (QoS), etc.
RouterOS es un sistema operativo independiente basado en el kernel de Linux v3.3.5 que proporciona todas las funciones
en una instalación rápida y sencilla, con una interface fácil de usar.
RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles con x86, como tarjetas embebidas y
sistemas miniITX. RouterOS soporta computadores multi-core y multi CPU. Soporta tambien Multiprocesamiento Simétrico
(SMP: Symmetric MultiProcessing). Se puede ejecutar en los motherboards Intel más recientes y aprovechar los nuevos
CPUs multicore.
Multiprocesamiento Simétrico
Es una arquitectura de Software y Hardware donde dos o más procesadores idénticos son conectados a una simple memoria
compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son controlados por una simple instancia
del OS (Sistema Operativo), en el cual todos los procesadores son tratados en forma igualitaria, sin que ninguno sea
reservado para propósitos especiales.
En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos, tratándolos como
procesadores separados.
El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo. Soporta una gran
variedad de interfaces de red, incluyendo tarjetas Ethernet de 10 Gigabit, tarjetas wireless 802.11a/b/g/n/ac y módems 3G y
4G.
Academy Xperts
1
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Fechas de liberación de las versiones de RouterOS
•
•
•
•
v6 - May 2013
v5 - Mar 2010
v4 - Oct 2009
v3 - Ene 2008
Característica de RouterOS
Soporte de Hardware
•
•
•
•
•
•
•
Compatible con arquitectura i386
Compatible con SMP (multi-core y multi-CPU)
Requiere un mínimo de 32MB de RAM (reconoce hasta máximo 2GB, excepto en los dispositivos Cloud Core, donde
no existe un máximo)
Soporta los medios de almacenamiento IDE, SATA, USB y flash, con un mínimo de 64MB de espacio. Incluye
HDDs, tarjetas CF y SD, y discos SDD
Tarjetas de red soportadas por el kernel de Linux v3.3.5 (PCI, PCI-X)
Soporte de configuración de Chip de Switch:
o http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
Compatibilidad de diferentes tipos de interfaces y dispositivos. Existe una lista de compatibilidad que alimentada
por los usuarios en el siguiente link:
o http://wiki.mikrotik.com/wiki/Supported_Hardware
Instalación
•
•
•
Netinstall: Instalación basada en red desde una tarjeta de red habilitada con PXE o EtherBoot.
o http://wiki.mikrotik.com/wiki/Manual:Netinstall
Netinstall: Instalación a un drive secundario montado en Windows
Instalación basada en CD
Configuración
•
•
•
•
•
Acceso basado en MAC para configuración inicial. http://wiki.mikrotik.com/wiki/Manual:First_time_startup
WinBox: herramientas de configuración gráfica (GUI) independiente para Windows.
o http://wiki.mikrotik.com/wiki/Manual:Winbox
WebFig: Interface de configuración avanzada basada en web
Poderosa interface de configuración basada en Línea de Comandos (CLI: command line) con capacidades de
scripting integrado, accesible a través de terminal local, consola serial, telnet y ssh.
o http://wiki.mikrotik.com/wiki/Manual:Scripting
API: una forma de crear sus propias configuraciones y aplicaciones de monitoreo.
o http://wiki.mikrotik.com/wiki/Manual:API
Respaldo y Restauración (Backup/Restore)
•
•
Copia de seguridad se configuración binaria
Exportar e Importar la Configuración en formato de texto legible
Firewall
•
•
•
•
•
•
•
•
•
Filtrado basado en el estado del paquete (statefull filtering)
Source NAT y Destination NAT.
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp).
o http://wiki.mikrotik.com/wiki/Manual:IP/Services#Service_Ports
Marcas internas: mark-connection, mark-routing y mark-packet
Filtrado basado en dirección IP y rango de direcciones, puerto y rango de puertos, protocolo IP, DSCP y muchos
más.
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
Listas de direcciones (address lists).
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list
Filtros de Capa 7 personalizados.
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
Soporte para IPv6.
o http://wiki.mikrotik.com/wiki/Manual:IPv6_Overview
PCC: clasificador basado en conexión, utilizado en configuraciones de balanceo de carga.
o http://wiki.mikrotik.com/wiki/Manual:PCC
Ruteo (Routing)
•
•
Ruteo Estático
Virtual Routing and Forwarding (VRF).
o http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding
Academy Xperts
2
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
•
•
•
Ruteo basado en políticas (policy based routing)
Interface de ruteo. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Routes_with_interface_as_a_gateway
Ruteo ECMP. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Multipath_.28ECMP.29_routes
Protocolos de ruteo dinámico IPv4: RIP v1/v2, OSPFv2, BGP v4
Protocolos de ruteo dinámico IPv6: RIPng, OSPFv3, BGP
Bidirectional Forwarding Detection ( BFD).
o http://wiki.mikrotik.com/wiki/Manual:Routing/BFD
MPLS
•
•
•
•
•
•
Static Label Bindings para IPv4
Label Distribution protocol para IPv4.
o http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS
Túneles de Ingeniería de Tráfico RSVP.
o http://wiki.mikrotik.com/wiki/Manual:MPLS/TE_Tunnels
Autodescubrimiento y señalización basado en VPLS MP-BGP
MP-BGP basado en MPLS IP VPN
Es el siguiente link se puede revisar la lista completa de las características de MPLS
VPN
•
•
•
•
•
•
•
IPsec: túnel y modo de transporte, certificado o PSK, protocolos de seguridad AH y ESP. Soporte de encriptación
por hardware en RouterBOARD 1000.
o http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Point to point Tunneling (OpenVPN, PPTP, PPPoE, L2TP, SSTP)
Características avanzadas de PPP (MLPPP, BCP)
Soporte para túneles simples ( IPIP, EoIP) IPv4 e IPv6
Soporte para túnel 6to4 (IPv6 sobre red IPv4)
VLAN: soporte para IEEE802.1q Virtual LAN, Soporte de Q-in-Q.
o http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
VPNs basadas en MPLS.
o http://wiki.mikrotik.com/wiki/Manual:RouterOS_features#MPLS
Wireless
•
•
•
•
•
•
•
•
•
•
•
•
Cliente y Access Point inalámbrico IEEE802.11a/b/g
Soporte completo para IEEE802.11n
Protocolos propietarios Nstreme y Nstreme2
Protocolo NV2. http://wiki.mikrotik.com/wiki/Manual:Nv2
Wireless Distribution System (WDS)
Virtual AP
WEP, WPA, WPA2
Control por Lista de Acceso (Access List)
Roaming de cliente Wireless
WMM. http://wiki.mikrotik.com/wiki/Manual:WMM
Protocolo HWMP+ Wireless MESH.
o http://wiki.mikrotik.com/wiki/Manual:Interface/HWMPplus
Protocolo de ruteo wireless MME.
o http://wiki.mikrotik.com/wiki/Manual:Routing/MME
DHCP
•
•
•
•
•
•
•
DHCP server por interface
DHCP client y relay
Arrendamiento de direcciones IP (leases) DHCP estáticas y dinámicas
Soporte RADIUS
Opciones personalizadas de DHCP
Delegación de prefijo DHCPv6 (DHCPv6-PD)
Cliente DHCPv6
HotSpot
•
•
•
•
Acceso Plug-n-Play a la red
Autenticación de clientes de red locales
Contabilización de usuarios (Users Accounting)
Soporte RADIUS para Autenticación y Contabilización
QoS
•
•
•
Sistema Hierarchical Token Bucket (HTB) QoS con CIR, MIR, burst y soporte de prioridades.
o http://wiki.mikrotik.com/wiki/Manual:HTB
Colas Simples (Simple Queues) para implementación de QoS básico para una solución rápida y simple
Entrega equitativa de ancho de banda al cliente en forma dinámica (PCQ).
Academy Xperts
3
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
o
http://wiki.mikrotik.com/wiki/Manual:PCQ
Proxy
•
Servidor proxy para almacenamiento en caché de HTTP
•
Proxy Transparente HTTP
•
Soporte de protocolo SOCKS.
o http://wiki.mikrotik.com/wiki/Manual:IP/SOCKS
Entradas estáticas DNS.
o http://wiki.mikrotik.com/wiki/Manual:IP/DNS
Soporte para almacenamiento en caché en un drive separado
Soporte para Proxy Padre (parent proxy)
Lista de Control de Acceso (access control list)
Lista de almacenamiento en caché (caching list)
•
•
•
•
•
Herramientas
•
•
•
•
•
•
•
•
•
Ping, traceroute
Test de ancho de Banda (bandwidth test), ping flood
Packet sniffer, torch
Telnet, ssh
E-mail y herramientas de envío SMS
Herramientas de ejecución de Scripts automatizados
CALEA. http://wiki.mikrotik.com/wiki/CALEA
Herramienta File Fetch.
o http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
Generador avanzado de tráfico
Características adicionales
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Soporte para Samba.
o http://wiki.mikrotik.com/wiki/Manual:IP/SMB
Soporte para OpenFlow.
o http://wiki.mikrotik.com/wiki/Manual:OpenFlow
Bridging: spanning tree protocol (STP, RSTP), bridge firewall y MAC natting.
Herramienta de actualización de Dynamic DNS
NTP client/server y sincronización con sistema GPS.
o http://wiki.mikrotik.com/wiki/Manual:System/Time#SNTP_client
Soporte para VRRP v2 y v3.
o http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP
SNMP
M3P: MikroTik Packet Packer Protocol para enlaces Wireless y Ethernet
MNDP: MikroTik neighbor discovery protocol, soporta CDP (Cisco discovery protocol)
Autenticación y Contabilización RADIUS
TFTP server. http://wiki.mikrotik.com/wiki/Manual:IP/TFTP
Soporte para interface Sincrónica (farsync cards only) (Se removió en la versión v5.x)
Asincrónico: serial PPP dial-in/dial-out, dial on demand
ISDN: dial-in/dial-out, soporte para128K bundle, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial on demand
Qué hay de nuevo en la Versión 6
Novedades Generales
•
•
•
•
•
•
•
•
•
•
•
•
•
Drivers y Kernel actualizados a linux-3.3.5
Soporte inicial para OpenFlow.
http://wiki.mikrotik.com/wiki/Manual:OpenFlow
Nuevas características para pantallas táctiles LCD.
o http://wiki.mikrotik.com/wiki/Manual:LCD_TouchScreen
Método de login mac-cookie para el HotSpot (mayormente usado en teléfonos inteligentes).
o http://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction#MAC_Cookie
Opciones configurables del kernel en el menú /ip settings y /ipv6 settings (ip forward, filtros rp etc.)
El timeout del ARP puede ser cambiado en /ip settings
El Neighbor discovery puede ser deshabilitado por default en las interfaces dinámicas en el menú /ip neighbor
discovery settings
Para habilitar/deshabilitar el descubrimiento (discovery) en la interface se debe usar el comando /ip neighbor
discovery set (interface number/name) discover=yes/no
Muestra el last-logged-in en la lista de usuarios
GRE soporta todos los protocolos de encapsulación, no solo IPv4 e IPv6
La etiqueta ‘Slave’ se muestra en las interfaces que están en bridge, bonding o grupo de switch
El cliente SSH provee la nueva propiedad output-to-file, muy útil cuando se realiza scripting.
Soporte para API sobre TLS (SSL). http://wiki.mikrotik.com/wiki/Manual:API
Academy Xperts
4
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
•
•
•
•
•
•
API se encuentra habilitado por default
DNS reintenta las búsquedas con TCP si se reciben resultados truncados
DNS rota los servidores únicamente en falla
DNS cache guarda en bitácora los requerimientos de los tópicos "dns" y "packet";
WebFig ahora soporta autenticación RADIUS (vía MS-CHAPv2).
o http://wiki.mikrotik.com/wiki/Manual:Webfig
Se agregó un nuevo parámetro en Web Proxy: max-cache-object-size
Se incrementó el contador de conexiones Max client/server en el Web Proxy
Si el cliente NTP está habilitado, el log muestra la hora y fecha correctas cuando el router ha realizado un reboot
Trunking 802.1Q con el chip de switch Atheros.
o http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
OpenFlow: Es la primera interface de comunicaciones estándar definida entre las capas de control y forward de una
arquitectura SDN. Permite el acceso directo y la manipulación del plano de forward de los dispositivos de red tales como
switches y routers, tanto físicos como virtuales (basados en hypervisor)
El OpenFlow basado en tecnologías SDN, permite direccionar el consumo de ancho de banda, adaptar la red a las
necesidades cambiantes del negocio, y reducir la complejidad de las operaciones y de la administración.
https://www.opennetworking.org/sdn-resources/openflow
SDN = Software-Defined Networking. Es la separación del <plano de control> de la red del <plano de forwarding>
Un <plano de control> controla diferentes dispositivos.
https://www.opennetworking.org/sdn-resources/sdn-definition
Mac-Cookie: es una nueva función HotSpot, diseñado para mejorar la accesibilidad de los teléfonos inteligentes,
computadoras portátiles y otros dispositivos móviles. Si tenemos activado esto podremos:
•
•
Primer inicio de sesión correcto. MAC cookie mantiene un registro de nombre de usuario y la contraseña de la
dirección MAC si solo hay un HotSpot con tales MAC.
Aparece un nuevo Host. HotSpot chequea si hay un registro de cookies mac para la dirección y los registros.
•
•
•
•
•
SSTP puede forzar una encriptación AES en lugar del RC4 por default
El profile de PPP provee ahora los parámetros bridge-path-cost y bridge-port-priority
Secrets muestra la fecha y hora de last-logged-out
HotSpot y PPP ahora soportan múltiples address-lists
Únicamente se crean 2 reglas de mangle mss para todas las interfaces PPP
PPP
Firewall
•
•
•
•
Nuevos comparadores (matchers) de interfaces all-ether, all-wireless, all-vlan, all-ppp
Comparador con prioridad
Nuevas opciones en change-dscp: from-priority y from-priority-to-high-3-bits
Nuevas acciones de mangle: snif-tzsp, snif-pc
Wireless
•
Opciones de Canales Wireless: se puede crear una lista de canales personalizados.
o http://wiki.mikrotik.com/wiki/Manual:Wireless_Advanced_Channels
DHCP
•
•
•
•
•
•
•
El cliente DHCP ahora soporta opciones personalizadas
El cliente DHCP v4 ahora tiene la opción special-classless para el parámetro add-default-route
Se puede agregar la opción (Option 82) de información del agente relay.
o http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay
Soporte de la opción DHCPv6 DNS
Soporte de DHCPv6 Relay
Soporte de ruta enmarcada DHCP server RADIUS
Opción de configuración por entrega de IP (lease) DHCP
IPsec
•
•
•
•
•
•
•
Se mejoró significativamente la configuración Road Warrior cuando se usa con el soporte Mode Configuration.
Soporte Mode Conf (unity split include, address pools, DNS)
IPsec peer puede ser configurado como pasivo: no iniciará una negociación ISAKMP SA
Soporte Xauth ( xauth PSK e Hybrid RSA)
Plantilla de políticas: permite generar una política solo si src/dst address, protocol y proposal coinciden con la
plantilla
Grupos de pares (peer groups)
Se pueden usar múltiples pares (peers) con la misma dirección IP.
Academy Xperts
5
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
Para los peers con un sistema especificado de dirección IP completo se auto-iniciará una negociación ISAKMP SA.
generate-policy puede ahora tener un valor port-strict que usará el puerto del proposal del peer
La dirección origen (source address) de la fase 1 se puede ahora configurar
Certificados
•
•
•
•
•
Las claves CA (CA keys) ya no son almacenados, cada operación CA ahora requiere un CA passphrase válido.
Se usa el parámetro set-ca-passphrase para que el servidor SCEP almacene la clave CA (CA key) en forma
encriptada
Para los certificados marcados como trusted=yes, CRL se actualizará automáticamente una vez por hora desde
las fuentes HTTP
IPsec y SSTP respetan los CRLs
Soporte para server/cliente SCEP
El administrador de certificados puede ahora emitir certificados firmados por sí mismo.
Ruteo (Routing)
•
•
•
Nuevo parámetro use-dn en OSPF. Obliga a ignorar el DN bit en los LSAs.
Se cambió la lógica de propagación BGP MED. Ahora se descarta cuando se envía una ruta con non-empty AS_PATH
a un par externo
Las rutas conectadas se vuelven inactivas cuando la interface se cae. Esto significa que los protocolos de ruteo
dinámico detendrán la distribución de las rutas conectadas que no tengan la etiqueta Active.
Colas (Queues)
•
•
•
•
•
•
•
•
•
Se mejoró el desempeño del uso de las colas simpes (simple queues)
Se mejoró la administración de las colas (/queue simple y /queue tree), permitiendo el manejo de decenas de
miles de colas
Las entradas de /queue tree con parent=global se ejecutan en forma separada de las /queue simple y antes
de las /queue simple
Se crean por default los tipos de encolamiento (queue types): pcq-download-default y pcq-upload-default
Las colas simples (simple queues) tienen configuraciones de prioridad separados para download/upload/total
Los padres global-in, global-out, global-total en /queue tree se reemplazan con global que es el
equivalente a global-total en la versión 5
Las colas simples se ejecutan en un lugar diferente: al final de los chains postrouting y local-in
Los parámetros target-addresses e interface en colas simples se unen en un solo parámetro destino, ahora
soporta múltiples interfaces para una sola cola
El parámetro dst-address en las colas simples se cambia a dst y ahora soporta una interface como destino
Exportar una configuración compacta
•
•
Ahora por default la configuración se exporta en modo compacto
Para realizar un export completo de la configuración se debe usar el parámetro verbose
/export verbose file=myConfig
Herramientas
•
•
•
•
•
•
Soporte FastPath. http://wiki.mikrotik.com/wiki/Manual:Fast_Path
Se renombró en e-mail el tls a start-tls y se agregó como un parámetro configurable
La herramienta Fetch ahora tiene soporte para HTTPS.
o http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
Se agregó soporte de la cabecera IPv6 al generador de tráfico (traffic generator)
Reproducción de archivos pcap dentro de la red usando el nuevo comando trafficgen inject-pcap
La NAND Flash puede ser particionada en los routerboards y se pueden instalar versiones separadas de RouterOS
en cada una de las particiones.
o http://wiki.mikrotik.com/wiki/Manual:Partitions
Academy Xperts
6
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Detalle de cambios en las últimas versiones de RouterOS
Para una revisión más amplia del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link:
http://abcxperts.com/index.php/bitacora-de-cambios
6.39.2 (2017-Jun-06 08:01)
6to4
•
Se corrigió un problema de generación de dirección “link-local” IPv6 equivocada
arp
•
Se corrigió "make-static"
bonding
•
No se agrega la interface bonding si se recibe un error "could not set MTU"
bridge
•
Se corrigió un problema de conectividad entre bridges (puentes) cuando se activaba la característica "fast-forward"
conntrack
•
Se carga el connection tracking IPv6 independientemente de IPv4
console
•
Se corrigieron las advertencias "No such file or directory" cuando se hacía un reboot luego de un upgrade
export
•
Se removió el valor "caller-id-type" del export compacto
fetch
•
Se corrigió un problema en el análisis de argumento “user” y “password” desde URL a FTP
firewall
•
Se corrigió el ajuste a la zona horaria en “creation-time” en la entrada “address-list”
•
No se permite configurar el valor 0 para el parámetro “limit”
•
Se corrigió la entrada “address-list” cambiando de IP a DNS y viceversa
gps
•
Se removió los logs duplicados
ike1
•
Se corrigió un problema de caída en el mensaje xauth
•
Se removió la limitación de longitud del login xauth
ike2
•
Se corrigió un raro problema de Kernel en la dirección a adquirir
•
Se corrigió una situación cuando el prefijo selector de tráfico se analizó incorrectamente
ipsec
•
Se corrigió un problema generado por la prioridad de una política
•
Se corrigió un problema en peer "my-id" address reset
•
Se renombró el parámetro "remote-dynamic-address" a "dynamic-address"
ipv6
•
Se corrigió un problema en que una dirección se volvía inválida cuando la interface se removia del bridge/mesh
led
•
Se corrigió un problema en que el LED se apagaba cuando la interface se perdía
lte
•
Se mejoró el “polling” de background del canal de información
•
Se mejoró la confiablidad en el SXT LTE
•
Se reemplazó el comando "user-command" con "at-chat"
ppp
•
Se corrigió un problema en la funcionalidad "change-mss" (se introdujo en v6.39)
•
Se corrigió u problema de MLPPP sobre múltiples canales/interfaces (se introdujo en v6.39);
•
Se envía la dirección IP correcta en los mensajes de RADIUS "accounting-stop" (se introdujo en v6.39);
Academy Xperts
7
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
pppoe
•
Se corrigió una advertencia en el servidor PPPoE cuando se cambiaba la interface a una interface non-slave
pppoe-client
•
Se removió una falsa advertencia de la interface del cliente cuando empezaba a correr en una interface non-slave
pppoe-server
•
Se corrigió un problema de “una-sesión-por-host” ("one-session-per-host") donde 2 sesiones simultáneas eran
posibles en el mismo host
queue
•
Se corrigió un problema de encolamiento cuando al menos una cola hijo tenía “default-small” y la(s) otra(s) eran
diferente(s) (se introdujo en la v6.35);
quickset
•
Se corrigió un problema en los gráficos de la fuerza de señal (“signal-strength”) LTE
sniffer
•
Se corrigió un problema en los VLAN tags cuando se hacía un sniffig a todas las interfaces
snmp
•
Se corrigió el limited walk
switch
•
Se corrigió un problema que deshabilitaba el aprendizaje de la MAC en equipos CRS1xx/CRS2xx
tile
•
Se corrigió el EoIP Keepalive cuando el túnel estaba creado sobre una interface VLAN
•
Se corrigió un raro problema de fallo de kernel en le encriptación cuando se procesaban paquetes pequeños
traffic-flow
•
Se corrigió el reporte de datos IPFIX IPv6
winbox
•
No se permite abrir múltiples sub-menús al mismo tiempo
•
Se corrigió un problema de selección de Puerto de firewall con Winbox v2
•
Se corrigió el botón LTE info
•
Se removieron valores de la configuración “loop-protect” de los túneles EoIPv6
wireless
•
Se redujo la carga en el CPU para enlaces Wireless de alta velocidad
6.39.1 (2017-May-03 10:06)
defconf
•
•
Se descarta la consulta de inicio de configuración predeterminada con la actualización de RouterOS
Se descarta la consulta de inicio de configuración predeterminada con el cambio de configuración de Webfig
smb
•
•
Se corrigió un problema en la compartición de la carpeta de la unidad externa cuando existía la carpeta "/flash"
Se corrigió un problema en una compartición por default inválida después de hacer reboot cuando existía la carpeta
"/flash"
upnp
•
Se corrigió una actualización en una regla de firewall nat cuando se cambiaba una dirección IP externa
dns
•
Se hace que la carga miles de entradas estáticas sea más rápida
6.39 (2017-Abril-27 10:06)
IMPORTANTE
bridge
•
•
•
Se agregó la configuración y contadores "fast-forward" (habilitado por default únicamente en los nuevos
bridges) (sólo a nivel de CLI):
Se agregó soporte para un caso especial y más rápido de fastpath que se lo llama "fast-forward" (disponible
únicamente en bridges con 2 interfaces)
Se revirtió el procesamiento BPDU del bridge regresando al comportamiento a pre-v6.38 (la v6.40 tendrá otra
implementación bridge consciente de VLAN separada)
filesystem
•
•
Se corrigió una rara situación cuando el filesystem fallaba en leer toda la configuración al arranque
Se corrigió una rara situación cuando el filesystem se iba a modo read-only (algunas configuraciones pudieron
haberse perdido en el reboot)
firewall
Academy Xperts
8
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
Se descontinúa el soporte para el matcher p2p (las reglas anteriores serán inválidas)
kernel
•
Se corrigió un problema de manejo de checksum UDP en algunas raras situaciones de overflow
l2tp
•
Se agregó el soporte fastpath cuando el MRRU está habilitado
ppp
•
Se reescribió completamente el algoritmo de fragmentación interna (cuando se utiliza el MRRU), optimizado para
multicore
ppp
•
Se implementó un algoritmo interno para "change-mss", ya no se necesitan reglas de mangle
pppoe
•
Se agregó soporte fastpath cuando el MRRU y MLPPP están habilitados
quickset
•
Los cambios de configuración ahora se aplican únicamente cuando se presiona "OK" y "Apply" (no en modo change)
tile
•
Se corrigió un problema de paquete fuera-de-orden en la aceleración por hardware IPsec, mejorando
significativamente el desempeño
winbox
•
La versión mínima requerida es la v3.11
address
•
Se corrigió un problema de caída cuando la dirección estaba asignada a otro puerto bridge
api
•
Se corrigió un problema de etiquetas dinámicas dobles en "/ip firewall address-list print";
capsman
•
•
•
•
•
•
•
•
•
•
•
•
•
Se agregó los modos de auto matching "extension-channel" XX y XXXX
Se agregó la configuración "keepalive-frames"
Se agregó la configuración "skip-dfs-channels"
Se agregó el soporte a la lista de descubrimiento de interface de CAP
Se agregó soporte DFS
Se agregó EAP identity a la tabla de registro
Se agregó la habilidad de especificar múltiples canales en el campo frequency field
Se agregó la opción save-channel para acelerar la selección de frecuencia en el reinicio de CAPsMAN
Se agregó soporte para "background-scan" y channel "reselect-interval"
Se agregó soporte para interfaces virtuales estáticas en CAP
Se cambió el nombre de canal "width" a "control-channel-width" y se cambiaron los valores por default
Se mejoró la búsqueda de estatus CAP
Se mejoró el soporte de la prioridad del frame de comunicación entre CAP y CAPsMAN
certificate
•
•
El cliente SCEP ahora soporta FQDN URL y puerto
Se permite que la dirección CRL se especifique como nombre DNS
console
•
•
•
•
Se corrigió un problema en el export "/ip neighbor discovery"
Se corrigió un problema en el valor de distancia mínima DHCP/PPP add-default-route = 1
Se corrigió un problema de caída
Se corrigió un problema de valor incorrecto ":put [/lcd get enabled]"
ddns
•
Se mejoró la validación de autenticación "dns-update"
defconf
•
•
•
Se corrigió un problema de configuración de banda ac en Groove 52
Se corrigió un problema de generación de configuración default cuando el paquete Wireless está deshabilitado
dhcp-client
Se agregó la opción "script" la cual ejecuta un script en cambios de estado
dhcpv4
Academy Xperts
9
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
Se corrigió un problema en el analizador de opción de string
dhcpv4-server
•
•
•
Se agregó el parámetro de script "lease-hostname"
Por default se hace que el server sea “authoritative”
Se realizan algunos chequeos de lease únicamente en el objeto habilitado
discovery
•
Se corrigió un problema en el Discovery LLDP, en que la dirección IPv6 no fue analizada correctamente
dude
•
(los cambios se discuten en: http://forum.mikrotik.com/viewtopic.php?f=21&t=116471);
email
•
Se chequea errores durante el proceso de intercambio SMTP
ethernet
•
•
•
•
•
•
Se agregó el estatus "voltage-too-low" para dispositivos de un solo puerto power injector
Se corrigió un problema "loop-protect" en "master-port";
Se corrigió un raro problema en que se congelaba el chip de switch (podría causar port flapping);
Se corrigió el ciclo de poder innecesario del dispositivo alimentado cuando se cambiaba cualquier configuración
relacionada con poe-out related en dispositivos con un puerto power injector
Se renombró el campo "rx-lose" a "rx-loss" en estadísticas de ethernet
Se reversó poe-priority en hEX PoE y OmniTIK 5 PoE para hacer "poe-priority" sea consistente a todas las
otras prioridades de RouterOS
fastpath
•
Se corrigió un raro problema de caída en dispositivos con interfaces dinámicas
fetch
•
•
•
Se agregaron los parámetros "http-data" y "http-method" para permitir usar los métodos delete, get, post,
put (content-type=application/x-www-form-urlencoded por default);
Se corrigió un problema de falla de autenticación
Se corrigió un problema de descarga sobre HTTPS
gps
•
Se agregó los parámetros "fix-quality" y "horizontal-dilution"
graphing
•
Se corrigió un problema en que desaparecía el graph después de un corte de energía
hotspot
•
Se agregó el acceso a las cabeceras HTTP utilizando $(http-header-name)
ike1
•
Se corrigió ph2 ID logging
ike2
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Se permite múltiples selectores de tráfico de hijo SA en re-key
Siempre se reemplaza el TSi vacío con la Dirección configurada si está disponible
Se chequea el estado de los hijos antes de permitir el rekey
Se configura por default a /32 la máscara de dirección del peer
Se corrigió el modo CTR
Se corrigió la longitud del mensaje EAP
Se corrigió la remoción del objeto que maneja ISA en SA delete
Se corrigió la autenticación RSA sin EAP
Se corrigió el modo ctr
Se corrigió el DPD deshabilitado
Se corrigió el ultimo EAP auth payload type
Se corrigió es estado ph2 cuando se envía la notificación
Se corrigió la liberación de política durante la negociación SA
Se corrigió el estado cuando se envía el paquete eliminado
Se mejoró el logging
Mata únicamente los hijos SAs los cuales no están re-keyed por un peer remoto
Se envía a log el mensaje RADIUS timeout en el tópico error
Se remueve el viejo SA después de rekey
Se envía la identidad EAP como atributo user-name RADIUS
Se actualiza el atributo "calling_station_id" RADIUS
Academy Xperts
10
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
Se actualiza la identificación del peer después de una autenticación EAP exitosa
ippool
•
Se retorna el mensaje de error apropiado cuando se intenta crear un nombre duplicado
ipsec
•
•
•
•
•
•
•
•
•
•
•
•
Se agregó el parámetro "last-seen" a la lista de conexiones activas
Se permite combinar los algoritmos aead en el proposal
Mejor respuesta al cálculo de etiqueta en consola
Se deshabilitan las políticas combinadas AH+ESP
No se pierde el parámetro "use-ipsec=yes" después de hacer un downgrade
Se habilita aes-ni en i386 y x64 para los modos cbc, ctr y gcm
Se corrigió "/ip ipsec policy group export verbose"
Se corrigió "mode-cfg" verbose export
Se corrigió la etiqueta de autenticación SA
Se renombró la etiqueta "hw-authenc" a "hw-aead"
Se muestra los SAs autenticados acelerados por hardware
Se actualiza el clasificador tilera de UDP encapsulado ESP
l2tp
•
•
Se agregó soporte para múltiples túneles L2TP (no se debe confundir con sesiones) entre los mismos puntos finales
(requerido en algunas configuraciones LNS)
Se corrigió un atributo de decriptación oculto en las respuestas de CHAP para LNS
l2tp-server
•
•
•
Se agregó "caller-id-type" a la estación que llama al RADIUS en la autenticación
Se agregó la opción "use-ipsec=required"
Se corrigió la actualización para mantener "use-ipsec=yes" en el servidor L2TP
leds
•
•
•
•
Se agregó el disparador de tecnología de acceso de modem LTE
Se cambió un mensaje de error en una tarjeta no soportada
Se no se actualiza el estado de un LED cuando no es cambiado
Se muestra una advertencia en print cuando "modem-signal-threshold" no está disponible
log
•
•
•
•
•
•
Se agregó el tópico "gps"
Se agregó el tópico "tr069"
Se agregó la entrada de log perdida "license limit exceeded"
Se agregó una advertencia cuando las sesiones Winbox/Dude eran denegadas
No se muestran los cambios en el paquete si NAT no ha sido utilizado
Se hace que los logs SNMP sean más compactos
lte
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Se agregó "session-uptime" en el comando info
Se agregó la lectura de nivel de señal LTE para los modems Cinterion
Se agregó el manejo de error cuando se ejecuta el AT remoto
Se agregó el soporte inicial para el modem DWR-910
Se agregó el soporte inicial para Quectel ec25
Se agregó la inicialización para Cinterion
Se agregó la entrada de log para el reporte de entrega SMS
Se agregó el soporte para Vodafone R216 (Huawei);
Eventos de buffer AT mientras el comando info está activo
Se corrigió "/interface lte info X once";
Se corrigió el prefijo de Dirección IPv6 en la interface
Se corrigió la selección del modo de red para me909u, mu609;
Se corrigió el análisis del Viejo estándar CEREG
Se corrigió el soporte para Huawei R216
Se corrigió user-command
Se resetea las estadísticas de interface en "link-down"
netinstall
•
Se corrigió la tipografía
ntp
•
Se reincia el cliente NTP cuando se congela en un estado de error
Academy Xperts
11
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
ppp
•
•
•
•
•
Se agregó la opción "bridge-horizon" en PPP/Profile
Se agregó la opción la especificar "interface-list" en PPP/Profile
Se corrigió una rara falla de kernel en la conexión PPP client
Se corrigió una rara falla de kernel cuando se recibe la dirección IPv6 en la interface PPP
Se incluyen los parámetros rates, limits y address-lists en los requerimientos de RADIUS
ppp-client
•
Se agregó soporte para Datacard 750UL, DWR-730 y K4607-Zr
pppoe
•
•
Se agregó una advertencia en PPPoE client/server, si está configurado en la interface esclava
Se configura por default el keepalive 10s para los nuevos clientes PPPoE creados
quickset
•
Se agregó el modo de soporte inicial LTE AP
rb1100ahx2
•
Se corrigió un reseteo de contador aleatorio de ether12,13
rb3011
•
Se agregó el soporte de particionamiento
smb
•
•
Se corrigió un problema de pérdida de memoria y de caídas
Se corrigió un problema de share path en dispositivos con "/flash" directory
smips
•
•
•
•
•
•
•
•
•
Se redujo el tamaño del paquete principal RouterOS
El mensaje de error "No Such Instance" se reemplaza con "No Such Object"
Se agregó el OID de fan-speed en "/system health print oid"
Se agregó la tabla óptica
Se corrigió un raro problema de caída
Se mejoró el getall filter
Se mejoró la velocidad de respuesta cuando se recibían múltiples requerimientos dentro de un corto período de
tiempo
Se incrementó el valor de “engineBoots” en el reboot
Se optimizó el procesamiento de la tabla de bridge
tile
•
•
•
Se agregó el soporte inicial para los controladores de disco NVMe SSD
Se corrigió una caída de IPSec (introducida en v6.39rc64)
Se optimizó la encriptación por hardware
tr069-client
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Se agregó el soporte "Device.Hosts.Host.{i}."
Se agregó el soporte "Device.WiFi.NeighboringWiFiDiagnostic."
Se agregó el parámetro "Ethernet.Interface.{i}.MACAddress"
Se agregó el soporte DHCP server
Se agregó el soporte Upload RPC "2 Vendor Log File"
Se agregó el parámetro de nombre de arquitectura (X_MIKROTIK_ArchName – específica del vendedor)
Se agregó los parámetros de estadísticas básicas para algunos tipos de interface
Se agregó el soporte básico "/ip firewall filters"
Se agregó la autenticación de requerimiento de conexión
Se agregó el soporte firewall NAT usando los Parámetros del fabricante
Se agregó el soporte de parámetros para la administración del cliente DNS
Se agregó el soporte del diagnóstico de ping
Se agregó el soporte para las referencias de entidad de escape (& < > ' ")
Se agregó el soporte para manejar el valor "/system/identity/"
Se agregó el soporte para los Parámetros de memoria y carga de CPU
Se agregó el soporte para el script de fábrica de uploading/downloading
Se agregó el soporte para los diagnósticos de traceroute
Se cierra la conexión si el CPE considera el XML como inválido
Se corrigió el valor "AddObjectResponse" “InstanceNumber”
Se corrigió la actualización del valor "Device.ManagementServer."
Se corrigió en análisis del carácter especial XML
Academy Xperts
12
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
•
•
•
•
•
•
•
•
Se corrigió una caída en un caso especial de cambio de =acs-url
Se corrigió los caracteres especiales en el envío de datos XML
Se corrigió la escritura de "Device.ManagementServer.URL"
Mejoras generales en la reducción del espacio de almacenamiento
Se generan requerimientos de conexión aleatorios de target path
Se oculta el valor "Device.PPP.Interface.{i}.Password"
Se mejoró el proceso de monitoreo LTE
Se incrementó el desempeño en GetParameterValues
Se hace que cualquier Download RPC sobreescriba la configuración excepto ".alter"
Se hace que más parámetros denieguen las notificaciones activas
Se configura el ID de licencia CHR como un valor ".SerialNumber" para evitar un error "no serial number" en
ACS
traceroute
•
Pequeñas correcciones
tunnels
•
Se corrigió un bucle en el reboot en las configuraciones con túneles IPIP y EoIP (introducido en v6.39rc68)
usb
•
Se agregó el soporte para más dispositivos CP210X
userman
•
•
•
•
Se permite que "name-for-user" esté vacío
Se selecciona automáticamente todos los nuevos usuarios creados para generar vouchers
Se corrigió una rara caída cuando el User Manager requería archivos que no existían en el router
Se corrigió una rara caída en la interface web mientras se usaba la sección Users
wAP ac
•
Se mejoró el desempeño del Wireless 2.4GHz
webfig
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Se agregó en la barra del menú para seleccionar rápidamente entre Webfig, Quickset y Terminal
Se permite bytes más cortos en k,M,G en firewall "connection-bytes" y "connection-rates"
Se permite cambiar los contenidos de la variable global
Se permite ingresar los rangos de frecuencia en el wireless scan list
Se permite seleccionar el "default-encryption" profile en los túneles PPP
Se especifica correctamente el prefijo del filtro de ruteo
No se permite reordenar los ítems si la tabla si está ordenada por alguna columna
Se corrigió el display de la propiedad bridge
Se corrigió el retardo del key press en terminal
Se corrigió el orden de pestaña en Google Chrome
Se corrigió la información de tiempo en “last-link-up” & “last-link-down”
Se mejoró el diseño de campo
Se hace que la ventana terminal trabaje dentro de la venta de Webfig
Se muestra todas las opciones disponibles en “Advanced Mode” de las interfaces Wireless
Se muestran los mensajes de error apropiados para los campos de texto erróneo opcionales
winbox
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Se agregó el botón "Flush" en el menú unicast-fdb
Se agregó "group-key-update" para las configuraciones de seguridad CAPsMAN
Se agregó el soporte de unidad "k" y "M" para los Parámetros PPP secret limit-bytes
Se agregó los parámetros "memory-scroll", "filter-cpu", "filter-ipv6-address", "filter-operationbetween-entries"
Se agregó la configuración "save-selected" en los canales CAPsMAN
Se agregó "static-virtual" a wireless CAP
Se agregó el menu GPS
Se agregó los Parámetros de routerboard protegido en el menú de configuraciones routerboard
Se permite bytes más cortos para k,M,G en firewall "connection-bytes" y "connection-rates"
Se permite cambiar la contraseña del usuario por una contraseña vacía
Se permite no especificar el certificado en las configuraciones IPSec peer
Se permite especificar "route-distance" en "dhcp-client" si se selecciona el modo "special-classless"
Se permite especificar el tipo de certificado cuando se lo exporta
Se permite especificar las interfaces que CAPsMAN puede usar para administración
Se permite mostrar (unhide) las contraseñas SNMP
Academy Xperts
13
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Se permite especificar static-dns como lista
No se permite Packet Sniffer "memory-limit" y "file-limit" menor que 10KiB
No se crea el campo field cuando se copia la entrada CAPsMAN access list
No se muestra "dpd-max-failures" en IKEv2
No se muestra los campos vacíos LTE en el menú Info
No se inicia el Traffic Generator automáticamente cuando se abre "Quick Start"
No se intenta deshabilitar los ítems dinámicos de las tablas de firewall
Se corrigió la tipografía "Montly" a "Monthly" en el menú Graphing
Se corrigió la frecuencia de canales CAPsMAN (se permite especificar una lista de ellos)
Se corrigió las configuraciones IPSec "mode-config" DNS
Se corrigió un problema cuando las políticas IPsec que estaban trabajando se mostraban como inválidas
Se corrigió un error engañoso cuando se intentaba exportar un certificado
Se corrigió la tipografía en anuncios BGP en el menú Aggragator->Aggregator
Se oculta "wps-mode" & "security-profile" en el modo wireless nv2
Se oculta el menú health en RB450
Se mejoró "/tool torch"
Se incrementó el número máximo de sesiones Winbox 20->100
Se llama apropiadamente a las interfaces CAP en la creación de una nueva interface
Se muestra apropiadamente las advertencias "dhcp-server"
Se muestra apropiadamente IPSec "installed-sa" "enc-algorithm" cuando es aes-gcm
Se muestra apropiadamente los contadores de estadísticas en la tabla de registro Wireless
Se removió la configuración "sfp-rate-select" de la interface ethernet
Se removió el innecesario menú "/system health" en "hAP ac lite"
La configuración por default "dhcp-client" "default-route-distance" es igual a 1
Se muestra la etiqueta "A" para las políticas IPSec
Se muestra la etiqueta "H" para IPSec instalado SAs
Se muestra la corriente, voltaje y potencia PoE-OUT únicamente en dispositivos que pueden reportar estos valores
wireless
•
•
•
•
•
•
•
•
•
•
•
•
Se agregó la configuración de país Egypt 5.8
Se agregó el soporte de autenticación ara el modo estación en Wireless
Se aplica bit de broadcast a los requerimientos DHCP cuando se utiliza el modo "station-pseudobridge"
No se permite direcciones MAC iguales entre múltiples Virtual APs cuando se utiliza la misma "masterinterface"
Se corrigió un problema en el soporte de canal pequeño RBSXT5HacD2nr2
Se corrigió un problema de caída cuando se ejecuta "spectral-scan”
Se corrigió la remoción de la interface Wireless dinámica de los puertos del bridge cuando se cambiaba el modo
Wireless
Se corrigió un problema de falso positive en la detección de radar DFS ocasionado por los dispositivos iPhone 6s
Se corrigió un problema cuando las interfaces Wireless podrían no mostrarse en modo CAP
Se corrigió una caída ocasional cuando se deshabilitaba la interface
Se corrigió un raro problema de caída en configuraciones nv2
Se corrigió un raro problema en la interface Wireless ac
x86
•
Se agregó soporte para controladores de disco para NVMe SSD
Academy Xperts
14
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Qué es RouterBOARD?
Es una familia de soluciones de hardware con circuitos diseñados por MikroTik para responder a las necesidades de los
clientes a nivel mundial. Todas las placas RouterBOARD operan con el sistema operativo RouterOS.
Esta división de hardware se caracteriza por incluir su sistema operativo RouterOS y actualizaciones de por vida. Estos
dispositivos tienen la ventaja de tener una excelente relación costo/beneficio comparados con otras soluciones en el
mercado.
Arquitecturas Soportadas:
Soluciones Integradas
•
•
•
Estos productos se proporcionan completos con carcasas y adaptadores de corriente.
Listo para usar y pre configurados con la funcionalidad más básica.
Todo lo que necesitas hacer es conectarlo y conectarse a Internet o a una red corporativa.
RouterBOARD solamente
Son pequeñas placas madres que se venden "tal cual". Se debe elegir el modelo y solicitar adicionalmente, adaptador de
corriente y las interfaces, todo esto por separado. Es ideal para el montaje de sistemas/implementaciones propietarias.
Enclosures
Son cubiertas para interiores/exteriores, sirven para albergar los dispositivos RouterBOARD. La Selección se realiza en base
a:
•
•
•
Localización prevista
El modelo del RouterBOARD
El tipo de conexiones necesarias (USB, antenas, etc.).
Interfaces
•
•
Módulos Ethernet, fibra SFPs, o tarjetas de radio inalámbricas para ampliar la funcionalidad de los dispositivos
RouterBOARD y PCs con RouterOS.
Una vez más, la selección se basa según las necesidades.
Accesorios
Abarca toda la gama de dispositivos adicionales para los productos MikroTik, tales como: adaptadores de corriente, soportes,
antenas e inyectores PoE.
Programa Made For MikroTik (MFM)
Este programa consta de dos partes: “Mikrotik Certified Integrators” y “Mikrotik Certified Accessories”
http://www.mikrotik.com/mfm
Accesorios Certificados MikroTik (MikroTik Certified Accesories)
Son hechos por empresas homologadas de MikroTik, y que hacen los accesorios específicamente para productos MikroTik.
Esto incluye productos compatibles con RouterBOARD, antenas externas y otros productos.
Integrador Certificado MikroTik (MikroTik Certified Integrator)
Son empresas que hacen soluciones basados en un RouterBOARD MikroTik y RouterOS. Estos productos incluyen en el
ensamblado de dispositivos CPE/AP, preinstalación de antenas integradas y soluciones para montaje en rack con RouterOS.
Por qué trabajar con un router integrado?
Con este tipo de solución se puede atender muchas necesidades.
•
•
Los routers integrados proveen poca o ninguna expansión, ya que vienen con una configuración de hardware fija
(WiFi, puertos ethernet, memorias on-board, puertos USB)
Esta es una solución simple, pero muy sólida para muchas necesidades.
Academy Xperts
15
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Nomenclatura de los productos RouterBOARD
Los nombres de los routers son elegidos según características, y basados en una nomenclatura establecida. La abreviatura
para RouterBOARD es RB
Para complementar información se puede ir al siguiente link http://wiki.mikrotik.com/wiki/Manual:Product_Naming
Formato para la nomenclatura de los productos:
Nombre de la tarjeta (board name)
Actualmente existen 3 tipos de nombres de tarjetas:
•
•
•
Número de 3 dígitos
o El primer dígito representa la serie
o El segundo dígito indica el número de interfaces cabeladas potenciales (Ethernet, SFP, SFP+)
o El tercer dígito indica el número de interfaces wireless potenciales (tarjetas embebidas, y slots mPCI y
mPCIe)
Usando una palabra (word).- Los nombres que actualmente se usan son:
o OmniTIK
o Groove
o SXT
o SEXTANT
o METAL
o Si la tarjeta (board) sufre un cambio fundamental en el hardware (como por ejemplo un CPU
completamente diferente) se agregará una revisión de versión al final
Nombres excepcionales.- Las tarjetas 600, 800, 1000, 1100, 1200, 2011 representan de forma independiente las
series, o tienen más de 9 interfaces cableadas, por lo que los nombres fueron simplificados a cientos totales o el
año de desarrollo.
Características de la Tarjeta
Las características de la tarjeta siguen a continuación de la sección Nombre de la Tarjeta (sin espacios o guiones), excepto
cuando el nombre de la tarjeta es una palabra. Entonces las carácterísticas de la tarjeta se separan por un espacio. Las
características que actualmente se usan son las siguientes. Están listadas en el orden en que son mayormente usadas
•
•
•
•
•
•
•
•
•
•
U : USB
P : Power Injection con Controlador
i : Puerto simple Power Injector sin Controlador
A : Más memoria (y usualmente el nivel de licencia más alto)
H : Un CPU más potente
G : Gigabit (puede incluir U, A, H si no se usa con L)
L : Edición Light (ligera)
S : Puerto SFP (uso legacy – dispositivos SwitchOS)
e : Tarjeta de extensión PCIe
x<N> : Donde N es el número de núcleos (core) de CPU (x2, x9, x16, x36, x72, etc.)
Detalles de la tarjeta Wireless Embebida
Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
•
•
•
•
Banda (band)
o 5 : 5 GHz
o 2 : 2.4 GHz
o 52 : Dual band. 5 GHz y 2.4 GHz
Potencia por chain (power per chain)
o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g
o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g
o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g
o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g
Protocolo (protocol)
o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g
o n : para tarjetas con soporte 802.11n
o ac : para tarjetas con soporte 802.11ac
Número de Chains (number_of_chains)
o (not used) : single chain
o D : dual chain
o T : triple chain
Academy Xperts
16
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Tipo de Conector (connector type)
•
•
•
(not used) : únicamente una opción de conector en ese modelo
MMCX : conector de tipo MMCX
u.FL : conector de tipo u.FL
Tipo de Enclosure (enclosure type)
•
•
•
•
•
•
•
•
(not used) : Tipo de enclosure principal para un producto
BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal
ya viene en el case
RM : enclosure para montar en rack (rack-mount enclosure)
IN : enclosure para interiores (indoor enclosure)
OUT : enclosure para exteriores (outdoor enclosure)
SA : enclosure para antena sectorial (sector antenna enclosure)
HG : enclosure para antena de alta ganancia (high gain antenna enclosure)
EM : memoria extendida (extended memory)
Ejemplo: Decodificar la siguiente nomenclatura RB912UAG-5HPnD
•
•
•
•
RB : RouterBOARD
912 : Board de la serie 9na, con 1 interface cableada (Ethernet) y 2 interfaces wireless (embebida y miniPCIe)
UAG : Tiene puerto USB, más memoria y puerto Gigabit Ethernet
5HPnD : Tiene una tarjeta embebida de 5GHz, de alta potencia, dual chain, con soporte 80211n.
