2015 Konecta de Mexico S. De R.L. De C.V. Elihu Abarca Figueroa & Andres Cruz Guiles [MANUAL DE CONFIGURACIONES BASICAS MICROTIK] El presente documente muestra los diferentes tipos de configuraciones que se realizan en la empresa esto claro usando el equipo MICROTIK ROUTER BOARD cave recalcar que la serie que usamos para realizar este manual es el “ROUTER BOARD 951 series”. Contenido TOPOLOGÍA I ..................................................................................................................................2 PRIMEROS PASOS ........................................................................................................................3 RUTA A CONECTARSE..................................................................................................................4 CONFIGURACIÓN DE BRIDGE .....................................................................................................5 NOMBRAR UN PUERTO ................................................................................................................6 CONFIGURACIÓN RED LAN..........................................................................................................7 CONFIGURACIÓN DE ENLACE HACIA EL “ISP”..........................................................................9 CONFIGURACIÓN DNS..................................................................................................................9 CONFIGURACIÓN DHCP ............................................................................................................. 10 CONFIGURACIÓN NAT ................................................................................................................ 14 PRUEBAS ...................................................................................................................................... 16 CONFIGURACIÓN WIRELESS .................................................................................................... 17 CONTRASEÑA PARA MIKROTIK ................................................................................................ 20 CONEXIÓN MEDIANTE ENLACE WIFI........................................................................................ 23 GUÍA PARA EL USO DEL FIREWALL.......................................................................................... 26 BLOQUEO DE TODO EL ACCESO A LA RED ............................................................................ 29 QUEUES DE MIKROTIK ............................................................................................................... 30 CONFIGURACIÓN DE VPN .......................................................................................................... 32 1 TOPOLOGÍA I Basándonos en la siguiente configuración. 2 PRIMEROS PASOS Para poder lograr nuestro objetivo de tener salida a internet primeramente descargaremos el programa WinBox el cual nos servirá para conectarnos a nuestro Router Mikrotik, dicho programa se puede descargar de la siguiente dirección -> http://www.mikrotik.com/download. Una vez descargado WinBox lo ejecutamos y seleccionamos la opción Neighbors y ubicamos nuestro Mikrotik, lo seleccionamos por mac address y de misma manera nos conectamos al dispositivo por mac address. Cuando entremos al dispositivo lo primero que notaremos es un aviso el cual nos muestra la configuración por defecto con el que viene el equipo Mikrotik, procedemos a quitar esa configuración dándole clic al botón “Remove Configuration”. 3 En caso que nuestro router ya tenga una configuración previa y queramos dejarlo de fábrica, vamos a la opción “New terminal” y en ella escribimos “system reset” y después escribimos “Y” y después presionamos “Enter”. RUTA A CONECTARSE Lo primero que aremos es configurar nuestra ruta hacia donde nos queremos conectar y el “Gateway” que en otras palabras es quien nos va a dar salida hacia internet, para ello vamos a la opción IP, Routes y agregamos una nueva ruta en +, en este caso como destino(Dst Anddress) colocamos una ruta por defecto (0.0.0.0/0) con lo cual estamos indicando que pueda comunicarse a cualquier dirección, en cuanto al Gateway en nuestro caso es el “192.168.44.1” damos “Apply” y “OK” para guardar la configuración. 