Conceptos Fundamentales de MikroTik RouterOS v6.35.1.01 Libro de Estudio
ABC Xperts ® Network Xperts ® Academy Xperts ®
Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.35.1.01 – Libro de Estudio
Tabla de Contenido Introducción ......................................................................................................................................................... v Resumen .......................................................................................................................................................................... vi Audiencia .......................................................................................................................................................................... vi Organización .................................................................................................................................................................... vi Convenciones usadas en este libro................................................................................................................................. vii Comentarios y preguntas ................................................................................................................................................ vii Un poco de Historia (Costa Rica) ................................................................................................................................... viii Cubriendo un País con MikroTik. ........................................................................................................................... viii
Capítulo 1: RouterOS .......................................................................................................................................... 1 Sobre MikroTik ................................................................................................................................................................. 1 ¿Qué es RouterOS? ......................................................................................................................................................... 1 Característica de RouterOS ............................................................................................................................................. 2 Qué hay de nuevo en la Versión 6 ................................................................................................................................... 4 Detalle de cambios en las cuatro últimas versiones de RouterOS................................................................................... 7 Qué es RouterBOARD? ................................................................................................................................................. 14 Arquitecturas Soportadas: ...................................................................................................................................... 14 Programa Made For MikroTik (MFM) ............................................................................................................................. 14 Por qué trabajar con un router integrado?...................................................................................................................... 14 Nomenclatura de los productos RouterBOARD ............................................................................................................. 15 Nomenclatura de los productos CloudCoreRouter ......................................................................................................... 16 Nomenclatura de los productos CloudCoreSwitch ......................................................................................................... 16 Ingresando al Router por Primera vez............................................................................................................................ 17 WebFig - Ingreso por Web Browser ............................................................................................................................... 17 Skins ....................................................................................................................................................................... 18 Quickset .................................................................................................................................................................. 19 WinBox ........................................................................................................................................................................... 20 RoMON........................................................................................................................................................................... 21 Secrets ................................................................................................................................................................... 22 Peer Discovery ....................................................................................................................................................... 22 Aplicaciones ........................................................................................................................................................... 22 Otras formas de acceso: SSH y Telnet .......................................................................................................................... 23 Acceso por puerto serial (puerto de Consola) ........................................................................................................ 23 Bootloader .............................................................................................................................................................. 23 Consola Serial / Terminal Serial ............................................................................................................................. 24 Configuración Básica o dejar el router en Blanco? ........................................................................................................ 24 Actualizando el router ..................................................................................................................................................... 25 Cómo hacer un Upgrade ........................................................................................................................................ 26 Actualización automática ........................................................................................................................................ 27 RouterBoot firmware Upgrade ................................................................................................................................ 27 Administración de usuarios en un RouterOS ......................................................................................................... 28 Administración de servicios en un RouterOS (IP Services) ........................................................................................... 28 Administración de los respaldos (backup) de las configuraciones ................................................................................. 29 Comando export ..................................................................................................................................................... 29 Guardar archivos de Backup .................................................................................................................................. 29 Licencias RouterOS........................................................................................................................................................ 29 Niveles de Licencias ............................................................................................................................................... 30 Cambio de Niveles de Licencias ............................................................................................................................ 31 Uso de las Licencias ............................................................................................................................................... 31 NetInstall......................................................................................................................................................................... 32 Procedimientos para usar Netinstall ....................................................................................................................... 32 Recursos adicionales ..................................................................................................................................................... 34 Preguntas de repaso del Capítulo 1 ............................................................................................................................... 36 Laboratorio – Capítulo 1 ................................................................................................................................................. 36
Capítulo 2: Ruteo Estático ................................................................................................................................ 37 Conceptos de Ruteo ....................................................................................................................................................... 37 Routing o enrutamiento .......................................................................................................................................... 37 Etiquetas de Rutas ................................................................................................................................................. 38 Significado de las etiquetas de rutas más comunes: ............................................................................................. 38 Rutas Estáticas............................................................................................................................................................... 39 Propiedades generales ........................................................................................................................................... 40 Propiedades de solo-lectura ................................................................................................................................... 41 Configurando la Ruta por Defecto .................................................................................................................................. 42 Gestión de Rutas Dinámicas .......................................................................................................................................... 42
Academy Xperts
i
RouterOS v6.35.1.01 – Libro de Estudio
Preguntas de repaso del Capítulo 2 ............................................................................................................................... 43 Laboratorio – Capítulo 2 ................................................................................................................................................. 43
Capítulo 3: Bridge.............................................................................................................................................. 44 Conceptos de Bridging ................................................................................................................................................... 44 Usando Bridges .............................................................................................................................................................. 45 Creando un Bridge ......................................................................................................................................................... 46 Preguntas de repaso del Capítulo 3 ............................................................................................................................... 46 Laboratorio – Capítulo 3 ................................................................................................................................................. 46
Capítulo 4: IEEE 802.11 (Wireless) .................................................................................................................. 47 Conexión Inalámbrica ..................................................................................................................................................... 47 IEEE 802.11 ................................................................................................................................................................... 47 Frecuencias y bandas: ........................................................................................................................................... 47 802.11b/g ................................................................................................................................................................ 47 802.11a ................................................................................................................................................................... 48 Problema del Nodo Oculto ............................................................................................................................................. 49 Diversidad Espacial ................................................................................................................................................ 50 basic-rates / supported-rates .......................................................................................................................................... 50 HT chains ....................................................................................................................................................................... 50 802.11n - Data Rates ..................................................................................................................................................... 51 802.11ac - Data Rates.................................................................................................................................................... 51 Tipos de Modulación ...................................................................................................................................................... 53 Modo de Frecuencia (frequency-mode) ......................................................................................................................... 53 Rate Flapping ................................................................................................................................................................. 53 Configuración básica de un Access Point (AP) .............................................................................................................. 54 Perfil de Seguridad (Security profile) .............................................................................................................................. 55 Configuración básica de una Estación (client/station) .................................................................................................... 56 Filtrado por MAC address............................................................................................................................................... 56 Access-list .............................................................................................................................................................. 56 Parámetros adicionales: ......................................................................................................................................... 57 Connect-list: ............................................................................................................................................................ 57 Default-authentication ............................................................................................................................................. 58 Default-forwarding .................................................................................................................................................. 58 WPA, WPA2 ................................................................................................................................................................... 58 Protocolos Wireless propietarios de MikroTik ................................................................................................................ 59 NV2 (Nstreme Version 2) ....................................................................................................................................... 59 Herramientas de monitoreo ............................................................................................................................................ 59 Wireless scan ......................................................................................................................................................... 59 Snooper .................................................................................................................................................................. 60 Registration table .................................................................................................................................................... 60 Redes inalámbricas en Modo Bridge.............................................................................................................................. 60 Preguntas de repaso del Capítulo 4 ............................................................................................................................... 61 Laboratorio – Capítulo 4 ................................................................................................................................................. 61
Capítulo 5: Network Management .................................................................................................................... 62 ARP / RARP ................................................................................................................................................................... 62 Modos ARP ............................................................................................................................................................ 63 Tabla ARP .............................................................................................................................................................. 64 Sintaxis ARP ........................................................................................................................................................... 64 Servidor / Cliente DHCP ................................................................................................................................................. 64 DHCP Server Setup ............................................................................................................................................... 66 DHCP Client ........................................................................................................................................................... 68 Gestión de Asignaciones ................................................................................................................................................ 68 Preguntas de repaso del Capítulo 5 ............................................................................................................................... 69 Laboratorio – Capítulo 5 ................................................................................................................................................. 69
Capítulo 6: Firewall............................................................................................................................................ 70 Conceptos básicos de Firewall ....................................................................................................................................... 70 ¿Cómo funciona un firewall? .................................................................................................................................. 70 Mapa de Protocolos ................................................................................................................................................ 76 Flujo de Paquetes........................................................................................................................................................... 76 Connection Tracking y sus Estados ............................................................................................................................... 78 TCP-States ............................................................................................................................................................. 79 Estados de las Conexiones (connection-state) ...................................................................................................... 79 Estructura: chains y acciones ......................................................................................................................................... 79 Filtrado Firewall en acción ...................................................................................................................................... 80 Consejos Básicos y trucos ..................................................................................................................................... 80
Academy Xperts
ii
RouterOS v6.35.1.01 – Libro de Estudio
Filtrado por Parámetros .......................................................................................................................................... 80 Filter actions ................................................................................................................................................................... 80 Protegiendo tu router (input)........................................................................................................................................... 81 Protegiendo a todos los clientes (forward) ..................................................................................................................... 81 Address-list conceptos básicos ...................................................................................................................................... 81 Source NAT .................................................................................................................................................................... 82 masquerade & src-nat ............................................................................................................................................ 82 Destination NAT ............................................................................................................................................................. 83 dst-nat & redirect .................................................................................................................................................... 84 scripts ............................................................................................................................................................................. 84 Preguntas de repaso del Capítulo 6 ............................................................................................................................... 85 Laboratorio – Capítulo 6 ................................................................................................................................................. 85
Capítulo 7: QoS.................................................................................................................................................. 86 Simple Queue (Cola simple)........................................................................................................................................... 86 Burst ............................................................................................................................................................................... 87 Limitación de Tráfico ...................................................................................................................................................... 88 PCQ ................................................................................................................................................................................ 89 Preguntas de repaso del Capítulo 7 ............................................................................................................................... 91 Laboratorio – Capítulo 7 ................................................................................................................................................. 91
Capítulo 8: Túneles ........................................................................................................................................... 92 Introducción .................................................................................................................................................................... 92 RouterOS y Túneles ....................................................................................................................................................... 93 /ppp profile (perfiles de usuario) ..................................................................................................................................... 93 /ppp secret (base de datos de usuario) .......................................................................................................................... 95 /ppp active (usuarios activos) ......................................................................................................................................... 95 /ppp aaa (AAA remoto) ................................................................................................................................................... 96 /ppp client (cliente PPP) ................................................................................................................................................. 96 /ip pool ............................................................................................................................................................................ 97 PPPoE ............................................................................................................................................................................ 98 Operación PPPoE .................................................................................................................................................. 98 Tipos de paquetes utilizados .................................................................................................................................. 99 MTU ...................................................................................................................................................................... 100 pppoe client (Cliente PPPoE) ............................................................................................................................... 100 Status ................................................................................................................................................................... 100 Scanner ................................................................................................................................................................ 101 Configuración del Server PPPoE (Concentrador de Acceso) .............................................................................. 101 PPTP ............................................................................................................................................................................ 103 PPTP Client (cliente pptp) .................................................................................................................................... 105 PPTP Server (servidor pptp) ................................................................................................................................ 105 L2TP ............................................................................................................................................................................. 106 L2TP Client (cliente l2tp) ...................................................................................................................................... 106 L2TP Server (servidor l2tp) .................................................................................................................................. 107 Clientes y servidores SSTP .......................................................................................................................................... 107 Clientes y Servidores OpenVPN .................................................................................................................................. 108 Configuración de Rutas entre redes ............................................................................................................................. 108 Preguntas de repaso del Capítulo 8 ............................................................................................................................. 109 Laboratorio – Capítulo 8 ............................................................................................................................................... 109
Capítulo 9: Herramientas RouterOS .............................................................................................................. 110 E-mail ........................................................................................................................................................................... 110 Send Email ........................................................................................................................................................... 110 Netwatch....................................................................................................................................................................... 111 Ping .............................................................................................................................................................................. 113 Formato de la cabecera (header) ICMP ............................................................................................................... 113 Mensajes de Control ICMP ................................................................................................................................... 113 MAC ping .............................................................................................................................................................. 116 Traceroute .................................................................................................................................................................... 116 Profiler (Carga del CPU)............................................................................................................................................... 117 Torch ............................................................................................................................................................................ 119 Graphing (Gráficos) ...................................................................................................................................................... 120 Interface Graphing ................................................................................................................................................ 122 Queue Graphing ................................................................................................................................................... 122 Resource Graphing .............................................................................................................................................. 122 Graphics en WinBox ............................................................................................................................................. 123 SNMP ........................................................................................................................................................................... 123 Configuración rápida ............................................................................................................................................ 123
Academy Xperts
iii
RouterOS v6.35.1.01 – Libro de Estudio
SNMP dentro del mapa de Protocolos TCP/IP ..................................................................................................... 124 Community (Comunidad) ...................................................................................................................................... 125 Management information base (MIB) ................................................................................................................... 126 Identificadores de Objetos (OID - Object identifiers) ............................................................................................ 126 Traps .................................................................................................................................................................... 126 SNMP write ........................................................................................................................................................... 127 System identity ............................................................................................................................................................. 127 IP Neighbor................................................................................................................................................................... 128 IP Neighbor discovery .......................................................................................................................................... 129 Ponerse en contacto con Soporte MikroTik.................................................................................................................. 130 Supout.rif .............................................................................................................................................................. 130 Supout.rif Viewer .................................................................................................................................................. 130 Registros (logging) del sistema y registros de depuración ........................................................................................... 132 Configuración del Logging .................................................................................................................................... 132 Actions .................................................................................................................................................................. 133 Tópicos ................................................................................................................................................................. 134 Bandwidth Test ............................................................................................................................................................. 135 Bandwidth Test Server ......................................................................................................................................... 135 Bandwidth Test Client ........................................................................................................................................... 135 Ping Speed ................................................................................................................................................................... 136 SMS .............................................................................................................................................................................. 137 Packet Sniffer ............................................................................................................................................................... 137 IP-Scan ......................................................................................................................................................................... 139 Telnet............................................................................................................................................................................ 140 SSH .............................................................................................................................................................................. 140 MAC Telnet................................................................................................................................................................... 140 Sigwatch ....................................................................................................................................................................... 140 Wake on Lan (Activación de la Lan) ............................................................................................................................. 141 Fetch............................................................................................................................................................................. 141 Dynamic DNS ............................................................................................................................................................... 142 Flood Ping .................................................................................................................................................................... 145 Generator Traffic (Generador de Tráfico) ..................................................................................................................... 145 Monitor de Tráfico de Interface..................................................................................................................................... 149
Academy Xperts
iv
RouterOS v6.35.1.01 – Libro de Estudio
Introducción MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema operativo de red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico y multi-núcleo, este hardware es el RouterBOARD. A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes por nuestros racks, siendo Cisco el referente, sin embargo siempre había representado un costo más o menos importante a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP. No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica (Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas. Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD. Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de fabricantes y costos de implementación. Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.