Nomenclatura de los productos CloudCoreRouter
El formato para la nomenclatura de estos productos es la siguiente:
Número de 4 dígitos
•
•
•
El primer dígito representa la serie
El segundo dígito es reservado
El tercero y cuarto dígito indican el número total de núcleos por CPU en el dispositivo
Lista de Puertos
•
•
•
<n>G : número de puertos Gigabit Ethernet
<n>S : número de puertos SFP
<n>S+ : número de puertos SFP+
Tipo de Enclosure (enclosure type)
•
•
•
•
•
•
•
•
(not used) : Tipo de enclosure principal para un producto
BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal
ya viene en el case
RM : enclosure para montar en rack (rack-mount enclosure)
IN : enclosure para interiores (indoor enclosure)
OUT : enclosure para exteriores (outdoor enclosure)
SA : enclosure para antena sectorial (sector antenna enclosure)
HG : enclosure para antena de alta ganancia (high gain antenna enclosure)
EM : memoria extendida (extended memory)
Nomenclatura de los productos CloudCoreSwitch
El formato para la nomenclatura de estos productos es la siguiente:
Número de 3 dígitos
•
•
El primer dígito representa la serie
El segundo y tercer dígito indican el número de interfaces cableadas (Ethernet, SFP, SFP+)
Lista de Puertos
•
•
•
<n>G : número de puertos Gigabit Ethernet
<n>S : número de puertos SFP
<n>S+ : número de puertos SFP+
Detalles de la tarjeta Wireless Embebida
Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
Academy Xperts
17
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
•
Banda (band)
o 5 : 5 GHz
o 2 : 2.4 GHz
o 52 : Dual band. 5 GHz y 2.4 GHz
Potencia por chain (power per chain)
o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g
o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g
o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g
o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g
Protocolo (protocol)
o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g
o n : para tarjetas con soporte 802.11n
o ac : para tarjetas con soporte 802.11ac
Número de Chains (number_of_chains)
o (not used) : single chain
o D : dual chain
o T : triple chain
Tipo de Enclosure (enclosure type)
•
•
•
•
•
•
•
•
(not used) : Tipo de enclosure principal para un producto
BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal
ya viene en el case
RM : enclosure para montar en rack (rack-mount enclosure)
IN : enclosure para interiores (indoor enclosure)
OUT : enclosure para exteriores (outdoor enclosure)
SA : enclosure para antena sectorial (sector antenna enclosure)
HG : enclosure para antena de alta ganancia (high gain antenna enclosure)
EM : memoria extendida (extended memory)
Por qué construir su propio Router?
Puede ayudar a solucionar una gran variedad de necesidades específicas que desea cubrir. Dependiendo del board que
use, puede tener muchas ranuras de Expansión muy útiles.
•
•
Gran variedad de complementos.
Configuración personalizable.
Ingresando al Router por Primera vez
Dentro de las formas que tenemos para ingresar al router están las siguientes:
•
•
•
•
•
WebFig (Web Browser)
WinBox - http://www.mikrotik.com/download
SSH
Telnet
Emulador de Terminal a través de conexión serial o puerto de consola (RS-232)
WebFig - Ingreso por Web Browser
Este método de ingreso puede ser usado cuando el router ya tiene algunos parámetros previamente configurados.
Proporciona una manera intuitiva de conectarse a un router/dispositivo/PC (que tiene instalado RouterOS) únicamente
colocando en el navegador web la dirección IP asignada al router. Por defecto se utiliza 192.168.88.1
WebFig es un utilitario de RouterOS basado en Web que permite monitorear, configurar y hacer labores de troubleshooting
en el router. Está diseñado como una alternatica al WinBox ya que ambos tienen similares diseños de menú de acceso a las
opciones de RouterOS.
WebFig se puede acceder directamente desde el router, esto quiere decir que no es necesario instalar ningún software
adicional, tan solo tener un Web Browser con soporte JavaScript.
WebFig es una plataforma independiente, por lo que puede ser usado directamente desde varios dispositivos móviles sin la
necesidad del desarrollo de software específico.
Algunas de las tareas que se pueden ejecutar con WebFig son:
•
•
•
Configuración – Ver y editar la configuración actual
Monitoreo – Mostrar el estatus actual del router, información de ruteo, estadísticas de interface, registros (logs), etc.
Troubleshooting – RouterOS provee muchas herramientas para realizar troubleshooting (como ping, traceroute,
packet sniffers, traffic generators, y otras) y todas las que puede ser usadas con WebFig.
Academy Xperts
18
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
El servicio http de RouterOS puede escuchar también en IPv6. Para acceso vía browser debe ingresar la dirección IPv6, por
ejemplo 2001:db8:1::4
Si se requiere conectar a la dirección local, se debe recordar especificar el nombre de la interface o el ID de la interface en
Windows. Por ejemplo, fe80::9f94:9396%ether1
Pasos para ingresar por Web browser:
•
•
•
•
Conecte al router con un cable Ethernet y posteriormente a su tarjeta de red.
Abra un navegador (Mozilla, Chrome, Internet Explorer, etc.)
Escriba en el browser la dirección IP por default: 192.168.88.1
Si se le solicita, inicie sesión. Nombre de usuario es admin y la contraseña está en blanco por defecto.
Al momento de ingresar verá lo siguiente:
Skins
Esta herramienta permite crear interfaces más amigables para el usuario. No puede ser considerado como una herramienta
de seguridad total, ya que si el usuario posee los suficientes derechos de acceso, podrá acceder a los recursos ocultos.
Diseño de Skins
Si el usuario tiene los permisos adecuados (es decir que el grupo tiene permisos de edición) entonces tiene acceso al botón
de Design Skin (Diseño de Skin). Los posibles operadores son:
•
•
•
•
•
•
•
•
Hide menu – Ocutará todos los items y sus sub menús
Hide submenu – Ocultará únicamente ciertos sub menús
Hide tabs – Si los detalles de sub menú tienen varias pestañas, es posible ocultarlas por esta vía
Rename menus, items – Hacer que ciertas características sean más obvias, o traducirlas a algún lenguaje
Add note to to item (in detail view) – Agregar comentarios
Make item read-only (in detail view) – Para campos muy sensibles en seguridad para el usuario, los cuales
pueden ser puestos en modo de “solo lectura”
Hide flags (en modo de vista detallada) – Mientras es posible únicamente ocultar la etiqueta en modo detallado,
esta etiqueta no será visible en la vista de lista y en modo detallado
Add limits for field - (en modo de vista detallada) Donde está presente, muestra la lista de tiempos que están
separados por coma o por newline, de valores permitidos:
Academy Xperts
19
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
§
•
•
number interval '..' por ejemplo: 1..10 mostrará los valores para los campos con números, por
ejemplo MTU size.
§
field prefix (Text fields, MAC address, set fields, combo-boxes). Si se requiere limitar la
longitud del prefijo, se debe agregar el símbolo “$” al final
Add Tab – Se agregará una cinta gris con una etiqueta editable que separará los campos. La cinta se añadirá antes
de campo
Add Separator – Agregará un campo horizontal de baja altura antes del campo
Quickset
Es un menú especial de configuración que permite preparar el router a través de unos pocos clicks.
Está disponible en WinBox y WebFig para:
•
•
Dispositivos CPE (Licencia Nivel 3, una interface wireless, una interface ethernet)
Dispositivos AP a partir de RouterOS v5.15 (Licencia Nivel 4, una interface wireless, más interfaces ethernet)
Academy Xperts
20
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
WinBox
WinBox es un utilitario propietario de MikroTik que posee una rápida y simple interface GUI que permite el acceso a los
routers con RouterOS instalado.
Es un programa binario Win32, pero también puede correr en Linux y Mac OSX usando wine
Casi todas las funciones de RouterOS están disponibles en WinBox, sin embargo algunas funciones avanzadas y
configuraciones críticas únicamente están disponibles desde consola. Por ejemplo los cambios de las direcciones MAC en
una interface.
El WinBox se puede descargar desde el sitio web de MikroTik o del router.
o
http://www.mikrotik.com/download
Se puede para acceder al router a través de IP (capa 3 OSI) o MAC (capa 2 OSI).
Utilizando Winbox
•
•
•
•
•
Haga clic en el ícono de WinBox, para abrir la aplicación y darle click en refresh.
Escriba la dirección IP 192.168.88.1
Haga clic en Conectar
Esperar a que se cargue la interface completa:
Haga clic en OK
También se puede ingresar el número del puerto después de la dirección IP, separándolo con “:”, como por ejemplo
192.168.88.1:9999
El puerto se puede cambiar en el menú de Servicios de RouterOS
Importante: Se recomienda utilizar la dirección IP siempre que sea posible. Las sesiones MAC utilizan broadcast de red y no
es 100% confiable.
Se puede utilizar el “discovery neighbor” para listar los routers disponibles. Debe hacer click en el botón “Neighbor”
Si se hace click en la dirección IP entonces se realiza la conexión por Capa 3 (Layer 3). Si se hace click en la dirección MAC
entonces se realiza la conexión por Capa 2 (Layer 2).
Importante: La opción Neighbor Discovery mostrará también los dispositivos que no son compatibles con WinBox, como
por ejemplo los routers Cisco y cualquier otro dispositivo que utilice el protocolo CDP (Cisco Discovery Protocol).
RoMON
RoMON son las siglas de Router Management Overlay Network.
RoMON opera independientemente de que a configuración sea en Capa 2 o Capa 3 (L2 o L3).
Academy Xperts
21
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
A cada router en la red RoMON se le asigna su RoMON ID, el mismo que puede ser seleccionado desde el puerto de la
dirección MAC o el especificado por el usuario.
El protocolo RoMON no proporciona servicios de encriptación. La encriptación se provee a nivel de la Capa de Aplicación,
por ejemplo, usando SSH o a través de WinBox Seguro (Secure WinBox).
Configuración
Para que un dispositivo participe en una red RoMON, se debe habilitar la característica RoMON y se deben especificar los
puertos que participan en la red RoMON.
En RouterOS v6.28 la característica RoMON se configura en el menú /romon, después de RouterOS v6.28 se configura en
/tool romon. Contiene las siguientes configuraciones:
•
•
enabled (yes | no; Default: no) – Habilita o deshabilita la característica RoMON
id (MAC address; Default: 00:00:00:00:00:00) – Dirección MAC que se utiliza como ID de este router
Cuando RoMON se habilita y el ID se selecciona automáticamente, el ID se reporta en menú info:
En RouterOS v6.28:
/romon print
;;; RoMON running, ID 00:33:00:00:00:02
enabled: yes
id: 00:00:00:00:00:00
Después de RouterOS v6.28:
/tool romon
enabled:
id:
secrets:
current-id:
print
yes
00:00:00:00:00:00
00:33:00:00:00:02
Los puertos que participan en una red RoMON son configurados en el menú “romon port”. La lista de puerto es una lista
ordenada de entradas que coinciden ya sea con un puerto específico o con todos los puertos, y especifica si el puerto (s)
que coincide está prohibido de participar en la red RoMON, y en caso de que el puerto esté permitido de participar en la red
RoMON la entrada también especifica el costo del puerto.
Es importante notar que todas las entradas de puerto específico deben ubicarse sobre la entrada “wildcard” con
interface=all
Por ejemplo, la siguiente lista especifica que todos los puertos, excepto ether1, participan en la red RoMON con costo 100
En RouterOS v6.28:
/romon port print
Flags: X - disabled, D - dynamic
#
INTERFACE
0
ether1
1
all
Después de RouterOS v6.28:
/tool romon port print
Flags: X - disabled, D - dynamic
#
INTERFACE
0
ether1
1
all
FORBID
yes
no
FORBID
yes
no
COST
100
100
COST
100
100
Por default se crea una entrada wildcard (comodín) con forbid=no y cost=100
Academy Xperts
22
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Secrets
Los secrets del protocolo RoMON se utilizan para la autenticación de mensajes, chequeo de integridad y prevención de
respuesta por medio de mensaje hashing que contiene MD5.
Para cada interface, si la lista de secret de la interface específica está vacía, se utiliza la lista de secret global.
Cuando se hace el envío, se aplica hash a los mensajes con el primer secret en la lista si es que la lista no está vacía y el
primero que no sea un secret vacío (empty secret, es decir que tenga un empty string = “”), de otra manera los mensajes
se envían sin aplicar hash.
Cuando se reciben, los mensajes que no se han aplicado hash simplemente se aceptan si la lista secret está vacía o si
contiene “empty secret”, los mensajes que se han aplicado hash se aceptan si es que se les ha aplicado hash con cualquier
otro secret en lista.
Este diseño permite una introducción incremental y/o cambio de secrets en la red sin interrupción del servicio RoMON y
puede ocurrir sobre el propio RoMON. Por ejemplo:
•
•
•
•
Inicialmente todos los routers están sin secrets
Configurar cada router, uno por uno, con secrets=””, “mysecret” . Esto hará que todos los routers continúen enviando
frames no protegidos, pero ellos estarán listos para aceptar los frames protegidos con el secret “mysecret”
Configurar cada router, uno por uno, con secrets=“mysecret”, “” . Esto hará que todos los routers usen el secret
“mysecret” pero también continuará aceptando los frames no protegidos (de routers que todavía no han sido
cambiados)
Configurar cada router con secrets=”mysecret” . Esto hará que todos los routers usen secret “mysecret” y también
únicamente acepte frames protegidos con “mysecret”
El cambio de secret en la red debería ser ejecutado en un esquema similar donde ambos secrets estén al mismo tiempo en
la red.
Peer Discovery
Para descubrir todos los routers en la red RoMON se debe usar el comando romon discover:
En RouterOS v6.28:
/romon discover
ADDRESS
00:22:00:00:00:02
00:02:03:04:05:06
COST
200
400
HOPS PATH
1 00:22:00:00:00:02
2 00:22:00:00:00:02
00:02:03:04:05:06
L2MTU
1500
1500
Después de RouterOS v6.28:
/tool romon discover
ADDRESS
00:22:00:00:00:02
00:02:03:04:05:06
COST
200
400
HOPS PATH
1 00:22:00:00:00:02
2 00:22:00:00:00:02
00:02:03:04:05:06
L2MTU
1500
1500
Aplicaciones
Se pueden ejecutar múltiples aplicaciones sobre la red RoMON
Ping
Para poder probar que se puede alcanzar a un router específico en una red RoMON, se puede usar el comando romon ping:
En RouterOS v6.28:
/romon ping 00:22:00:00:00:02
SEQ HOST
TIME STATUS
0 00:22:00:00:00:02
0ms
1 00:22:00:00:00:02
1ms
2 00:22:00:00:00:02
1ms
sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms
Academy Xperts
23
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Después de RouterOS v6.28:
/tool romon ping 00:22:00:00:00:02
SEQ HOST
TIME STATUS
0 00:22:00:00:00:02
0ms
1 00:22:00:00:00:02
1ms
2 00:22:00:00:00:02
1ms
sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms
SSH
Para poder establecer una conexión de terminal seguro en una red RoMON, se puede usar el comando romon ssh, que se
provee cuando se instala el paquete security:
En RouterOS v6.28:
/romon ssh 00:22:00:00:00:02
Después de RouterOS v6.28:
/tool romon ssh 00:22:00:00:00:02
Otras formas de acceso: SSH y Telnet
Entre las herramientas IP estándar para acceder al router tenemos:
•
•
Telnet: La comunicación se realiza en texto plano, sin cifrar (puerto 23/TCP). Es un método INSEGURO.
o Disponible en la mayoría de sistemas operativos, por terminal, línea de comandos, otros.
SSH: Cifra la comunicación realizada entre el usuario y router (puerto 22/TCP). Es un método SEGURO.
o Hay herramientas disponibles de código libre para el acceso por ssh, ejemplo: PuTTy.
§
http://www.putty.org
Acceso por puerto serial (puerto de Consola)
Los puertos seriales (también llamados RS-232) fueron las primeras interfaces que permitieron que los equipos intercambien
información con el "mundo exterior". El término serial se refiere a los datos enviados mediante un solo hilo: los bits se envían
uno detrás del otro.
Para conectarse al router se requiere una conexión null-modem (puerto RS-232).
Importante: La configuración por defecto es cuando se accede vía serial es la siguiente:
•
•
•
•
115200 bps de velocidad
8 bits de data
1 bit de parada (stop)
Sin paridad (no parity)
Bootloader
El bootloader o cargador de arranque, es un programa que se encarga de cargar y ejecutar el sistema operativo, este
cargador de arranque va a configurar el dispositivo según las opciones que se muestran a continuación:
Consola Serial / Terminal Serial
La interface de línea de comandos (CLI = Command Line Interface) es un método que permite a los usuarios dar instrucciones
a algún programa informático por medio de una línea de texto simple. Este método se usa normalmente cuando se ingresa
por PUTTY, Telnet, SSH, Terminal u otros.
/system console y /system serial-terminal son herramientas para comunicarse con otros sistemas que están
interconectados a través del puerto serial.
Terminal Serial
Nos sirve para monitorear y configurar muchos dispositivos:
Academy Xperts
24
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
Módems
Dispositivos de red (incluyendo routers MikroTik)
Cualquier dispositivo que se pueda conectar a un puerto serial (asíncrono)
Consola Serial
•
•
•
Configurar facilidades de acceso directo (monitor/teclado y puerto serial) que son mayormente usados para
configuraciones de recuperación
Si no se desea usar un puerto serial para acceder a otro dispositivo o para conexión de datos a través de un modem,
se puede entonces configurarlo como una consola serial.
Un puerto serial libre puede ser usado para acceder a otras consolas seriales de otros routers (u otros equipos
como switches) desde un router MikroTik
Special Login
Puede ser usado para acceder a otro dispositivo (ejemplo: un switch) que está conectado a través de un cable serial abriendo
una sesión telnet/ssh que lo llevará directamente a ese dispositivo sin tener que hacer login al primer RouterOS.
http://wiki.mikrotik.com/wiki/Manual:Special_Login
Configuración Básica o dejar el router en Blanco
•
•
•
Usted puede o no tener una configuración básica cuando recién ha instalado el equipo, debido a que el equipo
provee una configuración inicial, por defecto, para permitirle usar el equipo sin previa configuración definida por el
usuario.
Usted puede optar por no tomar la configuración básica por defecto, o dejar en blanco los equipos para poderlo
configurar a gusto del cliente, usuario o administrador.
Puede visitar el siguiente link para revisar cómo se comportará el dispositivo:
o http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
Configuración Básica
Dependiendo del hardware, se tendrá una configuración por defecto que puede incluir:
•
•
•
•
•
•
Puertos WAN
Puertos LAN
DHCP client (WAN) y servidor (LAN)
Reglas básicas de Firewall
Reglas NAT
Direccionamiento LAN IP por defecto
Al momento de tener acceso por medio de WinBox, podrá revisar la configuración por defecto por medio de una ventana
emergente inicial, que consta de opciones de visualización de configuración o de borrar configuraciones y dejar en blanco.
En cualquier momento usted puede observar la configuración por defecto, con el comando:
/system default-configuration print
•
•
Al conectar por primera vez con WinBox, haga clic en OK. Después se revisará la opción: remove-configuration
El router tiene la configuración básica por defecto que la muestra en una ventana
Cuando el equipo es nuevo viene con varias configuraciones por defecto, entre las que sobresalen las siguientes:
•
•
•
•
•
Se crea un bridge (bridge1) por defecto entre wlan1 y ether2.
A este bridge1 se le asigna la dirección IP 192.168.88.1/24
Se crea un dhcp-server en bridge1 y el rango del pool es de 192.168.88.2 a 192.168.88.254
Se configuran reglas de /ip firewall fitler y /ip firewall nat que impiden que se pueda acceder al router
por ether1
Las interfaces ether2, ether3, ether4 y ether5 están configuradas en switch
Academy Xperts
25
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Configuración en Blanco
Puede ser utilizado en situaciones en las que no se requiere la configuración básica por defecto.
•
•
No hay necesidad de Reglas de firewall por defecto.
No hay necesidad de Reglas de NAT por defecto
Los pasos mínimos para configurar un acceso básico a Internet (si el router no tiene una configuración básica por defecto)
•
•
•
•
•
Direcciones IP de LAN
Puerta de enlace predeterminada y servidor DNS
Dirección IP de la WAN
Regla de NAT (enmascaramiento)
Cliente SNTP y la zona horaria
Actualizando el router
Cuando realizar una Actualización
Si el router MikroTik se encuentra desactualizado, podemos realizar en cualquier momento la actualización siempre y cuando
intentemos mejorar o corregir lo siguiente:
•
•
•
Corregir un error conocido.
Cuando se necesita una nueva característica.
Mejora del rendimiento.
NOTA: Leer la lista de cambios antes de realizar un Upgrade, en especial si tiene una versión inferior a la v6.
http://wiki.mikrotik.com/wiki/Manual:RouterOS6_news
El Procedimiento
•
•
•
Se requiere una planificación.
o Los pasos posiblemente tengan que hacerse en un orden preciso y con planificación previa.
Se requiere pruebas ...
o Antes de que ponga en acción la nueva actualización, es necesario realizar pruebas en ambientes
controlados, o sino realizar un backup de la configuración anterior, como medida de contingencia en caso
de que la nueva actualización no funcione como se espera.
Recomendaciones: Si el dispositivo funciona correctamente no se recomienda realizar un upgrade, de preferencia
mantenerse con la configuración anterior.
Antes de realizar una actualización
Es importante saber la arquitectura soportada (mipsbe, ppc, x86, mipsle, tile) en la cual se va a realizar la actualización.
Winbox indica la arquitectura del equipo.
Debe conocer qué ficheros se necesitan:
•
•
•
NPK: paquete de actualización de RouterOS (siempre que se realiza un upgrade)
ZIP: Paquetes adicionales (sobre la base de las necesidades)
Verificar los Cambios: proceso de verificación post-actualización que valida el cambio efectuado en su dispositivo y
el correcto funcionamiento (siempre que se realiza un upgrade)
Academy Xperts
26
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Cómo hacer un Upgrade
Existen tres maneras
•
•
•
Descargar archivos y copiar en el router
Buscar actualizaciones (System -> Packages)
Actualizaciones automáticas (System -> Automatic Updates)
Se sugiere mantener siempre actualizado su RouterOS para mejor funcionamiento ya que siempre los desarrolladores están
añadiendo nuevas funciones y mejorando el rendimiento y la estabilidad mediante la liberación de actualizaciones.
Requisitos y sugerencias
Cuando se utiliza un dispositivo RouterBOARD, siempre se sugiere actualizar el RouterBoot bootloader, después ya se
podrá actualizar el RouterOS. Para hacer esto, ejecutar el comando
/system routerboard upgrade
Descargando los archivos
Copiar los archivos en el router por medio de la ventana File. Por ejemplo:
•
•
•
•
routeros-mipsbe-6-28.npk
ntp-6.28-mipsbe.npk
Reiniciar el equipo /system reboot
Comprobar que se realizó la actualización
Para realizar este proceso lo principal que debemos hacer es tener descargado los paquetes de actualización que
necesitamos.
•
•
Primer paso es visitar la web: http://www.mikrotik.com y nos dirigiremos a la página de descarga (downloads).
Una recomendación es descargar paquetes combinados en vez de solo la versión que desea, ya que, en estos
paquetes combinados, vendrán con todas las funciones incluidas, tales como, paquetes adicionales para la
actualización requerida.
Academy Xperts
27
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Buscar actualizaciones
•
•
•
•
A través del menú System / Packages
Presionar el botón Ckeck for Updates a continuación Download & Upgrade
Luego el equipo se reiniciará automáticamente
Verificamos la instalación de los paquetes y el estado del router
Desde el lanzamiento del RouterOS v5.21, se añadió la actualización automática. Para actualizar la versión de RouterOS,
todo lo que se necesita hacer es hacer clic en un botón Check For Updates. Esta característica está disponible en la línea
de comandos, Winbox GUI, Webfig GUI y QuickSet.
La función de actualización automática se conecta a los servidores de descarga MikroTik, y comprueba si hay una nueva
versión de RouterOS para su dispositivo.
En caso afirmativo, se muestra una lista de cambios, y el botón de actualización se mostrará. Al hacer clic en el botón
Actualizar, los paquetes de software se descargarán automáticamente, y el dispositivo se reiniciará. Incluso si usted tiene un
sistema con paquetes personalizados instalados, solo los paquetes que usted desea tener en su equipo se descargarán. El
proceso es fácil y rápido, con el uso de los servidores FTP.
Actualización automática
•
•
Copie los archivos requeridos en uno de los routers para que sirva como fuente del archivo de actualización.
Configurar todos los router para que apunten hacia el router interno
Objetivos
•
•
•
•
•
•
Hacer un router como punto central de la red con las actualizaciones, que actualizará el RouterOS en otros routers.
Subir los paquetes RouterOS necesarios para este router.
Mostrar los paquetes disponibles
Se selecciona y se descarga los paquetes deseados
Reiniciar y luego verificar el estado del router
Comprobar la versión actual
[admin@Mikrotik] > /system RouterBOARD print
RouterBoard: yes
Model: 951Ui-2HnD
Serial-number: 458802555182
Current-firmware: 3.18
Upgrade-firmware: 3.18
RouterBoot firmware Upgrade
Es una de las opciones más rápidas y seguras para realizar una actualización por medio de línea de comando utilizando el
software de Winbox.
Actualizar si es necesario (esto es un ejemplo):
Academy Xperts
28
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
/system RouterBoard Upgrade
Do you really want to Upgrade firmware? [y/n]:
Yes
Echo: system, info, critical firmware Upgrade successfully, please reboot for changes to take effect!
Reboot, yes? [y/N]:
Paquetes de RouterOS
RouterOS soporta muchas y diferentes características, y desde su instalación requiere un conjunto específico de
características soportadas, es posible agregar o remover ciertos grupos de características usando el sistema de paquetes.
De esta forma el usuario puede controlar cuáles características estarán disponibles y el tamaño de la instalación.
Los paquetes son provistos exclusivamente por MikroTik y no está permitido que terceros desarrollen paquetes.
Los paquetes pueden descargarse de la sección DOWNLOAD en el Website de MikroTik (www.mikrotik.com/download )
Si se trata de un router con configuración básica, entonces únicamente podría necesitarse que esté instalado el paquete
system para que el equipo cumpla con operaciones básicas. Esto significa que los demás paquetes son opcionales.
El siguiente paquete que podría ser importante es el dhcp si su proveedor de Internet (ISP/WISP) entrega direcciones IP
usando este método.
Si requiere trabajar con túneles (VPN) es posible que requiera el paquete ppp para conectividad pppoe y pptp.
El resto de paquetes quizá no sean necesarios, por lo que debe instalar únicamente los que sean de utilidad.
Paquetes principales de RouterOS
•
•
•
•
•
•
•
•
advanced-tools (mipsle, mipsbe, ppc, x86) – herramientas avanzadas de netwatch, ip-scan, sms tool, wake-onLAN
dhcp (mipsle, mipsbe, ppc, x86) – client y server DHCP (Dynamic Host Control Protocol)
hotspot (mipsle, mipsbe, ppc, x86) – servidor de portal cautivo HotSpot para administración de usuarios
ipv6 (mipsle, mipsbe, ppc, x86) – soporte de direccionamiento IPv6
mpls (mipsle, mipsbe, ppc, x86) – soporte de MPLS (Multi Protocol Labels Switching)
ppp (mipsle, mipsbe, ppc, x86) – cliente MlPPP, clientes y servers PPP, PPTP, L2TP, PPPoE, ISDN PPP
routerboard (mipsle, mipsbe, ppc, x86) – acceso y manejo del RouterBOOT. Información específica del
RouterBOARD.
routing (mipsle, mipsbe, ppc, x86) – protocolos de ruteo dinámico como RIP, BGP, OSPF y utilitarios de ruteo
como BFD, filtros para rutas.
Academy Xperts
29
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
security (mipsle, mipsbe, ppc, x86) – IPSEC, SSH, Secure WinBox
system (mipsle, mipsbe, ppc, x86) – características de ruteo básico como ruteo estático, direccionamiento IP, sNTP,
telnet, API, queues, firewall, web proxy, DNS cache, TFTP, IP pool, SNMP, packet sniffer, e-mail send tool, graphing,
bandwidth-test, torch, EoIP, IPIP, bridging, VLAN, VRRP etc.). También, para la plataforma RouterBOARD MetaROUTER | Virtualization
wireless (mipsle, mipsbe, ppc, x86) – soporte para la interface Wireless. Algunas veces se liberan sub-tipos. Por
ejemplo, wireless-fp se introdujo para soportar FastPath, wireless-cm2 se introdujo para soportar CAPsMAN
v2 y wireless-rep se introdujo para soportar el modo repetidor. Ocasionalmente estos paquetes se liberan en
forma separada, antes de que las nuevas características se puedan fusionar en un solo paquete principal de
Wireless.
Paquetes extra de RouterOS
•
•
•
•
•
•
•
•
calea (mipsle, mipsbe, ppc, x86) – herramienta de recolección de datos para usos específicos requeridos por la
"Communications Assistance for Law Enforcement Act" en USA
gps (mipsle, mipsbe, ppc, x86) – soporte a dispositivos GPS (Global Positioning System)
lcd (x86) – soporte para el panel LCD para dispositivos de puerto serial/paralelo. No se requiere este paquete para
los equipos RouterBOARD que tienen paneles LCD
multicast (mipsle, mipsbe, ppc, x86) – PIM-SM (Protocol Independent Multicast - Sparse Mode); IGMP-Proxy
(Internet Group Managing Protocol – Proxy)
ntp (mipsle, mipsbe, ppc, x86) – NTP (Network Time Protocol server), también incluye un cliente NTP sencillo. El
cliente NTP también está embebido en el system package y funciona sin que este paquete (ntp) esté instalado.
openflow (mipsle, mipsbe, ppc, x86) – habilita el soporte para OpenFlow
ups (mipsle, mipsbe, ppc, x86) – interface de administración ups APC
user-manager (mipsle, mipsbe, ppc, x86) – servidor MikroTik User Manager para controlar el Hotspot y otros
servicios de usuario.
Trabajando con los paquetes
/system package
Los comandos que se ejecutan en este menú tendrán efecto únicamente cuando se reinicie (restart) el router. Mientras
tanto, los usuarios pueden libremente planificar o revertir las acciones configuradas
•
•
•
•
•
•
disable – programa el paquete para que sea deshabilitado después del próximo reboot. Una vez que el paquete
entra en modo deshabilitado (después del reboot del router) ninguna característica de ese paquete estará
disponible.
downgrade – cuando se elige esta opción, se pedirá y confirmará hacer un reboot del router. Durante el proceso
de reboot se intentará hacer un downgrade (degradar) del RouterOS a una versión anterior o más vieja, para lo cual
se chequearán los paquetes que se hayan subido al router (al directorio principal de files).
print – se muestra la información de los paquetes, tales como: versión, estado del paquete, cambios de estado
planificados, etc.
enable – programa el paquete para que sea habilitado después del próximo reboot.
uninstall – programa el paquete para que sea removido del router. Esta remoción se ejecutará durante el reboot.
unschedule – se remueve la tarea programada para dicho paquete.
Ejemplo para desinstalar un paquete y luego hacer un reboot al router:
/system package uninstall ppp
/system reboot
Reboot, yes? [y/N]:
Ejemplo para deshabilitar un paquete:
/system package disable hotspot
/system reboot
Reboot, yes? [y/N]:
Ejemplo para hacer downgrade al RouterOS:
/system package downgrade
/system reboot
Academy Xperts
30
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Reboot, yes? [y/N]:
Ejemplo para cancelar una desinstalación o deshabilitar una acción:
/system package unschedule ipv6
Listado de paquetes RouterOS y las respectivas arquitecturas
*** MIPSLE descontinuado desde la v6.x
Administración de usuarios en un RouterOS
La creación de diferentes usuarios para un sistema, o en este caso para el ingreso a un RouterBOARD, es algo fundamental
para mantener nuestro sistema seguro, ya que podremos crear usuarios con diferentes prioridades.
No todos los usuarios necesariamente deben ingresar a todas las operaciones que se puedan realizar en un Router. Al
momento de la creación de un usuario podremos darle los permisos necesarios como acceso total o que sea un usuario para
solo lectura, o si se desea ser más detallado se podrá configurar los tipos de servicios a los que el usuario puede acceder.
RouterOS provee la facilidad de que los usuarios puedan conectarse al router desde:
•
•
•
•
la consola local
vía terminal serial
vía telnet / ssh
Winbox / WebFig
Los usuarios se autentican utilizando ya sea la base da datos local del router, o a través de un RADIUS Server designado.
Cada usuario se asigna a un grupo de usuario (user group), en el cual se definen los derechos/permisos que posee dicho
usuario. Una política de grupo (group policy) es una combinación de diferentes políticas individuales
Cuando la autenticación del usuario se realiza a través de RADIUS, se debe configurar previamente el Cliente RADIUS.
Grupos de Usuario (User Group)
/user group
A través de esta opción se pueden asignar los diferentes permisos y derechos de acceso a los diferentes tipos de usuarios.
Academy Xperts
31
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Propiedades
•
name (string; Default: ) – Permite definir el nombre del Grupo de Usuario (user group)
•
policy (local | telnet | ssh | ftp | reboot | read | write | policy | test | web | sniff | api | winbox | password | sensitive;
Default: ) – Lista de todas las políticas permitidas:
o local – Política que concede derechos para hacer log in localmente vía consola
o telnet – Política que concede derechos para hacer log in remotamente vía telnet
o ssh – Política que concede derechos para hacer log in remotamente vía secure shell protocol
o ftp – Política que concede derechos para hacer log in remotamente vía FTP y para transferir archivos
desde y hacia al router. Los usuarios con esta política pueden leer (read), escribir (write) y borrar (erase)
archivos, independientemente de los permisos de lectura/escritura (read/write).
o reboot – Política que permite hacer reboot al router
o read – Política que concede accesos de lectura (read) a la configuración del router. Se permiten todos los
comando de consola que no alteran la configuración del router. No afecta al FTP
o write – Política que concede accesos de escritura (write) a la configuración del router, excepto para la
administración de usuario (user management). Esta política no permite leer la configuración, por lo que
debe asegurarse de también habilitar las política de lectura (read)
o policy – Política que concede los derechos de administración de usuario (management rights). Debería
utilizarse junto con la política de escritura (write). Permite también ver las variables globales creadas por
otros usuarios (requiere también la política test).
o test – Política que concede los derechos para ejecutar ping, traceroute, bandwidth-test, wireless
scan, sniffer, snooper y otros comandos de prueba (test)
o web – Política que concede derechos para hacer log in remotamente vía WebBox
o winbox – Política que concede derechos para hacer log in remotamente vía WinBox
o password – Política que concede derechos para cambiar la contraseña (password)
o sensitive – Concede los derechos para ver información sensitiva en el router. Ver después la lista de lo
que se reconoce como información sensitiva.
o api – Concede derechos para accesar al router vía API.
o sniff - Política que concede derechos para usar la herramienta packet sniffer.
Información Sensitiva
A partir de la versión v3.27 de RouterOS, la siguiente información es considerada sensitiva, y puede ser ocultada de ciertos
Grupos de Usuario (user groups) desmarcando la política sensitive.
A partir de la versión v4.3 de RouterOS, los archivos de backup también son considerados sensitivos, y los usuarios que no
tienen esta política no podrán descargarlo de ninguna manera.
system package
/radius: secret
/snmp/community: authentication-password, encryption-password
advanced-tools package
/tool/sms: secret
wireless package
/interface/wireless/security-profiles: wpa-pre-shared-key,
wpa2-pre-shared-key, static-key-0, static-key-1, static-key-2,
static-key-3, static-sta-private-key
/interface/wireless/access-list: private-key, private-pre-shared-key
wireless-test package
/interface/wireless/security-profiles: wpa-pre-shared-key, wpa2-pre-shared-key,
static-key-0, static-key-1, static-key-2, static-key-3, static-sta-private-key, managementprotection-key
/interface/wireless/access-list: private-key, private-pre-shared-key, management-protection-key
user-manager package
/tool/user-manager/user: password
/tool/user-manager/customer: password
hotspot package
Academy Xperts
32
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
/ip/hotspot/user: password
ppp package
/ppp/secret: password
security package
/ip/ipsec/installed-sa: auth-key, enc-key
/ip/ipsec/manual-sa: ah-key, esp-auth-key, esp-enc-key
/ip/ipsec/peer: secret
routing package
/routing/bgp/peer: tcp-md5-key
/routing/rip/interface: authentication-key
/routing/ospf/interface: authentication-key
/routing/ospf/virtual-link: authentication-key
routing-test package
/routing/bgp/peer: tcp-md5-key
/routing/rip/interface: authentication-key
/routing/ospf/interface: authentication-key
/routing/ospf/virtual-link: authentication-key
Importante
Existen tres Grupos de Systema (system group) que no pueden ser eliminados: read, write y full
/user group print
0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!ftp,!write,!policy
1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!policy
2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web
El signo de exclamación (!) es la negación. Significa NO.
Ejemplo
Agregar un grupo llamado reboot que tendrá permiso de hacer reboot al router tanto localmente o usando telnet. También
deberá estar permitido de leer (read) la configuración del router.
/user group add name=reboot policy=telnet,reboot,read,local
/user group print
0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!ftp,!write,!policy
1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!policy
2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web
3 name="reboot"
policy=local,telnet,reboot,read,!ssh,!ftp,!write,!policy,!test,!winbox,!password,!web
Usuarios del Router (router users)
/user
Academy Xperts
33
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
La base de datos de usuario del router guarda información como: nombre de usuario (username), contraseña (password),
diercciones de acceso permitidas (allowed access addresses) y el grupo (group) de administración personal del router.
Propiedades
•
•
•
•
address (IP/mask | IPv6 prefix; Default: ) – Dirección de red o de computador desde la cual el usuario está permitido
hacer log in
group (string; Default: ) – Nombre del grupo al cual pertenece el usuario
name (string; Default: ) – Nombre del usuario. Debe comenzar con un carácter alfanumérico. Puede contener los
símbolos *, _, . y @
password (string; Default: ) – Contraseña del usuario. Si no especifica, se deja en blanco. Cumple con las
características estándares de Unix sobre contraseñas y puede contener letras, dígitos, y los símbolos * y _
Importante
Existe únicamente un usuario predefinido con todos los rerechos de acceso:
/user print
Flags: X - disabled
#
NAME
GROUP ADDRESS
0
;;; system default user
admin
full 0.0.0.0/0
Siempre debe existir por lo menos un usuario con todos los derechos de acceso. Si existe un único usuario con todos los
derechos, no se puede eliminar.
Monitoreo de los usuarios activos
/user active
El comando /user active print muestra el usuario activo actual junto con sus respectivas estadísticas
Propiedades
Todas las propiedades son únicamente de lectura (read only)
•
•
•
•
•
•
address (IP/IPv6 address) – Dirección IP/IPv6 desde la cual el usuario está accediendo al router. La IP 0.0.0.0
significa que el usuario está haciendo log in localmente
group (string) – Grupo al que pertenece el usuario
name (string) – Nombre del Usuario
radius (true | false) – Indica si el usuario está autenticado por RADIUS server
via (console | telnet | ssh |winbox | api | web) – Indica el método del acceso del usuario
when (time) – Indica la hora y fecha en que el usuario hizo log in
Academy Xperts
34
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Otro ejemplo
/user active print detail
Flags: R - radius, M - by-romon
0
when=jun/26/2016 00:48:56 name="admin"
1
when=jun/26/2016 01:36:09 name="admin"
2
when=jun/26/2016 02:48:56 name="admin"
3
when=jun/26/2016 03:18:51 name="admin"
4
when=jun/26/2016 08:26:12 name="admin"
address=192.168.0.3 via=winbox group=full
address=192.168.0.3 via=telnet group=full
address=10.5.8.52 via=winbox
address=10.5.101.38 via=telnet
address=fe80::21a:4dff:fe5d:8e56 via=api
AAA Remoto
/user aaa
Esta opción habilita al router para realizar autenticación y contabilización vía RADIUS server. La base de datos de usuario
de RADIUS se consulta únicamente si el usuario requerido no se encuentra en la base de datos de usuarios locales (router).
Propiedades
•
•
•
•
•
accounting (yes | no; Default: yes)
exclude-groups (list of group names; Default: ) – Consiste de los grupos que no deberían estar permitidos a ser
usados por los usuarios autenticados por RADIUS. Si el RADIUS server proporciona el grupo especificado en esta
lista, el default-group se usará en su lugar. Esto se hace para proteger contra la escalada de privilegios cuando
un usuario (sin políticas de permisos) puede cambiar la lista del RADIUS server, configurar su propio RADIUS
server y hacer log in como admin
default-group (string; Default: read) – Grupo de usuario utilizado por default por los usuarios autenticados vía
RADIUS server.
interim-update (time; Default: 0s) – Intervalo de tiempo del interim-update
use-radius (yes |no; Default: no) – Habilita la autenticación de usuario vía RADIUS
Importante
Si se está usando RADIUS, se necesita tener habilitado el soporte para CHAP en el RADIUS server para que el Winbox
trabaje.
SSH Keys
/user ssh-keys
Este menú permite importar claves públicas utilizadas para la autenticación ssh
Advertencia
El usuario no podrá hacer log in vía ssh por contraseña (password) si se ha agregado el ssh-keys para el usuario
Propiedades
•
user (string; Default: ) – Usuario (username) al cual se ha asignado el ssh key
Propiedades de solo lectura (read-only)
•
key-owner (string)
Academy Xperts
35
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Cuando se importa el ssh key utilizando el comando /user ssh-keys import se preguntará por dos parámetros:
•
•
public-key-file – Nombre del archivo en el directorio raíz/principal (root) en el router que contiene el key (clave)
user – Nombre del usuario (user) al cual se asignará el key (clave)
Private Keys
/user ssh-keys private
Este menú se utiliza para importar y mostrar los private keys (claves privadas) importadas. Los private keys se utilizan
para autenticar los intentos de log in remoto que usan certificados
Propiedades de solo lectura (read-only)
•
•
user (string)
key-owner (string)
Cuando se importan las claves ssh (ssh keys) desde este menú usando el comando /user ssh-keys private import
se preguntará por tres parámetros:
•
•
•
private-key-file – Nombre del archivo en el directorio raíz (root) del router que contiene el private key.
public-key-file – Nombre del archivo en el directorio raíz (root) del router que contiene el public key.
user – Nombre del usuario (user) al cual se asignará el key (clave)
Administración de servicios en un RouterOS (IP Services)
En estas opciones encontraremos los protocolos y puertos usados por los RouterOS MikroTik. Ayuda a determinar a través
de qué puertos escucha el router MikroTik, y lo que necesita para bloquear/permitir en caso de que se quiera controlar el
acceso a los servicios determinados.
Servicios IP (IP Services)
•
•
•
Administrar los servicios IP para:
o Limitar el uso de recursos (CPU, Memoria)
o Limitar las amenazas de seguridad (Puertos abiertos)
o Cambiar el puertos TCP
o Limitar las direcciones IP y subredes IP aceptadas
Para controlar los servicios se debe ir al menú “IP -> Services”
Desactivar o Activar los servicios requeridos
Acceso a los Servicios IP
•
•
•
Hacer doble clic en un servicio
Si es necesario, especificar que host o subredes pueden acceder a los servicios
Es una muy buena práctica de seguridad el limitar ciertos servicios a los administradores de red.
Academy Xperts
36
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Administración de los respaldos (backup) de las configuraciones
Los backup de configuración se pueden utilizar para realizar copias de seguridad de la configuración de un RouterOS
MikroTik en un archivo binario, que puede ser almacenada en el router o descargado a través de FTP para su uso futuro.
La opción restore (restauración) se puede utilizar para recuperar la configuración del router, tal y como era en el momento
de la creación de la copia de seguridad, a partir de un archivo de backup.
La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la pantalla de la
consola o a un archivo de texto, que se puede descargar desde el router mediante el protocolo FTP.
Tipos de Backups
•
•
Backup Binario
Comando export
Backup Binario
•
•
•
Realiza un respaldo completo del sistema
Incluye contraseñas y usuarios
Los archivos de backup serán guardados por defecto en el mismo router.
Se recomienda que el archivo backup se guarde en una PC o en una unidad externa ya que resultaría ilógico que se guarde
en el mismo dispositivo. Se pueden generar “n” archivos de backup, y se guarda por defecto, con nombre del host, año,
fecha, hora.
Comando export
•
•
•
Se puede visualizar la configuración completa o parcial
Se usa el comando compact para mostrar la configuración no predeterminada
La sentencia print permite visualizar la configuración parcial o total. Si se ingresa en la página principal
únicamente el comando export, entonces se respalda toda la configuración del router
/export file = nombre_del_archivo
•
El comando export NO respalda los usuarios del router.
/ip firewall filter export
# oct/18/2016 21:58:17 by RouterOS 6.37.1
# software id = PEVF-794H
#
/ip firewall filter
Add action=Accept chain=input comment=”default configuration” disabled=no \
Protocol=icmp
Add action=Accept chain=input comment=”default configuration” disabled=no \
Connection-state=established
Add action=Accept chain=input comment=”default configuration” disabled=no \
Connection-state=related
Add action=drop chain=input comment=”default configuration” disabled=no \
Protocol=ethernet-gateway
Guardar archivos de Backup
•
Una vez que se han generado los archivos de respaldo, se recomienda copiarlos en un servidor
o Por medio de SFTP en la forma recomendada
o FTP (Se lo habilita en el menú IP Services
o Arrastrar y Soltar usando la ventana Files
Academy Xperts
37
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
Dejar los archivos de respaldo en el router no es una buena práctica o al menos no es algo recomendado. Los
routers no hacen respaldos en cintas o en CDs.
Licencias RouterOS
Los dispositivos RouterBOARD vienen pre-instalados con una licencia RouterOS. Esto significa que si compra un dispositivo
RouterBOARD no se debe hacer nada respecto a la licencia.
En cambio, cuando se trabaja con sistemas X86 (por ejemplo, una PC), ahí si se necesita obtener una clave de licencia
(license key).
La clave de licencia (license key) es un bloque de símbolos que necesitan copiarse desde su cuenta en mikrotik.com, o
desde el email que usted recibe.
Ejemplo de License Key recibido por email
License key for your router,
-----BEGIN MIKROTIK SOFTWARE KEY-----------LlCoU6wx6QFaGCbTieJCgAcloa4cPrF776F/9=Dxk+0+vZ39KBonqfyXrfBdrng3ajK/zFGr8KtgAcU
gcwHLNA==
-----END MIKROTIK SOFTWARE KEY-------------Ejemplo de License Key desde la cuenta en mikrotik.com
Se puede copiar la clave en cualquier lugar en la ventana terminal, o haciendo click en “Paste key” en el menú de Licencias
de Winbox. Es necesario/requerido hacer un reboot para que la clave (key) tenga efecto (se active).
El esquema de licenciamiento de RouterOS se basa en el número de SoftwareID que está asociado al medio de
almacenamiento (HDD, NAND).
La información también se puede leer desde la consola del CLI
/system license print
software-id: 5ATP-QYIX
nlevel: 4
features:
Niveles de Licencias
Tenemos 6 tipos de licencias cuyas principales diferencias se muestran en la tabla a continuación:
•
•
•
•
•
•
Nivel 0 (L0) : Demo (24 Horas)
Nivel 1 (L1) : Free (Muy limitada)
Nivel 3 (L3) : Es una licencia solo para estaciones Wireless o WISP CPE (Cliente WiFi, cliente o CPE). Para
arquitecturas x86 la licencia Nivel 3 no pude ser adquirida de forma individual. Si se desea ordenar más de 100
licencias L3, se debe escribir un correo a sales@mikrotik.com
Nivel 4 (L4) : WISP (Requeridos para un Access Point)
Nivel 5 (L5) : WISP (Mas Capacidades)
Nivel 6 (L6) : Controlador ( Capacidades ilimitadas)
Academy Xperts
38
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Datos importantes sobre las Licencias:
•
•
•
•
•
•
El nivel de licencia determina las capacidades permitidas en un Router
RouterBOARD viene con una licencia pre-instalada, la misma que varía dependiendo del tipo de arquitectura del
RouterBOARD.
Para un sistema X86 deben adquirirse las licencias. Una licencia es válida solo para un equipo
La licencia Nivel 2 (L2) fue una licencia transicional entre el formato de licencia old-legacy (pre v2.8). Estas
licencias ya no están disponibles. Si usted posee este tipo de licencia L2, la misma trabajará, pero al hacer el
upgrade usted tendrá que comprar una nueva licencia.
El protocolo dinámico BGP está incluido en la Licencia Nivel 3 (L3) únicamente para los RouterBOARDs. Para
activar BGP en otros dispositivos se necesitará una licencia L4 o superior.
Todas las licencias:
o Nunca expiran
o Incluyen soporte gratis vía email por 15 a 30 días
o Pueden usar un número ilimitado de interfaces
o Las Licencias únicamente son válidas para una sola instalación
o Las licencias vienen con una capacidad de upgrade de software ilimitado
Usos Típicos:
•
•
•
•
Nivel 3: CPE, Clientes Wireless
Nivel 4: WISP
Nivel 5: Amplio WISP
Nivel 6: infraestructuras internas ISP (Cloud Core)
Cambio de Niveles de Licencias
•
•
No se puede actualizar el nivel de licencia. Si se desea usar un nivel de Licencia diferente, entonces se debe
comprar el nivel apropiado/requerido. Se debe tener mucho cuidado cuando se compre la licencia, ya que se debe
elegir el nivel de licenciamiento adecuado.
Por qué no se puede cambiar el nivel de licencia (hacer upgrade)? Un ejemplo práctico sería actualizar el motor de
un vehículo de 2L a 4L, para lo cual se requiere pagar la diferencia. Por este motivo no se puede cambiar de niveles
de licenciamiento fácilmente. Esta es una política usada por muchas compañías de software.
Uso de las Licencias
Se puede formatear o hacer un re-flash al drive?
Formatear, y hacer una re-imagen del drive con herramientas que no son MikroTik (por ejemplo, DD y Fdisk) destruirán su
licencia. Se debe actuar con cautela y contactar al soporte de MikroTik antes de hacer esto. No se recomienda ya que el
soporte de MikroTik podría negar su requerimiento para reemplazar una licencia. Por este motivo MikroTik provee las
herramientas Netinstall o la instalación por CD.
Con Cuántas computadoras se puede usar la licencia?