4 CONFIGURACIÓN DE BRIDGE Ahora indicaremos que puertos usaremos para usarlos como host o bridge y que puertos usaremos como salida hacia internet o enlace, para ello iremos a la opción bridge y crearemos un grupo para en el meter todos los puertos que queramos establecer como bridge, una vez pongamos un nombre a nuestro gusto para el grupo 5 guardamos la configuración. Después iremos a la pestaña de ports para seleccionar los puertos que queramos agregar como bridge al grupo, primero seleccionamos la interface que queremos agregar al grupo y después el grupo tal como se muestra en la siguiente imagen, así mismo aremos para las interfaces que deseemos y después damos a “Apply” y “Ok” cada que agreguemos un puerto nuevo. NOMBRAR UN PUERTO Después iremos a interfaces para renombrar el único puerto que no usamos como bridge en este manual, el cual es el puerto”ethr1”. Por el echo meramente de tener un control le pondremos un nombre distintivo para saber que ese puerto es el medio de enlace hacia nuestro “ISP” en este caso le pondremos el nombre de “ethr1_WAN” para ello damos doble clic sobre la interfaz que deseemos cambiar el nombre, en el campo “Name” colocamos el nombre y guardamos la configuración. 6 CONFIGURACIÓN RED LAN En el siguiente paso nos vamos a centrar en nuestra “RED LAN”, para lo cual indicaremos cual es nuestra red LAN y mediante cual Gateway vamos a comunicarnos con el”ISP” visto en la topología utilizada, primero iremos a la opción IP y después a Addresses. 7 Después agregamos nuestra red LAN en +, este caso usaremos la dirección 192.168.10.1/24 es importante indicar que mascara tiene para que el campo network se llene automáticamente, indicamos que la interface utilizada será bridge y después guardamos la configuración. 8 CONFIGURACIÓN DE ENLACE HACIA EL “ISP” Ahora indicamos que dirección tendrá el enlace de nuestro Router para comunicarse con el “ISP” en este caso usaremos la dirección 192.168.44.12/24 y la interface Ethr1_WAN, es importante recalcar que en este paso se debe solicitar una IP para el enlace en nuestro caso se nos fue otorgada dicha dirección por un administrador de la red, así pues procedemos a colocarla de misma manera que hicimos en el paso anterior. CONFIGURACIÓN DNS La configuración de DNS‟s es importante ya que nos permite comunicarnos con los distintos sitios en la red que contienen dominio, para ello nos iremos a la opción IP y después a DNS. 9 Una ves hay introducimos nuestros DNS‟s que configuraremos, en este caso serán 2 los cuales son la dirección 4.2.2.1 y la dirección 8.8.8.8 y después seleccionamos la opción “Allow Remote Request” y guardamos la configuración. CONFIGURACIÓN DHCP Ahora iremos a la opción de IP después a DHCP Server para poder tener IPs dinámicas en nuestra LAN. 10 Una ves hay veremos la siguiente pantalla. Damos clic a la opción “DHCP Set up”, en la primera ventana indicamos en que interfaz queremos dar direcciones dinámicas o por DHCP en este caso sera toda nuestra LAN, la cual ya tenemos todos los puertos que queremos en un grupo denominado “bridgeLAN” así que seleccionamos ese y damos a Next. 11 Ahora se nos pide indicar la Red que queremos asignar direcciones dinámicas en nuestro caso es la 192.168.10.0/24 así que procedemos a dar Next. Y ahora indicamos el Gateway de nuestra LAN en este caso es 192.168.10.1, damos a next después. Después indicamos el rango que queramos para asignar direcciones dinámicas en este caso el rango será 192.168.10.2-192.168.10.254 si queremos agregar varios rangos solo damos clic en el botón siguiente. 