Mauro Escalante CEO Academy Xperts CEO Network Xperts
Academy Xperts
v
RouterOS v6.35.1.01 – Libro de Estudio
Resumen Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de certificación, pero que resultan claves para el correcto entendimiento de la materia. La información aquí presentada www.youtube.com/abcxperts
se
complementa
con
nuestros
recursos
en
www.abcxperts.com
y
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio ritmo. Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción. Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía de autoestudio MikroTik.
Audiencia Las personas que leen este libro deben estar familiarizados con: • •
Operaciones de red en Capa 2 Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP
Este libro está dirigido a: •
• •
Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a: § Redes Corporativas § Clientes WISP e ISP Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes corporativa y PYMES Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario (Help Desk)
Organización Este libro consta de 8 capítulos. Al final de cada capítulo existe una lista de que resume las ideas principales. El apéndice proporciona material de referencia de utilidad, Capítulo 1, MikroTik, RouterOS y RouterBOARD Una rápida revisión sobre quien es MikroTik, el desarrollo del hardware RouterBOARD, y la base de su sistema operativo RouterOS en el kernel de Linux. Se enumeran todas las nuevas características que hacen a la versión 6.x.El contenido de este capítulo se apoya en los videos tutoriales de nuestro canal de conocimiento ABCxperts (http://www.abcxperts.com) en la plataforma YouTube (http://www.youtube.com/abcxperts). Capítulo 2, Ruteo Estático Trabajar en ruteo estático es muy sencillo en el RouterOS, sin embargo es muy importante fortalecer los conceptos y comprender los diferentes parámetros asociados con esta tarea. Los instructores (MikroTik Trainer Partners) deben fortalecer este entendimiento con ejercicios de laboratorio y prácticas teóricas. En nuestro canal de YouTube (http://www.youtube.com/abcxperts) tenemos video basados en Webinars específicamente sobre Conceptos de Ruteo, Subnetting, y VLSM. Capítulo 3, Bridge Una revisión del concepto de bridge, ventajas y desventajas. Capítulo 4, Wireless El mundo de Wireless en RouterOS es sumamente extenso y versátil, sin embargo en este capítulo del curso se sientan las bases para poder realizar enlaces básicos y de mediana envergadura para punto-punto y punto-multipunto. En este capítulo se revisan temas como la seguridad Wireless, filtrado por MAC (address-list y access-list), HT chains, rate flapping, etc. Capítulo 5, Network Management RouterOS es un sistema operativo que provee diferentes herramientas de administración y monitoreo. En este capítulo se revisarán temas como ARP, DHCP Server, DHCP Cliente, Herramientas de RouterOS (email, netwatch, ping, traceroute, profiler, IP neighbors) Capítulo 6, Firewall La función Firewall de RouterOS es sumamente poderosa y en esta sección se tratará de cubrir las opciones y acciones más importantes destinadas a proteger el router y la red, así como también las formas de proveer acceso a recursos de LAN a través de un dispositivo que da la cara a Internet o red externa. Existen decenas de parámetros y situaciones entre las que se revisarán: Flujo de paquetes, Connection Track, Chains, Actions, Filtros, NAT (src-nat, dst-nat), Mangle. Capítulo 7, Colas Simples y QoS Si bien es cierto las Colas Simples (simple-queues) son “simples”, sin embargo proporcionan una posibilidad casi ilimitada para realizar una verdadera implementación de calidad de servicio (QoS) de la mano con las reglas de Mangle. Colas simples Academy Xperts
vi
RouterOS v6.35.1.01 – Libro de Estudio
tiene sus limitaciones sobre la eficiencia de la asignación de ancho de banda, pero en los ejercicios que se desarrollen se podrá emular una estructura jerárquica que podrá ser mejorada en el curso de Control de Tráfico Avanzado. Capítulo 8, Túneles Por qué son necesarios los túneles? Cómo entender las interfaces virtuales que se generan? Cómo interconectar dos o más redes remotas a través de internet? Viajan los datos en forma segura o están expuesto en la nube? Este capítulo enseña cómo crear los diferentes tipos de túneles PPP en RouterOS. Se revisarán los parámetros y esquema de configuración de túneles: PPPoE, PPTP, L2TP, SSTP y OVPN
Convenciones usadas en este libro En este libro se utilizarán las siguientes convenciones tipográficas: Itálicas Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso de términos técnicos Courier new Indica direcciones IP y ejemplos de línea de comando Courier new en itálica Indica texto que puede ser reemplazado Courier new en negrita Indica datos de entrada del usuario Este icono significa un consejo, sugerencia, o una nota general.
Este icono indica una advertencia o precaución.
Comentarios y preguntas Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección: Network Xperts S.A. Av. Juan T. Marengo y J. Orrantia Edificio Professional Center, Piso 5, Ofic. 507 Guayaquil, ECUADOR +593-4-600-8590 +593-9-9535-2132 A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información adicional: http://cursos.abcxperts.com Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
[email protected] Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros Websites y canal de YouTube http://www.abcxperts.com http://www.academyxperts.com http://www.youtube.com/abcxperts
Academy Xperts
vii
RouterOS v6.35.1.01 – Libro de Estudio
Un poco de Historia (Costa Rica) Cubriendo un País con MikroTik. En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing. Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2 Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps. En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas bajo la misma marca MikroTik y su sistema operativo RouterOS. Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A (REICO). Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de 80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para alcanzar una cobertura de más del 80% del territorio y a más del 90% de la población. La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales, turísticos, comerciales, etc. Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK. REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro, Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa Rica 2014.
Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico sobre los inicios de MikroTik en Latinoamérica.
Academy Xperts
viii
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Capítulo 1: RouterOS MikroTik, RouterOS y RouterBOARD
Sobre MikroTik MikroTik es una compañía fundada en 1995 en Riga, capital de Latvia, creada para desarrollar routers y sistemas inalámbricos para Proveedores de Servicios de Internet (ISP – Internet Service Provider)
En 1997 MikroTik creó el sistema de software RouterOS que proporciona estabilidad, control y flexibilidad para todos los tipos de interfaces de datos y ruteo En el 2002 MikroTik decidió fabricar su propio hardware y de esta forma nace el RouterBOARD. MikroTik tiene distribuidores en muchas partes del mundo, y clientes probablemente en casi todos los países del planeta.
Páginas de interés: www.mikrotik.com www.routerboard.com wiki.mikrotik.com tiktube.com mum.mikrotik.com forum.mikrotik.com
Website oficial Página oficial de los productos RouterBOARD Portal de documentación Portal de videos Eventos y conferencias del MikroTik User Meeting Foro de soporte oficial
¿Qué es RouterOS? MikroTik RouterOS es el sistema operativo del hardware MikroTik RouterBOARD, que tiene las características necesarias para un ISP: Firewall, Router, MPLS, VPN, Wireless, HotSpot, Calidad de Servicio (QoS), etc. RouterOS es un sistema operativo independiente basado en el kernel de Linux v3.3.5 que proporciona todas las funciones en una instalación rápida y sencilla, con una interfaz fácil de usar. RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles con x86, como tarjetas embebidas y sistemas miniITX. RouterOS soporta computadores multi-core y multi CPU. Soporta tambien Multiprocesamiento Simétrico (SMP: Symmetric MultiProcessing). Se puede ejecutar en los motherboards Intel más recientes y aprovechar los nuevos CPUs multicore. Multiprocesamiento Simétrico Es una arquitectura de Software y Hardware donde dos o más procesadores idénticos son conectados a una simple memoria compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son controlados por una simple instancia del OS (Sistema Operativo), en el cual todos los procesadores son tratados en forma igualitaria, sin que ninguno sea reservado para propósitos especiales. En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos, tratándolos como procesadores separados. El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo. Soporta una gran variedad de interfaces de red, incluyendo tarjetas Ethernet de 10 Gigabit, tarjetas wireless 802.11a/b/g/n/ac y módems 3G y 4G. Academy Xperts
1
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Fechas de liberación de las versiones de RouterOS • • • •
v6 - May 2013 v5 - Mar 2010 v4 - Oct 2009 v3 - Ene 2008
Característica de RouterOS Soporte de Hardware • • • • • • •
Compatible con arquitectura i386 Compatible con SMP (multi-core y multi-CPU) Requiere un mínimo de 32MB de RAM (reconoce hasta máximo 2GB, excepto en los dispositivos Cloud Core, donde no existe un máximo) Soporta los medios de almacenamiento IDE, SATA, USB y flash, con un mínimo de 64MB de espacio. Incluye HDDs, tarjetas CF y SD, y discos SDD Tarjetas de red soportadas por el kernel de Linux v3.3.5 (PCI, PCI-X) Soporte de configuración de Chip de Switch: o http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features Compatibilidad de diferentes tipos de interfaces y dispositivos. Existe una lista de compatibilidad que alimentada por los usuarios en el siguiente link: o http://wiki.mikrotik.com/wiki/Supported_Hardware
Instalación • • •
Netinstall: Instalación basada en red desde una tarjeta de red habilitada con PXE o EtherBoot. o http://wiki.mikrotik.com/wiki/Manual:Netinstall Netinstall: Instalación a un drive secundario montado en Windows Instalación basada en CD
Configuración • • • •
•
Acceso basado en MAC para configuración inicial. http://wiki.mikrotik.com/wiki/Manual:First_time_startup WinBox: herramientas de configuración gráfica (GUI) independiente para Windows. o http://wiki.mikrotik.com/wiki/Manual:Winbox WebFig: Interface de configuración avanzada basada en web Poderosa interface de configuración basada en Línea de Comandos (CLI: command line) con capacidades de scripting integrado, accesible a través de terminal local, consola serial, telnet y ssh. o http://wiki.mikrotik.com/wiki/Manual:Scripting API: una forma de crear sus propias configuraciones y aplicaciones de monitoreo. o http://wiki.mikrotik.com/wiki/Manual:API
Respaldo y Restauración (Backup/Restore) • •
Copia de seguridad se configuración binaria Exportar e Importar la Configuración en formato de texto legible
Firewall • • • • •
• • • •
Filtrado basado en el estado del paquete (Statefull filtering) Source NAT y Destination NAT. o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp). o http://wiki.mikrotik.com/wiki/Manual:IP/Services#Service_Ports Marcas internas: mark-connection, mark-routing y mark-packet Filtrado basado en dirección IP y rango de direcciones, puerto y rango de puertos, protocolo IP, DSCP y muchos más. o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter Listas de direcciones (Address lists). o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list Filtros de Capa 7 personalizados. o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7 Soporte para IPv6. o http://wiki.mikrotik.com/wiki/Manual:IPv6_Overview PCC: clasificador basado en conexión, utilizado en configuraciones de balanceo de carga. o http://wiki.mikrotik.com/wiki/Manual:PCC
Ruteo (Routing) • •
Ruteo Estático Virtual Routing and Forwarding (VRF). o http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding
Academy Xperts
2
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
• • • • • •
Ruteo basado en políticas (Policy based routing) Interface de ruteo. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Routes_with_interface_as_a_gateway Ruteo ECMP. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Multipath_.28ECMP.29_routes Protocolos de ruteo dinámico IPv4: RIP v1/v2, OSPFv2, BGP v4 Protocolos de ruteo dinámico IPv6: RIPng, OSPFv3, BGP Bidirectional Forwarding Detection ( BFD). o http://wiki.mikrotik.com/wiki/Manual:Routing/BFD
MPLS • • • • • •
Static Label bindings para IPv4 Label Distribution protocol para IPv4. o http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS Túneles de Ingeniería de Tráfico RSVP. o http://wiki.mikrotik.com/wiki/Manual:MPLS/TE_Tunnels Autodescubrimiento y señalización basado en VPLS MP-BGP MP-BGP basado en MPLS IP VPN Es el siguiente link se puede revisar la lista completa de las características de MPLS
VPN •
• • • • • •
IPsec: túnel y modo de transporte, certificado o PSK, protocolos de seguridad AH y ESP. Soporte de encriptación por hardware en RouterBOARD 1000. o http://wiki.mikrotik.com/wiki/Manual:IP/IPsec Point to point Tunneling (OpenVPN, PPTP, PPPoE, L2TP, SSTP) Características avanzadas de PPP (MLPPP, BCP) Soporte para túneles simples ( IPIP, EoIP) IPv4 e IPv6 Soporte para túnel 6to4 (IPv6 sobre red IPv4) VLAN: soporte para IEEE802.1q Virtual LAN, Soporte de Q-in-Q. o http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN VPNs basadas en MPLS. o http://wiki.mikrotik.com/wiki/Manual:RouterOS_features#MPLS
Wireless • • • • • • • • • • • •
Cliente y Access Point inalámbrico IEEE802.11a/b/g Soporte completo para IEEE802.11n Protocolos propietarios Nstreme y Nstreme2 Protocolo NV2. http://wiki.mikrotik.com/wiki/Manual:Nv2 Wireless Distribution System (WDS) Virtual AP WEP, WPA, WPA2 Control por Lista de Acceso (Access List) Roaming de cliente Wireless WMM. http://wiki.mikrotik.com/wiki/Manual:WMM Protocolo HWMP+ Wireless MESH. o http://wiki.mikrotik.com/wiki/Manual:Interface/HWMPplus Protocolo de ruteo wireless MME. o http://wiki.mikrotik.com/wiki/Manual:Routing/MME
DHCP • • • • • • •
DHCP server por interface DHCP client y relay Arrendamiento de direcciones IP (leases) DHCP estáticas y dinámicas Soporte RADIUS Opciones personalizadas de DHCP Delegación de prefijo DHCPv6 (DHCPv6-PD) Cliente DHCPv6
HotSpot • • • •
Acceso Plug-n-Play a la red Autenticación de clientes de red locales Contabilización de usuarios (Users Accounting) Soporte RADIUS para Autenticación y Contabilización
QoS • • •
Sistema Hierarchical Token Bucket ( HTB) QoS con CIR, MIR, burst y soporte de prioridades. o http://wiki.mikrotik.com/wiki/Manual:HTB Colas Simples (Simple Queues) para implementación de QoS básico para una solución rápida y simple Entrega equitativa de ancho de banda al cliente en forma dinámica ( PCQ).