Al mismo tiempo, la licencia de RouterOS se puede usar únicamente en un solo sistema. La licencia está ligada al HDD
(disco duro) en donde se instala. Sin embargo, se puede mover el HDD a otro sistema de cómputo. No se puede mover la
licencia a otro HDD. Si se formatea o se sobre escribe el HDD con la licencia RouterOS, se borrará todo el contenido del
drive, y se deberá adquirir una nueva licencia. Si de forma accidental se removió la licencia, debe contactar al equipo de
soporte para ayuda.
Academy Xperts
39
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Se puede usar el HDD para algún a actividad diferente que RouterOS?
No se puede
Se puede mover la licencia a otro HDD?
Si su HDD actual se destruye, o ya no puede ser usado, se puede transferir la licencia a otro HDD. Para ejecutar esta
actividad, se deberá solicitar una clave (key) de reemplazo que costará 10 USD.
Qué es la clave de reemplazo?
Es una clave especial que es emitida por el Equipo de Soporte MikroTik si es que usted accidentalmente perdió la licencia.
El soporte de MikroTik decide si es o no su culpa de forma directa. Esta clave de reemplazo cuesta 10 USD y tiene las
mismas características que la que perdió. Es posible que antes de que el equipo de soporte emita la clave, pueda pedirle
prueba de que el viejo drive en verdad en verdad está dañado. En algunos casos esto puede implicar que deba enviar el
drive muerto a MikroTik.
Nota: Se puede emitir únicamente una clave de reemplazo por cada clave original. No se puede usar el procedimiento de
reemplazo de clave dos veces para una sola clave. En estos casos se debe adquirir una nueva key.
Para una revisión más detallada sobre Licenciamiento, le recomendamos visitar el siguiente link:
http://wiki.mikrotik.com/wiki/Manual:License
NetInstall
Es un programa que se ejecuta en el computador que corre el sistema operativo Windows y que permite instalar RouterOS
MikroTik en una PC o en un RouterBOARD a través de una red Ethernet.
El dispositivo debe ser compatible con el arranque desde Ethernet, y debe haber un enlace Ethernet directo desde el
computador donde tenemos el Netinstall al dispositivo de destino.
Uso de Netinstall
•
•
•
Reinstalación del RouterOS para recuperación del sistema
Reinstalación del RouterOS tras pérdida de contraseña
Para descargar Netinstall: http://www.mikrotik.com/download
Procedimientos para usar Netinstall
Para RouterBOARDs sin el puerto COM
•
•
Nos conectamos a un computador por medio del puerto Ethernet1
o Configurar una dirección IP y máscara de subred estática al computador
Iniciar Netinstall
o Presionar el botón Net booting y escribir una dirección IP al azar pero que esté en la misma subred que
el computador
Academy Xperts
40
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
•
En la sección Packages, debe hacer click en Browse y seleccionar un directorio que contenga un archivo NPK
válido.
Presionar el botón reset en el router hasta que el LED de actividad (ACT) se quede apagado
o El router aparecerá en la sección Routers/Drivers
Seleccionamos la versión del RouterOS requerido desde la sección Packages
o Presionar el botón install
La barra de progreso se tornará azul mientras se transfiere los archivos NPK
•
Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de
acceso a internet en el puerto Ethernet1
•
Usar el MAC-Winbox para conectare al equipo con configuración en blanco.
•
Hacer una copia de seguridad de la configuración y reiniciar el sistema
o
•
Importante para la gestión de un acceso adecuado de los archivos.
Si el problema era de una contraseña perdida, vuelva a realizar la configuración desde cero.
o
Importante para la gestión de un acceso adecuado de los archivos.
Para RouterBOARDs con el puerto COM
•
Comenzar igual que antes
o
PC en la Ethernet1 con una direcciones estática
o
Conectar desde el puerto serial del PC al puerto COM del RouterBOARD
o
Iniciar Netinstall ( configurar parámetros de Net Booting)
o
Seleccionar directorio con archivos NPK válidos
o
Reiniciar el router
o
Presionar Enter, cuando se le solicite para entrar en la configuración
o
Podemos presionar “o” para reiniciar el dispositivo
o
Podemos presionar “e” para Ethernet
o
Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router)
El router aparecerá en la sección Routers/Drivers
Academy Xperts
41
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Se selecciona la versión del RouterOS requerido desde la sección Packages
•
•
Hacer click en Keep old configuration
Presionar el botón install
La barra de progreso se tornará azul mientras se transfiere los archivos NPK
•
•
•
•
•
•
•
•
Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de
acceso a internet en el puerto 1
Ahora usted puede usar Winbox para conectarse
o Aquí se encontrará la opción Keep old configuration
Reiniciar el router
Presionar Enter, cuando se le solicite para entrar en la configuración
Podemos presionar “o” para reiniciar el dispositivo
Podemos presionar “e” para Ethernet
Podemos presionar “n” para desconectar el puerto Ethernet
o Si te olvidas de esto, siempre el router se iniciara desde la Ethernet
Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router)
Recursos adicionales
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
•
•
•
Aquí se encontrará información acerca del RouterOS
Todos los comandos del RouterOS
o Explicación
o Sintaxis
o Ejemplos
Consejos y trucos adicionales
Tiktube
http://www.tiktube.com/
•
•
•
•
Recursos en videos sobre varios temas
Presentados por Trainers, Partners, IPSs, etc.
Se encontrará diversas presentaciones
Los videos están en varios lenguajes
Foros de Discusión
http://forum.mikrotik.com/
•
•
•
•
Moderado por el personal de MikroTik
Es un foro de discusiones sobre diversos temas
Aquí se puede encontrar una gran cantidad de información
Se puede encontrar una solución a su problema
Soporte MikroTik
•
•
•
Mail: support@mikrotik.com
Instrucciones para solicitar soporte: http://www.mikrotik.com/support.html
El apoyo de Mikrotik si el router fue comprado a fábrica es de:
o 15 días (nivel licencia 4)
o 30 días (nivel 5 Licencia y el nivel 6)
Distribuidores/Soporte
•
•
•
El distribuidor mayorista/reseller proporcionará soporte siempre y cuando el router haya sido comprado a él
Se pueden contratar a Consultores Certificados para necesidades especiales
http://www.mikrotik.com/consultants
Academy Xperts
42
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Preguntas de repaso del Capítulo 1
1.
Cuál es la cantidad mínima de memoria RAM, y de espacio en disco que se requiere para instalar RouterOS?
2.
Hasta qué capacidad de memoria RAM se reconoce en los dispositivos Cloud Core?
3.
Hasta qué capacidad de memoria RAM se reconoce en los dispositivos que no son Cloud Core?
4.
Cuáles son los diferentes medios de almacenamiento que soporta RouterOS?
5.
Cuál es la versión de Kernel de Linux en la que está basado el RouterOS 6.x?
6.
Cuáles son las arquitecturas soportadas por RouterOS?
7.
Cuál es la IP por defecto que usan los routers MikroTik cuando viene configurado de fábrica?
8.
Enumere las diferentes formas de accesar a un router MikroTik
9.
Cuáles son las formas de acceso en forma segura a un router MikroTik?
10. Cuáles son los parámetros para la configuración cuando se ingresa por puerto serial?
11. Cuáles son las maneras de realizar un Upgrade del RouterOS?
12. Qué hace la opción Check For Updates?
13. Es importante realizar la actualización del RouterBoot? Por qué?
14. Cuál es la diferencia entre backup y export?
15. Cuáles son los usos típicos de los diferentes niveles de licencias RouterOS?
16. Para qué se usa el NetInstall?
17. A través de qué puerto funciona el NetInstall? Funciona a través de otros puertos?
18. Que función tiene la opción Keep Old Configuration en NetInstall?
Laboratorio – Capítulo 1
Academy Xperts
43
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
Capítulo 2: Ruteo Estático
Conceptos de Ruteo
El ruteo (routing) es un proceso en la capa 3 del modelo OSI. El ruteo define por donde va a ser enviado el tráfico.
Es necesario para que puedan comunicarse entre sí diferentes subredes.
Routing o enrutamiento
Es la función de buscar un camino entre todos los posibles en una red de paquetes cuyas topologías poseen una gran
conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero será definir qué se entiende por mejor ruta y
en consecuencia cuál es la métrica que se debe utilizar para medirla
Los parámetros que se manejan son:
Métrica de la red
Puede ser, por ejemplo, el número de saltos necesarios para ir de un nodo a otro. Aunque ésta no es una métrica óptima ya
que supone el valor 1 para todos los enlaces, es sencilla y suele ofrecer buenos resultados. Otro tipo de métrica es la
medición del retardo de tránsito entre nodos vecinos, en la que la métrica se expresa en unidades de tiempo y sus valores
no son constantes sino que dependen del tráfico de la red.
Mejor Ruta
Entendemos por mejor ruta aquella que cumple las siguientes condiciones:
•
•
•
Consigue mantener acortado el retardo entre pares de nodos de la red.
Consigue ofrecer altas cadencias efectivas independientemente del retardo medio de tránsito
Permite ofrecer el menor costo.
El criterio más sencillo es elegir el camino más corto, es decir la ruta que pasa por el menor número de nodos. Una
generalización de este criterio es el de coste mínimo. En general el concepto de distancia (o coste de un canal) es una
medida de la calidad del enlace basado en la métrica que se haya definido. En la práctica se utilizan varias métricas
simultáneamente.
Pregunta: Cuales son los motivos por los cuales estos dispositivos no se pueden comunicar entre si en el siguiente
escenario? (Fig.M2-1)
Academy Xperts
44
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
Respuesta: No se comunicarán, porque cada computador o dispositivo, se encuentra en un segmento de red distinto. Para
que puedan verse entre sí, tienen estas opciones (Fig.M2-1):
•
•
Tendrán que pertenecer a un mismo segmento de red todos los computadores
Colocar un router configurado con los parámetros adecuados para que se comuniquen las subredes.
Etiquetas de Rutas
Las rutas tienen varios estados los cuales son identificados por letras. En este curso, nosotros tendremos que familiarizarnos
con estos términos, por ejemplo:
•
•
•
•
•
X : Deshabilitada
A : Activa
D : Dinámica
C : Conectada
S : Static (estática)
Significado de las etiquetas de rutas más comunes:
En la sección de Router Flags del wiki de mikrotik, podremos apreciar más etiquetas:
http://wiki.mikrotik.com/wiki/Manual:IP/Route
Academy Xperts
45
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
Rutas Estáticas
•
•
•
Las tablas de enrutamiento de los nodos se configuran de forma manual y permanecen inalterables hasta que no
se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a los cambios de las condiciones de la red
es nula.
Las rutas estáticas que existen sobre un router son creados y conocido por ese router. Pero, qué pasará si usted
necesita llegar a una subred que existe en otro router?
Cabe recalcar que una ruta estática es una forma manual de reenviar el tráfico a subredes desconocidas
Ejercicio 2.1 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la
dirección 192.168.1.1
Ejercicio 2.2 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la
dirección 192.168.1.254
Propiedades generales
•
check-gateway (arp | ping; Default: "").- Periódicamente (cada 10 segundos) se chequea el gateway enviando ya
sea un ICMP echo request (ping) o un ARP request (arp). Si no se recibe respuesta del gateway en 10
segundos, se solicita un tiempo de espera (request times out). Después de dos timeouts el gateway se
considera inalcanzable (unreachable). Después de recibir una respuesta del gateway se considera alcanzable
(reachable) y el contador de timeout se resetea.
Academy Xperts
46
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
•
•
•
•
•
•
•
•
•
•
•
comment (string; Default: "").- Es la descripción de una ruta particular
distance (integer[1..255]; Default: "1").- Valor usado en la selección de ruta. Las rutas con valores de distancia
más pequeños tendrán preferencia. Si no se especifica el valor de esta propiedad, entonces el valor default depende
del protocolo de ruteo:
§
connected routes: 0 (rutas conectadas)
§
static routes: 1 (rutas estáticas)
§
eBGP: 20
§
OSPF: 110
§
RIP: 120
§
MME: 130
§
iBGP: 200
dst-address (IP prefix; Default: 0.0.0.0/0).- Prefijo IP de la ruta, especifica las direcciones destino para la que
esta ruta puede ser utilizada. La parte netmask de esta propiedad especifica cuántos de los bits más significantes
en la dirección del paquete destino deben coincidir con este valor. Si existen varias rutas activas que coinciden con
la dirección destino del paquete, entonces se utilizará la más específica (el que tenga el valor de netmask más
grande).
gateway (IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "").- Arreglo de direcciones IP o nombres
de interface. Específica a cuál host o interface deberían ser enviados los paquetes. Las rutas conectadas y las rutas
con tipo blackhole, unreachable o prohibit no tienen esta propiedad. Usualmente el valor de esta propiedad
es una dirección IP sencilla de un gateway que puede ser alcanzado directamente a través de una de las interfaces
del router. Las rutas ECMP tienen más de un valor de gateway. El valor puede ser repetido varias veces.
pref-src (IP; Default: "").- Cuál de las direcciones IP locales se utilizará para los paquetes originados localmente
que son enviados a través de esta ruta. El valor de esta propiedad no tiene efecto en los paquetes reenviados. Si
el valor de esta propiedad se configura con una dirección IP que no es la dirección local de este router, entonces la
ruta se volverá inactiva. Si no se configura el valor pref-src, entonces para los paquetes originados localmente
que son enviados usando esta ruta, el router elegirá una dirección local anexada a la interface de salida que coincida
con el prefijo destino de la ruta.
route-tag (integer; Default: "").- Valor del atributo de la etiqueta de ruta para RIP u OSPF. Para RIP los únicos
valores válidos son 0..4294967295
routing-mark (string; Default: "").- Nombre de la tabla de ruteo que contiene esta ruta. No se configura por default
porque es el mismo que la tabla principal de ruteo. Los paquetes que son marcados por el firewall con este valor
de routing-mark serán ruteados usando las rutas de esta tabla, a menos que sean anulados por las reglas de
políticas de ruteo. No se puede usar más de 250 routing-mark por router.
scope (integer[0..255]; Default: "30").- Usado en la resolución del nexthop. La ruta puede resolver el nexthop
únicamente a través de las rutas que tienen scope menor o igual al target-scope de esta ruta. El valor por
default depende del protocolo de ruteo:
§
connected routes: 10 (si la interface está corriendo)
§
OSPF, RIP, MME routes: 20
§
static routes: 30
§
BGP routes: 40
§
connected routes: 200 (si la interface NO está corriendo)
target-scope (integer[0..255]; Default: "10").- Utilizado en la resolución del nexthop. Este es el valor máximo
de scope para una ruta a través del cual un nexthop de esta ruta puede ser resuelto. Para iBGP el valor se
configura por default en 30.
type (unicast | blackhole | prohibit | unreachable; Default: unicast).- Rutas que no especifican nexthop para los
paquetes, pero que el cambio desarrollan alguna otra acción en los paquetes que tienen un tipo diferente del usual
unicast.
§
blackhole – esta ruta descarta silenciosamente los paquetes
§
unreachable – envía el mensaje ICMP Destination Unreachable (código 1) a la dirección
origen del paquete
§
prohibit – envía el mensaje ICMP Destination Unreachable (código 13) a la dirección
origen del paquete
vrf-interface (string; Default: "10").- Nombre de la interface VRF
Propiedades de solo-lectura
•
•
•
gateway-status (array).- Arreglo de gateways, estados de los gateway y cuál interface es usada para reenvío.
Sintaxis del estado IP de la interface, por ejemplo 10.5.101.1 reachable bypass-bridge. El estado puede
ser unreachable, reachable o recursive.
ospf-metric (integer).- Usado para la métrica OSPF para una ruta en particular.
ospf-type (string)
Ventajas del Enrutamiento Estático
•
•
Hace más sencilla la configuración en redes pequeñas que lo más probable es que no crezca.
Limita el uso de recursos del router (memoria, CPU)
Academy Xperts
47
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
•
El administrador podrá entender fácilmente la configuración cuando la red no es compleja.
Limitantes del Enrutamiento Estático
•
•
•
•
•
La configuración y el mantenimiento son prolongados.
Requiere configuraciones manuales para poder alcanzar nuevas sub redes.
La configuración es propensa a errores, especialmente en redes extensas.
No se adapta bien con las redes en crecimiento, el mantenimiento se torna cada vez más complicado, en lo que
respecta al tema de escalabilidad.
Requiere un conocimiento completo de toda la red para una correcta implementación.
Cómo crear rutas estáticas
Para agregar rutas estáticas:
•
•
•
•
Menu: IP à Routes
+ (Add)
Especificar subred y mascara de subred
Especificar Gateway (el siguiente salto)
Ejercicio 2.3 (Fig.M2-5): Ejemplo de Enrutamiento Estático
Cómo llego desde la Red A hasta la Red C?
Solución Ejercicio 2.3
Router 1
/ip route
add distance=1 dst-address=172.31.4.0/24 gateway=10.1.1.2
Router 2
/ip route
add distance=1 dst-address=172.31.4.0/24 gateway=10.2.2.6
Configurando la Ruta por Defecto
La ruta 0.0.0.0/0 es conocida como la ruta por defecto. Es el destino a donde se enviará todo el tráfico a subredes
desconocidas. También es una ruta estática, y puede ser creada por el administrador o creada automáticamente por el
router.
/ip route add gateway=a.b.c.d
Gestión de Rutas Dinámicas
Como se mencionó antes, las rutas dinámicas son agregadas automáticamente por el proceso de enrutamiento, no por el
administrador. No se puede gestionar las rutas dinámicas, debido a que es un proceso automatizado realizado por el router.
Academy Xperts
48
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
En algunos casos la ruta puede llegar a ser " inalcanzable " si la interface física está apagada o caida (down). Esto puede
ocurrir cuando la interface esta deshabilitada o la PC se encuentra desconectada de la red.
Ejercicio 2.4 (Fig.M2-6): Implementación de Enrutamiento Estático
En el siguiente caso de estudio se desea implementar una solución de enrutamiento estático. Se desea que la RED-A
(192.168.0.0/24), pueda llegar a la RED-C (192.168.2.0/24). Asuma que los enlaces inalámbricos ya están
previamente configurados.
Solución Ejercicio 2.4
Router 1
/ip route add distance=1 dst-address=192.168.2.0/24 distance=1 gateway=10.10.0.2
/ip route add distance=1 dst-address=192.168.2.0/24 distance=2 gateway=10.10.0.3
Router 2
/ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.2.2
Router 3
/ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.1.2
Preguntas de repaso del Capítulo 2
1.
Cuáles son las diferentes etiquetas de rutas en RouterOS? Qué significa cada una?
2.
Cuando existen varias rutas activas que coinciden con una dirección destino, que ruta se utilizará?
3.
Cuáles son los valores por default de distancia de los diferentes protocolos de ruteo?
4.
Es posible gestionar las rutas dinámicas? Por qué?
Laboratorio – Capítulo 2
Academy Xperts
49
RouterOS v6.39.2.01 – Capítulo 3 – Bridge
Capítulo 3: Bridge
Conceptos de Bridging
El bridge trabaja en la capa 2 del modelo OSI. El bridge Ethernet trabaja con el protocolo CSMA/CD, el cual le permite
sensar y escuchar la red antes de transmitir. Cuando algunos equipos al mismo tiempo transmiten, se generan colisiones
que hacen que la red colapse.
Un puente de red o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de
enlace de datos) del modelo OSI. Este interconecta segmentos de red (o divide una red en segmentos) haciendo la
transferencia de datos de una red hacia otra con base en la dirección física de destino de cada paquete. El término bridge,
formalmente, responde a un dispositivo que se comporta de acuerdo al estándar IEEE 802.1D
En definitiva, un bridge conecta segmentos de red formando una sola subred (permitir conexión entre equipos sin necesidad
de routers). Funciona a través de una tabla de direcciones MAC detectadas en cada segmento al que está conectado.
Cuando detecta que un nodo de un segmento está intentando transmitir datos a un nodo del otro segmento, el bridge copia
la trama hacia la otra subred, teniendo la capacidad de desechar la trama (filtrado) en caso de no tener dicha subred con
destino. Para conocer por donde enviar cada trama que le llega (encaminamiento) incluye un mecanismo de aprendizaje
automático (autoaprendizaje) por lo que no necesitan configuración manual.
Los bridge usan una tabla de reenvío para enviar tramas a lo largo de los segmentos de la red. Si una dirección de destino
no se encuentra en la tabla, la trama es enviada por medio de inundación (flooding) a todos los puertos del bridge excepto
por el que llegó. Por medio de este envío masivo de tramas, el dispositivo de destino recibirá el paquete y responderá,
quedando así registrada la dirección destino como una entrada de la tabla. Dicha tabla incluye tres campos: dirección MAC,
interface a la que está conectada y la hora a la que llegó la trama (a partir de este campo y la hora actual se puede saber si
la entrada está vigente en el tiempo). El bridge utilizará esta tabla para determinar qué hacer con las tramas que le llegan.
Ejemplo 1
Todos los ordenadores pueden comunicarse entre sí (Fig.M3-3). Todos tienen que esperar a que el resto de equipos dejen
de transmitir para así poder transmitir los datos.
Academy Xperts
50
RouterOS v6.39.2.01 – Capítulo 3 – Bridge
Ejemplo 2 (Fig.M3-4).
•
•
•
Todos los equipos todavía se comunican entre sí.
Todos los equipos ahora solo comparten la mitad del cable
Todavía tienen que esperar a que el resto de equipos terminen de transmitir, pero el grupo es la mitad del tamaño
ahora.
Usando Bridges
Por defecto, en los routers MikroTik, los puertos Ethernet están asociados (esclavos) a un puerto maestro (master port).
Ventajas:
•
•
No necesita configuración previa.
Conmutación rápida (a través de chip switch, no en software)
Desventajas:
•
•
•
•
No hay visibilidad del tráfico de los puertos de esclavos. No conviene si se utiliza SNMP para monitorear el uso de
puertos.
No se limita el número de reenvíos mediante broadcast
Difícilmente escalable para redes muy grandes
El procesado y almacenamiento de datos introduce retardos
Mediante la eliminación de configuración maestro (master) y esclavo (slave), se debe utilizar una interface bridge para
vincular a los puertos requeridos en una sola LAN.
Ventajas:
•
Completa visibilidad de todas las estadísticas de puerto de los puerto involucrados
Desventajas:
•
La función de switch se hace a través de software, por lo que provee una velocidad de transferencia de paquetes
menos óptima
Academy Xperts
51
RouterOS v6.39.2.01 – Capítulo 3 – Bridge
Creando un Bridge
Agregando puertos al bridge
•
•
La adición de puertos definirá cuales puertos van a pertenecer a la misma subred
Se puede agregar diferentes tecnologías, tales como una interface WiFi
Haciendo Bridge con redes Wireless
•
•
Lo mismo se puede hacer con interfaces Wireless
Veremos acerca de este tema en el siguiente módulo.
Preguntas de repaso del Capítulo 3
1.
En qué capa del modelo OSI trabaja el bridge?
2.
Cuáles son las ventajas de usar bridge?
3.
Cuáles son las desventajas de usar bridge?
Laboratorio – Capítulo 3
Academy Xperts
52
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Capítulo 4: IEEE 802.11 (Wireless)
Teoría de Wireless
dBi: Unidad de medida expresada en decibelios, expresa la ganancia de energía de una antena en relación a una antena
isotrópica, la cual irradia con igual intensidad en todas direcciones.
dBm: También dBmW, es una unidad de medida de potencia expresada en decibelios con relación a un mili vatio (mW). Se
utiliza en redes de radio, microondas y fibra óptica como una medida conveniente de la potencia absoluta a causa de su
capacidad para expresar tanto valores muy grandes como muy pequeñas en forma corta. Es distinta de dBW, la cual hace
referencia a un vatio (1.000 mW) y nos indica la energía o potencia d un transmisor.
Regla de los 3dB: Un incremento de 3dB significa que la potencia se duplica, una disminución de 3dB significa que la
potencia se reduce a la mitad.
10𝑙𝑜𝑔 0.5 = −3.01𝑑𝐵
Regla de los 10 dB: Un incremento de 10 dB significa que la potencia aumenta 10 veces y una disminución de 10 dB
significa que la potencia se reduce en un factor de 1/10.
10𝑙𝑜𝑔 1 10 = −10𝑑𝐵
Free-space path loss (FSPL) Perdida de camino en el espacio vacío.
PATH LOSS (Pérdida de camino)
La pérdida de camino entre un par de antenas es la relación entre la potencia trasmitida y la potencia recibida, usualmente
expresada en decibeles. Esto incluye todos los elementos de perdidas asociados con interacciones entre la onda propagada
y cualquier objeto entre las antenas de transmisión y recepción. Para definir apropiadamente la perdida de camino, las
pérdidas y ganancias en el sistema deben ser consideradas.
La potencia que aparece en los terminales de entrada del receptor, PR, puede ser expresada como:
𝑃/ 𝐺/ 𝐺.
𝑃. =
𝐿 / 𝐿2 𝐿.
Academy Xperts
53
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Aplicando logaritmo base 10 a la formula anterior nos da un resultado más simple en decibelios: P(dB)=10log(P(W)).
𝑃. 𝑑𝐵 = 𝑃/ 𝑑𝐵 − 𝐿 / 𝑑𝐵 + 𝐺/ 𝑑𝐵𝑖 − 𝐿2 𝑑𝐵 + 𝐺. 𝑑𝐵𝑖 − 𝐿. 𝑑𝐵 + 𝑃. 𝑑𝐵
Donde las ganancias G y las perdidas L son expresadas como relaciones de potencias y las potencias P en watts. La
ganancia de la antena expresada con referencia a una antena isotrópica (dBi). Los valores usados son todos aquellos
correspondientes a la dirección de la otra antena y puede no ser necesariamente el valor máximo. La potencia isotrópica
efectiva radiada (EIRP) viene dada por:
𝑃/ 𝐺/
𝐸𝐼𝑅𝑃 =
= 𝑃/8
𝐿/
Donde PTI es la potencia isotrópica efectiva de transmisión. De igual forma la potencia isotrópica efectiva de recepción es
2 :
PRI:
𝑃.8 = 9 9
;9
La ventaja de expresar la potencia en términos de EIRP es que la perdida de camino Lp puede ser expresada
independientemente de los parámetros del sistema definiéndola como la relación entre el EIRP de transmisión y de
recepción. Usualmente se expresa la perdida de camino en decibelios:
𝑃/8
𝐿< = 10𝑙𝑜𝑔
𝑃.8
𝑃. 𝑑𝐵 = 𝑃/ 𝑑𝐵 + 𝐺/ 𝑑𝐵 + 𝐺. 𝑑𝐵 − 𝐿 / 𝑑𝐵 − 𝐿2 𝑑𝐵 − 𝐿. 𝑑𝐵
FREE SPACE PATH LOSS (FSPL)
Perdida de camino en el espacio vacío
La pérdida de camino en el espacio vacío, también conocido como FSPL es la perdida de intensidad de señal que ocurre
cuando una onda electromagnética viaja en una trayectoria con línea de vista en el espacio vacío. En estas circunstancias
no hay obstáculos que causen que la señal sea reflejada o refractada, o que causen atenuación adicional. Para entender las
razones por la que existe la perdida de camino en el espacio vacío, es posible imaginar una señal extendiéndose desde la
antena transmisora. Al alejarse de la fuente se extenderá en forma de una esfera constantemente incrementando su tamaño.
Como toda fuente de energía esta sigue la ley de la conservación de la energía, al mismo tiempo que el área de la superficie
de la esfera se incrementa la potencia de la señal debe disminuir para que se cumpla la ley. Como resultado tenemos que
la señal se atenúa de forma inversamente proporcional al cuadrado de la distancia desde la fuente en el espacio vacía.
1
𝑆𝑒ñ𝑎𝑙 ∝ B
𝑑
En consecuencia de la fórmula de transmisión de Friis:
𝑃/
4𝜋𝑑
=
𝑃.
𝜆B
B
=
4𝜋𝑓𝑑
𝑐B
B
Donde:
𝜆: Longitud de onda de la señal (metros)
𝑓: Frecuencia de la señal (Hertz)
𝑑: Distancia desde el transmisor (metros)
𝑐: Velocidad de la luz en el vacío, 3x10^8 m/s
De donde se obtiene la fórmula de las pérdidas de trayecto en el espacio vacío:
𝐹𝑆𝑃𝐿 =
4𝜋𝑑
𝜆
B
Generalmente se utiliza la formula en decibelios:
𝐹𝑆𝑃𝐿 = 20𝑙𝑜𝑔
4𝜋𝑑
4𝜋𝑓𝑑
= 20𝑙𝑜𝑔
𝜆
𝑐
O de forma más simple:
𝐹𝑆𝑃𝐿 = 32.44 + 20𝑙𝑜𝑔 𝑓 + 20𝑙𝑜𝑔 𝑑
Donde:
𝑓: Frecuencia de la señal (MHz)
Academy Xperts
54
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
𝑑: Distancia desde el transmisor (Km)
Como se puede apreciar la perdida de trayecto en el espacio vacío aumenta si aumenta la distancia o la frecuencia de la
señal.
Distancia
10 m
50 m
100 m
200 m
500 m
1000 m
10 Km
100 Km
2.4 GHz FSPL
60.044 dB
74.023 dB
80.044 dB
80.064 dB
94.023 dB
100.04 dB
120.04 dB
140.04 dB
5 GHz FSPL
66.419 dB
80.398 dB
86.419 dB
92.440 dB
100.39 dB
106.41 dB
126.41 dB
146.41 dB
Como se puede observar a simple vista en la tabla anterior el valor del FSPL es mayor para la banda de 5 GHz.
Línea de Vista
Cuando las ondas electromagnéticas se propagan en una trayectoria directa desde la fuente hacia el receptor se denomina
propagación con línea de vista (LOS: Line-of-sight). Cuando se diseña una enlace inalámbrico en exteriores, lo primero que
debemos tener en cuenta es: ¿Qué hay en entre el transmisor y el receptor?
Existen 3 categorías principales de Línea de vista, la primera cuando se tiene el camino de propagación totalmente libre de
obstáculos, el siguiente es llamado Near Line-of-sight (nLOS) que incluye obstrucciones parciales como copas de árboles
entre las dos antenas y por último Non Line of Sight (NLOS) cuando existe total obstrucción entre las dos antenas.
Determinando las condiciones específicas de línea de vista se puede determinar el correcto sistema inalámbrico a instalar.
Cuando se considera propagación con línea de vista, puede ser necesario considerar la curvatura de la tierra. La curvatura
de la tierra es el límite geométrico fundamental en la propagación LOS.
Radio LOS y Optical LOS.
En particular si la distancia entre el transmisor y el receptor es muy grande comparada con la altura de las antenas, entonces
la propagación con LOS puede no existir. El modelo más simple es tratar la tierra como una esfera con un radio equivalente
al radio en el ecuador.
Radio LOS y Optical LOS son diferentes. Incluso si la tierra fuera totalmente lisa y sin obstrucciones. La línea de vista está
limitada por la curvatura de la tierra.
Sin obstáculos que intervengan, la línea de vista óptica (optical Line-of-sight) puede ser expresada como:
𝑑 = 3.57 ℎ
Donde d es la distancia entre la antena y el horizonte óptico en kilómetros y h es la altura de la antena en metros. La línea
de vista efectiva o el radio de línea de vista (Radio Line-of-sight) hacia el horizonte es expresado como:
𝑑 = 3.57 𝐾ℎ
Donde K es un factor de ajuste para tener en cuenta el fenómeno de refracción. Una buena regla de oro es usar K=4/3.
Entonces, la distancia máxima entre dos antenas para asegurar la propagación con Línea de vista es:
𝑑 = 3.57
𝐾ℎN + 𝐾ℎB
Donde h1 y h2 son las alturas de las dos antenas.
Ejemplo:
La distancia máxima entre dos antenas para propagación LOS si una antena es de 100 m de altura y la otra antena está a
nivel del suelo es:
𝑑 = 3.57 𝐾ℎ = 3.57 133 = 41𝑘𝑚
Ahora suponga que la antena receptora tiene 10 m de altura. Para asegurar la misma distancia máxima, cuál debe ser la
altura mínima de la antena transmisora.
41 = 3.57
Academy Xperts
𝐾ℎN + 13.3
55
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
𝐾ℎN =
41
− 13.3 = 7.84
3.57
ℎN =
7.84B
= 46.2𝑚
1.33
Lo que supone un ahorro alrededor de 50 m en la altura de la antena transmisora. Este ejemplo ilustra el beneficio de elevar
las antenas receptoras para reducir la altura necesaria del transmisor.
Pérdida en cables y conectores
Como se vio anteriormente si existe una diferencia de impedancia entre los elementos de un sistema de telecomunicaciones
existirá un factor de perdida debido al desacople de las impedancias. Estas pérdidas de la señal de RF sucederán en los
cables y conectores que conectan el transmisor y el receptor a las antenas. Las pérdidas dependerán de la forma física del
cable y de la frecuencia a la que se encuentre operando el sistema. Generalmente se miden en dB/m para aplicaciones en
interiores y para aplicaciones en exteriores en dB/km.
Las pérdidas en los cables aumentan conforme aumenta la frecuencia. Por lo general esto viene incluido en las
características de las hojas de datos de los fabricantes pero de ser posible se debe verificar tomando sus propias mediciones.
Para el diseño de un sistema o un presupuesto de enlace se considerar al menos 0.25 dB de perdida por cada conector en
el sistema de cableado. Así mismo estas características se deben revisar en las hojas de especificaciones de los fabricantes.
Zonas de Fresnel
En un enlace inalámbrico, poder ver el receptor desde donde se encuentra el transmisor (Línea de vista), no significa que el
enlace funcionará de forma correcta. Si el trayecto no tiene obstrucciones las ondas de radio podrían viajar en línea recta
desde el transmisor hacia el receptor. Pero si hay obstáculos cercanos a la trayectoria, las ondas de radio se reflejaran en
estos objetos y llegaran al transmisor con una diferencia de fase con respecto a las que siguen el trayecto directo y esto
reduce la potencia de la señal recibida. Por otro lado la reflexión puede aumentar la potencia de la señal recibida si la señal
reflejada y la que sigue el trayecto directo llegan al receptor con la misma fase.
El físico y matemático francés Monsieur Fresnel diseñó un medio para calcular donde están las zonas donde mayormente
los obstáculos pueden causar reflexiones en fase y reflexiones fuera de fase entre el transmisor y el receptor. Los obstáculos
en la primera zona de Fresnel pueden crear señales que pueden estar de 0 a 90 grados fuera de fase, en la segunda zona
estas señales pueden tener de 90 a 270 grados fuera de fase, en la tercera zona, podrían tener de 270 a 450 grados fuera
de fase y así. Las zonas con numeración impar son constructivas y las zonas pares son destructivas. Es decir en las zonas
pares se reducirá la potencia de la señal recibida. El concepto de despeje de la zona de Fresnel (Fresnel zone clearance)
puede ser usado para analizar interferencia por obstáculos cercanos a la trayectoria del haz de radio. La primera zona debe
mantenerse en gran medida libre de obstrucciones para evitar interferencia en la recepción de radio. Sin embargo, a menudo
puedo ser tolerada la obstrucción en la zona de Fresnel, como regla de oro la máxima obstrucción permitida es 40% en la
primera zona de Fresnel, pero la obstrucción recomendada es de 20% o menos.
Para establecer las zonas de Fresnel, primero determinamos la línea de vista (LOS). La zona alrededor de LOS es llamada
la primera zona de Fresnel.
Gráfico zonas de Fresnel
La fórmula general para calcular el radio de las Zonas de Fresnel en cualquier punto P en un enlace inalámbrico es la
siguiente:
𝐹S =
𝑛𝜆𝑑N 𝑑B
𝑑N + 𝑑B
Donde:
𝐹S : Radio de la n-esima zona de Fresnel en metros.
𝑑N : Distancia desde P hacia una de las antenas en metros.
𝑑B : Distancia desde P hacia la otra antena en metros.
𝜆: Longitud de onda de la señal transmitida en metros.
Ejemplo 1.
Se desea calcular el tamaño máximo de una obstrucción en la primera zona de Fresnel que asegure el correcto
funcionamiento de un enlace inalámbrico de 500m a una frecuencia f=800 MHz. Si las antenas transmisora y
receptora se encuentran a 20m sobre el nivel del suelo. Considere tierra plana.
𝜆=
Academy Xperts
𝑐
3×10V 𝑚 𝑠
=
= 0.375𝑚
𝑓 800×10X 𝐻𝑧
56
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
𝐹S =
𝜆𝑑N 𝑑B
𝑑N + 𝑑B
0.375 ∗ 250 ∗ 250
= 6.846𝑚
500
𝐹S =
Para asegurar el 60% de la primera zona de Fresnel (40% de obstrucción máxima) debemos restar el 60% del radio de la
1ra zona de Fresnel a la altura de la línea de vista:
𝐻\]^ = 20 − 0.06×6.846 = 19.589𝑚
Por lo tanto un escenario ideal para este enlace sería con obstrucciones con tamaño menores a 19 m. Con lo que se asegura
por lo menos el 60% de claridad de la primera zona de Fresnel.
Ejemplo 2.
Considere un escenario con terreno plano absolutamente libre de obstrucciones, árboles o edificios entre el emisor
y el receptor. Cierto fabricante dice que el alcance máximo de uno de sus equipos son X metros. ¿Cuál es la distancia
respecto al suelo a la que se deben colocar las antenas para que se asegure el 60% de la primera zona de Fresnel y
conseguir el máximo alcance?
𝐹S =
𝜆𝑑N 𝑑B
𝑑N + 𝑑B
=
𝜆 𝑑 2 B
2 𝑑 2
=
𝑐 𝑑
×
𝑓 4
𝐹S =
𝜆𝑑N 𝑑B
𝑑N + 𝑑B
=
𝜆 𝑑 2 B
2 𝑑 2
=
𝑐 𝑑
×
𝑓 4
Asegurando el 60% se tiene:
Que sería la distancia mínima respecto al suelo donde se asegura la primera zona de Fresnel.
Ejemplo para varias frecuencias y distancias.
Distancia (m)
100
500
1000
10000
2.4 GHz
1.06 m
2.37 m
3.35 m
10.61 m
5 GHz
0.73 m
1.64 m
2.32 m
7.34 m
11 GHz
0.49 m
1.11 m
1.57 m
4.95 m
En la práctica es muy probable que las antenas deban ser ubicadas a mayor altura debido a que existen obstrucciones de
cualquier tipo y debido a que el terreno no es totalmente plano.
Cálculo de Presupuesto de Enlace Inalámbrico
El cálculo de potencias de una señal, potencias de ruido y/o de relación señal a ruido (SNR) para un enlace completo es un
presupuesto de enlace, que es un enfoque muy útil para el diseño básico de un sistema completo de comunicación. Estos
cálculos suelen ser bastante simples, pero pueden brindarnos información muy reveladora como el rendimiento del sistema
siempre y cuando se hagan las suposiciones adecuadas en el cálculo de los elementos individuales del presupuesto de
enlace.
Los parámetros esenciales son: la intensidad de la señal recibida, el ruido y cualquier otro deterioro de la señal tales como
interferencias o desvanecimiento.
Esencialmente el margen de enlace es una simple aplicación de los principios explicados anteriormente. El valor máximo
aceptable de pérdida de camino usualmente gira en torno a dos componentes, una que está dada dependiendo de la
distancia y el modelo de pérdida de camino (Ej. Free Space model) más el margen de desvanecimiento (Fade margin), que
está incluido para permitir al sistema cierta resistencia frente a los efectos prácticos del desvanecimiento de la señal más
allá del valor predicho por el modelo.
𝑃é𝑟𝑑𝑖𝑑𝑎𝑑𝑒𝑝𝑟𝑜𝑝𝑎𝑔𝑎𝑐𝑖ó𝑛
𝑃é𝑟𝑑𝑖𝑑𝑎
𝑀𝑎𝑟𝑔𝑒𝑛𝑑𝑒
=
+
𝑝𝑟𝑒𝑑𝑒𝑐𝑖𝑑𝑎
𝑚á𝑥𝑖𝑚𝑎𝑎𝑐𝑒𝑝𝑡𝑎𝑏𝑙𝑒
𝑑𝑒𝑠𝑣𝑎𝑛𝑒𝑐𝑖𝑚𝑖𝑒𝑛𝑡𝑜
Cuanto mayor será el margen de desvanecimiento, mayor será la fiabilidad y calidad del sistema, pero esto limitará el rango
máximo del sistema.
Academy Xperts
57
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Enlaces con márgenes relativamente pequeños no son muy robustos a menos que todas las ganancias y pérdidas sean
perfectamente comprendidas y modeladas.
Por lo tanto la potencia mínima o sensibilidad que debe tener el receptor será:
𝑀𝑎𝑥𝑖𝑚𝑢𝑛𝑎𝑐𝑐𝑒𝑝𝑡𝑎𝑏𝑙𝑒
𝐹𝑎𝑑𝑒
𝑃𝑎𝑡ℎ
𝑆. = 𝐸𝐼𝑅𝑃 −
+ 𝐺. = 𝐸𝐼𝑅𝑃 −
+
𝑀𝑎𝑟𝑔𝑖𝑛
𝑝𝑎𝑡ℎ𝑙𝑜𝑠𝑠
𝐿𝑜𝑠𝑠
𝑆. = 𝐸𝐼𝑅𝑃 −
𝐹𝑎𝑑𝑒
𝑃𝑎𝑡ℎ
+
+ 𝐺.
𝑀𝑎𝑟𝑔𝑖𝑛
𝐿𝑜𝑠𝑠
𝑆. = 𝐸𝐼𝑅𝑃 − 𝐿2 − 𝐹𝑀 + 𝐺.
𝐹𝑀 = 𝐸𝐼𝑅𝑃 − 𝐿2 + 𝐺. − 𝑆.
Donde𝐿2 es la pérdida de camino del modelo de propagación utilizado, normalmente pérdida en el espacio vacío (FSPL), 𝐺.
es la ganancia de la antena de recepción y𝑆. es la potencia mínima que acepta el receptor también llamada sensibilidad del
receptor o potencia de umbral del receptor.
Con esto se asegura que la potencia en el receptor sea: 𝑃. = 𝑆. + 𝑀𝐹
Es decir tendremos un margen de pérdida por desvanecimiento de valor MF para que el receptor tenga los niveles de señal
adecuados.
Ejemplo 1:
Considere un enlace punto a punto de 1 km que opera en el espacio vacío a una frecuencia de 2.4 GHz. Asuma que
la potencia de transmisión es 0.1 W y que ambas antenas transmisora y receptora tienen una ganancia de 5 dBi. Si
la sensibilidad del receptor es de -85 dBm. ¿Cuál es el margen de desvanecimiento de este enlace?
Primero calculamos la EIRP en el lado del transmisor:
𝐸𝐼𝑅𝑃 𝑑𝐵 = 𝑃/ 𝑑𝐵 − 𝐿 / 𝐽𝑢𝑚𝑝𝑒𝑟, 𝑝𝑖𝑔𝑡𝑎𝑖𝑙, 𝑒𝑡𝑐 + 𝐺/ 𝑑𝐵𝑖
𝐸𝐼𝑅𝑃 𝑑𝐵 = 10𝑙𝑜𝑔 0.1 − 2 + 5 = −7𝑑𝐵
Ahora calculamos el FSPL (free space path loss):
𝐿2 = 𝐹𝑆𝑃𝐿 = 20𝑙𝑜𝑔 𝑑 + 20𝑙𝑜𝑔 𝑓 + 32.44
𝐿2 = 20𝑙𝑜𝑔 1 + 20𝑙𝑜𝑔 2400 + 32.44 = 100.04𝑑𝐵
Calculamos el margen de desvanecimiento de este enlace:
𝐹𝑀 = 𝐸𝐼𝑅𝑃 − 𝐿2 + 𝐺. − 𝐿. − 𝑆.
𝐹𝑀 = −7 − 100 + 5 − 2 − −85 − 30 =11 dB
Por lo tanto este enlace tiene un margen de desvanecimiento de 11 dB. Note que en condiciones ideales la potencia en el
receptor será de -104 dB. Y ya que el receptor tiene una sensibilidad de hasta -115 dB (-85dBm) se tiene potencia suficiente
en el receptor. Se agregó una pérdida de 2 dB en el lado del transmisor y en el lado del receptor, el cual es un valor normal
de pérdida por conectores y cables. Ya que normalmente la potencia de recepción o la sensibilidad de un equipo están dadas
en dBm es necesario pasar ese valor a unidades de dB.
𝑑𝐵 = 𝑑𝐵𝑚 − 30
Ejemplo 2:
Considere que cierto cliente necesita un radio enlace a una de las sucursales de su negocio que está ubicada a 30
Km de la central. La frecuencia de operación del enlace es de 5Ghz, sensibilidad del receptor de -85 dBm, ganancia
de las antenas transmisoras y receptoras de 35 dBi. Considere perdidas en el espacio vacío.
Se debe realizar el diseño del radio enlace cumpliendo los requerimientos y su correspondiente presupuesto de
enlace.
Necesitamos calcular que valor de potencia debe tener el transmisor para tener un buen margen de desvanecimiento.
Asumimos un margen de desvanecimiento de 15 dB.
𝑆. = 𝐸𝐼𝑅𝑃 − 𝐿2 + 𝐺. − 𝐿. + 𝐹𝑀
𝐸𝐼𝑅𝑃 = 𝑃/ 𝑑𝐵 − 𝐿 / 𝑝𝑖𝑔𝑡𝑎𝑖𝑙, 𝑗𝑢𝑚𝑝𝑒𝑟, 𝑒𝑡𝑐 + 𝐺/ 𝑑𝐵𝑖
𝐸𝐼𝑅𝑃 = 𝑃/ − 2𝑑𝐵 + 35 = 𝑃/ + 32
Calculando la pérdida de trayecto:
𝐿2 = 20𝑙𝑜𝑔 𝑑 + 20𝑙𝑜𝑔 𝑓 + 32.44 = 20𝑙𝑜𝑔 30 + 20𝑙𝑜𝑔 5000 + 32.44
Academy Xperts
58
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
𝐿2 = 135.96𝑑𝐵
Por lo tanto:
−85 − 30 = 𝑃/ + 32 − 135.96 + 35 − 2 + 15
−115 = 𝑃/ − 55.96
𝑃/ = −115 + 55.96 = −59.04𝑑𝐵
Por lo tanto para cumplir con el requerimiento de 15 dB de margen el transmisor debe tener una potencia de por lo menos 59.04 dB o lo que es lo mismo -29.04 dBm. Aproximadamente 1 uW. Lo que significa que con una potencia de transmisión
de 15 dB se tendrá por mucho un mayor margen de desvanecimiento. En este caso se podrían cambiar las antenas por unas
de menor ganancia.
La comunicación inalámbrica (sin cables) es aquella en la que el emisor y el receptor no se encuentran unidos por un medio
de propagación físico, sino que se utiliza la modulación de ondas electromagnéticas a través del espacio. En este sentido,
los dispositivos físicos sólo están presentes en los emisores y receptores de la señal, entre los cuales encontramos: antenas,
computadoras portátiles, PDA, teléfonos móviles, etc.
La funcionabilidad Wireless de RouterOS cumple con los estándares IEEE 802.1, y provee un soporte completo para
802.11a, 802.11b, 802.11g, 802.11n y 802.11ac.
También provee características adicionales como WPA, WEP, encriptación AES, Wireless Distribution System (WDS),
Dynamic Frequency Selection (DFS), Virtual Access Point, y protocolos propietarios (de MikroTik) como Nstreme and NV2
(Nstreme Version 2).
Academy Xperts
59
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Tablas de compatibilidad de características para los diferentes protocolos
La siguiente matriz de características wireless especifica las diferentes características que se pueden utilizar dependiendo
del tipo de protocolo.
La columna que se llama 802.11 especifica la disponibilidad de opciones para redes 802.11 puras, es decir, cuando se
conectan a cualquier proveedor/fabricante inalámbrico. La columna ROS 802.11 especifica las características cuando se
conecta a un AP RouterOS y que permite implementar las características propietarias necesarias para trabajar.
Matriz de Características Wireless
* El protocolo NV2 utiliza una diferente configuración de seguridad
Matriz de Configuraciones WDS
Esta matriz especifica las posibles configuraciones de red WDS para cada protocolo wireless.
La primera columna especifica la estructura de red WDS
* mode=ap-bridge aplica también a mode=bridge
Matriz de Modos Estación (station)
Esta matriz especifica los modos disponibles de estación (station) para cada protocolo wireless.
La funcionalidad Wireless de RouterOS puede operar en diferentes modos:
Academy Xperts
60
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
•
•
•
client (station)
access point
wireless bridge etc.
La funcionabilidad client/station también puede operar en diferentes modos:
•
•
•
•
•
station
station-wds
station-pseudobridge
station-pseudobridge-clone
station-bridge
IEEE 802.11
El estándar IEEE 802.11 define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de enlace de datos),
especificando sus normas de funcionamiento en una WLAN. Los protocolos de la rama 802.x definen la tecnología de redes
de área local y redes de área metropolitana.
Recuerde: MikroTik RouterOS opera en 5GHz (802.11a/n/ac) y 2.4GHz (802.11b/g/n)
Estándares Wireless
Fuente: http://en.wikipedia.org/wiki/IEEE_802.11
Wireless Bands (RouterOS)
Los estándares 802.11b/g/n (en 2.4GHz) utilizan el espectro de 2.400 a 2.500 GHz.