12 Ahora indicamos que DNS queremos utilizar, colocamos los mismos que configuramos en la parte de DNS‟s los cuales son la dirección 4.2.2.1 y 8.8.8.8 y damos a Next. Después indicamos el tiempo que queremos para que nuestra IP cambie de dirección o por ende use la misma dependiendo si está o no esta en uso, esto dependerá de la red y cuantos usuarios hay en la misma entre otros aspectos. Para este caso indicamos que haga un chequeo cada 3 horas siendo el Días/horas/minutos/segundos Por lo cual colocaremos como “0d 03:00:00”, después damos a Next. 13 formato usado CONFIGURACIÓN NAT Ahora procederemos a configurar una regla de nateo o NAT para poder tener salida a internet usando la dirección pública de nuestro “ISP” y no la dirección de nuestra LAN, para ello vamos a la sección IP y después a Firewall. Una ves hay damos clic en la pestaña NAT y agregamos una nueva “regla” en el botón azul de +, en “Src address” indicamos nuestra red LAN en nuestro caso 192.168.10.0/24 y en “Out interface” indicamos por donde saldrá nuestro tráfico para nosotros será “ether1_WAN”. 14 Hay mismo vamos a la pestaña action y seleccionamos la opción masquarade, seguido guardamos la configuración. 15 PRUEBAS Con esta configuración ya podremos tener salida a internet, para hacer pruebas primero verificamos que tengamos una dirección con el comando “ipconfig /all” en la consola de Windows (cmd), como podemos ver en la imagen tenemos asignada una dirección dentro del rango que especificamos y de misma manera nuestros DNS‟s están bien configurados aparentemente. Así que procederemos a realizar un ping ahora a nuestros DNS‟s utilizaremos el comando “tracert „dirección a pinguear‟” con este comando podremos ver por dónde van pasando nuestros paquetes, esta herramienta es útil ya que en caso que no llegue a su destino el paquete podemos saber dónde está el problema. Como vemos en la imagen anterior hemos hecho nuestro tracert con éxito lo cual es indicio que en principio ya podemos tener salida a internet, por lo que se puede 16 proceder a hacer una prueba entrando a nuestro navegador de preferencia y enviando un e-mail o entrando a páginas comunes en la red como Wikipedia etc. CONFIGURACIÓN WIRELESS Ahora que tenemos salida a internet mediante un cableado es de nuestro interés configurar la wireless con la que cuenta nuestro Mikrotik para poder conectarnos a internet por wirless, para lo cual en nuestro Mikrotik iremos a la opción de Wirless, seleccionamos la wirless de nuestro Mikrotik y la habilitamos con la palomita que aparece arriba. Después damos doble clic sobre la wireless que acabamos de habilitar, y vamos a la pestaña de wireless, y lo configuramos tal y como se muestra en la siguiente imagen modificando las opciones que aparecen marcadas con flechas seguidos guardamos la configuración. 17 Después configuraremos una contraseña para la wireless, vamos a la opción de “security profile” y damos doble clic a la columna que nos muestra, una vez hagamos eso veremos un recuadro en “Mode” pondremos “dynamic keys”, en “authentication type” marcaremos las 2 primera opciones “WPA PSK” y “WPA2 PSK”, en “WPA preshared key” colocamos la clave que queramos para nuestra Wireless en nuestro caso pondremos la contraseña “konecta123” de mismo modo para el campo “WPA2 preshared key”, y para finalizar guardamos la configuración. 18 Ahora solo nos queda hacer la prueba conectándonos desde algún dispositivo que tenga manera de conectarse a una wireless, en nuestro caso lo aremos desde una laptop, como nos hemos estado conectando mediante un cable procedemos a desconectarlo, después buscamos la “My_First_Wireless”. 19 Wireless que configuramos llamada Como podemos ver nuestra tarjeta inalámbrica detecta la wireless configurada en el Mikrotik así pues procedemos a conectarnos a ella e intentar salir a internet y después aremos un tracert. Como podemos ver estamos conectados a nuestra Wirelesss que configuramos y hemos hecho un tracert con éxito a uno de nuestros DNS‟s principales (4.2.2.1), ahora podemos proceder a entrar a algún sitio en la red como última prueba, enviar un e-mail, etc. CONTRASEÑA PARA MIKROTIK Ya para finalizar esta primera parte de la configuración colocaremos una contraseña a nuestro Mikrotik, para ello vamos a la opción de system y después a password. 