Academy Xperts
3
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
o
http://wiki.mikrotik.com/wiki/Manual:PCQ
Proxy •
Servidor proxy para almacenamiento en caché de HTTP
•
Proxy Transparente HTTP
•
Soporte de protocolo SOCKS. o http://wiki.mikrotik.com/wiki/Manual:IP/SOCKS Entradas estáticas DNS. o http://wiki.mikrotik.com/wiki/Manual:IP/DNS Soporte para almacenamiento en caché en un drive separado Soporte para Proxy Padre (parent proxy) Lista de Control de Acceso (access control list) Lista de almacenamiento en caché (caching list)
• • • • •
Herramientas • • • • • • • • •
Ping, traceroute Test de ancho de banda (Bandwidth test), ping flood Packet sniffer, torch Telnet, ssh E-mail y herramientas de envío SMS Herramientas de ejecución de Scripts automatizados CALEA. http://wiki.mikrotik.com/wiki/CALEA Herramienta File Fetch. o http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch Generador avanzado de tráfico
Características adicionales • • • • • • • • • • • • • •
Soporte para Samba. o http://wiki.mikrotik.com/wiki/Manual:IP/SMB Soporte para OpenFlow. o http://wiki.mikrotik.com/wiki/Manual:OpenFlow Bridging: spanning tree protocol (STP, RSTP), bridge firewall y MAC natting. Herramienta de actualización de Dynamic DNS NTP client/server y sincronización con sistema GPS. o http://wiki.mikrotik.com/wiki/Manual:System/Time#SNTP_client Soporte para VRRP v2 y v3. o http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP SNMP M3P: MikroTik Packet Packer Protocol para enlaces Wireless y Ethernet MNDP: MikroTik neighbor discovery protocol, soporta CDP (Cisco discovery protocol) Autenticación y Contabilización RADIUS TFTP server. http://wiki.mikrotik.com/wiki/Manual:IP/TFTP Soporte para interface Sincrónica (Farsync cards only) (Se removió en la versión v5.x) Asincrónico: serial PPP dial-in/dial-out, dial on demand ISDN: dial-in/dial-out, soporte para128K bundle, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial on demand
Qué hay de nuevo en la Versión 6 Novedades Generales • • • • • • • • • • • • •
Drivers y Kernel actualizados a linux-3.3.5 Soporte inicial para OpenFlow. http://wiki.mikrotik.com/wiki/Manual:OpenFlow Nuevas características para pantallas táctiles LCD. o http://wiki.mikrotik.com/wiki/Manual:LCD_TouchScreen Método de login mac-cookie para el HotSpot (mayormente usado en teléfonos inteligentes). o http://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction#MAC_Cookie Opciones configurables del kernel en el menú /ip settings y /ipv6 settings (ip forward, filtros rp etc.) El timeout del ARP puede ser cambiado en /ip settings El Neighbor discovery puede ser deshabilitado por default en las interfaces dinámicas en el menú /ip neighbor discovery settings Para habilitar/deshabilitar el descubrimiento (discovery) en la interface se debe usar el comando /ip neighbor discovery set (interface number/name) discover=yes/no Muestra el last-logged-in en la lista de usuarios GRE soporta todos los protocolos de encapsulación, no solo IPv4 e IPv6 La etiqueta ‘Slave’ se muestra en las interfaces que están en bridge, bonding o grupo de switch El cliente SSH provee la nueva propiedad output-to-file, muy útil cuando se realiza scripting. Soporte para API sobre TLS (SSL). http://wiki.mikrotik.com/wiki/Manual:API
Academy Xperts
4
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
• • • • • • • • •
API se encuentra habilitado por default DNS reintenta las búsquedas con TCP si se reciben resultados truncados DNS rota los servidores únicamente en falla DNS cache guarda en bitácora los requerimientos de los tópicos "dns" y "packet"; WebFig ahora soporta autenticación RADIUS (vía MS-CHAPv2). o http://wiki.mikrotik.com/wiki/Manual:Webfig Se agregó un nuevo parámetros en Web Proxy: max-cache-object-size Se incrementó el contador de conexiones Max client/server en el Web Proxy Si el cliente NTP está habilitado, el log muestra la hora y fecha correctas cuando el router ha realizado un reboot Trunking 802.1Q con el chip de switch Atheros. o http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
OpenFlow: Es la primera interfaz de comunicaciones estándar definida entre las capas de control y forward de una arquitectura SDN. Permite el acceso directo y la manipulación del plano de forward de los dispositivos de red tales como switches y routers, tanto físicos como virtuales (basados en hypervisor) El OpenFlow basado en tecnologías SDN, permite direccionar el consumo de ancho de banda, adaptar la red a las necesidades cambiantes del negocio, y reducir las complejidad de las operaciones y de la administración. https://www.opennetworking.org/sdn-resources/openflow SDN = Software-Defined Networking. Es la separación del
de la red del Un controla diferentes dispositivos. https://www.opennetworking.org/sdn-resources/sdn-definition Mac-Cookie: es una nueva función HotSpot, diseñado para mejorar la accesibilidad de los teléfonos inteligentes, computadoras portátiles y otros dispositivos móviles. Si tenemos activado esto podremos: •
Primer inicio de sesión correcto. Mac cookie mantiene un registro de nombre de usuario y la contraseña de la dirección MAC si solo hay un HotSpot con tales MAC.
Aparece un nuevo Host. HotSpot chequea si hay un registro de cookies mac para la dirección y los registros. PPP • • • • •
SSTP puede forzar una encriptación AES en lugar del RC4 por default El profile de PPP provee ahora los parámetros bridge-path-cost y bridge-port-priority Secrets muestra la fecha y hora de last-logged-out HotSpot y PPP ahora soportan múltiples address-lists Únicamente se crean 2 reglas de mangle mss para todas las interfaces PPP
Firewall • • • •
Nuevos comparadores (matchers) de interfaces all-ether, all-wireless, all-vlan, all-ppp Comparador con prioridad Nuevas opciones en change-dscp: from-priority y from-priority-to-high-3-bits Nuevas acciones de mangle: snif-tzsp, snif-pc
Wireless •
Opciones de Canales Wireless: se puede crear una lista de canales personalizados. o http://wiki.mikrotik.com/wiki/Manual:Wireless_Advanced_Channels
DHCP • • • • • • •
El cliente DHCP ahora soporta opciones personalizadas El cliente DHCP v4 ahora tiene la opción special-classless para el parámetro add-default-route Se puede agregar la opción (Option 82) de información del agente relay. o http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay Soporte de la opción DHCPv6 DNS Soporte de DHCPv6 Relay Soporte de ruta enmarcada DHCP server RADIUS Opción de configuración por entrega de IP (lease) DHCP
IPsec • • • • • • • •
Se mejoró significativamente la configuración Road Warrior cuando se usa con el soporte Mode Configuration. Soporte Mode Conf (unity split include, address pools, DNS) IPsec peer puede ser configurado como pasivo: no iniciará una negociación ISAKMP SA Soporte Xauth ( xauth PSK e Hybrid RSA) Plantilla de políticas: permite generar una política solo si src/dst address, protocol y proposal coinciden con la plantilla Peer groups Se puede usar Multiple peers con la misma dirección IP. Para los peers con un sistema especificado de dirección IP completo se auto-iniciará una negociación ISAKMP SA.
Academy Xperts
5
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
• •
generate-policy puede ahora tener un valor port-strict que usará el puerto del peer's proposal La dirección origen (source address) de la fase 1 se puede ahora configurar
Certificados •
• • • •
Las claves CA (CA keys) ya no son almacenados, cada operación CA ahora requiere un CA passphrase válido. Se usa el parámetro set-ca-passphrase para que el servidor SCEP almacene la clave CA (CA key) en forma encriptada Para los certificados marcados como trusted=yes, CRL se actualizará automáticamente una vez por hora desde las fuentes HTTP IPsec y SSTP respetan los CRLs Soporte para server/cliente SCEP El administrador de certificados puede ahora emitir certificados firmados por sí mismo.
Ruteo (Routing) • • •
Nuevo parámetro use-dn en OSPF. Obliga a ignorar el DN bit en los LSAs. Se cambió la lógica de propagación BGP MED. Ahora se descarta cuando se envía una ruta con non-empty AS_PATH a un par externo Las rutas conectadas se vuelven inactivas cuando la interface se cae. Esto significa que los protocolos de ruteo dinámico detendrán la distribución de las rutas conectadas que no tengan la etiqueta Active.