Los estándares 802.11a/n/ac (en 5GHz) utilizan el espectro de 4.915 a 5.825 GHz, el cual es fuertemente regulado en
diferentes países. Estos rangos se los conoce generalmente como las bandas de 2.4 GHz y 5 GHz. Cada espectro a su vez
se subdivide en canales, y poseen una frecuencia central y un ancho de banda específico.
RouterOS trabaja en las bandas 2.4 GHz y 5 GHz.
En cada una de estas bandas se aplican la utilización de los diferentes estándares según la siguiente tabla
Configuración de banda en 2.4 GHz
Academy Xperts
61
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Configuración de banda en 5 GHz
En la banda de 2.4 GHz la frecuencia central inicia en 2.412 GHz, y el estándar IEEE 802.11 establece que cada 5 MHz se
asigne un nuevo número de canal que tiene un ancho de 22 MHz.
El mismo estándar IEEE 802.11 también establece lo que se conoce como una máscara espectral (máscara de canal o
máscara de transmisión) cuyo objetivo es reducir la interferencia de los canales adyacentes limitando la radiación excesiva
en frecuencias que van más allá del ancho de banda necesario: Es sumamente necesario asegurarse que una transmisión
permanece dentro de su canal, por lo que se requiere que para 2.4 GHz la señal deba ser atenuada a un mínimo de 20 dB
desde su pico de amplitud en +/- 11 MHz desde el centro de la frecuencia, lo que da como resultado un ancho de canal de
22 MHz.
El término Interferencia del Canal Adyacente se refiere a la degradación del desempeño como resultado de la sobre posición
(overlapping) del espacio de frecuencia que ocurre debido a un diseño inapropiado de reuso de canal. Se considera un canal
Academy Xperts
62
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
adyacente al canal próximo o previo al canal en el cual se está trabajando. En el caso de la gráfica anterior, el canal 3 es
adyacente al canal 2.
El estándar IEEE 802.11-2012 requiere una separación de 25 MHz entre las frecuencias centrales de los canales 802.11b/g
para poder asegurar que no existirá overlapping. Por este motivo, únicamente los canales 1, 6 y 11 cumplen este
requerimiento en caso de que se necesite disponibilidad de 3 canales.
En caso de que se requiera disponibilidad únicamente de 2 canales, se podría utilizar los canales 2 y 7, así como los canales
3 y 8, los canales 4 y 9, o los canales 5 y 10. Lo que es importante entonces recordar es que en el estándar IEEE 802.11b/g/n
se requiere 5 canales de separación en las celdas de cobertura adyacentes.
802.11a
El estándar 802.11a utiliza el mismo juego de protocolos de base que el estándar original, opera en la banda de 5 GHz y
utiliza la multiplexacion por división de frecuencias (OFDM) con una velocidad máxima de 54 Mbit/s (Mbps), lo que lo hace
un estándar práctico para redes inalámbricas con velocidades reales de aproximadamente 20 Mbps. La velocidad de datos
se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbps. El estándar 802.11a tiene 12 canales que no se sobreponen, 8 para red
inalámbrica y 4 para conexiones punto a punto. No puede interoperar con equipos del estándar 802.11b, excepto si se
dispone de equipos que implementen ambos estándares.
Cuando se trabaja en la banda de 5 GHz U-NII existe 25 canales que son considerados como no-overlapping ya que su
existe una separación de 20 MHz entre las frecuencias centrales. En la práctica siempre existirá un pequeño overlapping
entre las frecuencias de cada canal OFDM, pero la ventaja es que en la banda 5 GHz no se está limitado a solo 3 canales
como en la banda 2.4 GHz.
Academy Xperts
63
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Channel Width (RouterOS)
Channel Width en banda 2.4 GHz
Channel Width en banda 5 GHz
5Ghz
•
•
•
•
•
•
•
•
•
5 MHz
10 MHz
20/40/80 MHz Ceee
20/40/80 MHz eCee
20/40/80 MHz eeCe
20/40/80 MHz eeeC
20/40 MHz Ce
20/40 MHz eC
20 MHz
Parámetro
channel-width (20/40/80mhz-Ceee | 20/40/80mhz-eCee | 20/40/80mhz-eeCe | 20/40/80mhz-eeeC | 20/40mhz-Ce |
20/40mhz-eC | 40mhz-turbo | 20mhz | 10mhz | 5mhz; Default: 20mhz)
•
Este uso de canales de extensión (por ejemplo, Ce, eC, etc) permite el uso de canales de extensión adicionales de
20 MHz y debería ser ubicado abajo (below) o arriba (aboce) del canal principal de control. El canal de extensión
permite a los dispositivos 802.11n utilizar hasta 40 MHz (802.11ac permite hasta 80 MHz) de espectro total,
pudiendo obtener un incremento en el throughput máximo.
Frecuencias Soportadas
Las tarjetas Atheros A/B/G/N/AC usualmente soportan frecuencias en los siguientes rangos:
•
•
2 GHz band: 2192-2539 MHz
5 GHz band: 4920-6100 MHz
Frecuencias en banda 2.4 GHz
Academy Xperts
64
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Frecuencias en banda 5 GHz
Parámetro
frequency (integer [0..4294967295]; Default: )
•
•
•
•
Valor de frecuencia de canal en MHz en la cual operará el AP (Access Point)
Los valores permitidos dependen de la banda seleccionada, y están restringidos por
o Las configuraciones de país, y
o La capacidad de la tarjeta inalámbrica (wireless)
Esta configuración no tiene efecto si la interface está en cualquier modo de estación (station mode), o en modo
wds-slave, o si el DFS está activo (DFS ya no se configura a partir de v6.37.0)
NOTA: Si se está usando el modo superchannel, se aceptará cualquier frecuencia soportada por la tarjeta, pero en
el cliente RouterOS cualquier frecuencia no-estándar debe ser configurada en el scan-list, caso contrario dicha
frecuencia no será escaneada en un rango no-estándar. En Winbox, las frecuencias de scan-list aparecen en
negrillas (bold), lo que significa que cualquier otra frecuencia (que no esté en negrilla) deberá configurarse en el
scan-list
Scan List
En Winbox las frecuencias por “default” se muestran resaltadas en negrilla. El valor por omisión del scan-list se muestra
como “default”
•
•
•
El rango de frecuencias se especifica con el signo menos ( - )
o 5500-5700
Hasta la versión 5.x las frecuencias individuales se especificaban con “coma” ( , )
o 5500,5520,5540
Hasta la versión 5.x se podía realizar la siguiente mezcla de frecuencias:
o default,5520,5540,5600-5700
Academy Xperts
65
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Parámetro
scan-list (Lista de frecuencias separadas por comas y rango de frecuencias | default. A partir de la v6.35 (wireless-rep)
también soporta range:step option; Default: default)
•
•
•
•
•
El valor por default está dado por todos los canales de la banda seleccionada que son soportadas por la tarjeta y
permitidos por las configuraciones de país y frequency-mode.
Por default el scan-list en la banda de 5 GHz los canales se toman con un paso de 20 MHz, en la banda 5ghzturbo con un paso de 40 MHz, y para todas las otras bandas con un paso de 5 MHz.
Si el scan-list se especifica manualmente, entonces se toman todos los canales que coinciden. (Por ejemplo,
scan-list=default,5200-5245,2412-2427 – Esta configuración usará el valor por default del scan-list de
la banda actual, y se agregará las frecuencias soportadas del rango 5200-5245 o del rango 2412-2427)
A partir de RouterOS v6.0 con Winbox o Webfig, para ingresar múltiples frecuencias, se debe agregar cada
frecuencia o rango de frecuencias en múltiples y separados scan-lists. A partir de v6.0 ya no se soporta el uso
de frecuencias separadas por coma en Winbox/Webfig
A partir de RouterOS v6.35 (wireless-rep) el scan-list soporta el parámetro step, donde es posible especificar
manualmente el paso (step) de escaneo. Por ejemplo, scan-list=5500-5600:20 generará los siguientes valores
de scan-list: 5500,5520,5540,5560,5580,5600
Problema del Nodo Oculto
El problema del nodo oculto (también llamado problema de terminal oculto) se produce cuando un nodo es visible desde un
punto de acceso inalámbrico (AP), pero no es visible desde otros nodos que se comunican con ese mismo AP. Esto conduce
a dificultades en la subcapa de control de acceso al medio.
Cada nodo está dentro del rango de comunicación del AP, pero los nodos no se pueden comunicar uno con otro ya que no
tienen una conexión física entre ellos.
La tecnología de transmisión wireless trabaja en un esquema en que si más de un usuario remoto transmite datos al AP al
mismo tiempo, es difícil para el punto de acceso distinguir entre los dos transmisores.
Cuando se creó el estándar 802.11 los protocolos que se diseñaron para prevenir este problema asumieron que todos los
usuarios y nodos deberían estar en las proximidades del AP y podrían escuchar la transmisión de cada uno de los otros
nodos.
Por ejemplo, supongamos que los nodos A y B son laptops inalámbricas que se conectan a un AP (Access Point) y que el
nodo A empieza a enviar datos al AP al mismo tiempo que el nodo B.
El nodo A es lo suficientemente inteligente como para escuchar en el momento exacto que está enviando los datos con el
fin de garantizar que cuenta con las ondas de radio claras y libres. Si se oye algún otro transmisor al mismo tiempo, puede
detener el envío de datos, o, en otros casos, el nodo B puede ser el que detenga su envío de datos. El mecanismo exacto
utilizado para determinar el orden de detención de envío de datos es similar a la regla de parada de cuatro vías (four-way
stop). Estas reglas son necesarias para evitar una colisión y permitir que cada nodo pueda enviar sus datos sin obstáculos.
Se puede decir entonces, que el estándar 802.11 está diseñado de tal forma que si un nodo escucha que otro nodo está
hablando, detiene su envío de datos para evitar que se produzca un caos cuando múltiples nodos están transmitiendo al
mismo tiempo. Esto debería cumplirse para cada nodo en la red.
Todo este esquema funciona bien si los nodos remotos se encuentran relativamente cercanos al AP y pueden “verse” entre
si. El problema aparece cuando los nodos se alejan bastante del AP y la distancia (mayor a 50 metros) impide que los nodos
(por ejemplo A y B) que ahora debn usar antenas direccionales (debido a la distancia), puedan escuchar uno al otro. El
resultado es que dichos nodos no pueden llegar a conocer al otro y por lo tanto no pueden detener el envío de datos cuando
ambos transmiten simultáneamente.
En términos técnicos, los nodos A y B están fuera de rango uno de otro y no pueden detectar una colisión mientras transmiten.
Es decir, en este caso el protocolo CSMA/CD (carrier sense multiple access with collision detection) no trabaja y ocurren
colisiones lo que ocasiona que los datos que se reciben en el AP estén corruptos.
Academy Xperts
66
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Para resolver este problema del “nodo oculto” se implementa una solución basada en el handshaking IEEE 802.11 RTS/CTS
en conjunto con el esquema CSMA/CA (carrier sense multiple access with collision avoidance).
Sin embargo RTS/CTS no presenta una solución completa e incluso puede afectar el throughput considerablemete, aunque
se puede hacer uso de ACKs (acknowledgments) desde las estaciones para ayudar.
Otros métodos que se pueden emplear para resolver el problema del nodo oculto son los siguientes:
•
•
•
•
Incrementar la potencia de transmisión de los nodos
Mover el nodo
Utilizar un software que mejore el protocolo
Usar diversidad espacial
Incrementar la potencia de transmisión de los nodos
Esta opción puede ayudar a resolver el problema del nodo oculto haciendo que aumente la cobertura alrededor de cada
nodo, abarcando todos los otros nodos. Esta configuración permite que los nodos no-ocultos puedan detectar o escuchar al
nodo oculto. Si los nodos no-ocultos pueden escuchar el nodo oculto, entonces el nodo oculto ya no lo estará. Las redes
WLAN (Wireless LAN) utilizan el protocolo CSMA/CA, y esto hace que los nodos esperen su turno antes de comunicarse
con el AP.
Esta solución sólo funciona si se aumenta la potencia de transmisión en los nodos que están ocultos. Si se aumenta la
potencia de transmisión únicamente en el AP, no se va a resolver todo el problema, ya que normalmente los nodos ocultos
son los clientes (laptops, dispositivos móviles), y no el propio AP, por lo que los clientes aún no serán capaces de escuchar
a los demás. Incluso, aumentar la potencia de transmisión del AP puede empeorar el problema, porque va a poner nuevos
clientes dentro del rango del AP y por lo tanto agregar nuevos nodos a la red que están ocultos de otros clientes.
Mover el nodo
Al mover el nodo los nodos-ocultos podrían verse entre si. El objetivo es proveer la cobertura adecuada que cubra el área
oculta. Es posible que reqiuera puntos de acceso (AP) adicionales.
Software que mejore el protocolo
Existen varias implementaciones de protocolos que básicamente lo que hacen es implementar una estrategia de polling o
token-passing. En este caso, un equipo master (generalmente el AP) hace un polling dinámicamente a los clientes para
obtener la data. Los clientes no están permitidos de enviar datos sin la invitación del master. Esta estrategia elimina el
problema del nodo oculto pero incrementa la latencia y puede disminuir el throughput.
Diversidad Espacial
También conocido como Diversidad de Antena es uno de los varios esquemas Wireless que usa dos o más antenas para
mejorar la calidad y confiabilidad de un enlace wireless.
En ambientes indoor (oficinas, restaurantes, edificios) y ambientes urbanos no existe una línea de vista (LOS= line-of-sight)
claramente definida y lo que sucede es que la señal se refleja entre múltiples rutas antes de que sea recibida. Cada uno de
estos rebotes puede introducir cambios de fase, retardos de tiempo (delay), atenuaciones y distorsiones que puede interferir
en la antena de recepción.
La diversidad de antena es especialmetne efectiva para mitigar estas situaciones de múltiples rutas. Esto se debe a que las
múltiples antenas ofrecen varios receptores para la misma señal. Cada antena experimentará un ambiente de interferencia
distinto. De esta manera, si una antena experimenta un desvanecimiento de la señal (deep fade), es muy probable que la
otra antena reciba suficiente señal, pudiendo proveer un enlace robusto.
El esquema de diversidad de antena requiere una integración y hardware adicional en comparación con sistemas que
manejan una sola antena. Esto también requiere una mayor demanda de procesamiento en el receptor.
Academy Xperts
67
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
La confiablidad del enlace es mayor (usando diversidad espacial) y disminuye en forma efectiva los abandonos (drop-out) y
las pérdidas de desconexión.
basic-rates / supported-rates
Las tasas soportadas (supported rates) corresponden a la tasa de datos de clientes
•
basic-rates: son las tasas de velocidad mínima que un cliente debería soportar al momento de conectarse a un
AP. Para que haya comunicación entre el AP y el Cliente, ambos deberán tener el mismo basic-rate.
Las tasas básicas (basic rates) especifican las tasas de datos para la administración del enlace
•
supported-rates: estas son las tasas de velocidad que un cliente puede llegar a soportar.
Si el router no puede enviar o recibir datos en la tasa básica, entonces el enlace se declara caído
Tasas Básicas (802.11b)
basic-rates-b (11Mbps | 1Mbps | 2Mbps | 5.5Mbps; Default: 1Mbps)
•
•
•
•
Especifica la lista de tasas básicas (basic rates) usadas por las bandas 2.4ghz-b, 2.4ghz-b/g y 2.4ghz-onlyg
El Cliente se conectará con el AP únicamente si soporta todas las básicas anunciadas por el AP.
El AP podrá establecer un enlace WDS únicamente si soporta todas las tasas básicas del otro AP
Esta propiedad tiene efecto únicamente en los modos AP, y cuando se configura un valor en el parámetro rateset
Tasas Básicas (802.11a/g)
basic-rates-a/g (12Mbps|18Mbps|24Mbps|36Mbps|48Mbps|54Mbps|6Mbps|9Mbps; Default:6Mbps)
•
Similar a las propiedades de las tasas básicas b (basic-rates-b), pero utilizadas para las bandas 5ghz, 5ghz-10mhz,
5ghz-5mhz, 5ghz-turbo, 2.4ghz-b/g, 2.4ghz-onlyg, 2ghz-10mhz, 2ghz-5mhz y 2.4ghz-g-turbo
Tasas Básicas (802.11n)
ht-basic-mcs (list of (mcs-0|mcs-1|mcs-2|mcs-3|mcs-4|mcs-5|mcs-6|mcs-7|mcs-8|mcs-9|mcs-10|mcs-11|
mcs-12|mcs-13|mcs-14|mcs-15|mcs-16|mcs-17|mcs-18|mcs-19|mcs-20|mcs-21|mcs-22|mcs-23); Default:
mcs-0; mcs-1; mcs-2; mcs-3; mcs-4; mcs-5; mcs-6; mcs-7)
•
•
Esquemas de codificación y modulación que debe soportar cada cliente que se conecta.
Se refiere a la especificación MCS de 802.11n
Academy Xperts
68
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Tasas Básicas (802.11ac)
vht-basic-mcs (none | MCS 0-7 | MCS 0-8 | MCS 0-9; Default: MCS 0-7)
•
•
•
Esquemas de codificación y modulación que debe soportar cada cliente que se conecta.
Se refiere a la especificación MCS de 802.11ac
Se puede configurar el intervalo MCS para cada Stream Espacial (spatial stream)
o none – No se utilizará el Stream Espacial seleccionado
o MCS 0-7 – El cliente debe soportar MCS-0 a MCS-7
o MCS 0-8 – El cliente debe soportar MCS-0 a MCS-8
o MCS 0-9 – El cliente debe soportar MCS-0 a MCS-9
Tasas Soportadas (802.11b)
supported-rates-b (list of rates [11Mbps | 1Mbps | 2Mbps | 5.5Mbps]; Default: 1Mbps; 2Mbps;
5.5Mbps; 11Mbps)
•
•
•
Lista de las tasas soportadas usadas por las bandas 2ghz-b, 2ghz-b/g y 2ghz-b/g/n.
Dos dispositivos se comunicarán únicamente si las tasas son soportadas en ambos dispositivos.
Esta propiedad tiene efecto solo cuando se configura un valor en el parámetro rate-set
Academy Xperts
69
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Tasas Soportadas (802.11a/g)
supported-rates-a/g (list of rates [12Mbps | 18Mbps | 24Mbps | 36Mbps | 48Mbps | 54Mbps | 6Mbps |
9Mbps]; Default: 6Mbps; 9Mbps; 12Mbps; 18Mbps; 24Mbps; 36Mbps; 48Mbps; 54Mbps)
•
Lista de tasas soportadas, usadas por todas las bandas excepto por la banda 2ghz-b
Tasas Soportadas (802.11n)
ht-basic-mcs (list of (mcs-0|mcs-1|mcs-2|mcs-3|mcs-4|mcs-5|mcs-6|mcs-7|mcs-8|mcs-9|mcs-10|mcs-11|
mcs-12|mcs-13|mcs-14|mcs-15|mcs-16|mcs-17|mcs-18|mcs-19|mcs-20|mcs-21|mcs-22|mcs-23); Default:
mcs-0; mcs-1; mcs-2; mcs-3; mcs-4; mcs-5; mcs-6; mcs-7 ; mcs-8; mcs-9; mcs-10; mcs-11; mcs-12; mcs13; mcs-14; mcs-15; mcs-16; mcs-17; mcs-18; mcs-19; mcs-20; mcs-21; mcs-22; mcs-23)
•
•
Esquemas de codificación y modulación que este dispositivo puede soportar.
Se refiere a la especificación MCS de 802.11n
Tasas Soportadas (802.11ac)
vht-basic-mcs (none | MCS 0-7 | MCS 0-8 | MCS 0-9; Default: MCS 0-9)
•
•
•
Esquemas de codificación y modulación que debe este dispositivo puede soportar.
Se refiere a la especificación MCS de 802.11ac
Se puede configurar el intervalo MCS para cada Stream Espacial (spatial stream)
o none – No se utilizará el Stream Espacial seleccionado
Academy Xperts
70
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
o
o
o
MCS 0-7 – El cliente debe soportar MCS-0 a MCS-7
MCS 0-8 – El cliente debe soportar MCS-0 a MCS-8
MCS 0-9 – El cliente debe soportar MCS-0 a MCS-9
HT chains
•
•
Hace referencia a una antena de radio
Son usados para el protocolo 802.11n y es un factor de rendimiento configurable.
802.11n - Data Rates
Protocolo en el cual la velocidad real de transmisión podría llegar a los 300 Mbps (lo que significa que las velocidades teóricas
de transmisión serían aún mayores), y debería ser hasta 10 veces más rápida que una red bajo los estándares 802.11a y
802.11g, y unas 40 veces más rápida que una red bajo el estándar 802.11b
Academy Xperts
71
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
802.11ac - Data Rates
Academy Xperts
72
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Tipos de Modulación
Las técnicas de modulación digital fundamentales están basadas en Keying. Keying es una familia de formas de modulación
donde la señal de modulación toma un número específico (predeterminado) de los valores en todo momento.
El objetivo de la modulación es transmitir una señal digital a través de un canal analógico. El nombre deriva de la clave de
código Morse utilizado para la señalización telegráfica.
La modulación es la técnica general de convertir una señal para transmitir información. Cuando un mensaje digital tiene que
ser representado como una forma de onda analógica, se utiliza la técnica el término “keying” (o modulación digital). El “keying”
se caracteriza por el hecho de que la señal de modulación tendrá un número limitado de estados (o valores) en todo
momento, para representar los estados digitales correspondientes (comúnmente cero y uno, aunque esto puede depender
del número de símbolos utilizados).
https://en.wikipedia.org/wiki/Keying_(telecommunications)
•
•
•
•
PSK (phase-shift keying) – se utiliza un número finito de fases
o BPSK (Binary PSK), utiliza M=2 símbolos
o QPSK (Quadrature PSK), utiliza M=4 símbolos
FSK (frequency-shift keying) – se utiliza un número finito de frecuencias
ASK (amplitude-shift keying) – se utiliza un número finito de amplitudes
QAM (quadrature amplitude modulation) – se utiliza un número finito de al menos 2 fases y al menos 2 amplitudes
En QAM, una señal “inphase” (“I”) y una señal de fase de cuadratura (“Q”) son modulados en amplitud, con un número finito
de amplitudes, y luego son sumados.
Puede visualizarse como un sistema de dos canales, donde cada canal utiliza ASK. La señal resultante es equivalente a una
combinación de PSK y ASK.
Academy Xperts
73
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Modo de Frecuencia (frequency-mode)
Esta opción nos permitirá elegir el modo en el cual nuestro router va a trabajar, respetando las siguientes limitaciones:
•
•
•
•
regulatory-domain: Esta sección limita los canales usados y la potencia de TX, basado en las regulaciones de
cada país o del estándar.
manual-txpower: Igual que el anterior pero sin la restricción de potencia de TX.
superchannel: Ignorará todas las restricciones.
country: Frecuencias y potencias de TX, limitados y regulados por cada país. Usando el parámetro no-countryset, se podría configurar los parámetros de frecuencia y potencia según canales aprobados por la FCC.
Rate Flapping
Se conoce como Rate Flapping a la variación muy notable (o inestabilidad) en las velocidades alcanzadas, con respecto al
tiempo. Si esta variación se produce en períodos cortos de tiempo, afecta al desempeño del enlace ya que cada cambio de
velocidad (data rate) implica el uso de un esquema de modulación diferente y por lo tanto los paquetes deben ser
retransmitidos. Se puede resolver este tipo de problemas disminuyendo las tasas soportadas (supported-rates).
La estrategia que se debe aplicar es analizar el data-rate más bajo (entre los valores en que está fluctuando en enlace) y
adoptarlo como el máximo data-rate (en tasas soportadas).
Asumiendo que los data-rate varían entre 36 Mbps y 54 Mbps (según el siguiente gráfico)
La solución es reducir las tasas soportadas haciendo que el máximo valor sea 36 Mbps (según la siguiente imagen):
Configuración básica de un Access Point (AP)
Para configura un AP debemos conocer los siguientes parámetros
•
•
•
•
•
mode: AP bridge
band: Esta opción se seleccionará basada en la capacidad de los AP y clientes. Si el AP soporta múltiples bandas
(ej. B/G/N) se debe seleccionar la que ofrece mejores características.
frequency: Cualquiera que defina el instructor o habilitada para usarse (De este tema se hablará más adelante)
ssid: El nombre del identificador de la red inalámbrica generada.
wireless-protocol: Basado en los equipos (AP y clientes) usados. En este caso usaremos 802.11
Academy Xperts
74
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Perfil de Seguridad (Security profile)
POR FAVOR no olvidar configurar el security-profile.
•
•
Ayudará a fomentar una mayor seguridad en nuestros equipos. No se recomienda usar por ningún motivo una
conexión inalámbrica sin security-profile ya que deja la red propensa a un ataque o infiltración.
Para crear un security-profile
o Menu: Wireless à Security Profile
o Click en Add (+)
o Name : nombre del profile
o Mode : Tipo de autenticación usada.
o Authentication types : Método de autenticación usada en la conexión
o Ciphers : Métodos de cifrado.
Ahora ya se puede usar el security-profile creado. Se debe regresar a la ventana de Wireless y se selecciona el
security-profile creado.
NOTA: Se pueden crear hasta 128 AP Virtuales por interface inalámbrica.
•
Ahora vamos a revisar la red inalámbrica a la cual nos vamos a conectar, con herramientas que las encontraremos
en la sección principal de Interface Wlan1> Wireless. Una de estas herramientas es Snooper:
o Click en “Snooper”
o Procederemos con la inspección.
Academy Xperts
75
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
•
o Debe tener cuidado porque desconectará la interface WLAN y clientes asociados
Al momento de ingresar en snooper lo que observaremos es lo siguiente
o Click en Start
o Debe tener cuidado ya que todos los clientes asociados a su red se desconectarán de la red inalámbrica.
o Se tendrá una vista completa de frecuencias y otros parámetros para analizarlos.
o Seleccionamos un canal de frecuencia libre para nuestra red inalámbrica
Configuración básica de una Estación (client/station)
•
•
•
mode: station
band: la misma usada en el AP.
frequency: no es un parámetro importante para el cliente.
•
•
•
ssid: El SSID al cual el equipo STATION se va a conectar
wireless-protocol: Se coloca el mismo usado en el AP, en este caso usamos 802.11
Crearemos un security-profile igual al creado en el AP, para que al momento que se inicie la negociación de
autenticación, el AP acepte al router en modo STATION.
Filtrado por MAC address
Es un mecanismo adicional para limitar las conexiones inalámbricas de los clientes.
Para agregar y poder realizar esta limitación, nos dirigimos a nuestro AP, y en “registration” (que es la lista de los usuarios
registrados) seleccionamos a los clientes deseados, abrimos los detalles con doble click al cliente y damos click en la sección
de “copy to access list”
Academy Xperts
76
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
•
Ya podemos ver una nueva entrada en la sección «access-list»
Access-list
Las listas de acceso se usan en los AP para restringir las conexiones a clientes específicos y controlar sus parámetros de
conexión. Hay que tener en cuenta lo siguiente:
•
•
•
Las reglas se comprobarán secuencialmente
Sólo se aplicará la primera regla que coincida con todos los parámetros.
Si la opción "default authenticate" (en la pestaña " Wireless " en "Interface - > WLAN" de pantalla) no se
encuentra habilitada, los dispositivos que no corresponden a una regla de la lista de acceso serán rechazados.
Parámetros adicionales:
•
•
Authentication Option este ítem le dirá al router que compruebe el "security- profile" para determinar si la
conexión se debe permitir. Si no coinciden en la autenticación, siempre fallará el acceso.
Forwarding u opción de reenvío le dirá al router que permita a los clientes del AP llegar a la otra estación/cliente
sin la ayuda de otros APs (evitando así las reglas del firewall que pueda tener). Para mayor seguridad, deje sin
marcar
Academy Xperts
77
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
•
•
AP Tx limitantes y restricción de data rate desde el AP hacia el cliente
o Si se establece muy bajo, esto ocasionara problemas de conexión. Siempre se deben realizar pruebas
antes de ponerlas en producción
Client TX límites y restricciones de data rate desde el cliente hacia el AP
o Las extensiones propietarias son soportadas únicamente por clientes RouterOS
o También siempre se deben realizar pruebas antes de ponerlas en producción
Connect-list:
Esta opción es para clientes. Asigna propiedades, basado en potencia de señal y configuraciones de seguridad, que cada
AP tiene sobre los clientes. Tomar en cuenta que:
•
•
•
•
•
Las Reglas son revisadas secuencialmente.
Se aplica solamente cuando se tiene coincidencia en los parámetros.
Si la opción “default authenticate” (“Wireless” -> “Interface -> wlan”) está habilitada en los connect-list,
entonces los clientes se conectarán o serán aceptados con respecto a parámetros basados en potencia de la señal
o configuraciones de seguridad
Nota de Interés: si en el campo SSID (en la sección station connect rule) está vacío, el cliente podría
conectarse a cualquier SSID únicamente realizando una coincidencia
En la Interface Wlan el campo SSID también deberá estar vacío
Default-authentication
•
•
Si el AP no tiene ninguna lista de acceso, y default-authenticate no está marcada, los clientes nunca se conectarán.
Si la estación no tiene ningún connect list, y default-authenticate no está marcado, entonces nunca se
conectará a un AP.
Academy Xperts
78
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Default-forwarding
•
Especifica el comportamiento del re-envío de paquetes de clientes que ya han sido verificados en la access-list.
o Si esta opción está habilitada, se permitirán comunicaciones en capa 2 entre clientes.
o Si esta deshabilitada la comunicación se realizara en capa 3 y serán influenciados bajos las reglas del
firewall.
WPA, WPA2
WiFi Protected Access, llamado también WPA (en español «Acceso WiFi protegido») es un sistema para proteger las redes
inalámbricas (WiFi), que se creó para corregir las deficiencias del sistema previo llamado WEP (Wired Equivalent Privacy).
Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de
inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros).
•
•
WiFi Protected Access (1 y 2)
Estos protocolos fueron creados después de la creación de WEP debido a que se encontraron debilidades en el
mismo.
Es apropiado configurar WPA, ya que es muy seguro, pero lo recomendable es WPA2 debido que ofrece mayor seguridad
WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y
contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la
autenticación mediante una clave compartida, que de un modo similar al WEP, requiere introducir la misma clave en todos
los equipos de la red.
•
•
•
Se usa en remplazo de WEP (WEP es muy inseguro)
Usa TKIP como protocolo de cifrado
o Este protocolo genera una nueva Key por cada paquete enviado.
Actualmente ya se está dejando de usar la versión 1 debido a que también se han encontrado debilidades.
Un inconveniente encontrado en la característica agregada al Wi-Fi llamada Wi-Fi Protected Setup (también bajo el nombre
de QSS) permite eludir la seguridad e infiltrarse en las redes que usan los protocolos WPA y WPA2.
•
•
MikroTik no USA WPS porque lo considera demasiado inseguro.
En la actualizad se han encontrado debilidades en WPS, como por ejemplo ataques de fuerza bruta.
WPA2
•
•
•
Usa CCMP para reemplazarlo como un protocolo de cifrado.
o Basado en AES
o Más robusto que TKIP
Es reglamentario que todos los dispositivos WiFi sean certificados. Esta orden está desde 2006
Se debe utilizar para lograr mayores tasas de bits, en redes que se circunscriben a 54Mbps.
Protocolos Wireless propietarios de MikroTik
NV2 (Nstreme Version 2)
•
•
•
•
Protocolo propietario de MikroTik
Funciona únicamente con chips inalámbricos Atheros 802.11.
Este protocolo está basado en TDMA (Time Division Multiple Access) lo que le permite abarcar más estaciones en
lugar de CSMA (Carrier Sense Multiple Access)
Se utiliza para mejorar el rendimiento a través de largas distancias
TDMA es un método de acceso al canal por medio compartido de redes. Permite que varios usuarios/estaciones compartan
la misma frecuencia del canal dividiendo la señal en diferentes intervalos de tiempo. Los usuarios transmiten en una rápida
sucesión, uno tras otro, cada uno con su propio espacio de tiempo. Esto permite que varias estaciones compartan el mismo
medio de transmisión (ej: canal de radio frecuencia) mientras que se utiliza sólo una parte de la capacidad del canal.
Los beneficios más importantes de NV2 son los siguientes:
•
•
•
•
•
•
•
•
•
Aumento de la velocidad
Baja latencia
No hay limitaciones de distancia
Más conexiones de los clientes en entornos de PTM. Acepta más clientes en ambientes punto a multi-punto
(soporta hasta 511 clientes)
Mayor control en latencia, logrando parámetros muy bajos.
Reduce el retardo en Propagación.
Reduce el polling overhead.
No hay penalización por largas distancias. A partir de RouterOS v5.0beta5 se puede configurar NV2 en el menú
Wireless.
Soporte de anchos de canal de 5/10/20/40 MHz
Para realizar la conexión usando NV2 en el lado de AP se necesita seleccionar wireless-protocol=nv2, e igualmente
en el equipo cliente. En la actualidad, con 802.11n y NV2 puede obtener aproximadamente 97Mbps de tráfico UDP y TCP
94Mbs tráfico a través de RB711 en una dirección usando un solo chain.
Academy Xperts
79
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Enlace más largo del mundo sin usar amplificador
El enlace WiFi más largo sin usar amplificador es un enlace de 304 kilómetros alcanzado por CISAR (Centro Italiano de
Actividades de radio).
•
•
•
•
•
•
•
2007-06-16, Monte Amiata (Toscana) a Monte Limbara (Cerdeña)
Frecuencia: 5765 MHz
IEEE 802.11a (WiFi), ancho de canal de 5 MHz
Radio: Ubiquiti Networks XR5
Equipo inalámbrico: MikroTik RouterOS con RouterBOARD, optimizado con Nstreme
Longitud: 304 kilómetros (189 millas).
Antena de 120 cm. 35 dBi estimado
https://en.wikipedia.org/wiki/Long-range_Wi-Fi
Herramientas de monitoreo
Hay varias herramientas que le ayudarán en el análisis de lo que está en el aire para que pueda elegir la frecuencia con la
menor interferencia.
Wireless scan
Esta es una herramienta muy útil, ya que nos muestra de manera simple las redes inalámbricas vecinas:
•
•
•
Frecuencia usada, Banda, SSID, Señal y otros.
Iniciamos Scan dándole clic en start.
Esta herramienta detecta conexiones inalámbricas vecinas. Las conexiones clientes son descartadas.
Snooper
El uso del Snooper fue diseñado para ser una herramienta eficiente que le ayudará a supervisar con un detalle mejorado los
router vecinos. Proporciona un detalle mejorado de los router vecinos
Registration table
Muestra inmediatamente todos los clientes que se lograron registrar a la red inalámbrica:
•
•
•
•
Entrega información de los clientes conectados en modo Station.
Se utiliza en los puntos de accesos (AP).
Se puede ver el estado de conexiones realizadas.
NOTA: Los comentarios que aparecen por encima de las estaciones son para dar mayor información de su función
y son definidas por el usuario o administrador, por lo general se basan en información del “access-list”.
Academy Xperts
80
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Redes inalámbricas en Modo Bridge
•
•
•
•
El AP en RouterOS acepta a los routers MikroTik en modo station-bridge para que trabajen en Capa 2 de
manera segura.
Se puede utilizar para ampliar una subred inalámbrica a muchos clientes.
Este modo es propietario de MikroTik y no se puede utilizar para conectar otros dispositivos de marca.
Es importante mencionar que este modo es un método seguro para usar bridge de L2 y se deberá utilizar siempre
que existan razones suficientes para no utilizar el modo de estación-WDS
Preguntas de repaso del Capítulo 4
1.
Cuáles son las bandas/frecuencias en la que trabaja el MikroTik RouterOS?
2.
Cuáles son los canales que no se sobreponen en 802.11b/g?
3.
Cuál es el ancho de canal estándar para 802.11b/g y para 802.11a?
4.
Cuál es la diferencia entre basic-rates y supported-rates?
5.
Cuáles son los parámetros que se requieren conocer para configurar un equipo como AP?
6.
Cuáles son los parámetros que se requieren conocer para configurar un equipo como Station?
7.
Para que se usa el Access List?
8.
Para que se usa el Connect List?
9.
Cuál tipo de autenticación es mejor?
10. Cuál tipo de encriptación es mejor?
11. Cuáles son los protocolos propietarios de MikroTik?
12. Cuáles son los beneficios de Nstreme y NV2?
Laboratorio – Capítulo 4
Academy Xperts
81
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
Capítulo 5: Network Management
ARP / RARP
http://www.protocols.com/pbook/tcpip3/#ARP
https://en.wikipedia.org/wiki/Address_Resolution_Protocol
TCP/IP utiliza el ARP (Addres Resolution Protocol) y el RARP (Reverse Address Resolution Protocol) para inciar el uso de
del direccionamiento de internet en una red Ethernet (u otra) que usa su propio Control de Acceso al Medio (MAC: Medium
Access Control). ARP permite que un host se comunique con otros hosts cuando únicamente se conoce la dirección de
internet de sus vecinos.
ARP dentro del mapa de Protocolos TCP/IP
Estructura de la cabecera ARP/RARP
Es un protocolo de la capa de enlace de datos responsable de encontrar la dirección de hardware (MAC Ethernet) que
corresponde a una dirección IP determinada. Para ello se envía un paquete ARP-request a la dirección de broadcast
(difusión) de la red (broadcast MAC=FF FF FF FF FF FF) que contiene la dirección IP por la que se pregunta, y se espera a
que ese dispositivo (u otro) responda (con un ARP-reply) con la dirección MAC Ethernet que le corresponde.
Cada máquina mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la
dirección de internet ser independiente de la dirección Ethernet, pero esto solo funciona si todas los dispositivos lo soportan.
•
•
•
ARP se lo conoce como Protocolo de resolución de direcciones
Es un mecanismo que relaciona las direcciones IP (Capa 3) con las direcciones MAC (Capa 2)
Se utiliza normalmente como un proceso dinámico, pero se puede configurar de forma estática en ciertas
situaciones donde la seguridad lo requiere
Academy Xperts
82
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
ARP se utiliza en 4 casos referentes a la comunicación entre 2 hosts:
1.
2.
3.
4.
Cuando 2 hosts están en la misma red y uno quiero enviar un paquete a otro.
Cuando 2 host están sobre redes diferentes y deben usar un Gateway/router para alcanzar otro host.
Cuando un router necesita enviar un paquete a un host a través de otro router.
Cuando un router necesita enviar un paquete a un host de la misma red.
Modos ARP
Se pueden configurar varios modos de ARP en la interface:
1.
2.
3.
4.
disabled: Si esta característica está como arp=disabled, los ARP requests de los clientes no serán
respondidos por el router. Por lo tanto, una entrada estática de ARP debe ser agregada a los clientes también. Por
ejemplo, las direcciones IP y MAC del router, deben añadirse a los host.
enabled: Este modo se activa de forma predeterminada en todas las interfaces. El protocolo ARP descubrirá
automáticamente y las nuevas entradas dinámicas se añadirán a la tabla ARP.
proxy-arp: Este funcionamiento puede ser muy útil, por ejemplo, si desea asignar direcciones IP a un dial-in (PPP,
PPPoE, PPTP) y que sean desde el mismo espacio de direcciones tal como se utiliza para conectarnos a una LAN.
reply-only: El router solo responderá a solicitudes ARP (ARP requests) que se han ingresado manualmente o
que se hayan declarado como estáticas. Una tabla ARP muestra todas las entradas ARP y la interface desde la
cual se aprendió la dirección
Ventajas de usar ARP
La principal ventaja del uso de la técnica ARP Proxy es que se puede agregar a un solo enrutador en la red, esto permite
que no se distorsione las tablas de encaminamiento de los otros enrutadores de la red. Es recomendable que el ARP Proxy
sea utilizado en redes donde los hosts IP no se encuentran configurados con ninguna puerta de enlace predeterminada.
Desventajas de usar ARP
Los anfitriones no tienen ni idea de los detalles físicos de la red y suponen que es una red plana la cual llega a cualquier
destino con tan solo hacer una solicitud ARP. Pero como todo le ARP tiene sus desventajas, las cuales son:
•
•
•
•
Aumenta la cantidad de tráfico ARP en su segmento
Posee grandes tablas ARP para manejar la asignación de direcciones IP a MAC
La seguridad puede ser expuesta. Un host puede simular ser otro host con el fin de interceptar los paquetes, eso
es llamado “spoofing”
No funciona para redes que no utilicen el protocolo ARP para la resolución de direcciones.
Academy Xperts
83
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
Tabla ARP
•
•
•
La tabla ARP muestra todas las entradas ARP y las interfaces desde la cual ellos lo aprendieron.
La tabla ARP provee:
o La dirección IP de los dispositivos conocidos
o Las direcciones MAC asociadas a los dispositivos conocidos
o Las interfaces de donde fueron aprendidas las direcciones
Se puede agregar entradas estáticas en la tabla ARP para proporcionar una mayor seguridad en la red
o Se pueden evitar ataques de ARP poisoning/ARP spoofing
o Requiere mucho trabajo y planificación
Sintaxis ARP
1. Ver la tabla ARP
/ip arp print
Flags: X – disabled, I – invalid, H – DHCP, D – Dynamic, P – published
# ADDRESS
MAC-ADDRESS
INTERFACE
0 172.16.2.222
11:22:33:44:55:66 LAN
Etiquetas en la tabla ARP: X = Deshabilitado, R = Corriendo, S = Esclavo
2. Agregar una entrada estática
/ip arp add address=172.16.2.222 mac-address=11:22:33:44:55:66 interface=LAN
3. Configuración de un modo ARP:
/interface ethernet set ether4 arp=proxy-arp
/interface ethernet print
Flags: X – disabled. R – running, S – Slave
#
NAME
MTU MAC-ADDRESS
ARP
0 S ether1
1500 D4:CA:6D:5C:E2:F2 enabled
1 RS ether2
1500 D4:CA:6D:5C:E2:F3 enabled
2 RS ether3
1500 D4:CA:6D:5C:E2:F4 enabled
3 RS ether4
1500 D4:CA:6D:5C:E2:F5 proxy-arp
4 S ether5
1500 D4:CA:6D:5C:E2:F6 enabled
MASTER-PORT
SWITCH
none
none
none
none
switch1
switch1
switch1
switch1
Servidor / Cliente DHCP
El protocolo DHCP (protocolo de configuración dinámica de host) se utiliza para la fácil distribución de direcciones IP en una
red. El RouterOS MikroTik incluye ambas partes: Servidor / Cliente.
El router soporta un servidor DHCP individual por cada interface Ethernet. El servidor MikroTik cumple con las funciones
principales que es la de brindar a un cliente asignaciones de una dirección IP con su respectiva máscara IP, como también
la dirección de la puerta de enlace (gateway) y la del servidor DNS.
La interface que aloja el servidor DHCP debe tener su propia dirección IP y que a la vez no debe estar incluida en el pool de
direcciones que los clientes van a recibir cuando lo soliciten.
Academy Xperts
84
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
El proceso para de asignaciones de una dirección IP para un cliente es el siguiente:
1.
2.
3.
4.
El cliente envía un broadcast DHCP-DISCOVER
El server envía un broadcast DHCP-OFFER
El cliente envía un broadcast DHCP-REQUEST
El server envía un broadcast DHCP-ACK
DHCP dentro del mapa de Protocolos TCP/IP
DHCP Server Setup
La interface que va ser configurada como DHCP-Server debe tener su propia dirección y al mismo tiempo esa dirección no
debe ser incluida en el pool de dirección. Un pool es un rango de direcciones que estarán disponibles para los clientes
Academy Xperts
85
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
En la ventana de DHCP-Server, se presiona el botón DHCP Setup y luego se sigue con los requisitos que se piden:
1.
Interface a la que va ser asignado el servidor DHCP
2.
Dirección de red:
3.
Puerta de enlace:
4.
Pool de direcciones para los clientes DHCP
5.
DNS servers (se puede configurar más de uno)
Academy Xperts
86
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
6.
Tiempo de asignaciones
7.
Luego de que se ha definido el tiempo de asignaciones presionamos next y de esta forma se termina el proceso.
En la ventana se puede ver el DHCP server Creado.
En esta configuración automática (ejecutando el DHCP Setup) se generan los siguientes parámetros:
•
•
•
Se crea un pool de direcciones: un grupo de direcciones para asignar a los clientes
Se crea el servidor DHCP: su nombre y parámetros (como la interface que aceptará solicitudes de los clientes)
Se crea el espacio de direcciones: la dirección IP de red y varios parámetros
DHCP puede ser usado para configurar opciones tales como:
•
•
•
42: NTP Servers
70: POP3-Servers
http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml
Nota importante: si usted tiene un ambiente en bridge, el servidor DHCP debe estar configurado en la interface del bridge.
Si se configura el DHCP Server en un puerto que forma parte del bridge, el servidor DHCP no funcionará.
Configuraciones por línea de comando
/ip dhcp-server setup
Select interface to run DHCP server on
Dhcp server interface: ether4
Select network for DHCP address
Dhcp address space: 192.168.20.0/24
Select gateway for given network
Gateway for dhcp network: 192.168.20.1
Select pool of ip addresses given out by DHCP server
Addresses to give out: 192.168.20.2-192.168.20.254
Select DNS servers
Dns server: 8.8.8.8
Select lease time
Lease time: 3d
Para agregar configuraciones opcionales de DHCP
/ip dhcp-server Option add name=46-node-type code=46 value=0x0008
Para ver por línea de comandos los Servidores DHCP que hay en un router
/ip dhcp-server print
Flags: X – disabled, I – invalid
#
NAME
INTERFACE
RALAY
ADDRESS-POOL
0
dhcp1
ether3
0.0.0.1
dhcp_pool2
1
dhcp2
ether4
dhcp_pool3
LEASE-TIME ADD-ARP
3d
3d
/ip dhcp-server network set dhcp-option=46-node-type numbers=1
Para asignar un servidor WINS para la red se haría de la siguiente manera
/ip dhcp-server network set wins-server=172.16.2.100 numbers=1
Para ver las opciones anteriormente configuradas
/ip dhcp-server network print
# ADDRESS
GATEWAY
0
192.168.10.0/24 192.168.10.1
1
192.168.20.0/24 192.168.20.1
Academy Xperts
DNS-SERVER
8.8.8.8
8.8.8.8
WIN-SERVER
8.8.4.4
172.16.2.100
DOMAIN
87
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
/ip dhcp-server option print
#
NAME
CODE VALUE
0
46-node-type
46
0x008
RAW-VALUE
008
DHCP Client
Permite que una interface Ethernet pueda solicitar una dirección IP
•
•
Un DHCP Server remoto entregará
o Dirección IP
o Mascara y Gateway
o Direcciones de DNS server
El DHCP Client proveerá estas opciones
o Hostname
o ID de cliente (en este caso, la dirección MAC)
Para configurar un DHCP client en una interface por línea de comando
/ip dhcp-client add interface=ether2 dhcp-options=clientid, hostname
Para configurar un DHCP client en una interface por medio de la venta DHCP Client
Sintaxis DHCP Client
Para configurar una interface como DHCP-Client
/ip dhcp-client add interface=ether5 dhcp-options=clientid, hostname
Para ver y activar un DHCP client
/ip dhcp-client print
/ip dhcp-client enable numbers=1
Para ver las direcciones IP asignadas
/ip address print
Gestión de Asignaciones
El comando /ip dhcp-server lease provee información acerca de los DHCP Client y asignaciones.
/ip dhcp-server lease print
Flags: X – disabled, R – Radius, D – Dynamic, B – blocked
#
ADDRESS
MAC-ADDRESS
HO SER.. RA
0 D 192.168.3.254
78:84:3C:9E:BE:4A Da dhcp1
•
•
•
•
Mostrará las gestiones estáticas y dinámicas
Se puede convertir una IP asignada dinámicamente en estática
o Puede ser muy útil para cuando un dispositivo necesita mantener la misma dirección IP
o Si se cambia la tarjeta de red, se asignará una nueva dirección IP
Un servidor DHCP podría ser obligado a correr únicamente con direcciones estáticas
Los clientes solo recibirán las direcciones IP pre configurados
o Evalúe su situación y la necesidad de hacer esto. Requerirá mucho trabajo para grandes redes.
Para ver asignaciones de DHCP
/ip dhcp-server lease print
Flags: X – disabled, R – Radius, D – Dynamic, B – blocked
0 address=192.168.3.254 mac-address=78:84:3C:9E:BE:4A
client-id=”1:78:84:3C:9e:4A” server=dhcp1 dhcp-option”” status=bound
expires-after=2d23h59m38s last-seen=22s active-address=192.168.3.254
active-mac-address=78:84:3C:9E:BE:4ª
active-client-id=”1:78:84:3C:9e:4A” active-server=dhcp1
hostname=”Darwin”
Academy Xperts
88
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
Preguntas de repaso del Capítulo 5
1.
Para qué sirve el protocolo ARP?
2.
Cuáles son los modos ARP que se pueden configurar en las interfaces de un MikroTik?
3.
Cuáles son las ventajas y desventajas de usar ARP?
4.
Cuál es el proceso de que siguen el cliente y server en la negociación DHCP?
5.
Qué parámetros se requieren cuando se ejecuta el DHCP Setup?
6.
Qué información le provee el DHCP Server al Cliente?
7.
Qué información le provee el DHCP Cliente al DHCP Server?
8.
De qué forma se pueden convertir las asignaciones dinámicas de DHCP en estáticas?
9.