20 Como no tenemos ninguna contraseña ya establecida dejamos vacío el campo de “old password”, en caso que ya tengamos una colocamos hay la contraseña pasada si no es el caso procedemos a colocar nuestra contraseña para el Mikrotik en”new password”, en este caso colocaremos la contraseña “konecta123” de mismo modo para “confirm password” y damos a a change. Ahora si cerramos y abrimos el WinBox e intentamos conectarnos veremos que no nos permitirá entrar en el equipo a menos que pongamos nuestra contraseña que era “konecta123”. 21 Para poder entrar en el campo de password colocamos nuestra contraseña (konecta123) y nos conectamos en conect. 22 CONEXIÓN MEDIANTE ENLACE WIFI Configuración para que el router se conecte a la WI Fi por medio de su antena y que reciba la señal. La configuración del RouterBoard 951 series de mikrotik, tomando en cuenta de que ya ha sido configurado los servicios fundamentales para la transmisión de información. Solo cambiaremos la entrada por la cual se alimentara de señal que ya no sería por medio de los puertos físicos Ethernet si no por la inalámbrica. Paso 1. Entrar a la opción ip DHCP cliente. En la opción interface seleccionaras la inalámbrica WLAN1 (dependiendo del nombre que tenga o le hayas puesto) esto quiere decir que el router estará funcionando como cliente y se estará conectando a otro router por medio de la inalámbrica. En la opción DHCP options (hostname) y debajo seleccionaras la opción clientid. 23 Paso 2. Después de haber puesto el router como cliente te iras a las opciones de (interfaces) y seleccionaras la wireless. Mode- Station Bridge. Band- 2GHz-B G N. SSID (pones el nombre de la wireless a la que te quieres conectar). Wireless protocol (802.11). 24 Paso 3 Ir a la opción security profiles que se encuentra en la opción wireless del menú principal y configuras la manera en la cual se estaría conectando (contraseñas) para este tipo de configuración estas intentando a acceder a el equipo dejando por default las configuraciones que son necesarias junto con la password. Nota. La antena de la inalámbrica no puede transmitir datos debido a que está recibiendo no puede tener la opción de seguir funcionando como salida. Por lo tanto también se debe de configurar la salida. Debes de deshabilitar cualquier función que tenga la inalámbrica otra que no sea de recepción de señal. 25 GUÍA PARA EL USO DEL FIREWALL No existe un orden en la configuración del firewall pero en teste documento mostraremos distintas formas de configurarlo. Configuración del firewall por medio de capa7 de mikrotik. En la configuración IP- Firewall-Layer 7 protocols. En el cuadro Name: pones la palabra clave que deseas que el firewall bloquee . Seguido de ponerla dentro del código en el recuadro de abajo :^(.*)(facebook)(.*)$ pones apply. Después de que está bloqueada la palabra clave que en este caso es Facebook. Regresas a Firewall Filter Rules y le das al símbolo de más. 26 Al darle la opción más veras esta ventana que te permite la configuración pasas a modo avanzado. En la opción avanzado veras que en layer 7 te viene la opción de Facebook la seleccionas y pones apply. 27 Pasas a la opción acción. Aquí aparece un dropbox de las palabras clave que puedes seleccionar u acción a proseguir. Seleccionaremos drop. Que en este caso quiere decir que todo lo que muestre el contenido con la palabra Facebook estará siendo bloqueada. Damos Apply y después ok. Al hacer las pruebas con el navegador de internet deberás tener bloqueado todo el contenido que esté familiarizado con la palabra Facebook. 28 NOTA IMPORTANTE: Layer 7 de Mikrotik funciona bloqueando los primeros 10 paquetes entrantes o los primeros 2kb. Si cualquiera de las palabras clave que desean bloquear se encuentra en el paquete 11 o después de los 2kb de información el acceso o contenido no estará bloqueado. BLOQUEO DE TODO EL ACCESO A LA RED En la opción de firewall seleccionas el símbolo de más. Aparecerá de nuevo la ventana siguiente . Donde dice chain dejas la palabra forward y después pasas a la barra de acción. 