Colas (Queues) • • • • • • • • •
Se mejoró el desempeño del uso de las colas simpes (simple queues) Se mejoró la administración de las colas (/queue simple y /queue tree), permitiendo el manejo de decenas de miles de colas Las entradas de /queue tree con parent=global se ejecutan en forma separada de las /queue simple y antes de las /queue simple Se crean por default los tipos de encolamiento (queue types): pcq-download-default y pcq-upload-default Las colas simples (simple queues) tienen configuraciones de prioridad separados para download/upload/total Los padres global-in, global-out, global-total en /queue tree se reemplazan con global que es el equivalente a globaltotal en la versión 5 Las colas simples se ejecutan en un lugar diferente: al final de los chains postrouting y local-in Los parámetros target-addresses e interface en colas simples se unen en un solo parámetro destino, ahora soporta múltiples interfaces para una sola cola El parámetro dst-address en las colas simples se cambia a dst y ahora soporta una interface como destino
Exportar una configuración compacta • •
Ahora por default la configuración se exporta en modo compacto Para realizar un export completo de la configuración se debe usar el parámetro verbose /export verbose file=myConfig
Herramientas • • • • • •
Soporte FastPath. http://wiki.mikrotik.com/wiki/Manual:Fast_Path Se renombró en e-mail el tls a start-tls y se agregó como un parámetro configurable La herramienta Fetch ahora tiene soporte para HTTPS. o http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch Se agregó soporte de la cabecera IPv6 al generador de tráfico(traffic generator) Reproducción de archivos pcap dentro de la red usando el nuevo comando trafficgen inject-pcap La NAND Flash puede ser particionada en los routerboards y se pueden instalar versiones separadas de RouterOS en cada una de las particiones. o http://wiki.mikrotik.com/wiki/Manual:Partitions
Academy Xperts
6
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Detalle de cambios en las cuatro últimas versiones de RouterOS Para una revisión del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link: http://abcxperts.com/index.php/bitacora-de-cambios Número de Versión Fecha Emisión Hora de Emisión # Días transcurridos desde versión anterior
6.35.1
6.35
Tue, 26/Apr/2016 9:29 12
Thu, 14/Apr/2016 12:55 21
address-list
Se corrigió un problema de caída del sistema en situaciones de baja memoria
arp
Se aplica un parche del Kernel del Linux para evitar que RouterOS muestre aleatoriamente los ARPs fuera de lugar
bonding
capsman
No se corrompen las estadísticas bonding en los cambios de configuración Se corrigió un problema de caida cuando el MTU de la VLAN padre es más alto que el MTU del bonding
6.34.4
6.34.3
Thu, 24/Mar/2016 Wed, 09/Mar/2016 13:13 10:03 15 20
Se corrigió un problema de caida cuando se creaban VLANs en la interface bonding
Se agregó la banda 802.11g/n Se corrigió los nombres de canal de extensión capsman Se agregaron más parámetros de configuración Se agregó soporte para la configuración del rate
CCR1072
certificates
Se corrigió un problema de tráfico de los puertos SFP+ 1-4 o 5-8 donde todos se deshabilitaban Los certificados revocados no se muestran como (R)evocados Se permite la adición manual crl url
chr (Cloud Hosted Router)
Se agregó soporte para VLAN en Hyper-V
Se corrigió un problema de reboot con la licencia y las colas
Se corrigió un problema de caida cuando se usaba la opción de firewall de capa 7 (layer 7 firewall)
Se corrigió el booting de Hyper-V desde SCSI Se corrigió un problema de un loop en el reboot de Windows 8 y Windows 10 en Hyper-V Se corrigió un problema en bridge firewall Se corrigió un problema de caída del Kernel cuando la interface ethernet virtual no está conectada a nada en Hyper-V Se implementó el incremento automático de almacenamiento en la opción de incremento de tamaño de imagen de disco Se implementó grabar la caida de Kernel a autosupout.rif (esto utilizará adicionalmente 24Mb de RAM) Se hace que funcione el requerimiento de shutdown desde hyper-V (es posible que corrija también otros hypervisors) No más instalación en el primer boot Se trata de renovar la licencia expirada una vez cada hora, en lugar de cada 100 horas cloud
No se escriben en el almacenamiento los cmabios de estatus menores
console
Se corrigió el print follow en el menú "/ip dns cache"
Academy Xperts
Se permiten nombres de scan-list desconocidos en configuraciones wireless para corregir el import
7
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS Número de Versión
6.35.1
6.35
6.34.4
6.34.3
Se muestra la versión de RouterOS en /interface wireless scan Se muestra completions/hints en el orden natural Se actuaiza el aviso de copyright default config dhcpv6
Se corrigió la configuración por default del SXT LTE client
Se corrigió un mensaje de error equivocado Se corrigió la expiración ia y la validación del lifetime Se adquiere el binding o se renueva si no existe
dude
Los cambios se discuten en el siguiente link http://forum.mikrotik.com/viewtopic.php?f=8&t=104395 Se corrige el logging (registro en bitácora) del login del Dude. Ya no se muestra como Wibox login
email
Se corrigió send cmd server addr override
ethernet
No se permite que el Se agregó la opción para ver el módulo S-GPONMTU sea más alto ONU, GPON side SN en "/int eth mon sfp#" que el L2MTU, y que el L2MTU sea más alto que el MAXL2MTU (se reduce automáticamene en el upgrade si es que estaba equivocado anteriormente) No permite configurar a sí mismo como un master port
export
Se corrigió un problema de enlace en 10/100Mbps en los equipos Netmetal, QRT, DynaDish y SXT ac. Este problema se introdujo en v6.34.x
El bonding no se mostrará en global export Se excluyen los valores por default de export en el menú "/interface l2tp-server server" Se corrigió el export cuando la dirección IPv6 se tomaba del pool Se corrigieron situaciones extrañas cuando no se exportaba toda la configuración Se actualizó los defaults para el export compacto
fastpath
Se corrigió un problema de caida cuando el paquete llegaba en una interface deshabilitada
Se corrigió un probema raro de falla de kernel
Se corrigió un problema que mostraban los rx-bitsper-second en todas las interfaces VLAN Se mejoró el VLAN fastpath fasttrack
Se corrigió el timer de actualización en las tablas de conexión para las conexiones fasttrack
fetch
Se decrementó el connection idle timeout
firewall
Se agregó el parámetro experimental "action=route" en mangle prerouting. Este parámetro forza los paquetes a un gateway específico, ignorando las decisiones de ruteo (funciona únicamente en CLI)
gre
Se corrigió un problema en la descarga TTFP
Se corrigió un problema de falla de memoria
health
Siempre se reporta la velocidad del ventilador, incluso si es 0 (cero) Permite el intercambio de fan2 y fan3 en el CCR1072
hotspot
Se impian inmediatamente todas las entradas muertas Se corrigen todos los posibles puntos muertos Se mejoró la resistencia de la página HTML contra ataques Se hace que el tag de video trabaje apropiadamente en la página login.html de hotspot
ip
ip accounting
ippool6
Academy Xperts
Se renombra nax-arp-entries a un parámetro menos confuso max-neighbor-entries Se corrigió un problema potencial de caida
8
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS Número de Versión ipsec
6.35.1
6.35 Se hace que siempre se haga un re-key ph1 ya que es posible que expire ph1 sin un DPD
6.34.4
6.34.3
Se toma en cuenta el protocolo IP en el kernel política de matcher de políticas
Se logra un mejor flujo en el cambio de proposal Se corrigió un problema de caida cuando se hacía una actualización de las políticas Se corrigió la adición de fast ph2 SA Se corrigió el refresh larval SA para el display Se corrigió el flujo de mútiples políticas dinámicas consecutivas l2tp
Se corrigió la contabilización del tráfico de usuario cuando se usaba fastpath Se introdujo la opción allow-fast-path por túnel Se agregó el soporte para Hidden AVP, que se necesita para la autenticación proxy Se agregó soporte para max-sessions Se agregó el soporte para autenticación proxy cuando se reciben sesiones PPPoE forwarded Se corrigió un pequeño problema de fuga de memoria en las reconexiones Se implementó el soporte fastpath/fasttrack l2tp y lns
lcd
Se corrigió el problema de dibujo del logo en el paquete de marca al inicio
led
Se corrigió un problema de caida en la remoción de la interface asignada
Se corrigió un problema en la pantalla de seguridad en que no mostraba las direcciones IP en los CCR
Se enciende el led de falla en el CCR1072 si el CPU está demasiado caliente Se corrigió el problema del parpadeo del led AP-CAP después de una asociación satisfactoria a CAPsMAN log
LTE
Se corrigieron los mensajes de log en el reboot No se permiten Se agregó el soporte IPv6 para SXT LTE configurar mútliples modos cuando no está soportado Se corrigió la Se cambió el procesamiento del comando AT adquisición de dirección (address acquisition) en las interfaces Huaweii LTE Se cambió el análisis sintáctivo AT debido a que los modems Huawei soportados usan eventos no solicitados en lugar del polling Se corrigió el marcado (dialing) del modem bandlux Se corrigió un problema de caida cuando había una inicialización temprana Se mejoró una situación en que el modem SXT nunca encuentra operador Se reemplazó signal-strength con rssi en el comando info Se agregó el soporte para el modem ALT38XX Se agregó el soporte para ZTE MF820s2 Los modems soportados ahora usan eventos no solicitados para el monitoreo de la red Se usa el timer para la info del modem
mac-winbox
Academy Xperts
Trata de agregar paquetes y reenviar todos los paquetes pendientes cuando se agota el tiempo de espera
9
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS Número de Versión
6.35.1
6.35
map lite
Se agregó el soporte de hardware para el botón WPS
mipsbe
Se corrigió un extraña corrupción del buffer tx ethernet (se excluye de este error a las series RB4xx y CRS)
mpls
No se resetea el VPLS en TE tunnel re-optimize
nand
Se implementó un refresh del NAND una vez a la semana para mejorar la integridad de la data almacenada (incrementará la escritura de los sectores)
6.34.4
netinstall
6.34.3
Se corrigió un problema de negociación de enlace para diferentes módulos SFP
ospf
Se corrigió un problema de caida cuando se obtenía el router-id del vecino (neighbor) en un área NBMA
ppp
Se corrigió un problema de reconexión de la interface Ya no se produce una Se corrigió un PPP cuando se usaba uPnP caida cuando se problema de caida recibe múltiples de PPP paquetes CBCP Se cierra la conexión si un peer intenta re-autenticar Se corrigió un problema de caida cuando la interface ppp se desconecta y el usaurio se autenticaba al mismo tiempo. Esta situación era más probabñe con servidores RADIUS lentos. Se corrigió un problema de fuga de memoria cuando un número alto de clientes PPPoE se conectan al mismo server Se corrigió una caida PP si los paquetes LCP se perdían y la autenticación se retardaba Se corrigió el problema de que algunos clientes no podían reconectarse debido a un reinicio LCP
pppoe
Se corrigió la contabilización del tráfico de usuario cuando se usaba fastpath Se agregó soporte para RFC4679 Se corrigió un problema de caida cuando se removia el servicio PPPoE
pppoe
client
Se implementó el soporte fastpath
pppoe
server
Se agregó la opción pado-delay
profiler
Se clasifica la firma de certificado
proxy
Se corrigió la decodificación url del requerimiento FTP
queues
Se mejoró el menú "/queue interface" Se agregó la configuración bucket-size a las colas (derivado de max-limit)
queue tree
quickset
Se mejoró el cálculo del límite de las colas anidadas Se corrigió un problema enque la fecha inválida ajustaba el threshold de la señal para la tabla de señal y la tasa de refresh
Se corrigieron situaciones en las que el password oculto se pasaba como ****** de Winbox y Webfig
Se corrigió un problema en la selección de la interface wan en dispositivos con interfaces SFP Utiliza la interface 5GHz en lugar de la interface 2GHz en el SXT Lite5 ac
radius
Se alerta al cliente si se está usando un secret incorrecto
RB3011
Se corrigió la compatibilidad SFP con CCR cuando se Se corrigió un usan cables directamente conectados problema de carga de CPU que rompía las estadísticas de ethernet Se corrigió el time keeping Se corrigió un problema de
Academy Xperts
10
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS Número de Versión
6.35.1
6.35
6.34.4
6.34.3
mensajes de enlace caido Se hace que Ether6-Ether10 trabajen si el módulo SFP está presente en bootup romon
Se corrigió un problema de romon discovery después de un cambio de romon ID
romon-ssh
Se corrigió las direcciones activas para romon user
route
No se muestra el gateway duplicado en la ruta conectada Se corrigió el filtro por la tabla de ruteo
routing
Se corrigió un raro problema de falla de kernel en diferentes configuraciones de ruteo dinámico Se corrigió un problema de routing-mark donde no se borraban de memoria cuando no estaban siendo usados
services
No se muestra la entrada SSH en IP services si el paquete de seguridad está deshabilitado