Cuáles son las herramientas de administración más importantes que provee el RouterOS
10. Cuáles son los diferentes tipos de acciones que se pueden crear en /system logging?
Laboratorio – Capítulo 5
Academy Xperts
89
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Capítulo 6: Firewall
Conceptos básicos de Firewall
Un firewall es un dispositivo o sistema de seguridad de red que permite (en base a un conjunto de reglas) controlar el tráfico
que ingresa y sale a la red. Generalmente un firewall crea una barrera entre una red que se considera segura (usualmente
la red interna o LAN) y otra red que se asume no es segura (comúnmente red externa, y/o Internet). El firewall filtra el tráfico
entre dos o más redes.
Los routers que gestionan el tráfico entre redes contienen componentes de firewall, y de igual manera algunos firewalls
pueden desempeñar ciertas funciones de ruteo, pudiendo incluso proveer servicios de túneles (VPN), asignación de
direcciones pro DHCP, y otros.
•
•
•
•
•
•
•
•
En la actualidad, un firewall es una herramienta indispensable para proteger nuestra conexión a Internet. El hecho
de hacer uso de una conexión a Internet puede ser causa de múltiples ataques a nuestro equipo de cómputo desde
el exterior, cuanto más tiempo estemos en línea, mayor es la probabilidad de que la seguridad de nuestro sistema
se vea comprometida por un intruso desconocido. Por lo tanto, ya no solamente es necesario tener instalado y
actualizado un software antivirus y un software antispyware sino también es totalmente recomendable mantener
instalado y actualizado un software de firewall.
Un firewall es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red privada. Pueden
implementarse firewalls en hardware, software o en ambos. Los firewalls se utilizan con frecuencia para impedir
que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet.
El firewall MikroTik protege al equipo frente a ataques de Internet, contenidos Web peligrosos, análisis de puertos
y otros comportamientos de naturaleza sospechosa.
El Firewall implementa filtrado de paquetes y de este modo provee funciones de seguridad, que son usadas para
administrar los datos que fluyen hacia, desde, y a través del router:
Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes conectadas
directamente y al router en sí mismo. Y también sirve como un filtro para el tráfico de salida.
RouterOS funciona como un Stateful Firewall, lo cual significa que desarrolla una inspección del estado de los
paquetes, y realiza el seguimiento del estado de las conexiones de red que viajan a través del router RouterOS
MikroTik RouterOS soporta Source NAT y Destination NAT
o NAT
o Helpers para las aplicaciones populares
o UPnP
El firewall provee marcado interno de conexiones, routing y paquetes.
¿Cómo funciona un firewall?
El Firewall opera usando reglas. Esta tiene 2 opciones:
•
•
The matcher : Todas las condiciones tienen que ser verificadas y deben coincidir, para poder aplicar la acción
The Action : Una vez que todos los parámetros coinciden y pasa la primera verificación, se procede con la acción.
El matcher analiza y compara estos siguientes parámetros:
•
•
•
•
•
•
•
•
Source MAC address (dirección MAC origen)
IP addresses (network o list) y address types (broadcast, local, multicast, unicast)
Port (puerto) o port range (rango de puertos)
Protocol
Protocol options (ICMP type y code fields, TCP flags, IP options)
Interface por donde el paquete llega o sale
DSCP byte
Y muchos más…
Academy Xperts
90
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Listado de Puertos más Conocidos
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Well-known_ports
Academy Xperts
91
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Academy Xperts
92
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Academy Xperts
93
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Academy Xperts
94
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
RouterOS puede filtrar por:
•
•
•
•
Dirección IP, rango de direcciones, puerto, rango de puertos
Protocolo IP, DSCP y otros parámetros
Soporta Listas de Direcciones estáticas y Dinámicas
Puede hacer match de paquetes por patrón en su contenido, especificado en Expresiones Regulares, conocido
como Layer 7 matching
El Firewall de RouterOS también soporta IPv6
Un firewall constituye una especie de barrera delante de nuestro equipo, esta barrera examina todos y cada uno de los
paquetes de información que tratan de atravesarlo. En función de reglas previamente establecidas, el firewall decide qué
paquetes deben pasar y cuáles deben ser bloqueados. Muchos tipos de firewalls son capaces de filtrar el tráfico de datos
que intenta salir de nuestra red al exterior, evitando así que los diferentes tipos de código malicioso como caballos de Troya,
virus y gusanos, entre otros, sean efectivos. El firewall actúa de intermediario entre nuestro equipo (o nuestra red local) e
Internet, filtrando el tráfico que pasa por él.
Un firewall, como ya se ha descrito, intercepta todos y cada uno de los paquetes destinados a nuestro equipo y los
procedentes de él, realizando este trabajo antes de que algún otro servicio los pueda recibir. De lo anterior podemos concluir
que un firewall puede controlar todas las comunicaciones de un sistema a través de Internet.
Se dice que un puerto de comunicaciones está abierto si el sistema devuelve una respuesta al llegar un paquete de petición
de establecimiento de conexión. En caso contrario el puerto se considera cerrado y nadie puede conectarse a él. El punto
fuerte de un firewall reside en que al analizar cada paquete que fluye a través del mismo, puede decidir si lo deja pasar en
uno u otro sentido, y puede decidir si las peticiones de conexión a determinados puertos deben responderse o no.
Los firewalls también se caracterizan por su capacidad para mantener un registro detallado de todo el tráfico e intentos de
conexión que se producen (lo que se conoce como un log). Estudiando los registros o logs es posible determinar los orígenes
de posibles ataques y descubrir patrones de comunicación que identifican ciertos programas maliciosos. Sólo los usuarios
con privilegios administrativos pueden acceder a estos registros, pero es una característica que se le puede exigir a estas
aplicaciones.
http://wiki.mikrotik.com/wiki/Firewall
Academy Xperts
95
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Mapa de Protocolos
Flujo de Paquetes
Todas las comunicaciones de Internet se realizan mediante el intercambio o flujo de paquetes o datos, que son la unidad
mínima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino, independientemente de donde se
encuentren las máquinas que se comunican, debe llevar anexada la información referente a la dirección IP de cada máquina
en comunicación, así como el puerto a través del que se comunican. La dirección IP de un dispositivo lo identifica de manera
única dentro de una red. Los puertos de comunicación también son una parte muy importante que el Firewall deberá verificar
y controlar, debido a que la mayoría de comunicaciones se realizan bajo protocolos que realizan el envío de paquetes
mediante puertos tales como TCP y UDP:
TCP es el protocolo de comunicación que garantiza que los datos serán entregados en su destino sin errores y en el mismo
orden en que se transmitieron.
TCP usa el concepto de número de puerto para identificar a las aplicaciones emisoras y receptoras. Cada lado de la conexión
TCP tiene asociado un número de puerto (de 16 bits sin signo, con lo que existen 65536 puertos posibles) asignado por la
aplicación emisora o receptora. Los puertos son clasificados en tres categorías: puertos bien conocidos, puertos registrados
y puertos dinámicos/privados. Los puertos bien conocidos son asignados por la Internet Assigned Numbers Authority
(IANA), van del 0 al 1023 y son usados normalmente por el sistema o por procesos con privilegios. Las aplicaciones que
usan este tipo de puertos son ejecutadas como servidores y se quedan a la escucha de conexiones. Algunos ejemplos son:
FTP (21), SSH (22), Telnet (23), SMTP (25) y HTTP (80). Los puertos registrados son normalmente empleados por las
aplicaciones de usuario de forma temporal cuando conectan con los servidores, pero también pueden representar servicios
que hayan sido registrados por un tercero (rango de puertos registrados: 1024 al 49151). Los puertos dinámicos/privados
también pueden ser usados por las aplicaciones de usuario, pero este caso es menos común. Los puertos
dinámicos/privados no tienen significado fuera de la conexión TCP en la que fueron usados (rango de puertos
dinámicos/privados: 49152 al 65535, recordemos que el rango total de 2 elevado a la potencia 16, cubre 65536 números,
del 0 al 65535)
User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas
(Encapsulado de capa 4 Modelo OSI), este protocolo no garantiza que los datos serán entregados en su destino sin errores
y en el mismo orden en que se transmitieron.
UDP utiliza puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud de 16 bits, por
lo que el rango de valores válidos va de 0 a 65535. El puerto 0 está reservado, pero es un valor permitido como puerto
origen si el proceso emisor no espera recibir mensajes como respuesta.
•
•
•
Los puertos 1 a 1023 se llaman puertos bien conocidos y en sistemas operativos tipo Unix para enlazar con uno
de estos puertos se requiere acceso como súper usuario.
Los puertos 1024 a 49.151 son puertos registrados.
Los puertos 49.152 a 65.535 son puertos efímeros y son utilizados como puertos temporales, sobre todo por los
clientes al comunicarse con los servidores.
Academy Xperts
96
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Para facilitarnos el entendimiento
•
•
•
MikroTik ha creado diagramas para ayudarnos a la configuración avanzada en el flujo de paquetes.
Es bueno estar familiarizado con ellos para saber qué está pasando con los paquetes y en qué orden irán.
En este libro, se analizará superficialmente y de manera simple los gráficos.
http://wiki.mikrotik.com/wiki/Packet_Flow
Diagrama de flujo para Capa 2 (Bridging) en RouterOS v5
En este diagrama la parte de ruteo está simplificado en un solo cuadro (Layer-3)
Diagrama de flujo para Capa 3 (Routing) en RouterOS v5
En este diagrama la parte de bridge está simplificado en un solo cuadro (Layer-2)
Diagrama de flujo para Capa 3 (Routing) en RouterOS v6
Los cambios realizados en el Flujo de Paquetes de la versión 6 de RouterOS se muestran en los elementos marcados en un
círculo/óvalo en la siguiente imagen:
Academy Xperts
97
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Diferencias principales en diagrama de flujo entre v5 y v6
Academy Xperts
98
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Detalle de facilidades
INPUT INTERFACE - Punto de entrada de los paquetes en su camino a través de las facilidades del router. No importa en
qué interface (física o virtual) se recibe el paquete, simplemente es el punto de entrada y desde aquí inicia su camino.
OUTPUT INTERFACE – Último punto en el camino de los paquetes a través de las facilidades del router. Justo antes de que
el paquete sea enviado fuera del router
LOCAL PROCESS IN – Último punto en el camino de los paquetes hacia el mismo router
LOCAL PROCESS OUT – Punto de inicio de los paquetes generado por el mismo router
Procesos y decisiones automáticas
IN INTERFACE BRIDGE – Verifica si la interface de entrada actual es un puerto de bridge, o verifica si la interface de entrada
es un bridge
HOTSPOT IN – Permite capturar el tráfico que de otra forma sería descartado por el connection-tracking. De esta forma la
característica de HotSpot estará habilitada para proveer conectividad incluso si las configuraciones de red están en completo
desastre
BRIDGE DECISION – El bridge pasa en orden a través de la tabla de direcciones MAC (MAC address table) para encontrar
una coincidencia con la dirección MAC de destino del paquete. Cuando se encuentra una coincidencia, el paquete se enviará
a través del puerto bridge correspondiente. En caso de que no se encuentre una coincidencia, se crearán múltiples copias
del paquete y dichos paquetes se enviarán a través de todos los puertos bridge
BRIDGE DECISION – Esta es una solución alternativa, que permite utilizar el puerto bridge de salida (out-bridge-port) antes
de la decisión actual de bridge
ROUTING DECISION – El router pasa a través de la ruta en orden para encontrar una coincidencia con la dirección IP
destino. Cuando se encuentra una coincidencia, el paquete se enviará a través del puerto correspondiente o hacia el mismo
router. En caso de que no se encuentre una coincidencia, se descartará el paquete
ROUTING ADJUSTMENT – Esta es una decisión alternativa que permite configurar las políticas de enrutamiento en el chain
output de mangle
TTL – Indica el lugar exacto donde el TTL (Time To Live) del paquete se reduce en 1. Si el paquete es 0 (cero) entonces
será descartado
OUT-INTERFACE BRIDGE – Verifica si la interface actual de salida es un puerto de bridge, o verifica si la interface de salida
es un bridge
HOTSPOT OUT – Deshace todo lo que se hizo en el HOTSPOT IN para los paquetes que están regresando al cliente
Academy Xperts
99
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Diagrama de mangle incluyendo RAW
La tabla RAW en /ip firewall permite hacer un bypass de forma selectiva, o dropear los paquetes antes del connectiontracking. De esta forma se reduce significativamente la carga del CPU. Esta herramienta es sumamente útil en la mitigación
de ataques DDoS.
La tabla RAW no tiene matchers que dependan del connection-tracking, como por ejemplo connection-state, layer7, etc.
Si en la tabla RAW el paquete se ha marcado para que sea hecho bypass en el connection-tracking, entonces no ocurrirá la
defragmentación del paquete
Ejemplo de flujo de paquetes
•
El siguiente ejemplo ayudará a ilustrar mejor el flujo de paquetes: Realice un Ping hacia un nodo no existente sobre
la interface de su router LAN a través de su WAN interface
o IP no asignada a ningún equipo: 172.16.x.x
o IP asignada a un cliente: 192.168.x.x
o IP asignada para WAN (ether1 o wlan1): 172.16.x.x
Configuración previa al análisis de flujo de paquetes
/ip firewall filter
add action=log chain=input log-prefix=Filter-input protocol=icmp
add action=log chain=output log-prefix=Filter-output protocol=icmp
add action=log chain=forward log-prefix=Filter-forward protocol=icmp
/ip
add
add
add
add
add
firewall mangle
action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp
action=log chain=output log-prefix=Mangle-output protocol=icmp
action=log chain=input log-prefix=Mangle-input protocol=icmp
action=log chain=forward log-prefix=Mangle-forward protocol=icmp
action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp
/ip firewall nat
add action=log chain=srcnat log-prefix=srcnat protocol=icmp
add action=log chain=dstnat log-prefix=dstnat protocol=icmp
Ejecutar el PING
Realizamos la ejecución del ping hacia las redes definidas al comienzo de la práctica en clases:
•
Ejemplo: ping 192.168.3.2
De ahí procedemos con la revisión de los LOGs para verificar qué información podemos obtener.
Ping entrante.
===PREROUTING===
Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8,
code 0), 172.16.2.100->192.168.3.2, len 60
dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
===FORWARD===
Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code
0), 172.16.2.100->192.168.3.2, len 60
Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code
0), 172.16.2.100->192.168.3.2, len 60
Academy Xperts
100
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type
8, code 0), 172.16.2.100->192.168.3.2, len 60
srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
===OUTPUT===
Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100,
len 88
Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100,
len 88
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3>172.16.2.100, len 88
Connection Tracking y sus Estados
/ip firewall connection
El Connection Tracking administra la información de las conexiones activas.
Antes de crear filtros o reglas en el firewall, es importante conocer qué tipo de tráfico está pasando a través del router.
Ubicación del connection tracking
Academy Xperts
101
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
El Connection Tracking mostrará una información como la que se presenta a continuación:
•
•
•
•
El uso de connection-tracking permite el seguimiento de las conexiones UDP, aunque UDP sea stateless.
Como tal, el firewall de MikroTik puede filtrar sobre los “estados” UDP.
Si se deshabilita el conntrack system se perderá la funcionabilidad del NAT y también la mayoría de los filtros y
de las conexiones de mangle
Cada entrada en la tabla conntrack representa un intercambio bidireccional de datos
Conntrack hace uso de gran cantidad de recursos de CPU. Solo debe ser deshabilitado si no se usa el firewall
Recuerde:
En caso de que se deshabilite el connection-tracking por cualquier motivo, las siguientes funciones dejarán de funcionar:
•
•
•
NAT
Firewall
o connection-bytes, connection-mark
o connection-type, connection-state
o connection-limit, connection-rate
o layer7-protocol, p2p
o new-connection-mark, tarpit
p2p matching en cola simple (hasta la v5)
Entonces podemos definir que sin el connection-tracking el servidor de seguridad sólo utilizará criterios básicos, tales
como (pero no limitados a):
•
•
•
Direcciones de origen y de destino
Protocolos
Los puertos de origen y de destino
o Dentro y fuera de las interfaces
Academy Xperts
102
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
TCP-States
Los TCP-States son (asumiendo que hay una conexión desde un punto A hacia B):
•
•
•
•
•
established: Se establece una sesión TCP con el host remoto, proporcionando una conexión abierta donde se
pueden intercambiar datos
time-wait: Tiempo de espera para asegurar que el host remoto ha recibido un acuse de recibo (ACK) de su
solicitud de finalización de conexión (después se "cierra")
close: Representa a la espera de una solicitud de finalización de conexión del host remoto.
syn-sent: Cuando un Cliente-A se encuentra en espera de una coincidencia (match) connection request,
después de haber enviado la solicitud.
syn-received: Cuando un Cliente-B se encuentra en la espera de una confirmación de un connection request
acknowledgement cuando ambos puntos ya recibieron un connection request.
Nota importante: connection state ≠ TCP state
Estados de las Conexiones (connection-state)
El primer paquete será "nuevo“en la conexión, el resto de paquetes se puede aceptar como establecido si no se alcanza el
valor UDP-timeout.
•
•
•
•
new – es el primer paquete UDP, TCP que pasa en la sincronización de paquetes.
o Es el primer paquete que puede establecer una entrada en el conection tracking.
o Es el primer paquete en sincronizar en TCP.
o Es el primer paquete UDP.
established – Cuando pasa el resto de paquetes UDP o TCP
o Los paquetes de conexiones ya conocidos
o El resto de la comunicación UDP, si la tasa de paquetes puede mantenerse antes de un UDP timeout
related – Cuando se crea una conexión basada en una ya existente.
o Conexión que se crea por otra conexión ya establecida.
o Por ejemplo: la conexión de datos de la TFP que son creados por primera instancia por una conexión FTP.
o Es esencial para una conexión relacionada primero ser establecida.
invalid – paquete TCP inválido o no relacionado con el conection-traking.
o Cualquier paquete con estado desconocido
o Es buena idea dejarlos o realizarle un DROP.
Estructura: chains y acciones
•
•
•
•
Un chain: es una agrupación de reglas basado en los mismos criterios. Existen tres chains predeterminados en
función de criterios predefinidos.
o input: El tráfico que va al router
o forward: El tráfico que va a través del router
o output: El tráfico procedente del router
Por ejemplo, se puede implementar un chain pasado en:
o Basado en el criterio: todo el tráfico icmp.
o Basado en tráficos provenientes de puertos Ethernet, por ejemplo: Ether2 hacia una red LAN remota o
una red bridge.
Los usuarios definen los chains, y estos mismos son creados dependiendo de los parámetros que se puedan
comparar, y si desean pueden realizar un «jump» para una vez que se ha confirmado la coincidencia, se realizará
un salto hacia otra regla en el firewall, esto se los define en «jump target»
Una acción dicta lo que va a realizar el filtro o regla cuando los paquetes aplican con todas las condiciones para ser
filtrado.
Academy Xperts
103
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
•
Los paquetes se comprueban secuencialmente contra de las reglas existentes en la cadena de firewall actual hasta
que se produce una coincidencia. (Cuando se tenga el # significa que respetará un orden: primero uno si coinciden,
se aplica la acción, y de ahí pasará a la siguiente si se encuentra habilitada esa opción, en caso contrario hasta ahí
llegará el análisis)
Filtrado Firewall en acción
Se puede aprovechar la seguridad de un firewall de diferentes maneras tales como:
•
•
•
Confiar en la seguridad de nuestra LAN, ya que lo proveniente de la WAN es lo inseguro.
Bloquear todor y permitir únicamente en lo que se está de acuerdo.
Permitir todo y bloquear únicamente lo que causa problemas.
Consejos Básicos y trucos
•
•
•
•
•
•
Antes de realizar cambios en el firewall ingresemos en “modo seguro”
Después de realizar configuraciones y cambios en las reglas firewall, se aconseja probar las debilidades: una
herramienta recomendada: ShieldsUP
Antes de comenzar se recomienda escribir en texto plano o en papel una descripción sencilla de las políticas que
se quiere aplicar.
o Una vez que las entiende y está de acuerdo con ellos, se procede con ingreso al router.
o Añadir las siguientes reglas progresivamente, una vez que esté satisfecho con las reglas básicas
ingresadas.
o Si es nuevo en el área de seguridad, lo recomendable es que no ingrese reglas que apunten en todas
direcciones, suficiente con hacer lo básico, pero hay que hacerlo bien.
Es una buena idea poner fin a sus chains con las reglas "catch-all" y ver lo que se puede haber perdido.
Usted necesitará dos reglas "catch-all", uno de "log" y uno de "drop" para todo tráfico sin precedentes. Ambos
deben basarse en los mismos parámetros comparados para que sea útil para usted.
Una vez que vea lo que llega a las reglas "catch-all", puede agregar nuevas reglas basadas en el comportamiento
deseado por el firewall.
Filtrado por Parámetros
•
•
Antes de decidir en tomar una acción en el firewall, primero hay que identificarlo.
Nosotros tenemos muchos parámetros por el cual podemos comparar.
Filter actions
Una vez realizada la concidencia (match) con todos los parámetros de una regla, entonces se realizará una acción (action).
El firewall de MikroTik tiene las siguientes acciones:
accept: Acepta el paquete. El Paquete ya no pasará a la siguiente regla de firewall.
add-dst-to-address-list: Dirección destino, después de hacer match el paquete pasa a la siguiente regla.
add-src-to-address-list: Dirección origen. Después de hacer match el paquete pasa a la siguiente regla.
drop: el paquete es desechado. Después de hacer match el paquete pasa a la siguiente regla.
jump: Es definido por el usuario y sirve para saltar a una regla en específico, definido por el jump-target. Después
de hacer match el paquete pasa a la siguiente regla definida en jump-target.
6. log: añade un mensaje en los logs con la siguiente información: in-interface, out-interface, src-mac,
protocol, src-ip:port->dst-ip:port y length of the packet. Después de hacer match el paquete
pasa a la siguiente regla.
7. passthrough: Si esta opción está marcada, habilitará la opción de ignorar resta regla y pasar a la siguiente (muy
útil para estadísticas de red).
8. reject: Desecha los paquetes icmp y envía un mensaje definido por el usuario el paquete no pasa a la siguiente
regla.
9. return: Pasa el control del filtro de nuevo, en donde se originó el filtro anterior. Después de hacer match el paquete
pasa a la siguiente regla (únicamente si la regla anterior no ocasiona que se deseche el paquete y pare el match).
10. tarpit: Captura y retiene los paquetes TCP (replicas con SYN/ACK para paquetes entrantes TCP SYN). Después
de hacer match el paquete pasa a la siguiente regla.
1.
2.
3.
4.
5.
Protegiendo tu router (input)
•
•
El chain=input analiza todo el tráfico entrante al router.
Al aplicar una regla chain=input, se controla el ingreso de información al router
Academy Xperts
104
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
MikroTik da las siguientes sugerencias para el Input
Asumiendo que la interface ether1 está conectada a una WAN insegura.
•
•
•
•
•
•
Aceptar el tráfico de icmp-echo-reply (si se desea tener réplica de ping sobre internet, esto es útil cuando
manejamos servidores)
Desechar todo el tráfico icmp-echo-request (Cuando no deseamos que nos hagan ping otro dispositivo. Con
esto evitamos estar en la mira de ataques como smurf attack u otros)
Aceptar todo el tráfico entrante establecido y relacionado.
Desechar todo el tráfico inválido.
Realizar un Log de todo el resto del tráfico
Desechar todo el resto de tráfico.
Protegiendo a todos los clientes (forward)
•
El trafico forward es el tráfico que pasa a través del router.
MikroTik da las siguientes sugerencias para el Forward
Asumiendo que la interface ether1 está conectada a una WAN insegura.
•
•
•
•
Aceptar todo el tráfico forward establecido y relacionado.
Desechar todo el tráfico inválido.
Hacer Log de todo el resto del tráfico (para verificar si es que algún paquete importante ha sido bloqueado)
Desechar todo el resto de tráfico.
Address-list conceptos básicos
address-list se usa para agrupar direcciones IP. Ayuda a simplificar la cantidad de reglas creadas en el router.
•
¿Qué es mejor? Aplicar 10 reglas aplicadas a 10 IPs o aplicar 1 sola regla a un solo grupo de IPs.
Los grupos de address-list pueden representar:
•
•
•
Grupo de administradores, departamentos,
Hackers
Lo que sea que se dese clasificar
Pueden ser usados por Filter, Mangle, y NAT. La creación puede realizarse de manera automática con la acción de firewall:
add-src-to-address-list o add-dst-to-address-list. Con esto se facilita aplicar acciones en grupo en Firewall
Filter, Mangle o NAT.
•
Esta puede ser una gran vía para poder facilitar el bloqueo de IP.
add action=add-src-to-address-list address-list=blacklist chain=input comment=nombre_lista
in-interface=interface
Para visualizar listas existentes:
/ip firewall address-list print
Academy Xperts
105
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Para crear listas permanentes
/ip firewall address-list add address=1.2.3.4 list=hackers
Crear listas a través de reglas firewall creadas:
/ip firewall filter add action=add-dst-to-address-list address-list=temp-list address-listtimeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24
/ip firewall nat add action=add-src-to-address-list address-list=NAT-AL chain=srcnat
/ip firewall mangle add action=add-dst-to-address-list address-list=DST-AL address-listtimeout=10m chain=prerouting protocol=tcp
Source NAT
El Network Address Translation (NAT) permite a los hosts de una red LAN, comunicarse con redes externas
•
•
Source NAT (srcnat) traduce las direcciones IP (de una LAN) a direcciones IP públicas cuando se accede al
Internet. También realiza la traducción de IP pública a privada cuando el tráfico se genera desde la WAN hacia una
LAN.
Las direcciones IP que no son Públicamente Ruteables, son direcciones IP que no pueden ser usados en Internet.
o Estas direcciones privadas son:
§
10.0.0.0/8
§
172.16.0.0/12
§
192.168.0.0/16
masquerade & src-nat
El primer chain para NAT es srcnat. Es usado para aplicar acciones a los datos salientes del router. Al igual que los filtros
de firewall, las reglas de NAT tienen algunas propiedades y acciones. La primera y más básica acción de NAT es
action=masquerade.
masquerade reemplaza la dirección IP origen en paquetes por otra IP determinada (ejemplo una privada a publica) para
facilitar el enrutamiento.
•
Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por la dirección de
la interface externa (WAN)
chain=src-nat permite realizar cambios en dirección IP y puerto origen de los paquetes a unos especificados por el
administrador de la red
Ejemplo de uso:
Dos empresas (alfa y beta) se han fusionado, pero hay un problema en sus redes locales ya que ambas redes utilizan el
mismo espacio de direcciones (por ejemplo, 172.16.0.0/16). Ellos no desean cambiar sus segmentos de red, ya que todos
los dispositivos en la empresa (impresoras, proyectores, copiadoras, etc.) tienen direcciones asignadas e implicaría pérdida
de tiempo.
Solución: Orientándonos al concepto de NAT, lo único que se requerirá son reglas básicas de NAT con src-nat y
posiblemente reglas de dst-nat, independientemente que las redes locales de cada una sean iguales.
Academy Xperts
106
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Destination NAT
•
•
action=dst-nat es una acción usada en chain=dstnat para re direccionar el tráfico entrante hacia una
diferente IP o puerto.
Ejemplo de aplicación: Se tiene una granja de servidores (Web, Mail y SSH) y solo una dirección IP pública en el
router de borde. Se desea acceder desde del exterior hacia cada servidor en forma independiente.
Academy Xperts
107
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
dst-nat & redirect
•
•
•
action=redirect cambia el puerto destino del tráfico hacia un puerto del propio router.
Ejemplo de aplicación: Todo tráfico http (TCP, puerto 80) va a ser reenviado al web proxy del router por TCP
puerto 8080.
Este concepto en otros dispositivos se lo conoce como port-forwarding
Sintaxis NAT
Agregar regla masquerade
/ip firewall nat add action=masquerade chain=srcnat
Cambiar el source IP address
add chain=srcnat src-address=192.168.0.109 action=src-nat to-addresses=10.5.8.200
Destination NAT. Redirecciona todo el tráfico WEB (TCP, port 80) hacia el web proxy del router sobre el puerto 8080
add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
scripts
•
•
•
Es un archivo de órdenes, o archivo de procesamiento por lotes. Es un programa usualmente simple, que por lo
regular se almacena en un archivo de texto plano.
Usualmente es usado en MikroTik para automatizar tareas.
Se puede realizar la automatización con scheduler.
Ejemplo de scripts
------------ PORT SCAN ------------:global portscannerip;
:if ([:len [/ip firewall address-list find list=port_scanners]]>0) do= {
:log error "------IP's dectada como ATAQUE PORTSCANNER------";
:foreach i in [/ip firewall address-list find list=port_scanners] do={ :set portscannerip [/ip
firewall address-list get $i address];
:log error $portscannerip };
}
--------------- cpu LOAD ------------":if \(\[ /system resource get cpu-load \] \
>= 90 \) do={ /system reboot; }"
Preguntas de repaso del Capítulo 6
1.
Cómo funciona un firewall (matcher y action)?
2.
Cuál es el número total de puertos disponibles para TCP/UDP?
3.
Cómo se clasifican estos puertos?
4.
Para qué sirve el Connection Tracking?
5.
Qué funcionalidades dejan de trabajar si se deshabita el Connection Tracking?
6.
Cuáles son los diferentes TCP-States que se presentan en el Connection Tracking?
7.
Cuáles son los 4 connection-states en firewall?
8.
Cuales son las principales acciones el /ip firewall filter?
9.
Cuándo se usa chain=input?
10. Cuándo se usa chain=forward?
11. Que tipos de direcciones se puede definir en el Address List?
12. Explique la diferencia entre los chain SRCNAT y DSTNAT
Laboratorio – Capítulo 6
Academy Xperts
108
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Capítulo 7: Colas Simples y QoS
Principales cambios en la v6 de RouterOS
•
•
•
•
•
•
•
•
El Sistema de QoS fue reformulado
Debido al ambiente multi-threading en los router CCR (Cloud Core Router) el problema principal era si se
encolaban todos los paquetes de la misma cola, estos deberían estar en control del mismo thread, es decir, bajo el
control del mismo CPU.
Por lo tanto, teniendo colas (queues) en 2 diferentes lugares durante el tiempo de vida del paquete, se imposibilitaba
la posibilidad de ejecutar multi-threading
Era necesario asegurarse de que todo el proceso de queueing suceda en el mismo lugar, y preferiblemente al final
de la vida del paquete.
o Los padres “global-in”, “global-out”, y “global-total” se reemplazaron por “global”
§
“global” (en v6) es similar a “global-total” (en v5)
El tipo de encolamiento (queue type) PCQ está ligado al connection-tracking y, puesto que todo el encolamiento
(queueing) ahora ocurre después de SRC-NAT, el tipo de cola (queue type) PCQ se actualizó y ahora es consciente
del NAT (como el “/queue simple” y “/ip traffic-flow”)
o Puesto que el encolamiento ocurre al final de la vida del paquete, esto significa que el encolamiento se
produce después del SRC-NAT.
§
Esto quiere decir que si se hace enmascaramiento (masquerade) todas las direcciones privadas
nateadas (src-nat) y, como el PCQ está ligado al connection-track, no hay problema en lugar
donde se ejecute el PCQ
o Se puede trabajar con las direcciones locales
o A partir de v6 ya no debe preocupar en qué lugar se configura el PCQ
Las Colas Simples se desarrollan en un diferente lugar: al final de las secciones “postrouting” e “input”
Las colas simples están separadas completamente de los Queue Trees.
o Esto significa que el mismo paquete puede ser capturado en HTB “global” y en Colas Simples. En v5 las
Colas Simples compartían los HTBs “globales”
o Esto significa que se puede tener una limitación doble:
§
Primero se puede marcar el tráfico en mangle
§
Luego priorizar por tipo de tráfico en HTB “global”
§
Y luego poner límites de usuario en Colas Simples
Se pueden especificar múltiples marcas de paquetes (packet-marks) por cola simple. Esto permite flexibilidad para
realizar QoS en Colas Simples
Academy Xperts
109
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Por qué estos cambios?
•
•
•
•
•
•
•
Mucha gente prefiere utilizar Colas Simples con miles y miles de reglas, en lugar de tener unas pocas reglas de
Queue Trees
Los cambios en HTB fueron desarrollados para que las Colas Simples se ejecuten en diferentes lugares y en
diferente forma
Las Colas Simples se desarrollan mucho más rápido que antes
En v6 hay muy poco overhead para los paquetes en Colas Simples
En v6 las Colas Simples pueden manejar decenas de miles de reglas de colas
En v6 se mejora el rendimiento general del router cuando se utilizan Colas Simples. Se obtiene hasta una mejora
del 600%
Hasta la v5 las Colas Simples se desarrollaban en orden secuencial, es decir, para que se ejecute la cola 1,000 se
tenían que ejecutar primero las 999 reglas anteriores. En la v6 ya no. Las colas ya no se ejecutan paso a paso.
Características de las Colas Simples en v6
•
•
•
•
•
•
•
•
Básicamente las colas simples en v6 trabajan en el mismo principio que en v5, es decir:
o Si se crea una regla que captura un tipo de tráfico, y se la ubica en la primera posición
o Luego se crea una segunda regla que captura el mismo tipo de tráfico y se la pone en la segunda posición,
entonces:
o El tráfico será capturado por la regla de la primera posición UNICAMENTE
o Esta regla NO CAMBIA
Lo que se hizo fue OPTIMIZAR el algoritmo de matching (coincidencia). Es decir:
o No importa si la regla de cola está en la primera posición o en la posición mil.
o Todas las configuraciones de las reglas de Colas Simples son pasadas por un algoritmo de Hashing con lo
cual se busca de una manera mucho más rápida a donde pertenece el paquete.
§
No importa si hay 100, 1000 o 5000 reglas de colas simples, siempre funcionará de la misma
manera.
§
La única diferencia se notará por ejemplo en un router con 5000 reglas de colas simples, donde
la actualización de estadísticas del Winbox será más lenta. Sin embargo, esto no afectará en el
resultado final para el cliente.
o Se mejoró el overhead que existía cuando el paquete coincidía con reglas que no existen.
o El algoritmo de hashing permite saltarse las reglas de colas simples que no coinciden (match) y hace que
el thread salte hacia la cola que coincide.
La Colas Simples de nivel superior (top level) se balancean entre los núcleos de CPU
o Si se utiliza ambientes multi-thread, es importante que esté alerta de que Colas Simples soportan multithreading pero únicamente en el nivel superior (top-level). Por ejemplo, asumiendo un CCR1036
§
Si en el top level de la cola se tiene una sola cola para una red /24, y adicionalmente se tienen
32 colas atendiendo a los mismos usuarios de esa red, entonces las 32 colas tendrán un
desempeño hasta 10 veces mejor que la única cola.
§
Esto se debe a que cada Cola Simple puede ser multi-threaded, es decir, que cada una de las
32 colas puede ser asignada a cada uno de los 32 núcleos.
§
Por este motivo no se provecharía el multi-threading si se asignan miles de colas a una sola
cola principal, ya que se estaría limitando a 1 solo CPU por cola principal
§
En este caso se debería balancear los miles de colas basadas en un múltiplo de 32
Los parámetros “target-address” e “interface” se juntan en un solo parámetro “target”
El parámetro “target” soporta la coincidencia (match) de múltiples interfaces para una cola. Se pueden configurar
múltiples subredes o direcciones IP, y también múltiples interfaces.
El parámetro “target” sigue siendo el parámetro principal de una Cola Simple, por lo que siempre debe especificarse
para que la Cola Simple trabaje apropiadamente.
El parámetro “dst-address” se cambia por el parámetro “dst” y ahora soporta la coincidencia (match) de la interface
de destino. Se puede especificar redes o interfaces de destino.
El parámetro “priority” ahora es separado para download y upload
Academy Xperts
110
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Conceptos generales
Las colas se utilizan para limitar y priorizar el tráfico:
•
•
•
•
•
•
Limitar la velocidad para ciertas direcciones IP, subredes, protocolos, puertos y otros parámetros
Limitar el tráfico peer-to-peer
Priorizar el flujo de algunos paquetes sobre otros
Configurar el tráfico Burst para una navegación (browsing) más rápida
Aplicar diferentes límites basados en tiempo
Compartir el tráfico disponible de manera equitativa entre usuarios, o dependiendo de la carga del canal
La implementación de colas en RouterOS se basa en HTB (Hierarchical Token Bucket). HTB permite crear una estructura
de cola jerárquica y determina las relaciones entre las colas.
En RouterOS, hasta la v5.x, estas estructuras jerárquicas se las puede encontrar en 4 lugares diferentes:
•
•
•
•
global-in – Representa a todas las interfaces de entrada en general (INGRESS queue). Las colas unidas a globalin aplican al tráfico que es recibido por el router antes del filtrado de paquetes.
global-out – Representa a todas las interfaces de salida en general (EGRESS queue).
global-total – Representa a todas las interfaces juntas de entrada y de salida (en otras palabras, es la agregación
de global-in y global-out). Se utiliza en los casos en que los clientes tienen un límite único para ambas, subida y
bajada (upload y download).
<interface name> – Representa una interface de salida en particular. Únicamente el tráfico que se designa para
salir a través de esta interface pasará esta cola HTB.
Existen dos formas diferentes de configurar colas en RouterOS:
•
•
/queue simple (colas simples) – Diseñado para facilitar la configuración de las tareas de gestión de colas simples y
cotidianas (tales como la limitación de un solo cliente de upload/download, limitación de tráfico p2p, etc.).
/queue tree (árbol de colas) – Para implementar tareas de encolamiento avanzadas (tales como políticas de
priorización global, limitaciones de grupos de usuarios). Se requiere el flujo de paquetes marcados en /ip firewall
mangle.
Principios de limitación de velocidad
La limitación de velocidad se utiliza para controlar la velocidad de flujo de tráfico enviado o recibido en una interface de red.
El tráfico en el que la tasa es menor o igual a la tasa especificada se envía, mientras que el tráfico que supera la tasa se
descarta o se retrasa.
La limitación de velocidad se puede realizar en dos formas:
•
•
Descartar todos los paquetes que exceden el límite de velocidad – Limitación de velocidad (dropper o shaper)
(Limitador de velocidad al 100% cuando el tamaño de la cola = 0)
Retardo de los paquetes que exceden el límite de velocidad específico en la cola y transmiten cuando es posible –
Igualar la velocidad (scheduler) (Igualación tasa al 100% cuando el tamaño de la cola=ilimitado)
La siguiente figura explica la diferencia entre la limitación de velocidad y la ecualización de tasa:
Como se puede ver en el primer caso todo el tráfico es superior a la tasa específica y es descartado. En el otro caso el tráfico
excede tasa específica y se retrasa en la cola y se transmite más tarde, cuando sea posible, pero tenga en cuenta que el
paquete sólo puede ser retrasado hasta que la cola no esté llena. Si no hay más espacio en el tope de la cola, los paquetes
se descartan.
Para cada cola se pueden definir dos límites de tasa:
Academy Xperts
111
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
•
•
CIR (Committed Information Rate = Velocidad de Información Comprometida) – (limit-at en RouterOS) En el peor
escenario, el flujo recibirá esta cantidad de tasa de tráfico, independientemente de otros flujos de tráfico. En
cualquier momento dado, el ancho de banda no debe caer por debajo de esta tasa comprometida.
MIR (Maximum Information Rate = Máxima Velocidad de Información) – (max-limit en RouterOS) En el mejor
escenario, velocidad máxima de datos disponible para el flujo, si está libre cualquier parte del ancho de banda.
Simple Queues (Colas Simples)
Sub-menu: /queue simple
La forma más sencilla de limitar la velocidad de datos para direcciones y / o subredes IP específicas, es usar colas simples.
También puede utilizar las colas simples para crear aplicaciones avanzadas de QoS. Tienen características integradas útiles:
•
•
•
•
•
Colas de tráfico peer-to-peer
Aplicación de reglas de colas en intervalos de tiempo elegidos
Prioridades
Uso de múltiples marcas de paquetes de /firewall ip mangle
Shaping (programación) de tráfico bidireccional (un límite para el total de subida + bajada)
Hasta la v5.x de RouterOS, un elemento de configuración en /queue simple puede crear de 0 a 3 colas separadas (una cola
en global-in, una cola en global-out y una cola en global-total). Si todas las propiedades de una cola tienen valores por
defecto (no hay límites establecidos, tipo de cola es por defecto), y la cola no tiene hijos, entonces no se crea realmente. De
esta manera, por ejemplo, la creación de colas global-total se puede evitar si únicamente se utiliza limitación basada en
upload/download. A partir de la v6.x únicamente existe global
Las colas simples se ejecutan en un orden secuencial. cada paquete debe pasar por cada cola hasta que cumpla las
condiciones. Esto quiere decir que en el caso de que se tengan 1,000 reglas de colas simples (queue simple), para que un
paquete pueda alcanzar el final de cola (la cola número 1,000) tendrá que pasar a través de las 999 colas previas antes de
que llegue a su destino.
Ejemplo de configuración
Asumamos que tenemos topología como la de la red como en la Figura siguiente y queremos limitar la bajada y la subida
para la red privada (upload = 256kbps, download = 512kbps).
Agregue una regla de cola simple, la cual limitará el tráfico de bajada a 512kbps y subida a 256kbps para la red 10.1.1.0/24,
configurada en la interface Ether2:
/queue simple add name=private target=10.1.1.0/24 max-limit=256K/512K interface=ether2
En este caso la declaración funciona bien incluso si indicamos solamente uno de los parámetros: target= o interface=,
porque ambos definen dónde y para cuál tráfico se implementará esta cola.
Para chequear la configuración:
/queue simple print
Flags: X - disabled, I - invalid, D - dynamic
0
name="private" target=10.1.1.0/24 dst-address=0.0.0.0/0
interface=ether2 parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s
total-queue=default-small
El parámetro max-limit reduce el ancho de banda máximo disponible. El valor max-limit=256k/512k significa que los clientes
de la red privada recibirán máximo 512kbps para descarga y 256 kbps para subida. El target permite definir la fuente de
direcciones IP a la que se aplicará la regla de colas.
Academy Xperts
112
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Si se desea excluir el servidor de que tenga límite, se debe agregar una cola sin ninguna limitación (max-limit = 0/0, significa
que no hay limitación). Se debe mover esta regla al principio de la lista, ya que los elementos de las colas simples se ejecutan
en orden uno por uno. Si el router encuentra una regla que satisface ciertos paquetes, las siguientes reglas ya no se
comparan:
/queue simple add name=server target=10.1.1.1/32 max-limit=0/0 interface=ether2
Identificadores de Flujo
•
•
target (multiple choice: IP address/netmask) : Lista de rangos de direcciones IP que serán limitadas por esta cola.
interface (Name of the interface, or all) : Parámetro válido hasta v5.x. Identifica la interface en el que el objetivo
(target) está conectado. Esta opción es útil cuando no es posible especificar las direcciones objetivo (target).
Nota Importante: A partir de RouterOS v6 estos valores se combinan en la opción target donde se puede especificar
cualquiera de los anteriores. target es para ser visto desde la perspectiva del objetivo. Si desea limitar la capacidad de carga
de sus usuarios, debe configurar target-upload.
Cada una de estas dos propiedades se puede utilizar para determinar en cual dirección es subida (upload) y cual de bajada
(download).
Debe tener cuidado al configurar ambas opciones para la misma cola. En caso de que se apuntan a direcciones opuestas la
cola no funcionará.
Si no se especifica ni el valor del objetivo ni de la interface, la cola no será capaz de hacer diferencia entre carga y descarga,
y limitará todo el tráfico en dos veces.
Otras Propiedades
•
•
•
•
•
•
•
•
•
name (Text) : Identificador de cola único que puede ser usado valor de opción padre para otras colas
direction (One of both, upload, download, none; default: both) : (solo hasta V5.x) Permite habilitar la limitación unidireccional de colas simples (deshabilita la otra dirección)
both – Limita el tráfico de la descarga y la subida
upload – Limita únicamente el tráfico hacia el objetivo (target)
download - Limita únicamente el tráfico desde el objetivo (target)
time (TIME-TIME,sun,mon,tue,wed,thu,fri,sat - TIME es el tiempo local, todos los nombres de días son opcionales;
default: not set) : permitirá especificar el momento en que la cola determinada estará activa. El router debe tener
las configuraciones de tiempo correctas.
dst-address (IP address/netmask) : Permite seleccionar únicamente streams específicos (desde target address a
este destination address) para limitar lo que es target y lo que es dst, y lo que es upload y lo que no es.
p2p (one of all-p2p, bit-torrent, blubster, direct-connect, edonkey, fasttrack, gnutella, soulseek, winmx; default: not
set) : (solo hasta V5.x) Permite seleccionar los paquetes NO encriptados de un particular p2p para limitar el ancho
de banda
packet-marks (Comma separated list of packet mark names) : Permite usar los paquetes marcados en /ip firewall
mangle. Revisar el diagrama de flujo de paquete de RouterOS. Es necesario marcar los paquetes antes de las colas
(antes de la cola global-in HTB) o la limitación de la descarga (download) del target no funcionará. El único chain
de mangle antes de global-in es prerouting.
Nota Importante: En RouterOS v6 se eliminan las opciones direction y p2p, pero se puede usar mangle para sustituirlas.
Adicionalmente dst-address se une en la nueva opción target
Academy Xperts
113
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Propiedades HTB
•
•
•
•
•
•
•
•
parent (Name of parent simple queue, or none) : Asignan esta cola como una cola hijo para el target seleccionado
{{{...}}}. La cola target puede ser la cola HTB o cualquier otra cola simple creada. Con la finalidad de que el tráfico
alcance a las colas hijos, la cola padre debe capturar todo el tráfico necesario.
priority (1..8) : Prioriza una cola hijo sobre otra cola. Este parámetro no trabaja en colas padres (si la cola tiene
por lo menos un hijo). Uno (1) es la prioridad más alta, y ocho (8) es la prioridad más. La cola hijo con la prioridad
más alta tendrá oportunidad de alcanzar su max-limit antes que una cola hijo con prioridad más. La prioridad no
tiene nada que ver con los bursts.
queue (SOMETHING/SOMETHING) : Elige el tipo de cola upload/download. Los tipos de colas pueden ser creados
en /queue type.
limit-at (NUMBER/NUMBER) : Representa la tasa de datos normal de upload/download que se garantiza al target
max-limit (NUMBER/NUMBER) : Tasa de datos máxima de upload/download que es permitida que un target pueda
alcanzar
burst-limit (NUMBER/NUMBER) : Tasa de datos máxima de upload/download que se puede alcanzar mientras el
burst está activo
burst-time (TIME/TIME) : Período de tiempo, en segundos, sobre el cual se calcula la tasa de datos promedio de
datos upload/download. (Este parámetro NO ES el tiempo actual del burst)
burst-threshold (NUMBER/NUMBER) : Cuando la tasa de datos promedio está por debajo de este valor, se permite
el burst, tan pronto como la tasa promedio de datos alcanza este valor el burst se niega. (básicamente este es un
switch burst on/off). Para un comportamiento óptimo de burst, este valor debe estar sobre el valor del limit-at y
bajo el valor de max-limit
A continuación, las opciones correspondientes a la cola global-total HTB:
•
•
•
•
•
•
total-queue (SOMETHING/SOMETHING): Corresponde a la cola
total-limit-at (NUMBER/NUMBER): Corresponde al limit-at
total-max-limit (NUMBER/NUMBER): Corresponde al max-limit
total-burst-limit (NUMBER/NUMBER): Sorresponde al burst-limit
total-burst-time (TIME/TIME): Corresponde al burst-time
total-burst-threshold (NUMBER/NUMBER): Corresponde al burst-threshold
Academy Xperts
114
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Las buenas prácticas sugieren que:
•
•
La suma de los valores de los limit-at de los hijos debe ser menor o igual que el max-limit del padre.
El max-limit de cada hijo debe ser menor que el max-limit del padre. De esta manera se dejará algo de tráfico para
las otras colas hijos, y será capaz de conseguir tráfico sin luchar por ella con otras colas hijos.
Estadísticas
•
•
•
•
•
•
•
•
•
•
rate (read-only/read-only): Promedio de la tasa de datos de la cola en bytes por segundo
packet-rate (read-only/read-only): Promedio de la tasa de datos de la cola en paquetes por segundo
bytes (read-only/read-only): Número de bytes procesados por esta cola
packets (read-only/read-only): Número de paquetes procesados por esta cola
queued-bytes (read-only/read-only): Número de bytes esperando en la cola
queued-packets (read-only/read-only): Número de paquetes esperando en la cola
dropped (read-only/read-only): Número de paquetes perdidos
borrows (read-only/read-only): Paquetes que sobrepasaron su valor limit-at (y que estaban sin usar y se quitaron
de otras colas)
lends (read-only/read-only): Paquetes que pasaron el valor bajo el limit-at, o si la cola es un padre, la suma de
todos los paquetes prestados al hijo
pcq-queues (read-only/read-only): Número de substreams PCQ, si el tipo de cola (queue type) es PCQ
A continuación, las opciones correspondientes a la cola global-total HTB:
•
•
•
•
•
•
•
•
•
•
total-rate (read-only): Corresponde a la velocidad (rate)
total-packet-rate (read-only): Corresponde al packet-rate
total-bytes (read-only): Corresponde a bytes
total-packets (read-only): Corresponde a packets
total-queued-bytes (read-only): Corresponde a queued-bytes
total-queued-packets (read-only): Corresponde a queued-packets
total-dropped (read-only): Corresponde a dropped
total-lends (read-only): Corresponde a lends
total-borrows (read-only): Corresponde a borrows
total-pcq-queues (read-only): Corresponde a pcq-queues
Tipos de Colas (Queue Types)
Sub-menu: /queue type
En este sub-menú se listan los tipos de colas creados por default y permite añadir nuevos tipos creados por el usuario
Academy Xperts
115
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Por default RouterOS crea los siguientes tipos de colas pre-definidos:
/queue type print
0 name="default" kind=pfifo pfifo-limit=50
1 name="ethernet-default" kind=pfifo pfifo-limit=50
2 name="wireless-default" kind=sfq sfq-perturb=5 sfq-allot=1514
3 name="synchronous-default" kind=red red-limit=60 red-min-threshold=10 red-max-threshold=50 redburst=20 red-avg-packet=1000
4 name="hotspot-default" kind=sfq sfq-perturb=5 sfq-allot=1514
5 name="only-hardware-queue" kind=none
6 name="multi-queue-ethernet-default" kind=mq-pfifo mq-pfifo-limit=50
7 name="default-small" kind=pfifo pfifo-limit=10
Nota importante: A partir de la versión v5.8 existe una nueva cola por default: only-hardware-queue. Todos los
RouterBOARDs tendrán este nuevo tipo de encolamiento configurado como la cola de interface por default.
only-hardware-queue deja la interface únicamente con un buffer de anillo descriptor transmisor de hardware que actúa como
una cola por sí mismo. Usualmente al menos 100 paquetes pueden ser encolados para transmitir en el “transmit descriptor
ring buffer”. El tamaño del “transmit descriptor ring buffer” y la cantidad de paquetes que pueden ser encolados en él,
varía para diferentes tipos de MACs ethernet.