29 Y le darás en la opción de drop esto lo que hará es lo siguiente. Como no seleccionas ningún protocolo en específico para bloquear o ciertos accesos, lo que hace el router es que te bloquea todo el contenido. QUEUES DE MIKROTIK Esta herramienta te permite la administración del ancho de banda ya sea de la red, acceso bridge o puertos individuales. Paso 1 nombrar el Queue. Paso 2 es poner en la opción target el nombre del puerto que quieres controlar en su ancho de banda, podría ser el bridge completo pero en este caso la prueba se hará solo con el ether2 estaremos limitando su límite de subida a 1M y su límite de descarga a 1M. Así como viene en las siguientes imágenes. 30 31 Posteriormente daremos apply para que las configuraciones queden hechas. Con este simple procedimiento podemos hacer las pruebas de carga y de descarga sobre la red con un simple test. En este caso estaremos utilizando un speed test internet (http://www.speedtest.net/es/) CONFIGURACIÓN DE VPN En este apartado del manual de configuración Mikrotik veremos como configurar una VPN básica, Basándonos en la siguiente configuración. Existen diferentes tipos de VPN‟s como lo pueden ser TUNNELING, VPN sitio-a-sitio, VPN de acceso remote, VPN Interna pero en este caso usaremos un método muy común usado en Mikrotik el cual es EoipTunnel. Primeramente entramos a nuestro Mikrotik que tiene la dirección pública 192.168.44.12 y seleccionamos la opción de interfaces, después agregaremos una nueva interfaz en la opción que aparece como “+”, agregamos una interface “EoipTunnel”. 32 Enseguida veremos un recuadro para configurar la interface “EoipTunnel”, en el campo de “Name” escribimos el nombre que queramos para identificar la interfaz en nuestro caso le pondremos el nombre de “tunel_hacia_otra_net”, en “remote address” colocamos la dirección pública que tiene la red que nos queramos conectar en este caso es la “192.168.44.11” así que esa misma pondremos en “remote address” y en “tunnel id” colocamos un número que queramos en común para que se identifiquen los 2 sitios. En el Router_Mikrotik1 quedaría como la siguiente imagen: 33 En el Router_Mikrotik2 quedaría como la siguiente imagen: Ahora vamos a la opción de IP, Addresses y agregamos la dirección que ocuparemos para comunicarnos con el Router_mikrotik2, como se muestra en la topología para nuestro Router usaremos la dirección 10.0.0.1/30 en “Address” y en “Interface” usamos la interfaz que creamos como “EoipTunnel” cuyo nombre es “tunel_hacia_otra_net” y guardamos los cambios. 34 En Router_Mikrotik2 quedaría como la siguiente imagen: Ahora podemos pingear de Router a Router pero de LAN a LAN no, igualmente aremos unas pruebas de conexión Router_Mikrotik1 - Router_Mikrotik2 y de LAN a LAN para ver qué sucede, para ello vamos a la opción tools, ping, una ves hay en “Ping To” colocamos la dirección IP donde queramos realizar un ping y comprobar así si existe comunicación con dicha dirección dando a “Start”, si presionamos la opción “New window” podremos realizar pings simultaneos. 35 Como podemos ver del lado izquierdo tenemos un ping con éxito de Router a Router, sin embargo cuando intentamos pingear a la PC de la otra red (192.168.1.254) nos es imposible tener comunicación con ella. Para poder tener comunicación con la LAN que queremos, nuestro Router necesita saber “quien es esa dirección” por decirlo de esa manera, en todo caso nuestro Router no conoce la LAN obviamente pero si el Router_mikrotik2 así que basándonos en eso crearemos una ruta estática con la cual podremos lograr lo ya dicho, así que iremos a la opción de IP, Routes y agregamos una nueva ruta en +, en “destination address” colocamos la dirección red que deseemos tener comunicación, en este caso es la “192.168.1.0/24” y en Gateway colocamos la IP del siguiente salto o en otras palabras la IP más próxima que este hacia nuestro destino en este caso es la “10.0.0.2”, una vez echo eso guardamos. 36 En Router_Mikrotik2 nos quedaría configurado como la siguiente imagen: Una vez hecho esto procedemos a realizar un ping desde nuestra maquina a la PC de la otra red. 37 Como podemos ver ya podemos pingear con éxito de LAN a LAN. Nota: En caso de que no pingemos con éxito de LAN a LAN verificar que los firewalls de ambas PCs estén apagados. 38