snmp
No se agrupa los OIDs para que tengan carga con maxreps > 1 Se corrigió un reporte de carga de CPU a un promedio de 1 minuto y se cambió el OID a 1.3.6.1.4.1.2021.11.10.0 Se corrigió el formato hwaddr de reserva DHCPv4 de acuerdo al MIB Se corrigió un problema de obtención de carga que resultaba en la reordenación con múltiples requerimientos de OIDs
ssh
Se simplifica el proceso de login
ssl
Se optimizó la atualización del certificado
system
Se registran los cambios de tiempo
tile
Se corrigió el max-l2mtu
Se corrigió un problema de caida cuando fallaba la lectura SCP
Se corrigió una pérdida de memoria relacionada con fastpath Se corrigió un problema de regresión de performance en el chip del switch (se introdujo en v6.33rc18) Se corrigió una situación extraña cuando alguno núcleos (cores) decidían no tomar parte en el procesamiento del paquete hasta que se haga el siguiente reboot tile-crypto
Se corrigió una fuga menor de memoria
timezone
tool
Se corrigió un problema de reboot ocasionado por el watchdog cuando se seleccionaban timezones del final de la lista fetch
Se corrigió la limpieza del HTTPs en la parada del usuario mientras había el handshaking
trafficgen
Se corrigió los argumentos de consola Se corrigió un problema de caida cuando reaparecía un stream no esperado
trafflow
Se corrigió un potencial problema de punto muerto (deadlock)
tunnels
Se corrigió un problema de deterioro del performance en cualquier túnel que se habilita/deshabilita
ups
Se corrigió un problema de que se entraba en modo de hibernación cuando la capacidad de la batería estaba bajo el límite
users
Se agregó una política separada de RoMoN
Academy Xperts
11
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS Número de Versión
6.35.1
6.35
userman
webfig
6.34.4
6.34.3
Se corrigió un problema de caida WWW Se corrigió un problema en el ordenamiento de regla de firewall que no trabajaba en otros chains excepto en todos Muestra grupos de items individuales como valores opcionales Se ordenan numéricamente las columnas numéricas incluso si contienen algo de texto
winbox
Se muestra el voltaje Se agregó "pw-type" al menú "/interface vpls bgpen Health únicamente vpls" si es el monitor de voltaje
Se agregó "use-control-word" y "pw-mtu" al menú "/interface vpls cisco-bgp-vpls"
Se agregó /interface wireless setup-repeater
Se agregó todas las configuraciones de rates al CAPsMAN
Se permite mostrar las banderas (etiquetas) revocadas (revoked) y autorizadas (authority) al mismo tiempo Se recooce correctamente si hay necesidad de reportar información del ventilador (fan) en el system health No usa los nombres de área de OSPFv2 en lugar de losnombres de área de OSPFv3 Se hace que trabaje el mac-winbox con el RB850
Se permite configurar múltiples dh-groups
No muestra los estados (estatus) del ventilador en el enfriamiento pasivo en los CCR1009 Se corrigió el typo en "echo reply"
Se corrigió las opcione son configuradas en el menú /routing ospf interface
Se agregó la opción flip-screen a la configuración LCD Se agregó la opción init-delay a las configuraciones de routerboard Se agregó la opción IPv6 firewall missing log Se agregó el método missing eap-ttls-mschamv2 al profile de seguridad wireless Se agregó el soporte mtu=auto para el túnel IPv6 Se agregó sfp-mac para interfaces GPON Se agregó el soporte para nuevas configuraciones del paquete wireless-rep Se agregó el soporte para la acción route en las reglas de mangle Se permite configurar additional-network-modes Se permite configurar múltiple dh-groups Se deshabilita en la apertura el autostart para wireless scan, snooper, align, etc. No se muestra la configuración "enable-jumper-reset" en los dispositivos sin puerto serial No se muestra la columna real-tx-power en current-txpower por default Se corrigió las opciones no configuradas en el menú /routing ospf interface En hotspot, el usuario default-trial muestra el profile como "unknown" en Winbox Se mejoró la detección de la pérdida de conexión. Se corrige el modo safe de Winbox Se limita la clave OSPF a 16 símbolos Se hace que el parámetro additional-network-mode sea opcional par ala interface LTE Se hace build con los últimos cambios LTE Se hace que MRRU se deshabilite si se configura MTU+MRU como automático por default en los nuevos servidores
Academy Xperts
12
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS Número de Versión
6.35.1
6.35
6.34.4
6.34.3
Se muestra la opción "usb-power-reset" en todos los boards que lo tienen Se incrmentó a que la mínima versión de Winbox requerida sea la 3.4 wireless
Se corrigió un problema cuando el CAPsMAN podía bloquear la interface CAPs
Se agregó el nuevo paquete "wireless-rep"
Se mejoró la compatibilidad de estación 802.11ac (1chain) con otros vendedores de APs multi-chain Se corrigió un probema de caida en la actualización de las estadísticas de la interface nstreme-dual wireless-rep
Se agregó la banda 802.11g/n only Se agregó la característica STEP para el scan-list Se agregó el soporte del cliente WPS Se agregó el soporte para grabar los resultados del wireless scan a un archivo Se agregó el soporte para el escaneo en background para el protocolo 802.11 Se agregó el soporte para el modo repetidor (repeater) en wireless para el protocolo 802.11 Se agregó el soporte para las configuraciones wireless scan rounds Se ajustó los tiempos de roaming scan Se permite conectar a un AP después del scan No se permite un SSID vacío para los modos AP Se corrigió un problema de caida en los clientes que no son HT Se corrigió un problema de latencia con clientes wireless Intel Se corrigió un problema en el protocolo NV2 Se corrigió un problema de QoS en frame-priority cuando el protocolo NV2 se usaba en modo stationwds Se corrigió un problema de señal en los LEDs Se corrigió un problema de velocidad cuando se conectaba con Intel 802.11ac Soporte inicial para el roaming de estación para el modo station en el protocolo 802.11 Se solicita el nombre de la interface para setuprepeater Se utiliza la identidad completa donde sea posible Se agregaron más parámetros de configuración Se agregó soporte para la configuración del rate
Academy Xperts
13
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Qué es RouterBOARD? Es una familia de soluciones de hardware con circuitos diseñados por MikroTik para responder a las necesidades de los clientes a nivel mundial. Todas las placas RouterBOARD operan con el sistema operativo RouterOS. Esta división de hardware se caracteriza por incluir su sistema operativo RouterOS y actualizaciones de por vida. Estos dispositivos tienen la ventaja de tener una excelente relación costo/beneficio comparados con otras soluciones en el mercado.
Arquitecturas Soportadas: Arquitectura
Series
mipsbe mipsle ppc x86 arm tile smips
CRS, RB4xx, RB7xx, RB9xx, RB2011, SXT, OmniTik, Groove, METAL, SEXTANT RB1xx, RB5xx, RB Crossroads RB3xx, RB600, RB800, RB1xxx PC / x86, RB230 RB3011 CCR hAP lite
Soluciones Integradas • • •
Estos productos se proporcionan completos con carcasas y adaptadores de corriente. Listo para usar y pre configurados con la funcionalidad más básica. Todo lo que necesitas hacer es conectarlo y conectarse a Internet o a una red corporativa.
RouterBOARD solamente Son pequeñas placas madres que se venden "tal cual". Se debe elegir el modelo y solicitar adicionalmente, adaptador de corriente y las interfaces, todo esto por separado. Es ideal para el montaje de sistemas/implementaciones propietarias. Enclosures Son cubiertas para interiores/exteriores, sirven para albergar los dispositivos RouterBOARD. La Selección se realiza en base a: • • •
Localización prevista El modelo del RouterBOARD El tipo de conexiones necesarias (USB, antenas, etc.).
Interfaces • •
Módulos Ethernet, fibra SFPs, o tarjetas de radio inalámbricas para ampliar la funcionalidad de los dispositivos RouterBOARD y PCs con RouterOS. Una vez más, la selección se basa según las necesidades.
Accesorios Abarca toda la gama de dispositivos adicionales para los productos MikroTik, tales como: adaptadores de corriente, soportes, antenas e inyectores PoE.
Programa Made For MikroTik (MFM) Este programa consta de dos partes: “Mikrotik Certified Integrators” y “Mikrotik Certified Accessories” http://www.mikrotik.com/mfm Accesorios Certificados MikroTik (MikroTik Certified Accesories) Son hechos por empresas homologadas de MikroTik, y que hacen los accesorios específicamente para productos MikroTik. Esto incluye productos compatibles con RouterBOARD, antenas externas y otros productos. Integrador Certificado MikroTik (MikroTik Certified Integrator) Son empresas que hacen soluciones basados en un RouterBOARD MikroTik y RouterOS. Estos productos incluyen en el ensamblado de dispositivos CPE/AP, preinstalación de antenas integradas y soluciones para montaje en rack con RouterOS.
Por qué trabajar con un router integrado? Con este tipo de solución se puede atender muchas necesidades. • •
Los routers integrados proveen poca o ninguna expansión, ya que vienen con una configuración de hardware fija (WiFi, puertos ethernet, memorias on-board, puertos USB) Esta es una solución simple, pero muy sólida para muchas necesidades.
Academy Xperts
14
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Nomenclatura de los productos RouterBOARD Los nombres de los routers son elegidos según características, y basados en una nomenclatura establecida. La abreviatura para RouterBOARD es RB Para complementar información se puede ir al siguiente link http://wiki.mikrotik.com/wiki/Manual:Product_Naming Formato para la nomenclatura de los productos: Nombre de la tarjeta
Características de la tarjeta
-
Tarjeta wireless embebida
Características de la Tarjeta Wireless
-
Tipo de Conector
-
Tipo de Enclosure
Nombre de la tarjeta (board name) Actualmente existen 3 tipos de nombres de tarjetas: •
•
•
Número de 3 dígitos o El primer dígito representa la serie o El segundo dígito indica el número de interfaces cabeladas potenciales (Ethernet, SFP, SFP+) o El tercer dígito indica el número de interfaces wireless potenciales (tarjetas embebidas, y slots mPCI y mPCIe) Usando una palabra (word).- Los nombres que actualmente se usan son: o OmniTIK o Groove o SXT o SEXTANT o METAL o Si la tarjeta (board) sufre un cambio fundamental en el hardware (como por ejemplo un CPU completamente diferente) se agregará una revisión de versión al final Nombres excepcionales.- Las tarjetas 600, 800, 1000, 1100, 1200, 2011 representan de forma independiente las series, o tienen más de 9 interfaces cableadas, por lo que los nombres fueron simplificados a cientos totales o el año de desarrollo.
Características de la Tarjeta Las características de la tarjeta siguen a continuación de la sección Nombre de la Tarjeta (sin espacios o guiones), excepto cuando el nombre de la tarjeta es una palabra. Entonces las carácterísticas de la tarjeta se separan por un espacio. Las características que actualmente se usan son las siguientes. Están listadas en el orden en que son mayormente usadas • • • • • • • • • •
U : USB P : Power Injection con Controlador i : Puerto simple Power Injector sin Controlador A : Más memoria (y usualmente el nivel de licencia más alto) H : Un CPU más potente G : Gigabit (puede incluir U, A, H si no se usa con L) L : Edición Light (ligera) S : Puerto SFP (uso legacy – dispositivos SwitchOS) e : Tarjeta de extensión PCIe x : Donde N es el número de núcleos (core) de CPU (x2, x9, x16, x36, x72, etc.)
Detalles de la tarjeta Wireless Embebida Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato: Banda
•
•
•
•
Potencia por chain
Protocolo
Número de Chains
Banda (band) o 5 : 5 GHz o 2 : 2.4 GHz o 52 : Dual band. 5 GHz y 2.4 GHz Potencia por chain (power per chain) o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g Protocolo (protocol) o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g o n : para tarjetas con soporte 802.11n o ac : para tarjetas con soporte 802.11ac Número de Chains (number_of_chains) o (not used) : single chain o D : dual chain o T : triple chain
Academy Xperts
15
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Tipo de Conector (connector type) • • •
(not used) : únicamente una opción de conector en ese modelo MMCX : conector de tipo MMCX u.FL : conector de tipo u.FL
Tipo de Enclosure (enclosure type) • • • • • • • •
(not used) : Tipo de enclosure principal para un producto BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal ya viene en el case RM : enclosure para montar en rack (rack-mount enclosure) IN : enclosure para interiores (indoor enclosure) OUT : enclosure para exteriores (outdoor enclosure) SA : enclosure para antena sectorial (sector antenna enclosure) HG : enclosure para antena de alta ganancia (high gain antenna enclosure) EM : memoria extendida (extended memory)
Ejemplo: Decodificar la siguiente nomenclatura RB912UAG-5HPnD • • • •
RB : RouterBOARD 912 : Board de la serie 9na, con 1 interface cableada (Ethernet) y 2 interfaces wireless (embebida y miniPCIe) UAG : Tiene puerto USB, más memoria y puerto Gigabit Ethernet 5HPnD : Tiene una tarjeta embebida de 5GHz, de alta potencia, dual chain, con soporte 80211n.