Al no tener cola de software es especialmente beneficioso en sistemas SMP, ya que elimina el requisito para sincronizar el
acceso a la misma desde diferentes CPUs/núcleos que son costosos.
multi-queue-ethernet-default puede ser beneficioso en sistemas SMP con interfaces Ethernet que tienen soporte para
múltiples colas de transmisión y tienen una compatibilidad de controladores Linux para múltiples colas de transmisión. Al
tener la cola de un software para cada cola de hardware podría haber menos tiempo gastado para sincronizar el acceso a
ellos.
Nota Importante: Al tener la posibilidad de configurar only-hardware-queue se requiere apoyo en el driver de Ethernet por
lo que sólo está disponible para algunas interfaces de Ethernet en su mayoría que aparecen en los RouterBOARDs.
Nota Importante: La mejora only-hardware-queue y multi-queue-ethernet-default está presente únicamente cuando no
hay una entrada /queue tree con una interface particular como padre.
Tipos de colas
Los tipos de cola o encolamiento (scheduling) describen cuál paquete será transmitido en la siguiente línea. RouterOS
soporta varios algoritmos de encolamiento:
•
•
•
•
BFIFO, PFIFO, MQ PFIFO
RED
SFQ
PCQ
PFIFO, BFIFO y MQ PFIFO
Estas disciplinas de encolamiento están basada el algoritmo FIFO (First-In First-Out, Primero que entra primero que sale).La
diferencia PFIFO y BFIFO es que el primero está medido en paquetes y el segundo en bytes.
Cada paquete que no puede ser encolado (si es que la cola está llena), es descartado. Los tamaños de colas grandes pueden
incrementar la latencia, pero utilizan mejor el canal.
Estas colas usan los parámetros pfifo-limit y bfifo-limit.
mq-pfifo es PFIFO con soporte para múltiples colas de transmisión. Esta cola es beneficiosa en sistemas SMP con interfaces
Ethernet que tienen soporte para múltiples colas de transmisión y tienen una compatibilidad de controladores Linux para
múltiples colas de transmisión. mq-pfifo usa el parámetro mq-pfifo-limit.
Academy Xperts
116
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
RED
Random Early Drop es un mecanismo de encolamiento que trata de evitar la congestión de la red controlando el tamaño
promedio de la cola.
El tamaño promedio de la cola se compara con dos umbrales: un umbral mínimo (minth) y un umbral máximo (maxth). Si el
tamaño promedio de la cola (avgq) es menor que el umbral mínimo, ningún paquete es descartado. Cuando el tamaño
promedio de la cola es mayor que el umbral máximo, todos los paquetes entrantes se descartan. Pero si el tamaño promedio
de la cola está entre los umbrales mínimos y máximos los paquetes se descartaron al azar con probabilidad Pd, donde la
probabilidad es exacta en función del tamaño promedio de la cola:
Pd = Pmax(avgq – minth)/ (maxth - minth)
Si la cola promedio crece, la probabilidad de abandonar los paquetes entrantes también crece.
Pmax es el radio, que puede ajustar la probabilidad de descarte de paquetes abruptamente, (en el caso más simple Pmax
puede ser igual a uno. El siguiente diagrama muestra la probabilidad de descarte de paquetes en el algoritmo RED.
Academy Xperts
117
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
SFQ
Stochastic Fairness Queuing (SFQ) está asegurada por algoritmos de hashing y round-robin. Un flujo de tráfico puede ser
identificado por 4 opciones (src-address, dst-address, src-port y dst-port), por lo que estos paquetes son usados por el
algoritmo de hashing SFQ para clasificar los paquetes en uno de los 1024 posibles sub-streams.
El algoritmo de round-robin empezará a distribuir el ancho de banda disponible a todos los sub-streams, en cada ronda se
entrega sfq-allot bytes de tráfico. La cola completa SFQ puede contener 128 paquetes y hay 1024 sub-streams disponibles.
Academy Xperts
118
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
SFQ es conocido como Estocástico (Stochastic) porque en realidad no se asigna una cola para cada flujo, tiene un algoritmo
que divide el tráfico sobre un número limitado de colas (1024) utilizando un algoritmo de hashing.
PCQ
Per Connection Queuing (PCQ) es similar a SFQ, pero tiene características adicionales.
Es posible elegir identificadores de flujo (desde dst-address | dst-port | src-address | src-port). Por ejemplo, si se
clasifica el flujo por src-address en la interface local (interface con los clientes), cada sub-stream PCQ será una subida de
un cliente particular.
Se puede asignar una limitación de velocidad a los sub-streams con la opción pcq-rate. Si pcq-rate=0 los sub-streams
dividirán equitativamente el tráfico disponible.
Propiedades
Las propiedades que inician con un nombre de tipo de encolamiento particular, se aplican únicamente a un tipo particular.
Por ejemplo, todas las propiedades que inician con PCQ, aplican únicamente al tipo de cola PCQ.
•
•
•
•
•
•
•
•
•
•
•
•
•
bfifo-limit (integer [1000..4294967295]; Default: 15000) – Máximo número de bytes que la cola FIFO puede
mantener. Se aplica si el tipo es BFIFO.
kind (bfifo | mq-pfifo | none | pcq | pfifo | red | sfq; Default: ) – Clase especial de tipo de cola.
mq-pfifo-limit (integer [1..4294967295]; Default: 50) – Límite multi-queue PFIFO.
name (string; Default: ) – Nombre descriptivo del tipo de cola
pcq-burst-rate (integer [0..4294967295]; Default: 0) – Máxima tasa de datos de upload/download que puede ser
alcanzada mientras el burst para el substream es permitido
pcq-burst-threshold (integer [0..4294967295]; Default: 0) – Este es el valor del switch burst on/off
pcq-burst-time (time; Default: 10s) – Período de tiempo, en segundos, sobre el cual se calcula la tasa de datos
promedio. (Este NO es el tiempo real del burst)
pcq-classifier (lista de src-address|dst-address|src-port|dst-port; Default: "") – Selección de identificadores de
sub-stream
pcq-dst-address-mask (integer [0..32] | IPNetmask; Default: 32) – Tamaño de la red IPv4 que será usada como un
identificador dst-address sub-stream
pcq-dst-address6-mask (integer [0..128]; Default: 128) - Tamaño de la red IPv6 que será usada como un
identificador dst-address sub-stream
pcq-limit (integer [1..4294967295]; Default: 50) – Tamaño de cola de un simple sub-stream (en kilobytes)
pcq-rate (integer [ 0..4294967295]; Default: 0) – Máxima tasa de datos disponible de cada substream
pcq-src-address-mask (integer [0..32] | IPNetmask; Default: 32) - Tamaño de la red IPv4 que será usada como un
identificador src-address sub-stream
Academy Xperts
119
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
•
•
•
•
•
•
•
•
•
•
pcq-src-address6-mask (integer [0..128]; Default: 128) - Tamaño de la red IPv6 que será usada como un
identificador src-address sub-stream
pcq-total-limit (integer [1..4294967295]; Default: 2000) – Tamaño total de la cola de todos los sub-streams (en
kilobytes)
pfifo-limit (integer [ 1..4294967295]; Default: 50) – Máximo número de paquetes que la cola PFIFO puede
mantener. Aplica si el tipo es PFIFO.
red-avg-packet (integer [ 1..65535]; Default: 1000) – Usado por RED para el cálculo del tamaño promedio de la
cola (para la traducción de packet a byte)
red-burst (integer [0..4294967295 ]; Default: 20) – Número de paquetes permitidos para bursts de paquetes
cuando no hay paquetes en la cola
red-limit (integer [0..4294967295 ]; Default: 60) – Límite de cola RED en paquetes
red-max-threshold (integer [0..4294967295 ]; Default: 50) – El tamaño de cola promedio en el cual la probabilidad
de marcar el paquete es la más alta.
red-min-threshold (integer [0..4294967295 ]; Default: 10) – Tamaño promedio de la cola en bytes.
sfq-allot (integer [0..32767]; Default: 1514) – Cantidad de datos en bytes que pueden ser enviados en una ronda
round-robin
sfq-perturb (integer [0..4294967295 ]; Default: 5) – Cuan frecuente debe ser refrescada la función hash
PCQ se introdujo para optimizar los sistemas de calidad de servicio masivos, donde la mayoría de las colas son exactamente
las mismas para los diferentes sub-streams. Por ejemplo, un sub-stream puede ser de descarga (download) o de subida
(upload) para un cliente en particular (IP) o para una conexión con un servidor.
El algoritmo PCQ es muy simple, en un primer momento se utiliza clasificadores seleccionados para distinguir un sub-stream
de otro, entonces se aplica un tamaño de la cola FIFO individual y limitación en todos los sub-streams, luego se agrupa todos
los sub-streams y se aplica una limitación y tamaño de cola global.
Parámetros de PCQ:
•
•
•
•
pcq-classifier (dst-address | dst-port | src-address | src-port; default: "") – Selección de identificadores de substream
pcq-rate (number) – Máxima tasa de datos disponible de cada substream
pcq-limit (number) – Tamaño de cola de un simple sub-stream (en KB)
pcq-total-limit (number) – Cantidad máxima de data encolada en todos los sub-streams (en KB)
Por lo tanto, en vez de tener 100 colas con limitación de 1,000 Kbps para descarga (download), podemos tener una sola cola
PCQ con 100 sub-streams.
Ejemplos de clasificación
Para entender mejor la clasificación tomaremos una lista de 18 streams de paquetes con una dirección y puerto específico,
hacia una dirección y puerto específico. Entonces vamos a elegir un clasificador y dividir los 18 streams de paquetes en substreams PCQ
Academy Xperts
120
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Ejemplos de PCQ Rate
Aquí es posible ver qué sucede si se especifica o no el PCQ-rate. Es importante notar que si ambos límites (pcq-rate y
max-limit) no se especifican, el comportamiento de la cola puede ser impreciso. Por lo tanto, se sugiere fuertemente tener
por lo menos una de estas opciones configuradas.
Academy Xperts
121
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Nueva implementación de PCQ (a partir de la v5.0RC5)
PCQ fue reescrito en la v5.0RC4 para optimizarlo con alto rendimiento tanto en Mbps y PPS (paquetes por segundo). Esta
implementación utiliza adecuadamente todas las nuevas características de Linux Kernel, esto hace que PCQ sea más rápido
y que demande menos recursos.
Tan pronto como se activa un nuevo stream se obtendrá ¼ de la tasa con más alta prioridad. Si el rate=0 el sub-stream no
tendrá esta característica (ya que ¼ de 0 es 0)
Es necesario conocer esto por una buena razón: Asumamos que la tasa del sub-stream es 10Mbps, por lo que en el momento
en que el nuevo sub-stream solicite tráfico obtendrá primero 2500k de tráfico sin limitación. Esto puede resultar en una mayor
velocidad que lo que se espera como resultado en programas como Speedtest.net. Para evitar asegurarse que Speedtest.net
no es el primer programa que utiliza el ancho de banda que se ejecuta en el PC.
También a partir de la v5.0RC5, PCQ tiene las siguientes características:
•
PCQ Burst para sub-streams. PCQ tiene una implementación de burst idéntica a Simple Queues y Queue Tree
Parámetros PCQ:
•
•
•
pcq-burst-rate (number) – Máxima tasa de datos de upload/download que se alcanzará mientras el burst para el
sub-stream es permitido
pcq-burst-threshold (number) – Este es el valor de burst en el switch on/off
pcq-burst-time (time) – Período de tiempo, en segundos, sobre el cual se calcula la tasa de datos promedio. (Este
NO es el tiempo actual de burst)
PCQ también permite utilizar diferentes tamaños de redes IPv4 e IPv6 como identificadores de sub-stream. Antes estaba
cerrada a una dirección IP única. Esto se hace principalmente para IPv6 como clientes desde el punto de vista ISP estarán
representados por red /64, pero los dispositivos en la red de los clientes serán /128. PCQ se puede utilizar para ambos de
estos escenarios y mucho más.
Parámetros PCQ:
•
•
•
•
pcq-dst-address-mask (number) – Tamaño de la red IPv4 que se usará como identificador
address
pcq-src-address-mask (number) – Tamaño de la red IPv4 que se usará como identificador
address
pcq-dst-address6-mask (number) – Tamaño de la red IPv6 que se usará como identificador
address
pcq-src-address6-mask (number) – Tamaño de la red IPv6 que se usará como identificador
address
del sub-stream dstdel sub-stream srcdel sub-stream dstdel sub-stream src-
Interface Queue
Sub-menu: /queue interface
Antes de enviar datos a través de una interface, ésta es procesada por la cola. Este submenú lista todas las interfaces
disponibles en RouterOS y permite cambiar el tipo de cola para determinada interface.
Nota Importante: No se puede agregar nuevas interfaces a este menú. La lista es generada automáticamente.
Propiedades
•
•
interface (string) – Nombre de la interface a la cual se aplica la cola. Es un parámetro de solo-lectura.
queue (string; Default:) – Tipo de cola asignado a una interface en particular.
Academy Xperts
122
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Burst
Burst es una característica que permite satisfacer los requerimientos de cola para ancho de banda adicional, incluso si la
tasa requerida es más grande que el MIR (max-limit) durante un periodo de tiempo limitado
El burst puede ocurrir sólo si el consumo promedio (average-rate) de la cola, de los últimos segundos del burst-time es
más pequeño que el burst-threshold. El burst se detendrá si el consumo promedio (average-rate) de la cola de los últimos
segundos del burst-time es más grande o igual al burst-threshold
El mecanismo del burst es simple: si el burst es permitido, el valor del max-limit se reemplaza por el valor del burst-limit.
Cuando el burst está deshabilitado el valor del max-limit permanece sin cambio.
•
•
•
•
•
burst-limit (NUMBER) – Máxima tasa de datos upload/download que se puede alcanzar mientras el burst es
permitido
burst-time (TIME) – Período de tiempo, en segundos, sobre el cual se calcula la tasa promedio (Este NO es el
tiempo de burst actual)
burst-threshold (NUMBER) – Este es el valor del switch on/off del burst
average-rate (read-only) – Cada 1/n partes del burst-time, el router calcula la tasa de datos promedio de cada clase
sobre los últimos segundos burst-time
actual-rate (read-only) – Tasa de transferencia de tráfico actual de la cola
El burst es una de las mejores formas de incrementar el desempeño HTTP
Los Bursts son usados para permitir altas tasas de datos por un período corto de tiempo
•
•
Si una tasa de datos promedio es menor que el burst-threshold, el burst puede ser usado (la tasa de datos actual
puede alcanzar el burst-limit)
La tasa de datos promedio se calcula de los últimos segundos de burst-time
La tasa de datos promedio (average data rate) se calcula de la siguiente forma:
El burst-time se divide en N períodos
•
•
El router calcula la tasa de datos promedio de cada clase sobre esos pequeños períodos
Note que el actual burst-period no es igual al burst-time. Puede ser varias veces más corto que el burst-time
dependiendo del histórico de los parámetros max-limit, burst-limit, burst-threshold, y actual data rate
•
longest-burst-time = burst-threshold * burst-time / burst-limit
Burst (primeros 16 segundos)
Academy Xperts
123
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Burst (siguientes 16 segundos)
Bursting - Como trabaja
•
•
•
El bursting está permitido mientras el average-rate este abajo el burst-threshold
El bursting será limitado a la velocidad especificada por burst-limit
El average-rate es calculado con un promedio de 16 muestras (actual-rate) sobre varios segundos del burst-time
o Si burst-time está en 16 segundos, se toma una muestra cada segundo
o Si burst-time está en 8 segundos, se toma una muestra cada medio segundo.
Cuando el burst-time está definido con 16 segundos
Cuando el burst-time está definido con 8 segundos
Academy Xperts
124
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Sintaxis
Agregar una simple Queue (cola simple)
/queue simple add max-limit=2M/2M name=queue1 target=192.168.3.0/24
Agregar una simple Queue con Bursting
/queue simple add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s
limit-at=1M/1M max-limit=2M/2M name=queue2 target=192.168.3.0/24
Tip
Usted puede haber notado que los iconos de cola cambian de color de acuerdo al uso. El color tiene un significado.
•
•
•
Verde: 0 – 50% de ancho de banda disponible
Amarillo: 51 – 75% de ancho de banda disponible
Red: 76 – 100% de ancho de banda disponible
Preguntas de repaso del Capítulo 7
1.
Cuáles pueden ser los principales problemas en las redes de datos?
2.
Por qué son útiles las colas?
3.
En qué se basa la implementación del QoS en MikroTik RouterOS?
4.
Cuáles son las principales diferencias entre Queue Simple y Queue Tree?
5.
Que tipo de servicio de red es recomendado para aplicar el burst?
6.
Cómo trabaja el burst?
7.
Cuáles son las características más importantes del PCQ?
8.
Cuáles son las principales herramientas de monitoreo que encontramos en RouterOS?
Laboratorio – Capítulo 7
Academy Xperts
125
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Capítulo 8: Túneles PPP
Introducción
Los túneles son una forma de ampliar una red privada a través de una red pública (como Internet). A los Túneles también se
les conoce como VPNs (redes privadas virtuales).
•
El concepto de seguridad se asocia con VPN. Es recomendable ya que no se desea que el tráfico de los usuarios
vaya a través de redes que no son seguras
Se conoce como túnel o tunneling a la técnica que consiste en encapsular un protocolo de red sobre otro (protocolo de red
encapsulador) creando un túnel de información dentro de una red de computadoras. El uso de esta técnica persigue
diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en
escenarios multicast, la redirección de tráfico, etc. La técnica de tunelizar se suele utilizar para trasportar un protocolo
determinado a través de una red que, en condiciones normales, no lo aceptaría. Otro uso de la tunelización de protocolos es
la creación de diversos tipos de redes privadas virtuales.
El establecimiento de dicho túnel se implementa incluyendo una PDU (unidad de datos de protocolo) determinada dentro de
otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia
de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces
de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de
comunicación empleado, que entre otros, podría ser SSH. Así, el protocolo A es encapsulado dentro del protocolo B, de
forma que el primero considera al segundo como si estuviera en el nivel de enlace de datos.
Ejemplos de protocolos tunelizados
•
•
•
•
•
•
•
•
L2TP (Layer 2 Tunneling Protocol)
MPLS (Multiprotocol Label Switching)
PPTP (Point-to-Point Tunneling Protocol)
PPPoE (point-to-point protocol over Ethernet)
PPPoA (point-to-point protocol over ATM)
IPSec (Internet Protocol security)
IEEE 802.1Q (Ethernet VLANs)
6to4 (IPv6 over IPv4 as protocol 41)
Túneles PPP dentro del mapa de Protocolos TCP/IP
Academy Xperts
126
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
RouterOS y Túneles
MikroTik RouterOS provee funcionalidad escalable de Autenticación, Autorización y Contabilización
•
AAA = Authentication Authorization Accounting (Contabilización)
La autenticación local se logra usando una Base de Datos de Usuario y una Base de Datos de Perfil (profile). La
configuración del usuario está compuesta por el registro del respectivo usuario (tomado de la Base de Datos de Usuario), el
ítem asociado de la Base de Datos de Perfil (profile) y el ítem en la base de datos de Perfil en cual está configurado como
default para un servicio dado al que el usuario está autenticando. Las configuraciones del Perfil por default de la base de
Datos del Perfil, tienen la prioridad más baja, mientras que las configuraciones de los registros de acceso de usuario de la
Base de Datos de Usuario tiene la más alta prioridad con la única excepción de que siendo una dirección IP particular toma
precedencia sobre los Pools de direcciones IP en las configuraciones local-address y remote-address.
El soporte para la autenticación RADIUS le proporciona al ISP o al administrador de red la habilidad para manejar el acceso
y la contabilidad de usuarios PPP desde un solo servidor a través de una gran red. MikroTik RouterOS tiene un Cliente
RADIUS que puede autenticar conexiones PPP, PPPoE, PPTP, L2TP e ISDN.
Los atributos recibidos del servidor RADIUS invalidan las configuraciones del Perfil (profile) por default, pero si algunos
parámetros no son recibidos, entonces son tomados del Perfil por default respectivo
/ppp profile (perfiles de usuario)
Los perfiles PPP se utilizan para definir los valores por default de los registros de usuario que se almacenan en el submenu
/ppp secret. Las configuraciones /ppp secret de la Base de Datos de Usuario invalidan las configuraciones /ppp
profile correspondientes, excepto que las direcciones IP simples siempre tienen precedencia sobre los Pool de
direcciones IP cuando se especifican como parámetros en local-addres o remote-address.
Los PPP profiles representan los parámetros de configuración para ser utilizado por los clientes PPP, pero no limitados a:
•
Dirección IP o Pool de direcciones (remotas o locales)
•
Compresión
•
Cifrado
/ppp profile (example from a client) add change-tcp-mss=yes name=Profile-external\
use-compression=yes use-encryption=yes use-vj-compression=no
/ppp profile (example from a server) add change-tcp-mss=yes local-address=192.168.222.1\
name=Profile-external remote-address=192.168.222.2 use-compression=yes\
use-encryption=yes use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=Profile-internal\
remote-address=Pool-VPN use-compression=yes use-encryption=yes use-vj-compression=no
Parámetros
•
address-list (string; Default: ) .- Especifica el nombre del address-list a donde se agregarán las direcciones
asignadas PPP
Academy Xperts
127
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
bridge (string; Default: ) .- Nombre de la interface bridge a la que se agregará la interface ppp como un puerto
esclavo. Ambos puntos finales del tunel (server y cliente) deben estar en un bridge para que esto funcione.
change-tcp-mss (yes | no | default; Default: default) .- Permite cambiar la configuración de la conexión MSS
o yes : ajusta el valor de la conexión MSS
o no : no ajusta el valor de la conexión MSS
o default : obtiene este valor del perfil por default de la interface
comment (string; Default: ) .- Campo para escribir un comentario
dhcpv6-pd-pool (string; Default: ) .- Nombre del Pool Ipv6 que se usará para el servidor DHCPv6-PD creado
dinámicamente cuando los clientes se conectan.
dns-server (IP; Default: ) .- Dirección IP del server DNS que se suministra a los clientes PPP
idle-timeout (time; Default: ) .- Especifica la cantidad de tiempo luego del cual el enlace se terminará si es que
no hay actividad presente.
incoming-filter (string; Default: ) .- Nombre del chain de firewall para paquetes entrantes. El chain especificado
obtiene el control para cada paquete que viene del cliente. El chain PPP debería ser agregado manualmente, y
también deberían agregarse las reglas con action=jump
jump-target=ppp a otros chains relevantes para
que esta característica funcione.
local-address (IP address | pool; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se
asigna la dirección a la interface PPP local
name (string; Default: ) .- Nombre del Perfil PPP
only-one (yes | no | default; Default: default) .- Define si es que un usuario está permitido tener más de una
conexión a la vez.
o yes – Un usuario NO está permitido tener más de una conexión al mismo tiempo
o no – El usuario está permitido a tener más de una conexión a la vez
o default – Obtiene este valor del Perfil por default de la Interface
outgoing-filter (string; Default: ) .- Nombre del chain de firewall para paquetes salientes. El chain especificado
obtiene el control para cada paquete que va hacia el cliente. El chain PPP debería ser agregado manualmente, y
también deberían agregarse las reglas con action=jump
jump-target=ppp a otros chains relevantes para
que esta característica funcione.
rate-limit (string; Default: ) .- La limitación de velocidad desde el punto de vista del router se presenta en la
siguiente forma (rx es el tráfico de subida del cliente, y tx es el tráfico de bajada del cliente):
o rx-rate[/tx-rate]
[rx-burst-rate[/tx-burst-rate]
[rx-burst-threshold[/txburst-threshold] [rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/txrate-min]]]]
o Todas las velocidades están medidas en bits-por-segundo (bps), a menos que le siga el sufijo k (kilobits
por segundo) o el sufijo M (megabits por segundo)
o Si no se especifica el tx-rate, entonces el rx-rate sirve también como tx-rate
o Lo mismo aplica para tx-burst-rate, tx-burst-threshold y tx-burst-time. Si rx-burstthreshold y tx-burst-threshold no se especifican (but burst-rate está especificado), rx-rate
y tx-rate se utilizan como burst thresholds.
o Si rx-burst-time y tx-burst-time no se especifican, se utiliza 1s como default. La prioridad toma
los valores 1..8, donde 1 representa a la prioridad más alta, y 8 la prioridad más baja.
o Si rx-rate-min y tx-rate-min no se especifican, entonces se utilizan los valores rx-rate y tx-rate
o Los valores de rx-rate-min y tx-rate-min no pueden exceder a los valores rx-rate y tx-rate.
remote-address (IP; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se asigna la
dirección a la interface PPP remota
remote-ipv6-prefix-pool (string | none; Default: none) .- Asigna el prefijo del Pool IPv6 al cliente e instala la
correspondiente ruta IPv6.
session-timeout (time; Default: ) .- Especifica el máximo tiempo de conexión que se puede establecer. Por
default no se configura límite de tiempo.
use-compression (yes | no | default; Default: default) .- Especifica si se usa compresión o no. Esta configuración
no afecta los túneles OVPN
o yes – Habilita la compresión de datos
o no – Deshabilita la compresión de datos
o default – Obtiene este valor del Perfil por default de la Interface
use-encryption (yes | no | default | require; Default: default) .- Especifica si se usa encriptación o no. Esta
configuración no afecta los túneles OVPN
o yes – Habilita la encriptación de datos
o no – Deshabilita la encriptación de datos
o default – Obtiene este valor del Perfil por default de la Interface
use-ipv6 (yes | no | default | require; Default: default) .- Especifica si se permite IPv6. Por default se habilita si es
que el paquete IPv6 está instalado.
o yes – Habilita el soporte IPv6
o no – Deshabilita el soporte IPv6
Academy Xperts
128
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
•
•
•
o default – Obtiene este valor del Perfil por default de la Interface
o require – Requiere explícitamente soporte IPv6
use-mpls (yes | no | default | require; Default: default) .- Especifica si es que se permite MPLS sobre PPP
o yes – Habilita el soporte MPLS
o no – Deshabilita el soporte MPLS
o default – Obtiene este valor del Perfil por default de la Interface
o require – Requiere explícitamente soporte MPLS
use-vj-compression (yes | no | default; Default: default) .- Especifica si es que se usa el algoritmo de compresión
de cabecera Van Jacobson
o yes – Habilita la compresión de cabecera Van Jacobson
o no – Deshabilita la compresión de cabecera Van Jacobson
o default – Obtiene este valor del Perfil por default de la Interface
wins-server (IP address; Default: ) .- Permite especificar la dirección IP del servidor WINs para suministrar a los
clientes
Notas Importantes
•
Existen dos Perfiles por Default que no pueden ser removidos:
/ppp profile print
Flags: * - default
0 * name="default" use-compression=no use-vj-compression=no use-encryption=no
only-one=no change-tcp-mss=yes
1 * name="default-encryption" use-compression=default use-vj-compression=default
use-encryption=yes only-one=default change-tcp-mss=default
•
•
•
•
Se debe usar el algoritmo de compresión Van Jacobson únicamente si es necesario, ya que se reducen las
comunicaciones en canales malos o congestionados.
Los argumentos incoming-filter y outgoing-filter agregan reglas de jump dinámicas al chain PPP, donde
el argumento jump-target será igual al argumento incoming-filter o outgoing-filter en /ppp
profile. Por lo tanto, el chain PPP debe ser agregado manualmente antes de que se cambien estos argumentos.
El parámetro only-one se ignora si se usa la autenticación RADIUS
Si hay más de 10 conexiones PPP simultáneas, se recomienda apagar (off) la propiedad change-mss, y usar una
regla general de cambio MSS en la tabla de mangle, para reducir la utilización del CPU.
/ppp secret (base de datos de usuario)
La Base de Datos de Usuario PPP almacena los registros de acceso de usuario PPP con el perfil de usuario PPP asignado
a cada usuario.
Los PPP secrets se encuentran en PPP servers y también podemos especificar los parámetros básicos y necesarios para
autenticar a un cliente, tales como:
•
•
•
•
Nombre: Identificación del usuario
Contraseña: contraseña del usuario
Servicio: el protocolo que está dando servicio (si de dejan en “any” el PPP secret autenticara al usuario a través de
algunos de estos servicios (PPPoE, L2TP, PPTP, etc.))
Perfil: el subconjunto de configuración que utilizara este usuario. Los perfiles permiten parámetros a ser utilizados
por muchos usuarios sin tener que volver a escribir todo cada vez.
Los clientes no utilizan PPP secrets como credenciales de autenticación. Se especifican en la interface del cliente PPP bajo
los parámetros de “Usuario” y “Contraseña”
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
Academy Xperts
129
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Parámetros
•
•
•
•
•
•
•
•
•
•
•
•
•
caller-id (string; Default: ) .- Para PPTP y L2TP, este parámetro es la dirección IP desde la cual un cliente debe
conectarse. Para PPPoE es la dirección MAC (escrito en letras mayúsculas) desde la cual un cliente debe
conectarse. Para ISDN es el número del caller (que puede o no puede ser provisto por el operador) desde el cual
el cliente debe llamar.
comment (string; Default: ) .- Una corta descrición del usuario
disabled (yes | no; Default: no) .- Permite especificar si se usará un secret
limit-bytes-in (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede subir (upload)
en una sesión
limit-bytes-out (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede descargar
(download)
local-address (IP address; Default: ) .- Dirección IP que será configurada localmente en la interface PPP
name (string; Default: ) .- Nombre usado para la autenticación
password (string; Default: ) .- Contraseña (password) usada para la autenticación
profile (string; Default: default) .- Especifica qué perfil se utilizará
remote-address (IP; Default: ) .- Especifica la dirección IP que se asignará a la interface PPP remota
remote-ipv6-prefix (IPv6 prefix; Default: ) .- Prefijo IPv6 asignado al cliente PPP. El prefijo se agrega a la lista
de prefijo ND que permite la configuración automática de direcciones sin estado en una interface PPP. Esta opción
está disponible desde la v5.0
routes (string; Default: ) .- Especifica las rutas que aparecen en el server cuando el cliente se conecta. El formato
de la ruta es dst-address gateway metric (por ejemplo 10.1.0.0/24
10.0.0.1
1). Se peude
especificar varias rutas separando con comas. Este parámetro será ignorado por OpenVPN
service (any | async | isdn | l2tp | pppoe | pptp | ovpn | sstp; Default: any) .- Especifica el tipo de servicio que un
usuario específico podrá utilizar.
/ppp active (usuarios activos)
Este submenú permite minitorear los usuarios activos o usuarios conectados. Representa el estado actual de las conexiones.
Útil para depurar y verificar el funcionamiento correcto de sus túneles.
•
/ppp active print mostrará todos los usuarios conectados actualmente
•
/ppp active print stats mostrará los bytes y paquetes recibidos
/ppp active print detail
Flags: R - radius
0 name=”alain” service=pppoe caller-id=”28:D2:44:2C:06:EE”\
address=192.168.5.100 uptime=3m56s encoding=”MPPE128 statefull” session-id=0x81B00044\
limit-bytes-in=0 limit-bytes-out=0
1 name=”Pod4-external” service=pppoe caller-id=”D4:CA:6D:8E:1ª:97”\
address=192.168.222.2 uptime=37s encoding=”MPPE128 stateless” session-id=0x81B00045\
Academy Xperts
130
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
limit-bytes-in=0 limit-bytes-out=0
/ppp active print
Flags: R – radius
# NAME
0 alainpppoe
1 Pod4-exte... pppoe
SERVICE CALLER-ID
28:D2:44:2C:06:EE
D4:CA:6D:8E:1ª:97
ADDRESS
192.168.5.100
192.168.222.2
UPTIME
4m12s
53s
ENCODING
MPPE128 statefull
MPPE128 stateless
Parámetros
•
•
•
•
•
•
•
•
•
•
•
address (IP address) .- La dfirección IP que el cliente obtiene del server
bytes (integer) .- Cantidad de bytes transferidos a través de esta conexión. La primera representa la cantidad de
tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de tráfico recibido.
caller-id (string) .- Para PPTP y L2TP es la dirección IP desde la que el cliente está conectado. Para PPPoE es
la dirección MAC desde la que el cliente está conectado.
encoding (string) .- Muestra la encriptación y codificación (separado con “/” si es asimétrico) que está siendo usado
en esta conexión.
limit-bytes-in (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al router
limit-bytes-out (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al cliente
name (string) .- Nombre de usuario proporcionado en la fase de autenticación
packets (integer/integer) .- Cantidad de paquetes transferidos a través de esta conexión. La primera representa la
cantidad de tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de
tráfico recibido.
service (async | isdn | l2tp | pppoe | pptp | ovpn | sstp) .- Tipo de servicio que el usuario está usando
session-id (string) .- Muestra el identificador de cliente único
uptime (time) .- Tiempo de actividad del usuario
/ppp aaa (AAA remoto)
Las configuraciones en este menú permiten configurar la contabilización (accounting) y autenticación (authentication)
RADIUS. La base de datos de usuario RADIUS se consulta únicamente si el nombre usuario (username) requerido no se
encuentra en la base de datos de usuario local
Parámetros
•
•
•
accounting (yes | no; Default: yes) .- Habilita la contabilización (accounting) RADIUS
interim-update (time; Default: 0s) .- Intervalo de tiempo de actualización interino
use-radius (yes | no; Default: no) .- Habilita la autenticación de usuario vía RADIUS. Si no se encuentra le entrada
en la base de datos Secret Local, entonces el cliente será autenticado vía RADIUS.
/ppp client (cliente PPP)
Parámetros
•
add-default-route (yes | no; Default: no) .- Especifica si se agrega la ruta por default para encaminar todo el
tráfico sobre el túnel.
Academy Xperts
131
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
allow (pap | chap | mschap1 | mschap2; Default: pap,chap,mschap1,mschap2) .- Especifica los protocolos
permitidos a usar para la autenticación
apn (string; Default: ) .- Nombre del Access Point (APN = Access Point Name) del Proveedor de Servicio
comment (string; Default: ) .- Nombre que describe el item
data-channel (integer; Default: 0) .- Especifica cuál de los canales de puertos es usado para transferir datos.
default-route-distance (integer; Default: 1) .- A partir de la v6.2, configura el valor distancia aplicado para la
ruta por default creada automáticamente, si es que también se ha seleccionado add-default-route
dial-command (string; Default: "ATDT") .- Comando dial que se va a usar. Por default se configura el modo del
tono de marcado
dial-on-demand (yes | no; Default: no) .- Habilita/deshabilita dial on demand
disabled (yes | no; Default: yes) .- Especifica si es que la interface esta deshabilitada o no. Por default está
deshabilitada
info-channel (integer; Default: 0) .- Especifica cuál de los canales de puerto (por channels) se utiliza para info
keepalive-timeout (integer [0..4294967295]; Default: 30s) .- Keepalive timeout PPP en segundos
max-mru (integer; Default: 1500) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface PPP estará habilitada para recibir sin fragmentación de paquetes
max-mtu (integer; Default: 1500) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño
máximo del paquete que la interface PPP estará habilitada para enviar sin fragmentación de paquetes
modem-init (string; Default: "") .- String de inicialización del modem
mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel.
name (string; Default: ) .- Nombre descriptivo de la interface
null-modem (yes | no; Default: no) .- Habilita/deshabilita el modo null-modem (cuando está habilitado, no se
envían cadenas de inicialización al modem)
password (string; Default: "") .- Contraseña (password) usada para autenticación
phone (string; Default: "") .- Número de teléfono para marcar (dial-out)
pin (string; Default: "") .- Código de Pin de las Tarjetas SIM
port (string; Default: "") .- Nombre del puerto Serial o USB donde está conectado el modem
profile (name; Default: default) .- Perfil PPP que se utiliza
remote-address (IP Address; Default: ) .- Dirección IP remota
use-peer-dns (yes | no; Default: yes) .- Usa las configuraciones DNS server del servidor remoto
user (string; Default: ) .- Nombre de usuario usado para autenticación
/ip pool
El Pool IP define un rango de direcciones IP que es utlizado por el Server DHCP y también por los Servers Point-to-Point.
Es decir que no sólo es utilizado para DHCP, sino que también se puede utilizar para los clientes PPP y Hotspot.
Útil cuando una interface puede dar servicio a muchos clientes. Las direcciones se asignan a partir del Pool de forma
automática.
Rangos de IPs son listas de direcciones IP que no se repiten entre si y que se pueden asignar a los clientes a través de
servicios (DHCP, PPP, Hotspot).
Parámetros
•
•
•
name (name) .- El nombre del Pool
next-pool (name) .- Cuando la dirección se adquiere de un pool que no tiene direcciones libres, y la propiedad
next-pool está configurada a otro pool, entonces la siguiente dirección se obtendrá del next-pool
ranges (IP address) .- La lista de dirección IP de los rangos de dirección IP en la forma: desde1-hasta1,
desde2-hasta2, …, desdeN-hastaN. Por ejemplo, 10.0.0.1-10.0.0.27,10.0.0.32-10.0.0.47
Vamos a demostrar con un ejemplo. Usted tiene 50 ordenadores de la LAN corporativa y 50 que vienen desde VPN.
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
Supongamos ahora que usted necesita agregar 50 equipos en el Pool de la LAN
/ip pool print
Academy Xperts
132
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
# NAME
RANGES
0 Pool-PC
192.168.5.50-192.168.5.99
1 Pool-VPN
192.168.5.100-192.168.5.149
/ip pool
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
/ip pool> print
# NAME
RANGES
0 Pool-PC
192.168.5.50-192.168.5.99
192.168.5.150-192.168.5.199
1 Pool-VPN
192.168.5.100-192.168.5.149
Asignaciones para un servicio
•
•
Un Pool puede ser asignado para diferentes servicios tales como DHCP, PPP y HotSpot.
Veremos la sintaxis más adelante
Pregunta: Cómo comunicamos las redes A y B?
PPPoE
El protocolo PPPoE (Point to Point Protocolo ver Ethernet) proporciona una amplia administración de usuario, administración
de red y beneficios de contabilización (accounting) a los ISPs y administradores de red. En muchos sitios el PPPoE se utiliza
principalmente en los ISPs para controlar las conexiones de clientes por xDSL y Cable Modem, así como también por redes
Ethernet planas (plain networks).
PPPoE es una extensión del estándar PPP. La diferencia entre ambos esta en el medio de transporte, ya que PPPoE utiliza
Ethernet en lugar de conexiones de modem serial.
Generalmente PPPoE se utiliza para manejar las direcciones IP a clientes basados en autenticación por nombre de usuario
(incluso si se requiere también por estación de trabajo) en lugar de la autenticación únicamente por estación de trabajo donde
se utiliza direccionamiento estático o DHCP. Se recomienda no utilizar direccionamiento estático o DHCP en las mismas
interfaces como PPPoE por razones de seguridad.
El cliente y server PPPoE trabajan sobre:
•
•
•
Cualquier interface Ethernet Capa 2
Wireless 802.11 (Aironet, Cisco, WaveLan, Prism, Atheros)
Ethernet 10/100/1000 Mbit/s
Academy Xperts
133
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
•
•
RadioLan
EoIP (túnel Ethernet sobre IP)
Características principales de PPPoE
•
•
•
•
•
•
•
•
Soporte para cliente y server PPPoE
Multilink PPP (MLPPP)
MLPPP sobre un enlace simple (habilidad para transmitir frames de tamaño completo)
Soporte para BCP (Bridge Control Protocol). Permite el envío de frames Ethernet sobre enlaces PPP
Encriptación MPPE 40bits
Encriptación MPPE 128 RSA
Autenticación pap, chap, mschap v1, mschap v2
Soporte RADIUS para autenticación y contabilización de clientes
Nótese que cuando el servidor RADIUS está autenticando un usuario con CHAP, MS-CAHPv1 o MS-CHAPv2, el protocolo
RADIUS no usa una clave compartida (shared secret), ya que esta calve compartida se utiliza únicamente en la respuesta
a la autenticación. Esto significa que, si se tiene una clave compartida errónea, el servidor RADIUS aceptará el requerimiento.
Se puede entonces utilizar el comando /radius monitor para visualizar el parámetro bad-replies. Este valor debería
incrementar cada vez que un cliente intenta conectarse.
Conexiones soportadas
•
•
El Cliente PPPoE MikroTik RouterOS se puede conectar con cualquier servidor PPPoE (concentrador de acceso)
El Servidor PPPoE MikroTik RouterOS (concentrador de acceso) se puede conectar con múltiples clientes PPPoE
(los clientes pueden provenir de casi todos los sistemas operativos y la mayoría de routers)
Operación PPPoE
Estados
PPPoE tiene 2 estados
1)
Descubrimiento (Discovery) .- Un cliente descubre todos los concentradores de acceso disponible, y selecciona
uno de ellos para establecer la sesión PPPoE. Este estado tiene cuatro pasos:
a. Inicialización (initialization)
b. Oferta (offer)
c. Request (requerimiento)
d. Confirmación de sesión (sesión confirmation)
•
PPPoE Discovery utiliza frames Ethernet especiales con su propio tipo de frame Ethernet (0x8863)
•
Para iniciar el descubrimiento, el cliente PPPoE envía un frame PADI a la dirección Ethernet broadcast
FF:FF:FF:FF:FF:FF, y opcionalmente puede especificar un nombre de servicio (service name)
•
Cuando el server recibe el frame PADI, el server responde con un frame PADO a la dirección Ethernet
unicast del Cliente. Puede haber más de un servidor en el rango broadcast del cliente. En tal caso el
Cliente colecciona los frames PADO y elige uno para iniciar la sesión. En la mayoría de los casos elige
el servidor que responde primero.
•
El Cliente envía un frame PADR a la dirección Ethernet unicast del Server que elige. Si el Server está
de acuerdo en configurar una sesión con este Cliente, entonces asigna recursos para configurar una
sesión PPP y asigna un número de Identificación de Sesión (Session ID). Este número se envía de
retorno al Cliente en un frame PADS. Cuando el Cliente recibe el frame PADS, conoce la dirección
MAC de los servidores y el Session ID, asigna los recursos y la sesión puede comenzar.
2)
Sesión (Session) .- Cuando se completa el estado Discovery, ambas partes conocen el PPPoE Session ID y
la dirección MAC Ethernet de cada uno, con lo cual juntos definen la sesión PPPoE. Los frames PPPoE son
encapsulados en frames de sesión PPPoE, los mismos que tienen un tipo de frame Ethernet 0x8864
Academy Xperts
134
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Cuando el Server envía la confirmación y el Cliente la recibe, se inicia el estado de Sesión PPP que consiste de
los siguientes pasos:
a. Negociación LCP
b. Autenticación
c. Negociación IPCP, donde se le asigna una dirección IP al Cliente
El Server PPPoE envía paquetes Echo-Request al Cliente para determinar el estado de la sesión, de otra forma
el Server no podrá determinar que la sesión está terminada en los casos en que el Cliente termina la sesión sin
enviar el paquete Terminate-Request
Tipos de paquetes utilizados
PADI – PPPoE Active Discovery Initialization
El Cliente PPPoE envía un paquete PADI a la dirección broadcast. Este paquete también puede poblar el campo
service-name si un nombre de servicio ha sido ingresado en las propiedades de networking dial-up del cliente
PPPoE. Si no se ha ingresado un service-name, este campo nos será poblado
PADO – PPPoE Active Discovery Offer
El Server PPPoE (Concentrador de Acceso) debe responder al PADI con un PADO si el Concentrador de Acceso
está habilitado para servir el campo service-name que ha sido listada en el paquete PADI. Si ningún campo
service-name ha sido listado, el Concentrador de Acceso responderá con un paquete PADO que tiene el campo
service-name poblado con los nombres de servicio que el Concentrador de Acceso puede servir. El paquete
PADO se envía a la dirección unicast del cliente PPPoE
PADR – PPPoE Active Discovery Request
Cuando se recibe un paquete PADO, el Cliente PPPoE responde con un paquete PADR. Este paquete se envía a
la dirección unicast del Concentrador de Acceso. El cliente puede recibir múltiples paquetes PADO, pero el cliente
responde al primer PADO válido que el cliente recibió. Si el paquete inicial PADI tiene un campo service-name
en blanco, el cliente puebla el campo service-name del paquete PADR con el nombre del primer servicio que
retorna en el paquete PADO.
PADS – PPPoE Active Discovery Session confirmation
Cuando se recibe el PADR, el Concentrador de Acceso genera una identificación de sesión única (ID) para la sesión
PPP y regresa este ID al Cliente PPPoE en el paquete PADS. Este paquete es enviado a la dirección unicast del
Cliente.
PADT – PPPoE Active Discovery Terminate
Puede ser enviado en cualquier momento después de que se establece una sesión para indicar una sesión PPPoE
terminada. Puede ser enviada por el Server como por el Cliente.
MTU
Típicamente el frame Ethernet más grande que se puede transmitir sin fragmentación es 1500 bytes. El protocolo PPPoE
agrega 6 bytes de overhead y el campo PPP agrega 2 bytes más, dejando 1492 bytes para el datagrama IP. Por lo tanto,
los valores máximos de MTU y MRU para PPPoE no deben ser mayores a 1492.
Las pilas TCP tratan de evitar la fragmentación, por lo que usan un MSS (Maximum Segment Size). Por default el MSS es
elegido como el MTU de la interface saliente menos el tamaño usual de las cabeceras IP y TCP (40 bytes), lo cual resulta
en 1460 bytes para una interface Ethernet. Desafortunadamente puede haber enlaces intermedios con un MTU más bajo el
cual puede ocasionar fragmentación. En tal caso, la pila TCP ejecuta un path MTU discovery. Los routers que no pueden
pasar el datagrama sin fragmentación se supone que abandonarán/rechazarán (drop) el paquete y enviarán un mensaje
ICMP-Fragmentation-Required al host origen. Cuando el host recibe este paquete ICMP, intenta disminuir el MTU. Esto
debería funcionar en un esquema ideal, sin embargo, en el mundo real muchos routers no generan los datagramas
fragmentation-requiered, y también muchos firewalls abandonan/rechazan (drop) todos los datagramas ICMP.
La solución para este problema es ajustar el MSS si es que es demasiado grande. Por default el RouterOS agrega reglas de
mangle para interceptar los paquetes TCP SYN y silenciosamente ajusta cualquier opción MSS anunciando la que será
apropiada para el enlace PPPoE.
Academy Xperts
135
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
pppoe client (Cliente PPPoE)
Propiedades
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
ac-name (string; Default: "") .- Nombre del Concentrador de Acceso. Este campo puede ser dejado en blanco y el
cliente se conectará a cualquier Concentrador de Acceso en el dominio de broadcast.
add-default-route (yes|no; Default: no) .- Habilita/Deshabilita si es que se agregará automáticamente la ruta
por default.
allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de
autenticación permitidos. Por default todos los métodos están permitidos.
default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por
default creada automáticamete, si es que también se ha seleccionado add-default-route
dial-on-demand (yes | no; Default: no) .- Se conecta al Concentrador de Acceso únicamente cuando se genera
tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red
10.112.112.0/24 será agregada mientras la conexión no está establecida
interface (string; Default: ) .- Nombre de la interface en la cual correrá el cliente
keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos
max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit).
max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit
mrru (disabled | integer 512..65535; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el
enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el
tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel
name (string; Default: ) .- Nombre de la interface PPPoE. Se genera automáticamente por el RouterOS si es que no
se especifica.
password (string; Default: "") .- Contraseña (password) usado para la autenticación
profile (name; Default: default-encryption) .- Especifica el perfil por default para la conexión definida en /ppp
profiles
service-name (string; Default: "") .- Especifica el nombre de servicio configurado en el Concentrador de Acceso.
Puede ser dejado en blanco para conectarse a cualquier Server PPPoE
use-peer-dns (yes|no; Default: no) .- Habilita/Deshabilita la obtención de las configuraciones DNS desde su peer
user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPPoE service-name
•
•
El service-name puede ser visto como el SSID de 802.11, lo que significa que es el nombre de red que el cliente
este buscando.
A diferencia del SSID, si el cliente no especifica uno, el concentrador de acceso (servidor PPPoE) enviara todos los
service-names que administre. El cliente responderá al primero que llegue.