Nomenclatura de los productos CloudCoreRouter El formato para la nomenclatura de estos productos es la siguiente: Número de 4 dígitos
-
Lista de Puertos
-
Tipo de Enclosure
Número de 4 dígitos • • •
El primer dígito representa la serie El segundo dígito es reservado El tercero y cuarto dígito indican el número total de núcleos por CPU en el dispositivo
Lista de Puertos • • •
G : número de puertos Gigabit Ethernet S : número de puertos SFP S+ : número de puertos SFP+
Tipo de Enclosure (enclosure type) • • • • • • • •
(not used) : Tipo de enclosure principal para un producto BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal ya viene en el case RM : enclosure para montar en rack (rack-mount enclosure) IN : enclosure para interiores (indoor enclosure) OUT : enclosure para exteriores (outdoor enclosure) SA : enclosure para antena sectorial (sector antenna enclosure) HG : enclosure para antena de alta ganancia (high gain antenna enclosure) EM : memoria extendida (extended memory)
Nomenclatura de los productos CloudCoreSwitch El formato para la nomenclatura de estos productos es la siguiente: Número de 3 dígitos
-
Lista de Puertos
-
Tarjeta Wireless embebida
-
Tipo de Enclosure
Número de 3 dígitos • •
El primer dígito representa la serie El segundo y tercer dígito indican el número de interfaces cableadas (Ethernet, SFP, SFP+)
Lista de Puertos • • •
G : número de puertos Gigabit Ethernet S : número de puertos SFP S+ : número de puertos SFP+
Detalles de la tarjeta Wireless Embebida Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato: Banda
Academy Xperts
Potencia por chain
Protocolo
Número de Chains
16
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
•
•
•
•
Banda (band) o 5 : 5 GHz o 2 : 2.4 GHz o 52 : Dual band. 5 GHz y 2.4 GHz Potencia por chain (power per chain) o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g Protocolo (protocol) o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g o n : para tarjetas con soporte 802.11n o ac : para tarjetas con soporte 802.11ac Número de Chains (number_of_chains) o (not used) : single chain o D : dual chain o T : triple chain
Tipo de Enclosure (enclosure type) • • • • • • • •
(not used) : Tipo de enclosure principal para un producto BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal ya viene en el case RM : enclosure para montar en rack (rack-mount enclosure) IN : enclosure para interiores (indoor enclosure) OUT : enclosure para exteriores (outdoor enclosure) SA : enclosure para antena sectorial (sector antenna enclosure) HG : enclosure para antena de alta ganancia (high gain antenna enclosure) EM : memoria extendida (extended memory)
Por qué construir su propio Router? Puede ayudar a solucionar una gran variedad de necesidades especificas que desea cubrir. Dependiendo del board que use, puede tener muchas ranuras de Expansión muy útiles. • •
Gran variedad de complementos. Configuración personalizable.
Ingresando al Router por Primera vez Dentro de las formas que tenemos para ingresar al router están las siguientes: • • • • •
WebFig (Web Browser) WinBox - http://www.mikrotik.com/download SSH Telnet Emulador de Terminal a través de conexión serial o puerto de consola (RS-232)
WebFig - Ingreso por Web Browser Este método de ingreso puede ser usado cuando el router ya tiene algunos parámetros previamente configurados. Proporciona una manera intuitiva de conectarse a un router/dispositivo/PC (que tiene instalado RouterOS) únicamente colocando en el navegador web la dirección IP asignada al router. Por defecto se utiliza 192.168.88.1 WebFig es un utilitario de RouterOS basado en Web que permite monitorear, configurar y hacer labores de troubleshooting en el router. Está diseñado como una alternatica al WinBox ya que ambos tienen similares diseños de menú de acceso a las opciones de RouterOS. WebFig se puede acceder directamente desde el router, esto quiere decir que no es necesario instalar ningún software adicional, tan solo tener un Web Browser con soporte JavaScript. WebFig es una plataforma independiente, por lo que puede ser usado directamente desde varios dispositivos móviles sin la necesidad del desarrollo de software específico. Algunas de las tareas que se pueden ejecutar con WebFig son: • • •
Configuración – Ver y editar la configuración actual Monitoreo – Mostrar el estatus actual del router, información de ruteo, estadísticas de interface, registros (logs), etc. Troubleshooting – RouterOS provee muchas herramientas para realizar troubleshooting (como ping, traceroute, packet sniffers, traffic generators, y otras) y todas las que puede ser usadas con WebFig.
Academy Xperts
17
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
El servicio http de RouterOS puede escuchar también en IPv6. Para acceso vía browser debe ingresar la dirección IPv6, por ejemplo 2001:db8:1::4 Si se requiere conectar a la dirección local, se debe recordar especificar el nombre de la interface o el ID de la interface en Windows. Por ejemplo fe80::9f94:9396%ether1 Pasos para ingresar por Web browser: • • • •
Conecte al router con un cable Ethernet y posteriormente a su tarjeta de red. Abra un navegador (Mozilla, Chrome, Internet Explorer, etc.) Escriba en el browser la dirección IP por default: 192.168.88.1 Si se le solicita, inicie sesión. Nombre de usuario es admin y la contraseña está en blanco por defecto.
Al momento de ingresar verá lo siguiente:
Skins Esta herramienta permite crear interfaces má amigables par ael usuario. No puede ser considerado como una herramienta de seguridad total, ya que si el usuario posee los suficientes derechos de acceso, podrá acceder a los recursos ocultos. Diseño de Skins Si el usuario tiene los permisos adecuados (es decir que el grupo tiene permisos de edición) entonces tiene acceso a botón de Design Skin (Diseño de Skin). Los posibles operadores son: • • • • • • •
Hide menu – Ocutará todos los items y sus sub menús Hide submenu – Ocultará únicamente ciertos sub menús Hide tabs – Si los detalles de sub menú tienen varias pestañas, es posible ocultarlas por esta vía Rename menus, items – Hacer que ciertas características sean más obvias, o traducirlas a algún lenguaje Add note to to item (in detail view) – Agregar comentarios Make item read-only (in detail view) – Para campos muy sensibles en seguridad par ael usuario, los cuales pueden ser puestos en modo de “solo lectura” Hide flags (en modo de vista detallada) – Mientras es posible únicamente ocultar la bandera en modo detallado, esta bandera no será visible en la vista de lista y en modo detallado
Academy Xperts
18
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
•
• •
Add limits for field - (en modo de vista detallada) Donde está presente muestra la lista de tiempos que están separados por coma o por newline, de valores permitidos: § number interval '..' por ejemplo: 1..10 mostrará los valores para los campos con números, por ejemplo MTU size. § field prefix (Text fields, MAC address, set fields, combo-boxes). Si se requiere limitar la longitud del prefijo, se debe agregar el símbolo “$” al final Add Tab – Se agregará una cinta gris con una etiqueta editable que separará los campos. La cinta se añadirá antes de campo Add Separator – Agregará un campo horizontal de baja altura antes del campo
Quickset Es un menú especial de configuración que permite prepara el router a través de unos pocos clicks. Está disponible en WinBox y WebFig para: • •
Dispositivos CPE (Licencia Nivel 3, una interface wireless, una interface ethernet) Dispositivos AP a partir de RouterOS v5.15 (Licencia Nivel 4, una interface wireless, más interfaces ethernet)
Academy Xperts
19
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
WinBox WinBox es un utilitario propietario de MikroTik que posee una rápida y simple interface GUI que permite el acceso a los routers con RouterOS instalado. Es un programa binario Win32, pero también puede correr en Linux y Mac OSX usando wine Casi todas las funciones de RouterOS están disponibles en WinBox, sin embargo algunas funciones avanzadas y configuraciones críticas únicamente están disponibles desde consola. Por ejemplo los cambios de las direcciones MAC en una interface. El WinBox se puede descargar desde el sitio web de MikroTik o del router. o
http://www.mikrotik.com/download
Se puede para acceder al router a través de IP (capa 3 OSI) o MAC (capa 2 OSI). Utilizando Winbox • • • • •
Haga clic en el ícono de WinBox, para abrir la aplicación y darle click en refresh. Escriba la dirección IP 192.168.88.1 Haga clic en Conectar Esperar a que se cargue la interfaz completa: Haga clic en OK
También se puede ingresar el número del puerto después de la dirección IP, separándolo con “:”, como por ejemplo 192.168.88.1:9999 El puerto se puede cambiar en el menú de Servicios de RouterOS Importante: Se recomienda utilizar la dirección IP siempre que sea posible. Las sesiones MAC utilizan broadcast de red y no es 100% confiable. Se puede utilizar el “discovery neighbor” para listar los routers disponibles. Debe hacer click en el botón “Neighbor”
Academy Xperts
20
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Si se hace click en la dirección IP entonces se realiza la conexión por Capa 3 (Layer 3). Si se hace click en la dirección MAC entonces se realiza la conexión por Capa 2 (Layer 2). Importante: La opción Neighbor Discovery mostrará también los dispositivos que no son compatibles con WinBox, como por ejemplo los routers Cisco y cualquier otro dispositivo que utilice el protocolo CDP (Cisco Discovery Protocol).
RoMON RoMON son las siglas de Router Management Overlay Network. RoMON opera independientemente de que a configuración sea en Capa 2 o Capa 3 (L2 o L3). A cada router en la red RoMON se le asigna su RoMON ID, el mismo que puede ser seleccionado desde el puerto de la dirección MAC o especificado por el usuario. El protocolo RoMON no proporciona servicios de encriptación. La encriptación se provee a nivel de la Capa de Aplicación, por ejemplo usando SSH o a través de WinBox Seguro (Secure WinBox). Configuración Para que un dispositivo participe en una red RoMON, se debe habilitar la característica RoMON y se deben especificar los puertos que participan en la red RoMON. En RouterOS v6.28 la característica RoMON se configura en el menú /romon, después de RouterOS v6.28 se configura en /tool romon. Contiene las siguientes configuraciones: • •
enabled (yes | no; Default: no) – Habilita o deshabilita la característica RoMON id (MAC address; Default: 00:00:00:00:00:00) – Dirección MAC que se utiliza como ID de este router
Cuando RoMON se habilita y el ID se selecciona automáticamente, el ID se reporta en menú info: En RouterOS v6.28: /romon print ;;; RoMON running, ID 00:33:00:00:00:02 enabled: yes id: 00:00:00:00:00:00 Después de RouterOS v6.28: /tool romon enabled: id: secrets: current-id:
print yes 00:00:00:00:00:00 00:33:00:00:00:02
Los puertos que participan en una red RoMON son configurados en el menú “romon port”. La lista de puerto es una lista ordenada de entradas que coinciden ya sea con un puerto específico o todos los puertos, y especifica si el puerto (s) que coincide está prohibido de participar en la red RoMON, y en caso de que el puerto esté permitido de participar en la red RoMON la entrada también especifica el costo del puerto. Es importante notar que todas las entradas puerto específico deben ubicarse sobre la entrada “wildcard” con interface=all Por ejemplo, la siguiente lista especifica que todos los puertos, excepto ether1, participan en la red RoMON con costo 100 En RouterOS v6.28: /romon port print Flags: X - disabled, D - dynamic # INTERFACE 0 ether1 1 all
Academy Xperts
FORBID yes no
COST 100 100
21
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Después de RouterOS v6.28: /tool romon port print Flags: X - disabled, D - dynamic # INTERFACE 0 ether1 1 all
FORBID yes no
COST 100 100
Por default se crea una entrada wildcard (comodín) con forbid=no y cost=100
Secrets Los secrets del protocolo RoMON se utilizan para la autenticación de mensajes, chequeo de integridad y prevención de respuesta por medio de mensaje hashing que contiene MD5. Para cada interface, si la lista de secret de la interface específica está vacía, se utiliza la lista de secret global. Cuando se hace el envío, se aplica hash a los mensajes con el primer secret en la lista si es que la lista no está vacía y el primero que no sea un secret vacío (empty secret, es decir que tenga un empty string = “”), de otr manera los mensajes se envían sin aplicar hash. Cuando se reciben, los mensajes que no se han aplicado hash simplemente se aceptan si la lista secret está vacía o si contiene “empty secret”, los mensajes que se han aplicado hash se aceptan si es que se les ha aplicado hash con cualquier otro secret en lista. Este diseño permite una introducción incremental y/o cambio de secrets en la red sin interrupción del servicio RoMON y puede ocurrir sobre el propio RoMON. Por ejemplo: • • •
•
Inicialmente todos los routers están sin secrets Configurar cada router, uno por uno, con secrets=””, “mysecret” . Esto hará que todos los routers continúen enviando frames no protegidos, pero ellos estarán listos para aceptar los frames protegidos con el secret “mysecret” Configurar cada router, uno por uno, con secrets=“mysecret”, “” . Esto hará que todos los routers usen el secret “mysecret” pero también continuará aceptando los frames no protegidos (de routers que todavía no han sido cambiados) Configurar cada router con secrets=”mysecret” . Esto hará que todos los routers usen secret “mysecret” y también únicamente acepte frames protegidos con “mysecret”
El cambio de secret en la red debería ser ejecutado en un esquema similar donde ambos secrets estén al mismo tiempo en la red.
Peer Discovery Para descubrir todos los routers en la red RoMON se debe usar el comando romon discover:
En RouterOS v6.28: /romon discover ADDRESS 00:22:00:00:00:02 00:02:03:04:05:06
COST 200 400
HOPS PATH 1 00:22:00:00:00:02 2 00:22:00:00:00:02 00:02:03:04:05:06
L2MTU 1500 1500
Después de RouterOS v6.28: /tool romon discover ADDRESS 00:22:00:00:00:02 00:02:03:04:05:06
COST 200 400
HOPS PATH 1 00:22:00:00:00:02 2 00:22:00:00:00:02 00:02:03:04:05:06
L2MTU 1500 1500
Aplicaciones Se pueden ejecutar múltiples aplicaciones sobre la red RoMON Ping Para poder probar que se puede alcanzar a un router específico en una red RoMON, se puede usar el comando romon ping:
Academy Xperts
22
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
En RouterOS v6.28: /romon ping 00:22:00:00:00:02 SEQ HOST TIME STATUS 0 00:22:00:00:00:02 0ms 1 00:22:00:00:00:02 1ms 2 00:22:00:00:00:02 1ms sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms Después de RouterOS v6.28: /tool romon ping 00:22:00:00:00:02 SEQ HOST TIME STATUS 0 00:22:00:00:00:02 0ms 1 00:22:00:00:00:02 1ms 2 00:22:00:00:00:02 1ms sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms SSH Para poder establecer una conexión de terminal seguro en una red RoMON, se puede usar el comando romon ssh, que se provee cuando se instala el paquete security: En RouterOS v6.28: /romon ssh 00:22:00:00:00:02 Después de RouterOS v6.28: /tool romon ssh 00:22:00:00:00:02
Otras formas de acceso: SSH y Telnet Entre las herramientas IP estándar para acceder al router tenemos: • •
Telnet: La comunicación se realiza en texto plano, sin cifrar (puerto 23/TCP). Es un método INSEGURO. o Disponible en la mayoría de sistemas operativos, por terminal, línea de comandos, otros. SSH: Cifra la comunicación realizada entre el usuario y router (puerto 22/TCP). Es un método SEGURO. o Hay herramientas disponibles de código libre para el acceso por ssh, ejemplo: PuTTy. § http://www.putty.org
Acceso por puerto serial (puerto de Consola) Los puertos seriales (también llamados RS-232) fueron las primeras interfaces que permitieron que los equipos intercambien información con el "mundo exterior". El término serial se refiere a los datos enviados mediante un solo hilo: los bits se envían uno detrás del otro. Para conectarse al router se requiere una conexión null-modem (puerto RS-232). Importante: La configuración por defecto es cuando se accede vía serial es la siguiente: • • • •
115200 bps de velocidad 8 bits de data 1 bit de parada (stop) Sin paridad (no parity)
Bootloader El bootloader o cargador de arranque, es un programa que se encarga de cargar y ejecutar el sistema operativo, este cargador de arranque va a configurar el dispositivo según las opciones que se muestran a continuación: What do you want to configure? d - Boot delay K - Boot key S - Serial console N - Silent boot O - Boot device U - Cpu mode F - Cpu Frequency R - Reset booter configuration E - Format nand G - Upgrade firmware I - Board info P - Boot protocol B - Booter Options T - Call debug code L - Erase license X - Exit setup Your choice:
Academy Xperts
23
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Consola Serial / Terminal Serial La interfaz de línea de comandos (CLI = Command Line Interface) es un método que permite a los usuarios dar instrucciones a algún programa informático por medio de una línea de texto simple. Este método se usa normalmente cuando se ingresa por PUTTY, Telnet, SSH, Terminal u otros. /system console y /system serial-terminal son herramientas para comunicarse con otros sistemas que están interconectados a través del puerto serial. Terminal Serial Nos sirve para monitorear y configurar muchos dispositivos: • • •
Módems Dispositivos de red (incluyendo routers MikroTik) Cualquier dispositivo que se pueda conectar a un puerto serial (asíncrono)
Consola Serial • • •
Configurar facilidades de acceso directo (monitor/teclado y puerto serial) que son mayormente usados para configuraciones de recuperación Si no se desea usar un puerto serial para acceder a otro dispositivo o para conexión de datos a través de un modem, se puede entonces configurarlo como una consola serial. Un puerto serial libre puede ser usado para acceder a otras consolas seriales de otros routers (u otros equipos como switches) desde un router MikroTik
Special Login Puede ser usado para acceder a otro dispositivo (ejemplo: un switch) que está conectado a través de un cable serial abriendo una sesión telnet/ssh que lo llevará directamente a ese dispositivo sin tener que hacer login al primer RouterOS. http://wiki.mikrotik.com/wiki/Manual:Special_Login
Configuración Básica o dejar el router en Blanco? •
• •
Usted puede o no tener una configuración básica cuando recién ha instalado el equipo, debido a que el equipo provee una configuración inicial, por defecto, para permitirle usar el equipo sin previa configuración definida por el usuario. Usted puede optar por no tomar la configuración básica por defecto, o dejar en blanco los equipos para poderlo configurar a gusto del cliente, usuario o administrador. Puede visitar el siguiente link para revisar cómo se comportará el dispositivo: o http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
Configuración Básica Dependiendo del hardware, se tendrá una configuración por defecto que puede incluir: • • • • • •
Puertos WAN Puertos LAN DHCP client (WAN) y servidor (LAN) Reglas básicas de Firewall Reglas NAT Direccionamiento LAN IP por defecto
Al momento de tener acceso por medio de WinBox, podrá revisar la configuración por defecto por medio de una ventana emergente inicial, que consta de opciones de visualización de configuración o de borrar configuraciones y dejar en blanco. En cualquier momento usted puede observar la configuración por defecto, con el comando: /system default-configuration print • •
Al conectar por primera vez con WinBox, haga clic en OK. Después se revisará la opción: remove-configuration El router tiene la configuración básica por defecto que la muestra en una ventana
Academy Xperts
24
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Configuración en Blanco Puede ser utilizado en situaciones en las que no se requiere la configuración básica por defecto. • •
No hay necesidad de Reglas de firewall por defecto. No hay necesidad de Reglas de NAT por defecto
Los pasos mínimos para configurar un acceso básico a Internet (si el router no tiene una configuración básica por defecto) • • • • •
Direcciones IP de LAN Puerta de enlace predeterminada y servidor DNS Dirección IP de la WAN Regla de NAT (enmascaramiento) Cliente SNTP y la zona horaria
Actualizando el router Cuando realizar una Actualización Si el router MikroTik se encuentra desactualizado, podemos realizar en cualquier momento la actualización siempre y cuando intentemos mejorar o corregir lo siguiente: • • •
Corregir un error conocido. Cuando se necesita una nueva característica. Mejora del rendimiento.
NOTA: Leer la lista de cambios antes de realizar un Upgrade, en especial si tiene una versión inferior a la v6. http://wiki.mikrotik.com/wiki/Manual:RouterOS6_news El Procedimiento • •
•
Se requiere una planificación. o Los pasos posiblemente tengan que hacerse en un orden preciso y con planificación previa. Se requiere pruebas ... o Antes de que ponga en acción la nueva actualización, es necesario realizar pruebas en ambientes controlados, o sino realizar un backup de la configuración anterior, como medida de contingencia en caso de que la nueva actualización no funcione como se espera. Recomendaciones: Si el dispositivo funciona correctamente no se recomienda realizar un upgrade, de preferencia mantenerse con la configuración anterior.
Antes de realizar una actualización Es importante saber la arquitectura soportada (mipsbe, ppc, x86, mipsle, tile) en la cual se va a realizar la actualización. Winbox indica la arquitectura del equipo.
Debe conocer qué ficheros se necesitan: •
NPK: paquete de actualización de RouterOS (siempre que se realiza un upgrade)
Academy Xperts
25
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
• •
ZIP: Paquetes adicionales (sobre la base de las necesidades) Verificar los Cambios: proceso de verificación post-actualización que valida el cambio efectuado en su dispositivo y el correcto funcionamiento (siempre que se realiza un upgrade)
Cómo hacer un Upgrade Existen tres maneras • • •
Descargar archivos y copiar en el router Buscar actualizaciones (System -> Packages) Actualizaciones automáticas (System -> Automatic Updates)
Se sugiere mantener siempre actualizado su RouterOS para mejor funcionamiento ya que siempre los desarrolladores están añadiendo nuevas funciones y mejorando el rendimiento y la estabilidad mediante la liberación de actualizaciones. Requisitos y sugerencias Cuando se utiliza un dispositivo RouterBOARD, siempre se sugiere actualizar el RouterBoot bootloader, después ya se podrá actualizar el RouterOS. Para hacer esto, ejecutar el comando /system routerboard upgrade Descargando los archivos Copiar los archivos en el router por medio de la ventana File. Por ejemplo: • • • •
routeros-mipsbe-6-28.npk ntp-6.28-mipsbe.npk Reiniciar el equipo /system reboot Comprobar que se realizó la actualización
Para realizar este proceso lo principal que debemos hacer es tener descargado los paquetes de actualización que necesitamos. • •
Primer paso es visitar la web: http://www.mikrotik.com y nos dirigiremos a la página de descarga (downloads). Una recomendación es descargar paquetes combinados en vez de solo la versión que desea, ya que en estos paquetes combinados, vendrán con todas las funciones incluidas, tales como, paquetes adicionales para la actualización requerida.
Academy Xperts
26
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Buscar actualizaciones • • • •
A través del menú System / Packages Presionar el botón Ckeck for Updates a continuación Download & Upgrade Luego el equipo se reiniciará automáticamente Verificamos la instalación de los paquetes y el estado del router
Desde el lanzamiento del RouterOS v5.21, se añadió la actualización automática. Para actualizar la versión de RouterOS, todo lo que se necesita hacer es hacer clic en un botón Check For Updates. Esta característica está disponible en la línea de comandos, Winbox GUI, Webfig GUI y QuickSet. La función de actualización automática se conecta a los servidores de descarga MikroTik, y comprueba si hay una nueva versión de RouterOS para su dispositivo. En caso afirmativo, se muestra una lista de cambios, y el botón de actualización se mostrará. Al hacer clic en el botón Actualizar, los paquetes de software se descargarán automáticamente, y el dispositivo se reiniciará. Incluso si usted tiene un sistema con paquetes personalizados instalados, solo los paquetes que usted desea tener en su equipo se descargarán. El proceso es fácil y rápido, con el uso de los servidores FTP.
Actualización automática • •
Copie los archivos requeridos en uno de los routers para que sirva como fuente del archivo de actualización. Configurar todos los router para que apunten hacia el router interno
Objetivos • • • • • •
Hacer un router como punto central de la red con las actualizaciones, que actualizará el RouterOS en otros routers. Subir los paquetes RouterOS necesarios para este router. Mostrar los paquetes disponibles Se selecciona y se descarga los paquetes deseados Reiniciar y luego verificar el estado del router Comprobar la versión actual [admin@Mikrotik] > /system RouterBOARD print RouterBoard: yes Model: 951Ui-2HnD Serial-number: 458802555182 Current-firmware: 3.18 Upgrade-firmware: 3.18
RouterBoot firmware Upgrade Es una de las opciones más rápidas y seguras para realizar una actualización por medio de línea de comando utilizando el software de Winbox. Actualizar si es necesario (esto es un ejemplo): /system RouterBoard Upgrade Do you really want to Upgrade firmware? [y/n]: Yes Echo: system, info, critical firmware Upgrade successfully, please reboot for changes to take effect! Reboot, yes? [y/N]:
Academy Xperts
27
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Administración de usuarios en un RouterOS La creación de diferentes usuarios para un sistema, o en este caso para el ingreso a un RouterBOARD, es algo fundamental para mantener nuestro sistema seguro, ya que podremos crear usuarios con diferentes prioridades. No todos los usuarios necesariamente deben ingresar a todas las operaciones que se puedan realizar en un Router. Al momento de la creación de un usuario podremos darle los permisos necesarios como acceso total o que sea un usuario para solo lectura, o si se desea ser más detallado se podrá configurar los tipos de servicios a lo s que el usuario puede acceder.