Status
El comando /interface pppoe-client monitor mostrará el estatus PPPoE actual
Propiedades
•
•
•
•
•
•
ac-mac (MAC address) .- La dirección MAC del Concentrador de Acceso al que el Cliente está conectado
ac-name (string) .- Nombre del Concentrador de Acceso
active-links (integer) .- Número de las conexiones MLPPP unidas (‘1’ si no se está usando MLPPP)
encoding (string) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado en esta
conexión.
local-address (IP Address) .- Dirección IP asignada al cliente
remote-address (IP Address) .- Dirección IP remota asignada al Server (por ejemplo la dirección del Gateway)
Academy Xperts
136
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
•
•
•
•
•
mru (integer) .- MRU efectivo del enlace
mtu (integer) .- MTU efectivo del enlace
service-name (string) .- Nombre del servicio utilizado
status (string) .- Estatus actual del enlace. Los valores disponibles son:
•
dialing (marcando)
•
verifying password... (verificando contraseña)
•
connected (conectado)
•
disconnected (desconectado)
uptime (time) .- Tiempo de conexión mostrado en días, horas, minutos y segundos.
Scanner
A partir de la v3.21 RouterOS agregó la herramienta PPPoE Scanner. Esta herramienta permite escanear todos los
servidores PPPoE activos en el dominio de broadcast.
/interface pppoe-client scan <interface>
Propiedades
•
•
•
service (string) .- Nombre del servicio configurado en el Server
mac-address (MAC) .- Dirección MAC del Server detectado
ac-name (string) .- Nombre del Concentrador de Acceso
Academy Xperts
137
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Notas importantes
En Windows, algunas instrucciones de conexión pueden usar la forma donde el phone number, por ejemplo,
MikroTik_AC\mt1, se especifica para indicar que MikroTik_AC es el nombre del Concentrador de Acceso (AC), y mt1
es el nombre del servicio.
La especificación del MRRU significa que se habilita MP (Multilink PPP) sobre un enlace simple. Este protocolo se utiliza
para dividir los paquetes grandes en paquetes más pequeños. En Windows esto se puede habilitar en la pestaña Networking,
botón Configuración, opción “Negociar multi-link para conexiones de enlace simple”. El MRRU en Windows está codificado
en 1614. Esta configuración es útil para resolver fallas de PathMTU Discovery. La configuración MP debe estar habilitada
en ambas partes.
Configuración del Server PPPoE (Concentrador de Acceso)
/interface pppoe-server server
El Server PPPoE (Concentrador de Acceso) soporta múltiples servers para cada interface, con diferentes nombres de servicio
(service-name). El Throughput del Server PPPoE ha sido probado a 160 Mbps en un CPU Celeron 600. El uso de CPUs de
mayor velocidad debería incrementar proporcionalmente el Throughput.
El nombre del Concentrador de Acceso y el nombre del servicio PPPoE son usados por los clientes para identificar el
concentrador de acceso al cual se quieren registrar. El nombre del concentrador de acceso es el mismo que la identidad del
router que se muestra antes del command prompt. La identidad se puede configurar en /system identity
Es importante recordar que, si no se especifica un nombre de servicio en Windows XP, únicamente usará un servicio sin
nombre. Por lo tanto, si se desea atender clientes Windows XP, se debe dejar el nombre de servicio vacío.
Propiedades
•
•
•
•
•
•
•
•
•
•
authentication (mschap2 | mschap1 | chap | pap; Default: "mschap2, mschap1, chap, pap") .- Algoritmo de
autenticación.
default-profile (string; Default: "default") .- Perfil de usuario por default que se va a utilizar
interface (string; Default: "") .- Interface a la que los clientes se conectan
keepalive-timeout (time; Default: "10") .- Define el período de tiempo (en segundos) después del cual el router
inicia el envío de paquetes keepalive cada segundo. Si es que no existe tráfico y no arriban respuestas
keepalive en ese período de tiempo (por ejemplo, 2*keepalive-timeout), el cliente que no responde se
proclama como desconectado.
max-mru (integer; Default: "1480") .- Maximum Receive Unit. El valor óptimo es el MTU de la interface en la que el
túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe configurar
el MTU en 1480 para evitar la fragmentación de paquetes.
max-mtu (integer; Default: "1480") .- Maximum Transmission Unit. El valor óptimo es el MTU de la interface en la
que el túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe
configurar el MTU en 1480 para evitar la fragmentación de paquetes.
max-sessions (integer; Default: "0") .- Número máximo de clientes que el Concentrador de Acceso puede atender.
0 (cero) significa que no hay limitantes.
mrru (integer: 512..65535 | disabled; Default: "disabled") .- Tamaño máximo del paquete que puede ser recibido en
el enlace. Si un paquete es más grande que el túnel MTU, será divido en múltiples paquetes, permitiendo el tamaño
completo de los paquetes IP o Ethernet que serán enviados a través del túnel.
one-session-per-host (yes | no; Default: "no") .- Se permite únicamente una sesión por host (determinado por
la dirección MAC). Si un host intenta establecer una nueva sesión, la anterior será cerrada.
service-name (string; Default: "") .- El nombre de servicio PPPoE. El servidor aceptará clientes a los cuales envía
el mensaje PADI con service-names que concuerden con esta configuración o si el campo de service-name
en el mensaje PADI no está configurado.
Academy Xperts
138
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Notas importantes
El valor por default de 10 segundos del parámetro keepalive-timeout es adecuado en la mayoría de los casos. Si se
configura este parámetro como 0 (cero), el router no desconectará a los clientes hasta que ellos explícitamente hagan logout o hasta que el router reinicie. Para resolver este problema, se puede utilizar la propiedad one-session-per-host.
Como punto importante de seguridad recuerde que no debe asignar una dirección IP a la interface en la cual se recibirán los
requerimientos PPPoE.
La especificación del MRRU significa que se habilita MP (Multilink PPP) sobre un enlace simple. Este protocolo se utiliza
para dividir los paquetes grandes en paquetes más pequeños. En Windows esto se puede habilitar en la pestaña Networking,
botón Configuración, opción “Negociar multi-link para conexiones de enlace simple”. El MRRU en Windows está codificado
en 1614. Esta configuración es útil para resolver fallas de PathMTU Discovery. La configuración MP debe estar habilitada
en ambas partes.
PPPoE Server (Servidor PPPoE)
/interface pppoe-server
Una interface se crea por cada túnel establecido al servidor dado. Las interfaces estáticas se agregan administrativamente
si es que existe la necesidad de referenciar el nombre de la interface en particular (en reglas en firewall u otro lugar) creada
para el usuario en particular.
Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP Server
•
•
Las interfaces estáticas se agregan administrativamente si es que existe una necesidad para referenciar el nombre
de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en
particular.
Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su
nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada
ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre. Si
existe problema se debe configurar el valor one-session-per-host.
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por
lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así
que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario
es seguro usar la configuración dinámica. Es importante notar que en ambos casos los usuarios PPP deben ser configurados
apropiadamente. Las entradas estáticas no reemplazan la configuración PPP.
Propiedades
•
•
•
•
•
•
•
•
encoding (read-only: text) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado
en esta conexión.
mru (integer) .- MRU del cliente
mtu (integer) .- MTU del cliente
name (name) .- Nombre de la interface
remote-address (read only: MAC address) .- Dirección MAC del cliente conectado
service (string) .- Nombre del servicio al que el usuario está conectado
uptime (time) .- Tiempo que el cliente ha estado conectado
user (name) .- Nombre del usuario conectado (debe estar presente en la base de datos de usuario)
Creando un PPPoE server
•
•
•
•
•
Un PPPoE server es el dispositivo que ofrece el servicio de tunelización
Permite a los clientes obtener un servicio de VPN seguro a la capa 3 a través de la infraestructura de la capa 2.
Usted no puede llegar a un servidor PPPoE a través de routers. Ya que es un protocolo de capa 2, el servidor solo
se puede llegar a través del mismo dominio de difusión Ethernet a la que los clientes pertenecen.
Antes de crear el servidor, creamos los parámetros de configuración que usted requiere tales como:
o IP Pool
o PPP profiles
PPP secrets Crear la interface de servidor de la interface física frente a los clientes Ejemplo:
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99, 192.168.5.150-192.168.5.199
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
/ppp profile
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1\
name=Profile-internal remote-address=Pool-VPN use-compression=yes\
use-encryption=yes use-vj-compression=no
/ppp secret
Academy Xperts
139
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
/interface pppoe-server server
add authentication=mschap2 default-profile=Profile-external disabled=no \
interface=ether1 mrru=1600 service-name=PPPoE-external
add authentication=mschap2 default-profile=Profile-internal disabled=no \
interface=ether5 mrru=1600 service-name=PPPoE-internal
Tip: Usted puede dejar un puerto Ethernet sin un puerto maestro, un bridge o una dirección IP y el cliente que está conectado
a este puerto pueden conseguir todavía el acceso a Internet si el servidor PPPoE (y el cliente PPPoE) está configurado
correctamente.
Direcciones Point-to-Point
•
•
•
Direcciones desde /ppp secret tienen prioridad sobre /ppp profile, y ellos tienen prioridad sobre /ip pool.
Tanto las direcciones locales y remotas pueden ser únicas o de un Pool
Direcciones estáticas o direcciones por medio de DHCP no se deben utilizar en interfaces de clientes PPPoE.
Creando Clientes PPPoE en un RouterOS
•
•
Si desea utilizar un perfil diferente que el de por defecto, crearlo primero.
Crear la interface de cliente en la interface de cara al ISP
Ejemplo
/ppp profile
add change-tcp-mss=yes name=Profile-external use-compression=yes \
use-encryption=yes use-vj-compression=no
/interface pppoe-client
add ac-name=" " add-default-route=yes allow=mschap2 default-route-distance=1\
dial-on-demand=no disabled=no interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480
mrru=disabled name=Client-PPPoE password=pod4-123 profile=Profile-external service-name=" " usepeer-dns=no user=Pod4-external
Habilite la interface del cliente.
Tip
El router no tendría que ser configurado con un cliente DHCP en la interface WAN y esto aún funcionará si el servidor PPPoE
está en la misma infraestructura de capa 2 como puerto WAN.
PPTP
PPTP es un túnel seguro para transportar tráfico IP usando PPP. PPTP encapsula PPP en líneas virtuales que corren sobre
IP. PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados.
El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP. Los clientes
PPTP están disponibles en casi todos los sistemas operativos, incluso en Windows.
RouterOS soporta Multilink PPP (también conocido como MP, MLPPP, MPPP, MLP, o Multilink) con lo cual se provee un
método para esparcir el tráfico a través de múltiples conexiones PPP distintas. En una simple línea PPP los frames no
pueden arribar fuera de orden, pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP.
Por este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. MP es un
ejemplo de tecnología de agregación de enlace.
MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP.
•
•
MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño.
o MRRU = Maximum Received Reconstructed Unit
o El MRRU es similar al MTU (Maximum Transmission Unit), pero solo se aplica a los paquetes Multilink.
o El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar.
o Por default el MRRU es 1500 bytes, pero se puede configurar un diferente de MRRU si el equipo con el
que va a conversar permite/acepta ese nuevo valor.
La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar
frames Ethernet a través de enlaces PPP.
De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. Para esto se necesita que el Bridge
tenga una dirección MAC o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC.
PPTP incluye contabilización (accounting) y autenticación (authentication) PPP para cada conexión PPTP.
La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local
RouterOS soporta los tipos de encriptación
•
•
MPPE 40bit RC4
MPPE 128bit RC4
El tráfico PPTP utiliza
•
•
TCP puerto 1723
IP protocol GRE
o GRE = Generic Routing Encapsulation
Academy Xperts
140
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
o
GRE = IP protocol ID 47
PPTP puede ser usado con la mayoría de firewalls y routers habilitando TCP 1723 y GRE (protocolo 47). De esta manera el
tráfico puede ser ruteado a través del firewall o router.
Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura a través de
una conexión enmascarada (NATeada).
PPTP es un protocolo de túnel que utiliza la información y direccionamiento del enrutamiento IP, para ligar a los clientes a
los servidores PPTP.
•
•
La definición del servidor PPTP es casi lo mismo que para PPPoE, excepto que ninguna interface tiene que ser
especificada.
El cliente se define casi de la misma manera como un cliente PPPoE, excepto que una dirección IP tiene que ser
especificada para el servidor.
Consejo: Se debe desbloquear el puerto 1723 en el firewall del router (el servidor PPTP) para que pueda llegar con su túnel.
Es un túnel seguro para el transporte de trafico IP mediante PPP. La encapsulación de PPTP en líneas virtuales que corren
sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point-to-Point Encryption) para hacer enlaces cifrados.
El objetivo de este protocolo es hacer conexiones seguras bien administradas entre los routers, así como entre los router
clientes PPTP. Clientes están disponibles para y/o incluido en casi todos los sistemas operativos incluyendo Windows).
Se crea una interface para cada túnel establecido con el servidor dado. Hay dos tipos de interfaces en la configuración de
PPTP.
•
•
Las interfaces estáticas se añaden administrativamente si hay una necesidad de hacer referencia al nombre de la
interface en particular (en las reglas de firewall) creados por el usuario en particular.
Las interfaces dinámicas se añaden a esta lista de forma automática cada vez que se conecta un usuario y su
nombre de usuario no coincide con ninguna entrada estática existente.
Interfaces dinámicas aparecen cuando un usuario se conecta y desaparecen una vez que el usuario se desconecta, por lo
que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en el servidor de
seguridad), así que si necesitas reglas persistentes para ese usuario, crear una entrada estática para el usuario, de lo
contrario es seguro usar configuración dinámica.
El siguiente ejemplo muestra como conectar un ordenar a un red de oficina remota a través de una túnel PPTP encriptado,
dando ese equipo una dirección IP de la misma red que la oficina remota tiene (sin necesidad de tender un bridge sobre
túneles EoIP)
El router de la oficina está conectado a internet a través de ether1. Las estaciones de trabajo están conectados a ether2.
Las portátiles están conectadas a internet, y puede alcanzar IP publica del router de la oficina (en nuestro ejemplo es
192.168.80.1)
Primer paso es crear un usuario
/ppp secret add name=Laptop service=pptp password=123 local-address=10.1.101.1\
remote-address=10.1.101.100
/ppp secret print detail
Flags: X – disabled
0
name=”Laptop” service=pptp caller-id=” ” password=”123” profile=default
local-address=10.1.101.1 remote-address=10.1.101.100 routes==” “
Observe que la dirección local PPTP es la misma que la dirección del router en la interface local y la dirección remota es del
mismo rango que la red local (10.1.101.0/24). El siguiente paso es habilitar el servidor PPTP y el cliente PPTP en la
computadora portátil.
/interface pptp-server server set enabled=yes
/interface pptp-server server print
Enabled: yes
max-mtu: 1460
Academy Xperts
141
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
max-mru:
mrru:
authentication:
keepalive-timeout:
default-profiles:
1460
disabled
mschap2
30
default
El cliente PPTP de la computadora portátil debe conectarse a routers IP publica que en nuestro ejemplo es 192.168.80.1
(consulte el manual respectivo sobre como configurar un cliente PPTP con el software del sistema operativo que esté
utilizando).
En este punto (cuando el cliente PPTP está conectado con éxito) si intenta hacer ping a cualquier estación de trabajo que
forma parte de la red del ordenador portátil, el ping será el tiempo de espera debido a que el ordenador portátil está en
condiciones de obtener aplicaciones de estaciones de trabajo. La solución es la creación de proxy arp en la interface local.
/interface ethernet set Office arp=proxy-arp
/interface ethernet print
Flags: X – disabled, R – running
#
Name
MTU
MAC-ADDRESS
ARP
0 R ether1
1500
00:30:4F:0B:7B:C1
enabled
1 R ether2
1500
00:30:4F:06:62:12
proxy-arp
Luego que el proxy-arp este activado, el cliente remoto puede alcanzar con éxito todas las estaciones de trabajo en la red
local detrás del router.
PPTP Client (cliente pptp)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
add-default-route (yes | no; Default: no) .- Especifica si es que se agrega una dirección remota PPTP como
una ruta por default
allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de
autenticación permitidos
connect-to (IP; Default: ) .- Dirección remota del servidor PPTP
default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por
default creada automáticamete, si es que también se ha seleccionado add-default-route
dial-on-demand (yes | no; Default: no) .- Se conecta al servidor PPTP únicamente cuando se genera tráfico de
salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24
será agregada mientras la conexión no está establecida
disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está deshabilitada.
keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos
max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes
max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño
máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes
mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel
name (string; Default: ) .- Nombre descriptivo de la interface
password (string; Default: "") .- Contraseña (password) usado para la autenticación
profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa
user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPTP Server (servidor pptp)
Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP Server
Academy Xperts
142
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
•
•
Las interfaces estáticas son administrativamente agregadas si es que existe una necesidad para referenciar el
nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario
en particular.
Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su
nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada
ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre)
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por
lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así
que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario
es seguro usar la configuración dinámica.
Nota Importante
En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la
configuración PPP
Parámetros
•
•
•
•
•
•
•
authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2) .- Especifica los métodos de
autenticación que el servidor aceptará
default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará
enabled (yes | no; Default: no) .- Define si es que el servidor PPTP está habilitado o no
keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive no recibe ningún paquete,
se enviará paquetes keepalive cada segundo por cinco veces. Si el server no recibe respuesta del cliente, entonces
se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los mensajes “LCP missed
echo reply” y luego se desconectará.
max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes
max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño
máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes
mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel
L2TP
L2TP es un protocolo de túnel seguro para transportar tráfico IP usando PPP.
L2TP encapsula PPP en líneas virtuales que corren sobre IP, frame Relay y otros protocolos (que no son soportados
actualmente por MikroTik RouterOS)
L2TP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. El propósito de este
protocolo es permitir que los extremos PPP y Capa 2 residan en diferentes dispositivos interconectados por una red
conmutada de paquetes (packet-switched network)
Con L2TP, un usuario tiene una conexión en Capa 2 a un concentrador de acceso – LAC (ejemplo: manco de módems,
ADSL DSLAM, etc.), y el concentrador entonces hace túneles de frames PPP individuales al Servidor de Acceso de Red
(NAS = Network Access Server). Esto permite que el procesamiento real de paquetes PPP sea separado de la terminación
del circuito de Capa 2. Desde la perspectiva del usuario, no existe diferencia funcional entre tener que el circuito en Capa 2
termine en un NAS directamente o usando L2TP.
Puede ser útil usar L2TP únicamente como cualquier otro protocolo de túnel con o sin encriptación. El estándar L2TP
establece que la forma más segura de encriptar datos es usar L2TP sobre IPsec (este es el modo por default para cliente
Microsoft L2TP) ya que todos los paquetes de control y datos de L2TP de un túnel aparecen como paquetes de datos UDP/IP
homogéneos para el sistema IPsec.
Se soporta Multilink PPP (MP) para poder proveer MRRU (la habilidad para transmitir paquetes de 1500 y más grandes) y
Bridging sobre enlaces PPP (usando BCP=Bridge Control Protocol, el cual permite enviar frames Ethernet sobre enlaces
PPP). De esta forma es posible configurar Bridging sin EoIP. El bridge debería tener ya sea una dirección MAC administrativa
o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC.
Academy Xperts
143
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
L2TP incluye autenticación (authentication) y contabilización (accounting) PPP para cada conexión L2TP. Una completa
autenticación y contabilización de cada conexión puede ser realizada a través de un cliente RADIUS o localmente.
Métodos de encriptación soportados
•
•
MPPE 40bit RC4
MPPE 128bit RC4
El protocolo L2TP utiliza el protocolo UDP para los paquetes de control y de datos. El puerto UDP 1701 se utiliza únicamente
para establecer el enlace, el tráfico adicional puede utilizar cualquier puerto UDP (que puede o no ser el 1701). Esto significa
que L2TP puede ser usado con la mayoría de firewalls y routers (incluso con NAT) tan solo habilitando que el tráfico UDP
sea ruteado a través del firewall o del router.
L2TP Client (cliente l2tp)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
add-default-route (yes | no; Default: no) .- Especifica si es que se agrega una dirección remota L2TP como
una ruta por default
allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de
autenticación permitidos
connect-to (IP; Default: ) .- Dirección remota del servidor L2TP
coment (string; Default: ) .- Breve descripción del túnel
default-route-distance (byte; Default:) .- Desde la v6.2 se configura el valor de distancia aplicado para la
ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route
dial-on-demand (yes | no; Default: no) .- Se conecta únicamente cuando se genera tráfico de salida. Si esta
opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada
mientras la conexión no está establecida
disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está deshabilitada.
keepalive-timeout (integer [1..4294967295]; Default: 60s) .- Desde la v6.0rc13, el keepalive timeout se
representa en segundos
max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes
max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño
máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes
mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel
name (string; Default: ) .- Nombre descriptivo de la interface
password (string; Default: "") .- Contraseña (password) usado para la autenticación
profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa
user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
L2TP Server (servidor l2tp)
Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración L2TP Server
•
Las interfaces estáticas son agregadas administrativamente si es que existe una necesidad para referenciar el
nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario
en particular.
Academy Xperts
144
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
•
Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su
nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada
ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre)
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por
lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así
que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario
es seguro usar la configuración dinámica.
Nota Importante
En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la
configuración PPP
Parámetros
•
•
•
•
•
•
•
authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2) .- Especifica los métodos de
autenticación que el servidor aceptará
default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará
enabled (yes | no; Default: no) .- Define si es que el servidor L2TP está habilitado o no
keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive-timeout no recibe
ningún paquete, se enviará paquetes keepalive cada segundo, por cinco veces. Si el server no recibe respuesta del
cliente, entonces se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los
mensajes “LCP missed echo reply” y luego se desconectará. Este parámetro está disponible a partir de las versiones
v5.22 y v6rc3
max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes
max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño
máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes
mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel
Clientes y servidores SSTP
VPN SSTP es un tipo de VPN de acceso remoto que permite una conexión VPN por SSL de HTTPS, o lo que es lo mismo
encapsula trafico PPP sobre un canal SSL. Esto le permite atravesar Firewalls donde las conexiones VPN por PPTP o L2TP
estén prohibidas. SSTP utilizara el puerto 443 para atravesar los firewalls y a través de SSL tenemos cifrado, autenticación
y negociación de claves.
•
•
•
•
Definición del servidor SSTP es casi lo mismo que para PPTP, salvo que se especifique un puerto TCP para
conectarse (443 por defecto).
Se usa con certificados digitales para crear Túneles sobre internet.
El cliente se define casi la misma forma que un cliente PPTP, salvo que se especifique un puerto TCP a utilizar para
establecer una conexión (443 por defecto).
Consejo: Debe permitir el puerto 443 para que su túnel pueda llegar sin problemas. Además, dejar el puerto en 443
para asegurarlo con SSL y poderlo utilizar para sus comunicaciones.
Academy Xperts
145
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Configuración en línea de comando:
/interface sstp-server server
set authentication=mschap2 enabled=yes
/interface sstp-client
add add-default-route=no authentication=mschap2 certificate=none connect-to=\
192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \
keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \
password=pod4-123 profile=Profile-external user=Pod4-external \
verify-server-address-from-certificate=no verify-server-certificate=n
Academy Xperts
146
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Clientes y Servidores OpenVPN
Es una solución de conectividad basada en software libre: SSL (Secure Sockets Layer) VPN Virtual Private Network (red
virtual privada), OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados
remotamente.
•
•
•
Sigue el mismo patrón de configuraciones anteriores, similar a SSTP.
Con la única diferencia, que con esta herramienta (OPVN) nos permites crear nuestros propios certificados digitales
públicos, para poder usarlos, sin tener que pagar por ellos.
Una muy buena herramienta a la hora de pensar en el factor COSTO.
Configuración de Rutas entre redes
Es necesaria la configuración de rutas estáticas para que exista comunicación, tomar en cuenta:
•
Una vez que el túnel está configurado y operativo, usted necesita rutas para mover los paquetes de un lado a otro.
•
La primera forma, es usar la ruta que se crea automáticamente en el router del cliente para ese túnel.
/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#
DST-ADDRESS
PREF-SRC
GATEWAY
DISTANCE
0 ADS 0.0.0.0/0
192.168.0.254
0
1 ADC 192.168.0.0/24
192.168.0.5
ether1
0
2 ADC 192.168.5.0/24
192.168.5.1
Bridge-PC
0
3 ADC 192.168.5.101/32
192.168.5.1
<pptp-ejemplo>
0
•
La segunda opción es especificar una o múltiples rutas con PPP secret para cada cliente:
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
/ppp secret print
Flags: X - disabled
#
NAME
0 Pod4-external
Academy Xperts
SERVICE CALLER-ID
any
PASSWORD
pod4-123
PROFILE
Profile-external
REMOTE-ADDRESS
147
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
1
alain
any
alain!!
Profile-internal
/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24
/ppp secret export
add
name=Pod4-external
password=pod4-123
routes=192.168.4.0/24,10.10.2.0/24
add name=alain password=alain!! profile=Profile-internal
•
•
profile=Profile-external
\
La tercera forma es agregar rutas estáticas a una o varias redes a través de un túnel.
Este método es útil si ambos routers tienen su propia ruta por defecto, pero implica más mantenimiento y
parámetros.
/ip route
add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24 gateway=192.168.254.10
add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21 gateway=192.168.254.10
Preguntas de repaso del Capítulo 8
1.
Qué protocolos pueden ser tunelizados?
2.
Qué es el SECRET y qué es el PROFILE?
3.
Cuál es la principal característica del túnel PPPoE?
4.
Cuál es el puerto y el protocolo que se debe tener en cuenta para habilitar una regla en Firewall para permitir túneles
PPTP?
Laboratorio – Capítulo 8
Academy Xperts
148
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Capítulo 9: Herramientas RouterOS
E-mail
Es una herramienta que te permite enviar un mail desde el router. Se puede utilizar, junto con otras herramientas, para enviar
copias de seguridad de configuración regulares y exportar al administrador de red.
La herramiena E-mail utiliza únicamente autenticación plana y encriptación TLS. No se soportan otros métodos.
Por medio de línea de comando lo podemos ver como:
/tool e-mail print
Address: 0.0.0.0
Port: 25
Start-tls: no
From: <>
User:
Password:
Propiedades
/tool e-mail
Este sub menú permite configurar el servidor SMTP que se utilizará
•
•
•
•
•
from (string; Default: <>) – Nombre o dirección email que se mostrará coom receptor
password (string; Default: "") – Contraseña que se utiliza para autenticar al servidor SMTP
address (IP/IPv6 address; Default: 0.0.0.0) – Dirección IP del servidor SMTP
port (integer[0..65535]; Default: 25) – Puerto del servidor SMTP
username (string; Default: "") – Nombre de usuario (username) utilizado para autenticar en el servidor SMTP
Importante: Si se especifican las configuraciones del server, las mismas pueden ser reemplazadas cuando se utilice el
comando send.
Send Email
/tool e-mail send
Este sub menú permite configurar el servidor SMTP que se utilizará
•
•
•
body (string; Default: ) – Cuerpo (contenido) del mensaje de correo
cc (string; Default: ) – Permite especificar las direcciones de correo a las que se hará una copia del mail
file (string; Default: ) – Nombre del archivo que se adjuntará al mail. Únicamente se puede adjuntar un archivo
Academy Xperts
149
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
•
•
•
•
•
from (string; Default: ) – Nombre o dirección de correo que aparecerá como remitente. Si no se especifica este
parámetro entonces se utilizará el valor de la configuración del server
password (string; Default: ) – Contraseña que se utilizará para autenticar al servidor SMTP. Si no se especifica este
parámetro entonces se utilizará el valor de la configuración del server
port (integer[0..65535]; Default: ) – Puerto del servidor SMTP. Si no se especifica este parámetro entonces se
utilizará el valor de la configuración del server
server (IP/IPv6 address; Default: ) – Dirección IP o IPv6 del servidor SMTP. Si no se especifica este parámetro
entonces se utilizará el valor de la configuración del server
subject (string; Default: ) – Asunto del mensaje
tls (yes|no; Default: yes) – Permite especificar si se utiliza encriptación TLS o no
to (string; Default: ) – Dirección de correo de destino
user (string; Default: ) – Nombre usuario (username) que se utiliza para autenticar al servidor SMTP. Si no se
especifica este parámetro entonces se utilizará el valor de la configuración del server
Ejemplo básico #1
El siguiente ejemplo muestra cómo enviar un mail con el export de la configuración cada 24 horas
1. Configurar el servidor SMTP
/tool e-mail> set server=10.1.1.1 port=25 from="router@mydomain.com"
2. Agregar un nuevo script llamado “export-send”
/export file=export
/tool e-mail send to="config@mydomain.com" subject="$[/system identity get name] export) \
body="$[/system clock get date] configuration file" file=export.rsc
3. Agregar un scheduler para ejecutar el script
/system scheduler
add on-event="export-send" start-time=00:00:00 interval=24h
Ejemplo básico #2
Enviar un email al servidor usando encriptación TLS/SSL. Por ejemplo, el mail de Google requiere esta configuración:
1. Configurar el cliente para conectarse al server correcto
/tool e-mail
set address=173.194.77.108
set port=587
set from=myuser@gmail.com
set user=myuser
set password=mypassword
2. Enviar el email usando el comando send con el parámetro tls=yes
send to=myuser@anotherdomain.com subject="email test" body="email test" tls=yes
Netwatch
Netwatch monitorea el estado de los host de la red. Lo hace mediante el envío de pings ICMP a la lista de direcciones IP
especificadas.
La principal ventaja de netwatch es su capacidad arbitraria de emitir comandos ante los cambios de estado del host que
monitorea.
Importante: netwatch ejecuta los scripts como un usuario *sys, por lo que cualquier variable global que se defina en este
script de netwatch, no podrá ser leida por el scheduler u otros usuarios.
Para cada entrada se puede especificar
•
•
•
Dirección IP
Intervalo del Ping
Scripts Up / Down
Es muy útil para:
•
•
•
•
Ser conscientes de los fallos de red
Automatizar un cambio de puerta de enlace predeterminada, por ejemplo, si el router principal falla.
Solo para tener una vista rápida de lo que está pasando
Cualquier otra cosa que usted puede llegar a simplificar y acelerar es su trabajo
Propiedades
/tool netwatch
•
•
down-script (string; Default: ) – script de consola que se ejecuta una vez cuando el estado de un host cambia
a down
host (IP; Default: 0.0.0.0) – Dirección IP de un host que debe ser monitoreado
Academy Xperts
150
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
interval (time; Default: 1m) – Intervalo de tiempo entre pings. Si se disminuye este valor se hará que los cambios
de estado más sensibles, pero puede crear tráfico innecesario y consumir recursos del sistema.
timeout (time; Default: 1s) – Tiempo en segundos luego del cual el host se considera caído (down)
up-script (string; Default: ) – script de consola que se ejecuta una vez cuando el estado de un host cambia a
up
Ejemplo de Netwatch con estatus “UP”
Ejemplo de Netwatch con estatus “DOWN”
Ejemplo básico #1
El siguiente ejemplo ejecutará los scripts gw_1 o gw_2 que cambiará el default gateway dependiendo del estatus de uno de
los gateways:
/system script add name=gw_1 source={/ip route set
{... [/ip route find dst 0.0.0.0] gateway 10.0.0.1}
/system script add name=gw_2 source={/ip route set
{.. [/ip route find dst 0.0.0.0] gateway 10.0.0.217}
/system script tool netwatch add host=10.0.0.217 interval=10s timeout=998ms \
\... up-script=gw_2 down-script=gw_1
/tool netwatch print
Flags: X - disabled
#
HOST
TIMEOUT
0
10.0.0.217
997ms
Academy Xperts
INTERVAL
10s
STATUS
up
151
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
/tool netwatch print detail
Flags: X - disabled
0
host=10.0.0.217 timeout=997ms interval=10s since=feb/27/2003 14:01:03
status=up up-script=gw_2 down-script=gw_1
Sin los scripts, el netwach se puede utilizar como una herramienta de información para ver cuáles enlaces están operativos
(up), o cuáles hosts específicos están corriendo en ese momento.
En el ejemplo anterior, se cambia la ruta por default si el gateway se vuelve inalcanzable. Para esto hay 2 scripts. El script
“gw_2” se ejecuta una vez cuando el estatus de host cambia a “up”. En este caso, el siguiente es el equivalente a ingresar
el comando por consola:
/ip route set [find dst-address="0.0.0.0/0"] gateway=10.0.0.217
El comando find retorna una lista de todas las rutas cuyo valor de dst-adress es 0.0.0.0/0
Esta es usualmente la ruta por default. Se substituye como primer argumento por el comando /ip route set, el cual
cambia el gateway de esta ruta a 10.0.0.217
El script “gw_1” se ejecuta una vez cuando el estatus del host se vuelve “down”. Hace lo siguiente:
/ip route set [find dst-address="0.0.0.0/0"] gateway=10.0.0.1
Cambia el default gateway si la dirección 10.0.0.217 se vuelve inalcanzable
Ejemplo básico #2
Envía una notificacion email si el host 10.0.0.215 se vuelve down:
/system script add name=e-down source={/tool e-mail send
{... from="support@mt.lv" server="159.148.147.198" body="Router down"
{... subject="Router at second floor is down" to="user@example.com"}
/system script add name=e-up source={/tool e-mail send
{... from="support@mt.lv" server="159.148.147.198" body="Router up"
{.. subject="Router at second floor is up" to="user@example.com"}
/system script tool netwatch add host=10.0.0.215 timeout=999ms \
\... interval=20s up-script=e-up down-script=e-down
/tool netwatch print detail
Flags: X - disabled
0
host=10.0.0.215 timeout=998ms interval=20s since=feb/27/2003 14:15:36
status=up up-script=e-up down-script=e-down
Ping
Es una herramienta de conectividad básica que utiliza mensajes de ICMP Echo para determinar si un host remoto está activo
o inactivo, y también para determinar el retardo de ida y vuelta cuando se comunica con dicho host remoto
La herramienta ping envía un mensaje ICMP (type 8) al host remoto y espera por el mensaje ICMP echo-reply (type 0)
de retorno. El intervalo entre estos eventos se conoce como “round trip”.
Si la respuesta (que se conoce como “pong”) no llega hasta que finaliza el intervalo de tiempo de espera, se asume que el
tiempo se ha agotado (timed-out).
Otro parámetro significativo que se reporta en la herramienta ping es ttl (Time To Live), el cual disminuye en cada máquina
en que el paquete es procesado. El paquete alcanzara su destino únicamente cuando el ttl sea mayor que el número de
routers entre el origen y el destino.
Cabecera (header) ICMP
La cabecera ICMP comienza después de la cabecera IPv4 y se identifica con el número de protocolo IP '1'. Todos los
paquetes ICMP tienen una cabecera de 8 bytes y la sección de datos de tamaño variable. Los primeros 4 bytes de la cabecera
tienen formato fijo, mientras que los últimos 4 bytes dependen del type/code de ese paquete ICMP.
Formato de la cabecera (header) ICMP
Academy Xperts
152
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Mensajes de Control ICMP
Propiedades
/ping [address] [properties]
La herramienta ping puede usarse para para hacer ping a direcciones IP y a direcciones MAC.
MAC ping funciona únicamente a dispositivos que tienen configurado el MAC ping server
•
•
•
•
•
arp-ping (yes | no; Default: )
count (integer [0..4294967295]; Default: 0) – Número total de paquetes a enviar (por default se envía eternamente
hasta que se interrumpe el comando).
do-not-fragment (; Default: ) – Si la etiqueta do-not-fragment está configurada, los paquetes no serán
fragmentados si el tamaño excede el MTU de la interface.
interface (string; Default: ) – Especifica cuál interface se debe usar (requerido cuando se ping a direcciones IPv6)
interval (time [10ms..5s]; Default: 1s) – Especifica cuánto tiempo se debe esperar por la respuesta. Si no se
recibe respuesta dentro de 1,000 mseg, el ping mostrará el mensaje “timed-out”. Si se recibe una respuesta después
de 3 ms, el programa ping esperará el resto de los 997 ms hasta que se envíe el próximo ping.
Academy Xperts
153
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
•
routing-table (string; Default: main) – Especifica la tabla de ruteo que se debe usar para resolver el destino. Se
utiliza en configuraciones VRF
size (integer; Default: 64) – Tamaño del paquete que se va a usar. Se mide en bytes (incluye el payload y la
cabecera IP)
src-address (IPv4,IPv6; Default: ) – Direcciones IPv4 / IPv6 que serán utilizadas como origen de los paquetes.
Sumamente útil si la respuesta se debe enviar a una dirección específica
ttl (integer [1..255]; Default: ) – Permite el ajuste del parámetro TTL
Importante: Si el DNS está configurado, entonces se puede utilizar en nombre DNS como destino del ping
Como usar un Ping
En la ventana de Terminal del WinBox, lo podemos usar para realizar algún ping
/ping www.mikrotik.com
HOST
SIZE TTL TIME STATUS
159.148.147.196
56 50
163ms
159.148.147.196
56 50
156ms
159.148.147.196
56 50
156ms
159.148.147.196
56 50
160ms
Sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
Otros Ejemplos de ping
/ping 10.1.101.3
HOST
SIZE TTL TIME STATUS
10.1.101.3
56
64 3ms
10.1.101.3
56
64 10ms
10.1.101.3
56
64 7ms
sent=3 received=3 packet-loss=0% min-rtt=3ms avg-rtt=6ms max-rtt=10ms
/ping 10.1.101.9
HOST
sent=3 received=0 packet-loss=100%
SIZE
TTL TIME
STATUS
timeout
timeout
timeout
También se puede hacer ping a una dirección multicast para descubrir todos los hosts que pertenecen al grupo multicast:
/ping ff02::1
HOST
SIZE TTL TIME STATUS
fe80::20c:42ff:fe49:fceb
56
64 1ms
echo reply
fe80::20c:42ff:fe72:a1b0
56
64 1ms
echo reply
fe80::20c:42ff:fe28:7945
56
64 1ms
echo reply
fe80::21a:4dff:fe5d:8e56
56
64 3ms
echo reply
sent=1 received=4 packet-loss=-300% min-rtt=1ms avg-rtt=1ms max-rtt=3ms
ping de paquetes grandes
/ping 10.1.101.3 size=1600 do-not-fragment
HOST
SIZE TTL TIME STATUS
576
64 3ms
fragmentation needed and DF set
576
64 6ms
fragmentation needed and DF set
sent=2 received=2 packet-loss=0% min-rtt=3ms avg-rtt=4ms max-rtt=6ms
Academy Xperts
154
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
ping por nombre DNS
/ping www.google.lv
HOST
SIZE TTL
74.125.77.99
56
47
74.125.77.99
56
47
sent=2 received=2 packet-loss=0% min-rtt=59ms
TIME STATUS
59ms
85ms
avg-rtt=72ms max-rtt=85ms
ping a dirección MAC
/ping 00:0C:42:72:A1:B0
HOST
SIZE TTL TIME STATUS
00:0C:42:72:A1:B0
56
0ms
00:0C:42:72:A1:B0
56
0ms
sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms
MAC ping
/mac-server ping
/tool mac-server ping set enabled=yes
Este sub menú permite habilitar el MAC ping server
Cuando se habilita el MAC ping, otros hosts en el mismo dominio de broadcast pueden usar la herramienta ping para hacer
ping a la dirección MAC.
Traceroute
Traceroute es una herramienta de diagnóstico de red que muestra la ruta (path) y mide el retardo del tránsito de los paquetes
a través de una red IP.
El histórico de la ruta se registra como el tiempo de ida y vuelta (round-trip) de los paquetes recibidos desde cada host
sucesivo (nodo remoto) en la ruta (path). La suma de los tiempos medios en cada salto indica el tiempo total empleado para
establecer la conexión.
Traceroute procede a menos que todos los paquetes (3 paquetes) que se envían, se pierdan más de dos veces, entonces
se pierde la conexión y la ruta ya no puede evaluada. Por otro lado, el ping sólo calcula los tiempos finales de ida y vuelta
desde el punto de destino.
Traceroute envía una secuencia de paquetes UDP (User Datagram Protocol) direccionados al host destino. También puede
usar paquetes ICMP Echo Request, o paquetes TCP SYN.
El valor del TTL se utiliza para determinar los routers intermedios por los cuales se está atravesando hasta llegar al destino.
Los routers disminuyen en uno los valores TTL de los paquetes y descartan los paquetes cuyos valores de TTL son cero.
Cuando un router recibe un paquete con ttl=0, envía de retorno un mensaje de error ICMP que indica ICMP Time Exceeded.
Los valores de fecha y hora de retorno de cada router a lo largo del camino son los valores de la demora (latencia). Este
valor generalmente se mide en milisegundos para cada paquete.
Academy Xperts
155
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
/tool traceroute www.mikrotik.com
# ADDRESS
LOSS SENT
LAST
100%
3
timeout
216.113.124.190
0%
3
13.9ms 12.2
AVG
BEST
WORST
11.1
13.9
1.2
STD-DEV
STATUS
El emisor espera una respuesta dentro de un número especificado de segundos. Si un paquete no es reconocido dentro del
intervalo esperado, se muestra un asterisco (*). El protocolo IP no requiere que los paquetes tomen la misma ruta hacia un
destino en particular, por lo tanto, los hosts que se muestran podría ser hosts que otros paquetes han atravesado. Si el host
en el salto #N no contesta, el salto se omite en la salida.
Más información es: https://en.wikipedia.org/wiki/Traceroute
Profiler (Carga del CPU)
/tools profile
Esta herramienta muestra el uso del CPU para cada proceso que se ejecuta en el RouterOS. Ayuda a identificar cuál proceso
es el que utiliza más recursos de CPU.
/tool profile
NAME
USAGE
sstp
9%
ppp
0.5%
ethernet
0%
queue-mgmt
0%
console
0.5%
dns
0%
winbox
0%
logging
0%
management
1.5%
ospf
0%
idle
87.5%
profiling
0.5%
queuing
0%
routing
0%
Academy Xperts
156
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
bridging
unclassified
0%
0.5%
Utilización del CPU en sistemas multi-core
En sistemas multi-core la herramienta permite especificar la utilización por núcleo de CPU.
Por ejemplo, para ver la utilización del CPU en un segundo núcleo se debe utilizar el siguiente comando:
/tool profile cpu=2
NAME
CPU
USAGE
ethernet
1
0%
kvm
1
2.5%
management
1
0.5%
idle
1
96.5%
profiling
1
0%
unclassified
1
0.5%
El parámetro cpu permite especificar el número entero el cual representa el número de core (núcleo)
•
•
total – Este valor configura la suma del uso de todos los núcleos
all – Este valor muestra los usos de cpu separadamente para cada núcleo (core) activo
Ejemplo con ambos parámetros en un sistema de dos núcleos:
/tool profile cpu=all
NAME
CPU
USAGE
ethernet
1
0%
kvm
0
0%
kvm
1
4.5%
management
0
0%
management
1
0.5%
idle
0
100%
idle
1
93%
profiling
0
0%
profiling
1
2%
/tool profile cpu=total
NAME
CPU
ethernet
all
console
all
kvm
all
management
all
idle
all
profiling
all
bridging
all
USAGE
0%
0%
2.7%
0%
97.2%
0%
0%
Clasificadores
Profile clasifica los procesos. La mayoría de ellos se explican por si solos y no requieren una explicación detallada.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
idle – Muestra el tiempo NO usado del CPU. Es decir, idle=100% - (suma de todos los procesos de uso de cpu)
ppp
pppoe
ppp-compression
ppp-mppe
ethernet – CPU usado por las interfaces ethernet cuando envían/reciben paquetes
bridging
encrypting – CPU utilizado por la encriptación de paquetes
ipsec – IP security
queuing – packet queuing
firewall – Procesamiento de los paquetes en /ip firewall
l7-matcher – CPU utilizado por el matcher Layer7
p2p-matcher – Tráfico peer-to-peer en /ip firewall
gre – Túneles GRE
eoip – Túneles EoIP
m3p – MikroTik Packet Packer Protocol
radius
ip-pool
routing
sniffing
traffic-accounting
traffic-flow
console
telnet
ssh
ftp
Academy Xperts
157
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
tfpt
www
dns
snmp
socks
web-proxy
winbox
metarouter-fs
metarouter-net
kvm
profiling – CPU utilizado por la propia herramienta profiler
btest – Herramienta bandwidth test
logging
flash – CPU utilizado cuando se escribe a la NAND
disk – CPU utilizado cuando se escribe en Disk
networking – Procesamiento de paquetes en el core
serial
usb
firewall-mgmt
queue-mgmt
e-mail
fetcher
backup
graphing
health
isdn
dhcp
hotspot
radv - IPv6 route advertisement
ntp - NTP server/client
ldp
mpls
pim - Multicast routing protocol
igmp-proxy
bgp
ospf
rip
mme
synchronous – CPU utilizado por las tarjetas síncronas
gps
user-manager
wireless
dude
supout.rif – CPU utilizado por el creador del archivo supout.rif
management – Procesos de administración de RouterOS que no caen en los otros clasificadores. Por ejemplo,
cuando se agregan rutas al kernel, mensajes internos de intercambio entre aplicaciones RouterOS, etc.
unclassified – Cualquier otro proceso que no ha podido ser clasificado.
Torch
El Torch es una herramienta de monitorización de tráfico en tiempo real que se puede utilizar para monitorear el tráfico a
través de una interface.
Se puede monitorear el tráfico clasificado por nombre de protocolo, dirección origen, dirección destino, puerto. La herramienta
torch muestra el protocolo que se ha elegido y la tasa de datos tx/rx de cada uno de ellos.
Academy Xperts
158
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
El siguiente ejemplo monitorea el tráfico generado por el protocolo telnet, el cual pasa a través de la interface ether1:
/tool torch ether1 port=telnet
SRC-PORT
DST-PORT
TX
RX
1439
23 (telnet)
1.7kbps
368bps
Para ver qué protocolos se envían a través de ether1:
/tool torch ether1 protocol=any-ip
PRO..
TX
RX
tcp
1.06kbps
608bps
udp
896bps
3.7kbps
icmp
480bps
480bps
ospf
0bps
192bps
Para ver qué protocolos están enlazados al host 10.0.0.144/32 conectado a la interface ether1:
/tool torch ether1 src-address=10.0.0.144/32 protocol=any
PRO..
SRC-ADDRESS
TX
RX
tcp
10.0.0.144
1.01kbps
608bps
icmp
10.0.0.144
480bps
480bps
Graphing (Gráficos)
Es una herramienta para monitorear en el tiempo varios parámetros RouterOS y pone los datos recogidos en gráficos.
Esta herramienta puede mostrar gráficos de:
•
•
•
•
Estado de salud del RouterBOARD (voltaje y temperatura)
Utilización de recursos (CPU, memoria y utilización de disco)
Tráfico que pasa através de las interfaces
Tráfico que pasa através de las colas simples (simple queue)
Graphing consiste de dos partes:
•
•
La primera parte recoge información
La segunda parte muestra los datos en una página web
Para acceder a los gráficos, debe escribir en el web browser http://[Direccion_IP_Router]/graphs/ y luego elegir el
gráfico que se desea visualizar.
Academy Xperts
159
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
/tool graphing
•
•
store-every (24hours | 5min | hour; Default: 5min) – Cuán frecuente se escriben los datos recolectados al drive
del sistema
page-refresh (integer | never; Default: 300) – Cuán frecuente se refresca la página de gráficos
Academy Xperts
160
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Interface Graphing
/tool graphing interface
Esta opción permite configurar en cuál interface las gráficas recogerán los datos de uso de ancho de banda.
Propiedades
•
•
•
•
•
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos
comment (string; Default: ) – Descripción de la entrada actual
disabled (yes | no; Default: no) – Define si el ítem es usado
interface (all | interface name; Default: all) – Define qué interfaces serán monitoreadas. all significa que se van
a monitorear todas las interfaces.
store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Queue Graphing
/tool graphing queue
Esta opción permite configurar en cuál cola simple (simple queue) las gráficas recogerán los datos de uso de ancho de
banda.
Propiedades
•
•
•
•
•
•
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos
allow-target (yes | no; Default: yes) – Define si se permite el acceso a los gráficos desde la dirección objetivo de
la cola
comment (string; Default: ) – Descripción de la entrada actual
disabled (yes | no; Default: no) – Define si el ítem es usado
simple-queue (all | queue name; Default: all) – Define qué colas serán monitoreadas. all significa que se van a
monitorear todas las colas.
store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Importante: Si la cola simple (simple queue) tiene un target-address=0.0.0.0/0 entonces todos estarán habilitados
para acceder a los gráficos de las colas incluso si la dirección permitida se configura con una dirección específica. Esto
ocurre porque los gráficos de la cola por default son accesibles también desde la dirección objetivo (target-address).
Resource Graphing
/tool graphing resource
Esta opción permite habilitar los gráficos de los recursos del sistema.
Graphing recolecta los datos de:
Academy Xperts
161
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
Uso de CPU
Uso de Memoria
Uso de Disco
Propiedades
•
•
•
•
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos
comment (string; Default: ) – Descripción de la entrada actual
disabled (yes | no; Default: no) – Define si el ítem es usado
store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Graphics en WinBox
WinBox permite visualizar la misma data r ecolectada como en el web page. Debe abrir la ventana en Tools/Graphing. Luego
debe hacer doble-click de lo que desea ver las gráficas
SNMP
Simple Network Management Protocol (SNMP) es un protocolo de Internet estándar que se utiliza para la gestión de
dispositivos en las redes IP. Puede utilizarse para graficar la información con herramientas como CACTI, MRTG o The Dude.
El soporte para la escritura en SNMP (SNMP write) está únicamente disponible para algunos OIDs. El soporte para write
está disponible en los OIDs de SNMP v1, v2 o v3.
Importante: SNMP responderá a la consulta en la interface SNMP que fue recibia de forzar las respuestas a tener la misma
dirección que el destino de consulta enviado al router.
Importante: A partir de SNMP 6.18 se implementa el OID blacklisting. El tiempo de espera del OID es 30 segundos cuando
está en lista negra por 600 segundos.
Configuración rápida
Para habilitar SNMP en RouterOS usando CLI
/snmp print
enabled: no
contact:
location:
engine-id:
trap-community: (unknown)
trap-version: 1
/snmp set enabled yes
En la configuración previa también se puede especificar la información del contacto administrativo. Toda la data SNMP estará
disponible a las comunidades configuradas en el menú community
Para habilitar SNMP en RouterOS usando WinBox
Academy Xperts
162
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Propiedades generales
/snmp
•
•
•
•
•
•
•
•
•
contact (string; Default: "") – Información de contacto
enabled (yes | no; Default: no) – Permite habilitar/deshabilitar el servicio SNMP
engine-id (string; Default: "") – Para SNMP v3. Se puede configurar parte del sufijo del engine-id usando este
argumento. Si el cliente SNMP no es capaz de detectar el valor configurado de engine-id, entonces se debe usar
el siguiente prefijo hexadecimal 0x80003a8c04
location (string; Default: "") – Información de la ubicación
trap-community (string; Default: public) – Especifica las comunidades configuradas en el menú community que
se usarán cuando se envíe el trap
trap-generators (interfaces | start-trap; Default: ) – Especifica la acción que generarán los traps:
§
interfaces – Cambia la interface
§
start-trap – Inicia el server SNMP en el router
trap-interfaces (string | all; Default: ) – Lista de las interfaces que los traps van a enviar
trap-target (list of IP/IPv6; Default: 0.0.0.0) – Direcciones IPv4 o IPv6 de colectores de datos SNMP que tienen
que recibir el trap
trap-version (1|2|3; Default: 1) – Versión del protocolo SNMP para usar el trap
Importante: El campo engine-id mantiene el valor sufijo de engine-id, usualmente los clientes SNMP deberían estar
habilitados para detectar el valor, como valores SNMP, como se lee desde el router. Sin embargo, existe una posibilidad de
que este no sea el caso. En cuyo caso el valor engine-id tiene que ser seleccionado de acuerdo a la siguiente regla:
<engine-id prefix> + <hex-dump suffix>,
Por ejemplo, si se tiene configurado 1234 como valor sufijo entonces se debe proveer 80003a8c04 + 31323334, siendo el
resultado del valor hexadecimal combinado: 80003a8c0431323334
Academy Xperts
163
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
SNMP dentro del mapa de Protocolos TCP/IP
Community (Comunidad)
/snmp community
Esta opción permite configurar los derechos de acceso a la data SNMP.
Existe poca seguridad en las versiones v1 y v2c, únicamente la cadena de texto de comunidad (username) y la habilidad
para limitar el acceso por dirección IP.
A partir de SNMP v3 se han introducido mejores opciones:
•
•
Authorisation (User + Pass) con MD5/SHA1
Encryption con DES (y a partir de la versión v6.16 se introdujo AES)
/snmp community print value-list
name: public
address: 0.0.0.0/0
security: none
read-access: yes
write-access: no
authentication-protocol: MD5
encryption-protocol: DES
authentication-password: *****
encryption-password: *****
Academy Xperts
164
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Advertencia: Las configuraciones por default únicamente tienen una comunidad llamada public sin configuraciones de
seguridad adicionales. Estas configuraciones deben ser consideradas inseguras y deberían ser ajustadas de acuerdo al perfil
de seguridad requerido.
Propiedades
•
•
•
•
•
•
•
•
•
address (IP/IPv6 address; Default: 0.0.0.0/0) – Direcciones desde las cuales las conexiones al servidor SNMP está
permitido
authentication-password (string; Default: "") – Contraseña usada para autenticar la conexión al servidor
(SNMPv3)
authentication-protocol (MD5 | SHA1; Default: MD5) – Protocolo que se usa para autenticación (SNMPv3)
encryption-password (string; Default: "") – Contraseña usada para encriptación (SNMPv3)
encryption-protocol (DES | AES; Default: DES) – Protocolo de encriptación utilizado para encriptar la
comunicación (SNMPv3). AES (de acuerdo al RFC-3826) está disponible desde v6.16.
name (string; Default: )
read-access (yes | no; Default: yes) – Especifica si el acceso de lectura está habilitado para esta comunidad
security (authorized | none | private; Default: none)
write-access (yes | no; Default: no) – Especifica si el acceso escritura está habilitado para esta comunidad
Management information base (MIB)
MIB es la base de datos de información mantenida por el agente que el administrador puede consultar. Se puede descargar
la versión actualizada del MIB de MikroTik RouterOS.
MIBs usados en RouterOS v5.x:
•
•
•
•
•
•
•
•
•
•
•
•
•
MIKROTIK-MIB
MIB-2
HOST-RESOURCES-MIB
IF-MIB
IP-MIB
IP-FORWARD-MIB
IPV6-MIB
BRIDGE-MIB
DHCP-SERVER-MIB
CISCO-AAA-SESSION-MIB
ENTITY-MIB
UPS-MIB
SQUID-MIB
Identificadores de Objetos (OID - Object identifiers)
Cada OID identifica una variable que puede ser leída vía SNMP.
Aunque el archivo MIB contiene todos los valores OID necesitados, se puede visualizar la información OID individual en la
consola:
/interface print oid
Flags: D - dynamic, X - disabled, R - running, S - slave
0 R name=.1.3.6.1.2.1.2.2.1.2.1 mtu=.1.3.6.1.2.1.2.2.1.4.1
mac-address=.1.3.6.1.2.1.2.2.1.6.1 admin-status=.1.3.6.1.2.1.2.2.1.7.1
oper-status=.1.3.6.1.2.1.2.2.1.8.1 bytes-in=.1.3.6.1.2.1.2.2.1.10.1
packets-in=.1.3.6.1.2.1.2.2.1.11.1 discards-in=.1.3.6.1.2.1.2.2.1.13.1
errors-in=.1.3.6.1.2.1.2.2.1.14.1 bytes-out=.1.3.6.1.2.1.2.2.1.16.1
packets-out=.1.3.6.1.2.1.2.2.1.17.1 discards-out=.1.3.6.1.2.1.2.2.1.19.1
errors-out=.1.3.6.1.2.1.2.2.1.20.1
Traps
Los traps SNMP habilitan el router para notificar al colector de data de los cambios de interface y los cambios de estatus
de servicio SNMP cuando se envían los traps.
Es posible enviar traps con características de seguridad para soportar SNMPv1 (sin seguridad). SNMPv2 y variantes y
SNMPv3 con encriptación y autorización.
Para SNMPv2 y v3 se debe configurar una comunidad apropiada como un trap-community para habilitar las características
requeridas (contraseña o encriptación/autorización).
SNMP write
A partir de RouterOS v3, se soporta SNMP write para algunas funciones. SNMP write permite cambiar la configuración del
router con requerimientos SNMP. Se debe considerar asegurar el acceso al router o al SNMP de los routers, cuando el
SNMP y write-access están habilitados.
Academy Xperts
165
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Para cambiar las configuraciones de requerimientos SNMP, se debe usar el comando especificado a continuación, para
permitir SNMP write para la comunidad seleccionada. La opción write-access para SNMP está disponible desde v3.14
/snmp community set <number> write-access=yes
System Identity
Se puede cambiar la identidad de sistema del router configurando el comando SNMP
snmpset -c public -v 1 192.168.0.0 1.3.6.1.2.1.1.5.0 s New_Identity
•
•
•
•
snmpset – Aplicación SNMP usada para los requerimientos SNMP SET para configurar la información en una
entidad de red
public – Nombre de la comunidad del router
192.168.0.0 – Dirección IP del router
1.3.6.1.2.1.1.5.0 – Valor SNMP de la identidad del router
El comando SNMPset es igual al comando RouterOS
/system identity set identity=New_Identity
Reboot
Se puede hacer un reboot al router con el comando SNMP set. Para esto se necesita configurar el valor de reboot para la
configuración SNMP, el cual no es igual a 0
snmpset -c public -v 1 192.168.0.0 1.3.6.1.4.1.14988.1.1.7.1.0 s 1
•
•
1.3.6.1.4.1.14988.1.1.7.1.0 – Valor SNMP para el reboot del router
s 1 – Comando snmpset para configurar el valor. El valor no debería ser igual a 0
El comando snmpset es igual al comando RouterOS
/system reboot
Run Script
SNMP write permite ejecutar scripts en el router desde el menú script del sistema.
snmpset -c public -v 1 192.168.0.0 1.3.6.1.4.1.14988.1.1.8.1.1.3.X s 1
•
•
X – Número del script. La numeración empieza desde 1
s 1 – Comando snmpset command para configurar el valor. El valor no debería ser igual a 0
El mismo comando en RouterOS
/system script print
Flags: I - invalid
0
name="kaka" owner="admin" policy=ftp,reboot,read,write,policy,
test,winbox,password,sniff last-started=jan/01/1970
01:31:57 run-count=23 source=:beep
/system script run 0
System identity
A pesar de que no es una herramienta, es importante para establecer la identidad del sistema
•
•
•
No se puede establecer a 100 router y que todos tengan el mismo nombre “Mikrotik”. Esto hace casi imposible la
resolución de problemas.
Una vez establecido, se hará la identificación del router con el cual se está trabajando y hará mucho más simple la
identificación
Sintaxis
/system identity print
Name: Mikrotik
/system identity set name=my-router
/system identity print
Name: my-router
Academy Xperts
166
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
IP Neighbor
El protocolo MNDP (MikroTik Neighbor Discovery Protocol) permite encontrar/descubrir otros protocolos compatibles con
MNDP o CDP (Cisco Discovery Protocol) que estén en el mismo dominio de broadcast en Capa 2 (Layer 2).
/ip neighbor
Este sub-menú enumera todos los vecinos descubiertos en el mismo dominio de broadcast (Capa 2). Muestra a cual interface
está conectado el vecino, muestra su dirección IP, su dirección MAC, y varios parámetros relacionados con MikroTik. Las
listas son solo de lectura.
En este ejemplo, se pueden ver varios RouterBoard y dos routers de cisco.
/ip Neighbor > print
# INTERFACE ADDRESS
MAC-ADDRESS
IDENTITY
0 ether13
192.168.33.2 00:0C:42:00:38:9F MikroTik
1 ether11
1.1.1.4
00:0C:42:40:94:25 test-host
2 local
10.0.11.203
00:02:B9:3E:AD:E0 c2611-r1
3 local
10.1.11.47
00:0C:42:84:25:BA 11.47-750
4 local
10.0.11.254
00:0C:42:70:04:83 tsys-sw1
5 local
10.0.11.202
00:17:5A:90:66:08 c7200
VERSION
5.99
5.8
cisco
5.7
5.8
Cisco
BOARD
RB1100AHx
RB1000
I...
RB750
RB750G
I...
Propiedades
•
•
•
•
•
•
•
•
•
•
•
address (IP) – Muestra la dirección IP más alta configurada en un dispositivo descubierto
address6 (IPv6) – Muestra la dirección IPv6 más alta configurada en un dispositivo descubierto
age (time) – Intervalo de tiempo desde el último paquete de descubrimiento
board (string) – Modelo del RouterBOARD. Muestra únicamente los dispositivos que tienen instalado RouterOS
identity (string) – Muestra la identidad de sistema
interface (string) – Nombre de la interface a la cual está conectado el dispositivo que se ha descubierto
interface-name (string) – Nombre de la interface en el dispositivo vecino que está conectado al mismo dominio
de broadcast en Capa 2. Aplica también para equipos que corren CDP
ipv6 (yes | no) – Indica si el dispositivo tiene habilitado IPv6
mac-address (MAC) – Dirección MAC del dispositivo remoto. Puede ser utilizado para conectar con mac-telnet
platform (string) – Nombre de la plataforma. Por ejemplo, MikroTik, Cisco, etc.
software-id (string) – Software ID del RouterOS en un dispositivo remoto. Aplica únicamente a dispositivos que
tienen instalado RouterOS
Academy Xperts
167
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
unpack (none|simple|uncompressed-headers|uncompressed-all) – Muestra el tipo de compresión del paquete de
descubrimiento
uptime (time) – Tiempo de actividad del dispositivo remoto. Muestra únicamente a los dispositivos con RouterOS
instalado.
version (string) – Número de versión del software instalado en un dispositivo remoto
IP Neighbor discovery
/ip neighbor discovery
En este menú se puede cambiar el estado de la interface para especificar si participa o no en el proceso del descubrimiento
de vecino (neighbor discovery). Si se decide que la interface participe, se enviará información básica sobre el sistema y
procesa los paquetes descubiertos recibidos por medio de broadcast en una red Capa 2.
Se muestran las interfaces que son administradas automáticamente por el RouterOS. Los ítems no pueden ser removidos
ni agregados. Las configuraciones por default dependen del tipo de interface y el estado actual.
Propiedades
•
•
•
comment (string; Default: ) – Muestra una descripción corta
disabled (yes | no; Default: ) – Especifica si el ítem se deshabilita y no participa en el proceso de enviar/recibir del
descubrimiento de información. Esta opción se agregó en la versión v5.x
discover (yes | no; Default: ) - Especifica si el ítem se deshabilita y no participa en el proceso de enviar/recibir del
descubrimiento de información. Esta opción se agregó en la versión v5.x para mantener la compatibilidad con scripts
viejos.
/ip neighbor discovery settings
Propiedades
default (yes | no; Default: yes) – Especifica si se va a permitir el envío/recepción de información de descubrimiento en las
interfaces dinámicas. Esta opción se agregó en la versión 6.x
/ip neighbor discovery settings print
default: yes
default-for-dynamic: no
Academy Xperts
168
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Ponerse en contacto con Soporte MikroTik
Supout.rif
El archivo de soporte se utiliza para depurar MikroTik RouterOS y para resolver las preguntas de soporte más rápido. Toda
la información del Router MikroTik se guarda en un archivo binario, que se almacena en el router y puede ser descargado
desde el router mediante ftp.
Se puede revisar el contenido de este archivo en su cuenta de MikroTik, simplemente debe ir a la sección Supout.rif y
cargar el archivo.
Este archivo (supout.rif) contiene la configuración del router, los registros (logs) y otros detalles que ayudarán al grupo
de soporte de MikroTik para resolver su problema.
Sintaxis
Lo hacemos con el siguiente comando en “Terminal”
/system sup-output
Created: 14%
--[Q quit|D dump|C-z pause]
/system sup-output
Created: 100%
--[Q quit|D dump|C-z pause]
Una vez que se complete la carga al 100% podremos ver el archivo en “Files”
Supout.rif Viewer
Para acceder al Supout.rif Viewer solo tienes que acceder a tu cuenta MikroTik. Usted debe tener una cuenta (es una buena
idea tener una de todos modos)
El primer paso es localizar y cargar el archivo que ha generado
Academy Xperts
169
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Autosupout.rif
•
•
Un archivo se puede generar de forma automática en caso de fallo de software (ejemplo Kernel Panic o el sistema
deja de responder durante un minuto.)
Hecho a través del organismo de control (sistema)
Registros (logging) del sistema y registros de depuración
RouterOS es capaz de registrar (log) diversos eventos del sistema y la información del estatus. Los registros (log) se
pueden guardar en la memoria RAM de los routers, en un disco, en un archivo, pueden ser enviados por correo electrónico
o incluso enviarse a un servidor remoto de registro del sistema. Este último se conoce como syslog y está acorde con el
RFC 3164.
Syslog corre sobre UDP 514
/log
Todos los mensajes almacenados en la memoria local del router se pueden imprimir desde el menú /log. Cada entrada
contiene la fecha y hora cuando se produjo el evento, los temas que pertenecen a este mensaje, y el mensaje en sí mismo.
Si los registros se muestran en la misma fecha en que se agrega la entrada de registro, entonces únicamente se mostrará
el tiempo.
En el siguiente ejemplo el comando mostrará todos los mensajes donde uno de los tópicos es info y detectará nuevas
entradas hasta que se presiona Ctrl+C
/log print follow where topics~".info"
12:52:24 script,info hello from script
-- Ctrl-C to quit.
Cuando se usa print se puede utilizar el modo follow. Esto ocasionará que cada vez que cada vez que se presione la barra
espaciadora en el teclado, se insertará un separador
/log print follow where topics~".info"
12:52:24 script,info hello from script
= = =
= = =
= = =
= = =
= = =
= = =
= = =
= = =
= = =
-- Ctrl-C to quit.
Configuración del Logging
/system logging
•
•
•
action (name; Default: memory) – Especifica una de las acciones por default del sistema, o las acciones
especificadas por el usuario en el menú actions
prefix (string; Default: ) – Prefijo que se puede agregar al inicio de los mensajes de registro
topics (account, async, backup, bgp, calc, critical, ddns, debug, dhcp, e-mail, error, event, firewall, gsm, hotspot,
igmp-proxy, info, ipsec, iscsi, isdn, l2tp, ldp, manager, mme, mpls, ntp, ospf, ovpn, packet, pim, ppp, pppoe, pptp,
Academy Xperts
170
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
radius, radvd, raw, read, rip, route, rsvp, script, sertcp, state, store, system, telephony, tftp, timer, ups, warning,
watchdog, web-proxy, wireless, write; Default: info) – Registra todos los mensajes que caen en el tópico especificado
o en la lista de tópicos. Se puede utilizar el carácter “!” antes del tópico para excluir los mensajes que caen ese
tópico. El signo “!” es la negación lógica. Por ejemplo, si se desea registrar los eventos NTP pero sin mucho detalles
se puede escribir /system logging add topics=ntp,debug,!packet
Actions
/system logging action
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
bsd-syslog (yes|no; Default: ) – Especifica si se usa el bsd-syslog según se define en RFC-3164
disk-file-count (integer [1..65535]; Default: 2) – Especifica el número de archivos que se utilizarán para guardar
los mensajes de registro (log). Se aplica únicamente si action=disk
disk-file-name (string; Default: log) – Nombre del archivo que se usará para guardar los mensajes de registro
(log). Se aplica únicamente si action=disk
disk-lines-per-file (integer [1..65535]; Default: 100) – Especifica el tamaño máximo del archivo en número de
líneas. Se aplica únicamente si action=disk
disk-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log)
en disco luego de que se han alcanzado los valores especificados en disk-lines-per-file y disk-file-count.
Se aplica únicamente si action=disk
email-to (string; Default: ) – Dirección email hacia donde se enviarán los registros. Se aplica únicamente si
action=email
memory-lines (integer [1..65535]; Default: 100) – Especifica el número de registros en el buffer de memoria local.
Se aplica únicamente si action=memory
memory-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro
(log) en memoria luego de que se han alcanzado los valores especificados en memory-lines. Se aplica únicamente
si action=memory
name (string; Default: ) – Nombre de la acción (action)
remember (yes|no; Default: ) – Especifica si se debe mantener los mensajes de registro que aún no se han mostrado
en consola. Se aplica únicamente si action=echo
remote (IP/IPv6 Address[:Port]; Default: 0.0.0.0:514) – Especifica la dirección IP/IPv6 del servidor de registro
remoto (syslog server) y el número de puerto UDP. Se aplica únicamente si action=remote
src-address (IP address; Default: 0.0.0.0) – Dirección origen que se utiliza cuando se envían paquetes al servidor
remoto
syslog-facility (auth, authpriv, cron, daemon, ftp, kern, local0, local1, local2, local3, local4, local5, local6, local7,
lpr, mail, news, ntp, syslog, user, uucp; Default: daemon)
syslog-severity (alert, auto, critical, debug, emergency, error, info, notice, warning; Default: auto) – Nivel de
indicador de severidad definido en RFC-3164:
§
Emergency: Es sistema es inutilizable
§
Alert: Se debe tomar una acción inmediatamente
§
Critical: Condiciones Críticas
§
Error: Condiciones de Error
§
Warning: Condiciones de Advertencia
§
Notice: Condición normal pero significativa
§
Informational: Mensajes Informativos
§
Debug: Mensajes de nivel de depuración
target (disk, echo, email, memory, remote; Default: memory) – Facilidad de almacenamiento o destino de los
mensajes de registro (log)
§
disk – Los registros (logs) se graban en el disco duro
§
echo – Los registros (logs) se muestran en la pantalla de la consola
§
email - Los registros (logs) se envía por email
§
memory - Los registros (logs) se almacenan en un buffer de memoria local
Academy Xperts
171
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
§
remote - Los registros (logs) se envían a un host remoto
Importante: Las acciones por default no se pueden eliminar ni cambiar de nombre
Tópicos
Cada entrada de registro (log) tiene un tópico que describe el origen del mensaje de registro. Por lo tanto, puede haber más
de un tópico asignado a dicho mensaje de registro. Por ejemplo, OSPF depura los registros que tienen 4 diferentes tópicos:
route, ospf, debug y raw.
11:11:43 route,ospf,debug SEND: Hello Packet 10.255.255.1 -> 224.0.0.5 on lo0
11:11:43 route,ospf,debug,raw PACKET:
11:11:43 route,ospf,debug,raw
02 01 00 2C 0A FF FF 03 00 00 00 00 E7 9B 00 00
11:11:43 route,ospf,debug,raw
00 00 00 00 00 00 00 00 FF FF FF FF 00 0A 02 01
11:11:43 route,ospf,debug,raw
00 00 00 28 0A FF FF 01 00 00 00 00
Lista de opciones independiente de los tópicos:
•
•
•
•
•
•
•
critical – Las entradas de registro marcadas como críticas. Estas entradas de registro se muestran en consola
cada vez que el usuario hace log in
debug – Depura las entradas de registro
error – Mensajes de error
info – Entrada de registro informativa
packet – Entrada de registro que muestra el contenido de los paquetes enviados/recibidos
raw – Entrada de registro que muestra el contenido crudo (raw) de los paquetes enviados/recibidos
warning – Mensaje de Advertencia.
Tópicos usados por varias facilidades de RouterOS
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
account – Registra los mensajes generados por la opción accounting
async – Registra los mensajes generados por los dispositivos asíncronos
backup – Registra los mensajes generados por la opción de creación de backup
bfd – Registra los mensajes generados por el protocolo Routing/BFD
bgp – Registra los mensajes generados por el protocolo Routing/BGP
calc – Registra los mensajes del cálculo de rutas
ddns – Registra los mensajes generados por la herramienta Tools/Dynamic DNS
dhcp – Registra los mensajes generados por el cliente DHCP, server y relay
e-mail – Registra los mensajes generados por la herramienta Tools/email
event - Registra los mensajes generados por el evento de routing. Por ejemplo, cuando una nueva ruta se ha
instalado en la tabla de ruteo.
Firewall - Registra los mensajes generados por el firewall cuando se configura action=log
Gsm – Registra los mensajes generados por los dispositivos GSM
Hotspot – Registra los mensajes relacionados con HotSpot
igmp-proxy – Registra los mensajes generados con IGMP Proxy
ipsec – Entradas de registro IPsec
iscsi
isdn
l2tp – Registra los mensajes generados por Interface/L2TP cliente y servidor
ldp – Registra los mensajes generados por el protocolo MPLS/LDP
manager – Registra los mensajes generados por User Manager
mme – Mensajes de protocolo de ruteo MME
mpls – Mensajes MPLS
ntp – Registra los mensajes generados por el cliente sNTP
ospf – Registra los mensajes generados por el protocolo de ruteo Routing/OSPF
ovpn – Registra los mensajes generados por el túnel OpenVPN
pim – Registra los mensajes generados por Multicast PIM-SM
Academy Xperts
172
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
ppp – Registra los mensajes generados por la opción ppp
pppoe – Registra los mensajes generados por PPPoE server/client
pptp – Registra los mensajes generados por PPTP server/client
radius – Registra los mensajes generados por RADIUS Client
radvd – Registra los mensajes generados por el IPv6 radv deamon
read – Mensajes de la herramienta SMS
rip – Mensajes del protocolo de ruteo RIP
route – Registra los mensajes generados por la opción de ruteo
rsvp – Mensajes generados por el Protocolo de Reservación de Recurso (Resource Reservation Protocol)
script - Registra los mensajes generados por los scripts
sertcp – Registra los mensajes relacionados por la opción responsable de /ports remote-access
simulator
state – Mensajes de estado de routing y del cliente DHCP
store – Registra los mensajes generados por la opción store
system – Mensajes genéricos del sistema
telephony
tftp – Mensajes generados por el servidor TFTP
timer – Registra los mensajes relacionados a los timers usados en RouterOS. Por ejemplo, los registros (log)
keepalive bgp
12:41:40 route,bgp,debug,timer KeepaliveTimer expired
12:41:40 route,bgp,debug,timer
RemoteAddress=2001:470:1f09:131::1
•
•
•
•
•
ups – Mensajes generados por las herramientas de monitoreo UPS
watchdog – Registra los mensajes generados por watchdog
web-proxy – Registra los mensajes generados por web proxy
wireless – Registra los mensajes generados por Interface/Wireless
write – Mensajes de la herramienta SMS
Bandwidth Test
Es una herramienta que nos permite medir el throughput de otro router MikroTik (cable o wireless) ayudando asi a descubrir
redes con cuello de botella.
Trabaja con los protocolos TCP y UDP para hacer los test.
Nota: bandwidth test usa bastantes recursos del router. Si queremos hacer un test real con lo que respecta al throughput
de un router, deberíamos ejecutar el bandwidth test a través del router y no probarlo en el origen y destino.
Bandwidth Test Server
/tool bandwidth-server
Configuracion Bandwidth Server
/tool bandwidth-server print
enabled: yes
authenticate: yes
allocate-udp-ports-from: 2000
max-sessions: 100
Activar sesiones
/tool bandwidth-server session print
# CLIENT
PROTOCOL DIRECTION
0 35.35.35.1
udp
send
1 25.25.25.1
udp
send
2 36.36.36.1
udp
send
USER
admin
admin
admin
Para habilitar bandwidth test sin ningún cliente
/tool bandwidth-server set enabled=yes authenticate=no
/tool bandwidth-server print
enabled: yes
authenticate: no
allocate-udp-ports-from: 2000
max-sessions: 100
Bandwidth Test Client
/tool bandwidth-test
Academy Xperts
173
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Propiedades
•
•
•
•
•
•
•
•
•
•
•
•
•
address (IP address | IPv6 prefix[%interface]; Default:): Dirección IP del host
direction (both | receive | transmit; Default: receive): Dirección de datos flotantes
duration (time; Default: ): Duración del test
interval (time: 20ms..5s; Default: 1s): Retardo entre reportes (en segundos)
local-tx-speed (integer 0..4294967295; Default: ): Transferencia máxima de velocidad del test (bits por segundo)
local-udp-tx-size (integer: 28..64000): Tamaño de transmisión de paquetes locales en bytes
password (string; Default: ""): Contraseña del usuario remoto
protocol (udp | tcp; Default: udp): Protocolo a usar
random-data (yes | no; Default: no): Si los datos aleatorios se ponen “yes”, la carga útil de los paquetes del test del
ancho de banda tendrá datos del stream aleatorios que serán incomprensibles, de modo que estos enlaces que
utilizan la compresión de datos no distorsionaran los resultados.
remote-tx-speed (integer 0..4294967295; Default: ): Recibe la velocidad máxima del test (bits por segundo)
remote-udp-tx-size (integer: 28..64000): Tamaño de transmisión del paquete en bytes.
tcp-connection-count (integer 1..100; Default: 20): Número de conexiones TCP usadas.
user (string; Default: ""): Usuario remoto
Ejemplo
Ejecutar el bandwidth test por 15 segundos al host 10.0.0.32 enviando y recibiendo paquetes UDP de 1000 byte y con
nombre de usuario admin para conectarse:
/tool bandwidth-test 10.0.0.32 duration=15s \
\... direction=both local-udp-tx-size=1000 protocol=udp \
\... remote-udp-tx-size=1000 user=admin
status: done testing
duration: 15s
tx-current: 272.8Mbps
tx-10-second-average: 200.3Mbps
tx-total-average: 139.5Mbps
rx-current: 169.6Mbps
rx-10-second-average: 164.8Mbps
rx-total-average: 117.0Mbps
lost-packets: 373
random-data: no
direction: both
tx-size: 1000
rx-size: 1000
Ping Speed
El ping speed usa dos estandares de echo-request por Segundo. El tiempo entre los pings puede cambiar. La variación
del tamaño del paquete ping hace posible aproximadamente evaluar los parámetros de conexión y la velocidad con diferente
tamaño del paquete.
Características
Puede ser usado aproximadamente para evaluar el troughput de cualquier computador remoto, además nos ayuda a
descubrir redes con cuello de botella.
Academy Xperts
174
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Permite evaluar los parámetros de conexión y la velocidad con diferentes tamaños de paquetes.
Propiedades
•
•
•
•
•
•
do (name) Asignación del nombre del escribir para empezar
first-ping-size (integer: 32..64000; default: 32) Primer tamaño del paquete ICMP
second-ping-size (integer: 32..64000; default: 1500) segundo tamaño del paquete ICMP
time-between-pings (integer) El tiempo entre el primer y segundo ICMP echo-requests en segundos. Un nuevo
par de paquetes ICMP nunca serán enviados antes de que el par anterior este completamente enviado y el algoritmo
nunca se enviara más de dos solicitudes en un segundo
Once: Especifica cual será el desempeño del ping solo una vez
interval (time: 20ms..5s): Intervalo de tiempo entre dos repeticiones de ping.
SMS
Permite conectarse a través de un modem GSM a un dispositivo RouterOS para así recibir y enviar mensajes sms.
Propiedades para enviar un mensaje
•
•
•
•
•
•
port (string) - Nombre del puerto/lista de puerto del modem GSM esta conectado.
phone-number (string) - Numero de teléfono del destinatario. Los caracteres permitidos son "0123456789*#abc".
Si el primer caracter es "+" luego el tipo de numero de teléfono permitido es internacional, de lo contrario se
establece como desconocido.
channel (integer) - Cual canal del modem usar para luego enviar.
message (string) - Contenido del mensaje. Este es codificado usando GSM 7 de codificación (UCS2 no se admite
actualmente), por lo que la longitud del mensaje está limitado a 160 caracteres (caracteres ^ {} \ [] ~
smsc (string)
type (string) - Si se permite la class-0, luego envía un SMS class 0. Esta es desplegada y no se almacena
inmediatamente en el teléfono.
Propiedades para recibir un mensaje
Antes de que un router pueda recibir SMS, es necesaria la configuración correspondiente en el menú /tool sms.
•
•
•
•
•
•
allowed-number (string; Default: "") - Número del remitente que se le permitirá ejecutar comandos, debe especificar
el código del país, es decir. + 371XXXXXXX
channel (integer; Default: 0) - Cual canal del modem usar para luego recibir.
keep-max-sms (integer; Default: 0) - Numero máximo de mensajes que serán guardados. Si se permite un tamaño
mas grande de lo que soporta la SIM, no se recibirán nuevos mensajes.
port (string; Default: (unknown)) - Puerto del modem (el modem puede ser usado solo por un proceso /port
print)
receive-enabled (yes | no; Default: no) - Debe habilitarse para recibir los mensajes.
secret (string; Default: "") - La contraseña secreta es obligatoria.
Ejemplo de enviar un mensaje
/tool sms send usb3 "20000000" \
message="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz!@#\$%^&*(){}[]\"'~"
Academy Xperts
175
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Packet Sniffer
Captura el tráfico y analiza los paquetes que van a salir y pasar a través del router.
Propiedades
•
•
•
•
•
•
•
•
•
•
•
•
•
•
file-limit (integer 10..4294967295[KiB]; Default: 1000KiB) - Tamaño limite del archivo. Sniffer parara solo
cuando el limite es alcanzado.
file-name (string; Default: ) - Nombre del archivo como el paquete será sniffeado.
filter-ip-address (ip/mask[,ip/mask] (max 16 items); Default: ) - Máximo de 16 direcciones ip se utilizan como
filtro.
filter-mac-address (mac/mask[,mac/mask] (max 16 items); Default: ) - Máximo 16 direcciones MAC y mascaras
de direcciones MAC se utilizan como filtro.
filter-port ([!]port[,port] (max 16 items); Default: ) - Máximo 16 entradas separadas por coma se utilizan como
filtro.
filter-ip-protocol ([!]protocol[,protocol] (max 16 items); Default: ) - Máximo 16 entradas separadas por coma
se utilizan como filtros de protocolos Ip (en vez de nombres de protocolos, puede usarse el numero del protocolo).
§
ipsec-ah - IPsec AH protocol
§
ipsec-esp - IPsec ESP protocol
§
ddp - datagram delivery protocol
§
egp - exterior gateway protocol
§
ggp - gateway-gateway protocol
§
gre - general routing encapsulation
§
hmp - host monitoring protocol
§
idpr-cmtp - idpr control message transport
§
icmp - internet control message protocol
§
icmpv6 - internet control message protocol v6
§
igmp - internet group management protocol
§
ipencap - ip encapsulated in ip
§
ipip - ip encapsulation
§
encap - ip encapsulation
§
iso-tp4 - iso transport protocol class 4
§
ospf - open shortest path first
§
pup - parc universal packet protocol
§
pim - protocol independent multicast
§
rspf - radio shortest path first
§
rdp - reliable datagram protocol
§
st - st datagram mode
§
tcp - transmission control protocol
§
udp - user datagram protocol
§
vmtp - versatile message transport
§
vrrp - virtual router redundancy protocol
§
xns-idp - xerox xns idp
§
xtp - xpress transfer protocol
filter-mac-protocol ([!]protocol[,protocol] (max 16 items); Default: ) - Máximo de 16 entradas separadas por
comas se utilizan como filtro. Protocolos Mac pueden también ser especificados por números.
§
arp - Address Resolution Protocol
§
ip - Internet Protocol
§
ipv6 - Internet Protocol next generation
§
ipx - Internetwork Packet Exchange
§
rarp - Reverse Address Resolution Protocol
filter-stream (yes | no; Default: yes) - Los paquetes sniffeados que son creados por el servidor sniffer serán
ignorados.
filter-direction (any | rx | tx; Default: ) - Especificar en que filtrado de dirección será aplicado
interface (all | name; Default: all) Nombre de la interface en el cual estará ejecutándose el sniffer. all indica que
sniffer, será el encargado de sniffear los paquetes en todas las interfaces.
memory-limit (integer 10..4294967295[KiB]; Default: 100KiB) - Cantidad de memoria usada para almacenar los
datos sniffeados.
memory-scroll (yes | no; Default: yes) - Si desea reescribir mayores datos sniffeados cuando se alcanza el límite
de memoria.
only-headers (yes | no; Default: no) - Guardar en la memoria solo las cabeceras de los paquetes, no todo el
paquete.
streaming-enabled (yes | no; Default: no) - Definir si desea enviar paquetes sniffeados mediante streaming al
servidor.
Academy Xperts
176
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
streaming-server (IP; Default: 0.0.0.0) - Tazmen Sniffer Protocol (TZSP) stream de destino.
Packet Sniffer Settings (General)
Packets
IP-Scan
Permite al usuario escanear las redes basándose en los prefijos de las redes o ya sea por las configuraciones de las
interfaces escucha (listen).
Propiedades
•
•
•
•
•
•
address (string; Default: ) - Dirección Ip del dispositivo de red.
mac-address (string; Default: ) - Dirección MAC del dispositivo de red.
time (integer in ms; Default: ) - Tiempo de respuesta del dispositivo de red cuando es encontrado
DNS (string; Default: ) - Nombre de DNS del dispositivo de red.
SNMP (string; Default: ) - Nombre SNMP del dispositivo.
NET-BIOS (string; Default: ) - Nombre de NET-BIOS del dispositivo, si es anunciado por el dispositivo.
Como usarlo:
Cuando se usa el Ip-scan se debe de escoger que es lo que se desea escanear:
•
•
Prefijo IPv4
Interface del router
Academy Xperts
177
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Telnet
Telnet permite conectarse remotamente a otra máquina para poder manejarla en modo terminal, pero de una manera no
segura ya que la información viaja en texto plano.
Propiedades
•
address (string) : Dirección IP del dispositivo a conectarse
SSH
Ssh también se conecta remotamente a otra máquina para manejarla, la diferencia es que se conecta mediante un interprete
de comandos y la información viaja cifrada.
Propiedades
•
•
address (string) - Dirección IP del dispositivo a conectarse
user (string) - Usuario del dispositivo a conectarse
MAC Telnet
Mac Telnet provee acceso a un router que no tiene permitida una dirección Ip y solamente es posible realizarlo entre dos
routers MikroTik RouterOS.
Propiedades
•
mac-address (string) - Dirección Mac del dispositivo a conectarse
Sigwatch
Monitorea el estado de los puertos seriales ligados y genera un sistema de eventos de cambio de estado.
Requerimientos
Sigwatch solo esta disponible en plataformas de x86
Propiedades
•
•
•
•
•
•
•
count (read-only: integer): cuántas veces el evento por este concepto fue provocado. El recuento se restablece en
el reinicio y en la mayoría de los cambios de configuración de los elementos.
log (yes | no; default: no): Si desea agregar un mensaje en forma sigwatch-item: cambio de señal [to high | to low]
para facilidad del sistema-Info cada vez que se active sigwatch.
name (name): Nombre del elemento sigwatch.
on-condition (on | off | change; default: on): En que condición se activa la opción del elemento:
§
on – condición cuando el estado del pin cambia a alto.
§
off – condición cuando el estado del pin cambia a alto. Si el estado del pin cambia rápidamente,
pudo haber disparo una sola opción por varios cambios de estado.
port (name): nombre del puerto serial a monitorear
script (name): script a ejecutar cuando este elemento esta funcionando
signal (dtr | rts | cts | dcd | ri | dsr; default: rts) : Nombre de la señal , el numero del pin (para el conector standard
de 9 pines) para monitorear.
§
dtr - Data Terminal Ready (pin #4)
§
rts - Request To Send (pin #7)
§
cts - Clear To Send (pin #8)
Academy Xperts
178
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
§
dcd - Data Carrier Detect (pin #1)
§
ri - Ring Indicator (pin #9)
§
dsr - Data Set Ready (pin #6)
state (read-only: text): El ultimo estado recordado de monitoreo de signalcount (read-only: integer). Cuántas
veces el evento por este concepto fue provocado. El recuento se restablece en el reinicio y en la mayoría de los
cambios de configuración de los
Configuración
/tool sigwatch print
Flags: X - disabled
#
NAME
0
test
PORT
SIGNAL
serial1 cts
ON-CONDITION LOG
change
no
Wake on Lan (Activación de la Lan)
Envía el MagicPacket de activación de Lan hacia cualquier dirección Mac de nuestra elección.
Fetch
Copia archivos de cualquier dispositivo de red a un router Mikrotik via HTTP o FTP.
También soporta el protocolo HTTPS. Permite subir archivos a locaciones remotas.
Propiedades
•
•
•
•
•
•
•
•
•
•
•
•
address (string; Default: ): Dirección IP del dispositivo a copiar el archivo.
ascii (yes | no; Default: no)
check-certificate (yes | no; Default: no): Habilitar la validación de la cadena verdadera desde el al almacén de
certificados.
dst-path (string; Default: ): Destino del nombre del archivo y la ruta.
keep-result (yes | no; Default: yes): Si escoge yes, se crea un archivo de entrada.
mode (ftp|http|tftp {!} https; Default: http): Escoger el protocolo de conexión http, https, ftp o tftp.
password (string; Default: anonymous): Contraseña, la cual es necesitada para autenticación al dispositivo remoto.
port (integer; Default: ): Puerto de conexión.
src-path (string; Default: ): Título del archivo remoto que se necesita copiar.
upload (yes | no; Default: no): Si está habilitado luego el fetch será usado para subir un archivo a un servidor
remoto. Requiere los parámetros de src-path and dst-path sea autorizados.
url (string; Default: ): URL apuntando a un archivo. Puede ser usado en vez de una dirección y parámetros de srcpath.
user (string; Default: anonymous): Nombre del usuario, el cual se necesita para la autenticación remota.
Ejemplo de transferencia de archivo hacia otro router y con diferente nombre del archivo
Transferencia de archivo en el mismo router pero con diferente nombre del archivo
Academy Xperts
179
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Dynamic DNS
Guarda el nombre de dominio apuntando hacia una dirección IP dinámica.
Envía requerimientos de actualizaciones del sistema de nombre del dominio hacia un nombre de servidor, el cual tiene una
zona para ser actualizada.
Propiedades
•
•
•
•
•
•
•
address (IP; Default: ) - Definir dirección IP asociada con un nombre de dominio.
dns-server (IP; Default: ) - Servidor DNS envía una actualización.
key (string; Default: ) - Llave de autorización para accede al servidor.
key-name (string; Default: ) - Nombre de la llave de autorización (como un nombre de usuario) para acceder al
servidor.
name (string; Default: ) - Nombre a unir con una dirección Ip.
ttl (integer; Default: ) - Tiempo de vida de ítem (en segundos).
zone (string; Default: ) - Zona de DNS donde se actualizara el nombre de dominio
Para poder hacer el Dynamic DNS necesitamos tener un dominio, si no lo tenemos debemos crear uno, podemos crearlo en
www.noip.com que es totalmente gratis.
La prueba se lo hará con un script.
El script lo descargamos desde wiki mikrotik
Academy Xperts
180
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Agregamos el script y modificamos
usuario de
my.noip.com
contraseña de
my.noip.com
Interface de
salida de internet
Dominio creado en
my.noip.com
Agregamos un Scheduler
Academy Xperts
181
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Con el dominio que tenemos ingresamos al Winbox
También podemos ingresar por el navegador
Academy Xperts
182
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Flood Ping
Envía peticiones ICMP echo hacia un host remoto de la misma manera que un ping, pero este envía la siguiente petición
tan pronto haya recibido una respuesta.
Propiedades
•
•
•
•
Address: Dirección IP de destino del host.
Size: Tamaño de cada paquete ICMP.
Count: Números de paquetes ICMP.
Interval: Tiempo en que el paquete es considerado como perdido en el caso de no responder.
Generator Traffic (Generador de Tráfico)
Evalúa el funcionamiento del DUT (Device Under Test) y SUT (System Under Test)
Genera y envía paquetes Raw sobre puertos específicos.
Obtiene la latencia y los valores de jitter, rangos de tx/rx, cuenta los paquetes perdidos y detecta paquetes OOO (Fuera
de orden).
Parámetros Generales
•
•
•
•
•
latency-distribution-scale (integer [0..28]; Default: 10)
test-id (integer [0..255]; Default: 0)
latency-distribution-samples (integer)
latency-distribution-measure-interval (time)
running (yes | no): Muestra si se inicia la herramienta de generador de servicio.
Parámetros Configuración de Puerto
•
•
•
•
•
•
disabled (yes | no; Default: no): Si el Puerto esta deshabilitado y no participa en la recepción y envió de paquetes.
name (string; Default: ): Nombre descriptivo del Puerto.
interface (string; Default: ): Nombre de la interface asociada al Puerto.
dynamic (yes | no): Si el Puerto de configuración es generado automáticamente.
first-header (ip | mac | raw | udp | vlan): Se señalan las primeras cabeceras de los paquetes sean enviadas fuera
de la interface especificada. Esta es la información se puede utilizar cuando se está creando packet templates.
inactive (yes | no): Si el Puerto esta inactivo y no podrá participar en tx/rx de los paquetes.
Parámetros Packet Template (Plantilla de Paquetes)
•
•
•
comment (string; Default: ): Una pequeña descripción del paquete que se esta creando.
§
data (incrementing | random | specific-byte | uninitialized; Default: uninitialized): Especifica como
se llenará la carga útil del paquete: sin inicializar los paquetes de datos (después de cabecera)
es inicializado, pero no cero. Lo más rápido.
§
specific-byte - Trabaja junto con el establecimiento de bytes de datos.
§
incrementing - Los paquetes de datos llenas de "00 01 02 03", etc.
§
random - Los paquetes de datos llenos de bytes aleatorios. El más lento.
data-byte (hex [0..FF]]; Default: 0): Byte que se usará para llenar la carga útil del paquete.
interface (string; Default: ): Parámetro opcional de la plantilla del paquete. Esto es mutuamente exclusivo con la
configuración del “puerto”. Especificando la interface permite al usuario no crear un Puerto de entrada para una
interface en port menu. De hecho, un Puerto de entrada se crea dinámicamente. Esto es útil para realizar pruebas
rápidas.
Academy Xperts
183
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
ip-dscp (list of integer[0..255] (max 16 times); Default: ): DSCP solo o una lista de valores DSCP que se encuentra
en la cabecera IP.
ip-dst (list of IP/Netmask (max 16 times); Default: ): Lista de direcciones Ip de destino que serán usadas cuando
se generen cabeceras Ip.
ip-frag-off (list of integer[0..65535] (max 16 times); Default: ): Lista de fragmentación a compensar en la
cabecera IP.
ip-gateway (IP; Default: ): En situaciones cuando el emisor y el receptor es el mismo dispositivo es imposible
determinar el próximo salto automáticamente de ip-dst. Si no se especifica ip-gateway plantilla de paquetes
asumirá la dirección MAC de destino basado en ip-Gateway.
ip-id (list of integer [0..65535]; Default: )
ip-protocol (list of IP protocols (max 16 times); Default: )
ip-src (list of IP/Mask (max 16 times); Default: )
ip-ttl (list of integer [0..255] (max 16 times); Default: )
mac-dst (list of MAC/MASK (max 16 times); Default: )
mac-protocol (list of mac protocols (max 16 times); Default: )
mac-src (list of MAC/MASK (max 16 times); Default: )
mac-src (list of MAC/MASK (max 16 times); Default: ): Nombre descriptivo de la plantilla.
port (string; Default: ): Parámetro opcional de la plantilla del paquete. Esto sugiere que a través de un Puerto
cuando un paquete generado usa esta plantilla debería ser enviado. El Puerto puede también se especificado en
otros lugares como en una configuración de stream. Esto es mutuamente exclusivo en la configuración de la
interface.
raw-header (string (max 16 times); Default: ): Cabecera del paquete como cadena en formato hexadecimal.
udp-dst-port (list of port [0..65535]/mask [0..FFFF] (max 16 times); Default: )
udp-src-port (list of port [0..65535]/mask [0..FFFF] (max 16 times); Default: )
vlan-id (; Default: )
vlan-priority (; Default: )
vlan-protocol (; Default: )
header-stack (list of ip | mac | raw | udp | vlan (max 16 times); Default: ip): Secuencia de cabeceras que un paquete
generado debe tener. Actualmente es compatible con:
§
mac - Cabecera Ethernet (14 bytes)
§
vlan - Ethernet VLAN tag (4 bytes)
§
ip - Cabecera IPv4 (20 bytes)
§
udp - Cabecera UDP (8 bytes)
§
raw - arbitrary bytes especificado como hex string
La mayoría de los tipos de cabecera pueden estar presentes múltiples veces en la cabecera. Esto solamente puede ser solo
dos cabeceras IP y una cabecera UDP por paquete. Algunas limitaciones se imponen sobre las posibles secuencias de
cabeceras basado en nuestra experiencia práctica con los protocolos de red (por ejemplo, cabecera VLAN puede seguir
solamente una cabecera MAC u otro encabezado VLAN).
El generador de tráfico sugiere primera cabecera para una plantilla de paquete (en el menú de puerto). Pero no se hace
cumplir.
Parámetros Stream
•
•
•
•
•
•
•
•
disabled (yes | no; Default: no): Si el stream esta deshabilitado.
mbps (integer [0..4294967295]; Default: 0): Valor en Mega bits por segundo que un stream va a tratar de generar.
name (string; Default: ): Descripción del nombre del stream.
num (integer [0..15]; Default: 0):
packet-size (integer[1..65535] [-integer[1..65535]]; Default: 0): El tamaño de los paquetes generados en bytes.
Se puede configurar el rango para la generación de paquetes de tamaño aleatorio.
port (string; Default: ): Nombre del Puerto de Port menú que será usado para transmitir paquetes.
pps (integer [0..4294967295]; Default: 0): Paquetes por Segundo que el stream intentara generar.
tx-template (string; Default: ): Nombre de la plantilla del paquete desde los menús packet-template o raw-packettemplate usados como el origen del contenido del paquete.
Ejemplo:
Academy Xperts
184
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Configurar los puertos
Configurar los packets templates
Configurar los Streams
Academy Xperts
185
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Comenzar a Generar el Tráfico
Por puertos
Por Streams
Distribución de la Latencia
Academy Xperts
186
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Monitor de Tráfico de Interface
El tráfico pasa a través de cualquier interface y puede asi ser monitoreada
/interface monitor-traffic [id | name]
Caracteristicas
•
•
•
Estatus del tráfico en tiempo real
Disponible para cada interface en la pestaña traffic
También puede monitorearse desde WebFig y el CLI
Ejemplo
Monitorear la ether2 y el trafico agregado. “aggregate” se usa controlar la cantidad total de trafico manejado por el router.
/interface monitor-traffic ether2,aggregate
rx-packets-per-second: 9
14
rx-drops-per-second: 0
0
rx-errors-per-second: 0
0
rx-bits-per-second: 6.6kbps 10.2kbps
tx-packets-per-second: 9
12
tx-drops-per-second: 0
0
tx-errors-per-second: 0
0
tx-bits-per-second: 13.6kbps 15.8kbps
Academy Xperts
187
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Academy Xperts
188
RouterOS
Conceptos Fundamentales
de MikroTik RouterOS
Por Mauro Escalante
Descargar