Cuentas de usuario •
•
Se crean cuentas para: o Administrar los privilegios o Definir acciones permitidas para cada usuario Se crean grupos para: o Tener una mayor flexibilidad cuando asignamos privilegios, ya que cuando tengamos una cierta cantidad de usuarios y que van a tener los mismos privilegios, podremos crear un grupo con los permisos que tienen y luego asignarle los usuarios pertenecientes a dicho grupo.
Administración de servicios en un RouterOS (IP Services) En estas opciones encontraremos los protocolos y puertos usados por los RouterOS MikroTik. Ayuda a determinar a través de qué puertos escucha el router MikroTik, y lo que necesita para bloquear/permitir en caso de que se quiera controlar el acceso a los servicios determinados. Servicios IP (IP Services) •
• •
Administrar los servicios IP para: o Limitar el uso de recursos (CPU, Memoria) o Limitar las amenazas de seguridad (Puertos abiertos) o Cambiar el puertos TCP o Limitar las direcciones IP y subredes IP aceptadas Para controlar los servicios se debe ir al menú “IP -> Services” Desactivar o Activar los servicios requeridos
Acceso a los Servicios IP • • •
Hacer doble clic en un servicio Si es necesario, especificar que host o subredes pueden acceder a los servicios Es una muy buena práctica de seguridad el limitar ciertos servicios a los administradores de red.
Academy Xperts
28
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Administración de los respaldos (backup) de las configuraciones Los backup de configuración se pueden utilizar para realizar copias de seguridad de la configuración de un RouterOS MikroTik en un archivo binario, que puede ser almacenada en el router o descargado a través de FTP para su uso futuro. La opción restore (restauración) se puede utilizar para recuperar la configuración del router, tal y como era en el momento de la creación de la copia de seguridad, a partir de un archivo de backup. La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la pantalla de la consola o a un archivo de texto, que se puede descargar desde el router mediante el protocolo FTP. Tipos de Backups • •
Backup Binario Comando export
Backup Binario • • •
Realiza un respaldo completo del sistema Incluye contraseñas y usuarios Los archivos de backup serán guardados por defecto en el mismo router.
Se recomienda que el archivo backup se guarde en una PC o en una unidad externa ya que resultaría ilógico que se guarde en el mismo dispositivo. Se pueden generar “n” archivos de backup, y se guarda por defecto, con nombre del host, año, fecha, hora.
Comando export • • •
Se puede visualizar la configuración completa o parcial Se usa el comando compact para mostrar la configuración no predeterminada La sentencia print permite visualizar la configuración parcial o total. Si se ingresa en la pagina principal únicamente el comando export, entonces se respalda toda la configuración del router /export file = nombre_del_archivo
•
El comando export NO respalda los usuarios del router. /ip firewall filter export # jan/01/2014 01:58:17 by RouterOS 5.24 # software id = PEVF-794H # /ip firewall filter Add action=Accept chain=input comment=”default configuration” disabled=no \ Protocol=icmp Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=established Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=related Add action=drop chain=input comment=”default configuration” disabled=no \ Protocol=ethernet-gateway
Guardar archivos de Backup •
•
Una vez que se han generado los archivos de respaldo, se recomienda copiarlos en un servidor o Por medio de SFTP en la forma recomendada o FTP (Se lo habilita en el menú IP Services o Arrastrar y Soltar usando la ventana Files Dejar los archivos de respaldo en el router no es una buena práctica o al menos no es algo recomendado. Los routers no hacen respaldos en cintas o en CDs.
Licencias RouterOS Los dispositivos RouterBOARD vienen pre-instalados con una licencia RouterOS. Esto significa que si compra un dispositivo RouterBOARD no se debe hacer nada respecto a la licencia. En cambio, cuando se trabaja con sistemas X86 (por ejemplo PCs), ahí si se necesita obtener una clave de licencia (license key). La clave de licencia (license key) es un bloque de símbolos que necesitan copiarse desde su cuenta en mikrotik.com, o desde el email que usted recibe.
Academy Xperts
29
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Ejemplo de License Key recibido por email License key for your router, -----BEGIN MIKROTIK SOFTWARE KEY-----------LlCoU6wx6QFaGCbTieJCgAcloa4cPrF776F/9=Dxk+0+vZ39KBonqfyXrfBdrng3ajK/zFGr8KtgAcU gcwHLNA== -----END MIKROTIK SOFTWARE KEY-------------Ejemplo de License Key desde la cuenta en mikrotik.com
Se puede copiar la clave en cualquier lugar en la ventana terminal, o haciendo click en “Paste key” en el menú de Licencias de Winbox. Es necesario/requerido hacer un reboot para que la clave (key) tenga efecto (se active).
El esquema de licenciamiento de RouterOS se basa en el número de SoftwareID que está asociado al medio de almacenamiento (HDD, NAND). La información también se puede leer desde la consola del CLI /system license print software-id: 5ATP-QYIX nlevel: 4 features:
Niveles de Licencias Tenemos 6 tipos de licencias cuyas principales diferencias se muestran en la tabla a continuación: • • •
• • •
Nivel 0 (L0) : Demo (24 Horas) Nivel 1 (L1) : Free (Muy limitada) Nivel 3 (L3) : Es una licencia solo para estaciones Wireless o WISP CPE (Cliente WiFi, cliente o CPE). Para arquitecturas x86 la licencia Nivel 3 no pude ser adquirida de forma individual. Si se desea ordenar más de 100 licencias L3, se debe escribir un correo a [email protected] Nivel 4 (L4) : WISP (Requeridos para un Access Point) Nivel 5 (L5) : WISP (Mas Capacidades) Nivel 6 (L6) : Controlador ( Capacidades ilimitadas)
Level number Price Initial Config Support Wireless AP Wireless Client and Bridge RIP, OSPF, BGP protocols EoIP tunnels PPPoE tunnels PPTP tunnels L2TP tunnels OVPN tunnels VLAN interfaces HotSpot active users RADIUS client Queues Web proxy User manager active sessions Number of KVM guests
Academy Xperts
0 (Trial mode) no key 24h trial 24h trial 24h trial 24h trial 24h trial 24h trial 24h trial 24h trial 24h trial 24h trial 24h trial 24h trial 24h trial 24h trial none
1 (Free Demo) registration required 1 1 1 1 1 1 1 1 1 1
3 (WISP CPE) volume only yes yes(*) unlimited 200 200 200 200 unlimited 1 yes unlimited yes 10 Unlimited
4 (WISP) $45 15 days yes yes yes unlimited 200 200 200 200 unlimited 200 yes unlimited yes 20 Unlimited
5 (WISP) $95 30 days yes yes yes unlimited 500 500 500 unlimited unlimited 500 yes unlimited yes 50 Unlimited
6 (Controller) $250 30 days yes yes yes unlimited unlimited unlimited unlimited unlimited unlimited unlimited yes unlimited yes Unlimited Unlimited
30
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Datos importantes sobre las Licencias: • • • •
• •
El nivel de licencia determina las capacidades permitidas en un Router RouterBOARD viene con una licencia pre-instalada, la misma que varía dependiendo del tipo de arquitectura del RouterBOARD. Para un sistema X86 deben adquirirse las licencias. Una licencia es válida solo para un equipo La licencia Nivel 2 (L2) fue una licencia transicional entre el formato de licencia old-legacy (pre v2.8). Estas licencias ya no están disponibles. Si usted posee este tipo de licencia L2, la misma trabajará, pero al hacer el upgrade usted tendrá que comprar una nueva licencia. El protocolo dinámico BGP está incluido en la Licencia Nivel 3 (L3) únicamente para los RouterBOARDs. Para activar BGP en otros dispositivos se necesitará una licencia L4 o superior. Todas las licencias: o Nunca expiran o Incluyen soporte gratis vía email por 15 a 30 días o Pueden usar un número ilimitado de interfaces o Las Licencias únicamente son válidas para una sola instalación o Las licencias vienen con una capacidad de upgrade de software ilimitado
Realizando un Upgrade desde RouterOS v3 (2009) *** Este tópico se desarrollará en la próxima versión del manual Usos Típicos: • • • •
Nivel 3: CPE, Clientes Wireless Nivel 4: WISP Nivel 5: Amplio WISP Nivel 6: infraestructuras internas ISP (Cloud Core)
Cambio de Niveles de Licencias •
•
No se puede actualizar el nivel de licencia. Si se desea usar un nivel de Licencia diferente, entonces se debe comprar el nivel apropiado/requerido. Se debe tener mucho cuidado cuando se compre la licencia, ya que se debe elegir el nivel de licenciamiento adecuado. Por qué no se puede cambiar el nivel de licencia (hacer upgrade)? Un ejemplo práctico sería actualizar el motor de un vehículo de 2L a 4L, para lo cual se requiere pagar la diferencia. Por este motivo no se puede cambiar de niveles de licenciamiento fácilmente. Esta es una política usada por muchas compañías de software.
Uso de las Licencias Se puede formatear o hacer un re-flash al drive? Formatear, y hacer una re-imagen del drive con herramientas que no son MikroTik (por ejemplo DD y Fdisk) destruirán su licencia. Se debe actuar con cautela y contactar al soporte de MikroTik antes de hacer esto. No se recomienda ya que el soporte de MikroTik podría negar su requerimiento para reemplazar una licencia. Por este motivo MikroTik provee las herramienta Netinstall o la instalación por CD. Con Cuántas computadoras se puede usar la licencia? Al mismo tiempo, la licencia de RouterOS se puede usar únicamente en un solo sistema. La licencia está ligada al HDD (disco duro) en donde se instala. Sin embargo se puede mover el HDD a otro sistema de cómputo. No se puede mover la licencia a otro HDD. Si se formatea o se sobre escribe el HDD con la licencia RouterOS, se borrará todo el contenido del drive, y se deberá adquirir una nueva licencia. Si de forma accidental se removió la licencia, debe contactar al equipo de soporte para ayuda. Se puede usar el HDD para algún a actividad diferente que RouterOS? No se puede Se puede mover la licencia a otro HDD? Si su HDD actual se destruye, o ya no puede ser usado, se puede transferir la licencia a otro HDD. Para ejecutar esta actividad, se deberá solicitar una clave (key) de reemplazo que costará 10 USD. Qué es la clave de reemplazo? Es una clave especial que es emitida por el Equipo de Soporte MikroTik si es que usted accidentalmente perdió la licencia. El soporte de MikroTik decide si es o no su culpa de forma directa. Esta clave de reemplazo cuesta 10 USD y tiene las mismas características que la que perdió. Es posible que antes de que el equipo de soporte emita la clave, pueda pedirle prueba de que el viejo drive en verdad en verdad está dañado. En algunos caso esto puede implicar que deba enviar el drive muerto a MikroTik. Nota: Se puede emitir únicamente una clave de reemplazo por cada clave original. No se puede usar el procedimiento de reemplazo de clave dos veces para una sola clave. En estos casos se debe adquirir una nueva key. Para una revisión más detallada sobre Licenciamiento, le recomendamos visitar el siguiente link: http://wiki.mikrotik.com/wiki/Manual:License Academy Xperts
31
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
NetInstall Es un programa que se ejecuta en el computador que corre el sistema operativo Windows y que permite instalar RouterOS MikroTik en una PC o en un RouterBOARD a través de una red Ethernet. El dispositivo debe ser compatible con el arranque desde Ethernet, y debe haber un enlace Ethernet directo desde el computador donde tenemos el Netinstall al dispositivo de destino. Uso de Netinstall • • •
Reinstalación del RouterOS para recuperación del sistema Reinstalación del RouterOS tras perdida de contraseña Para descargar Netinstall: http://www.mikrotik.com/download
Procedimientos para usar Netinstall Para RouterBOARDs sin el puerto COM • •
• • • •
Nos conectamos a un computador por medio del puerto Ethernet1 o Configurar una dirección IP y máscara de subred estática al computador Iniciar Netinstall o Presionar el botón Net booting y escribir una dirección IP al azar pero que esté en la misma subred que el computador
En la sección Packages, debe hacer click en Browse y seleccionar un directorio que contenga un archivo NPK válido. Presionar el botón reset en el router hasta que el LED de actividad (ACT) se quede apagado o El router aparecerá en la sección Routers/Drivers Seleccionamos la versión del RouterOS requerido desde la sección Packages o Presionar el botón install La barra de progreso se tornará azul mientras se transfiere los archivos NPK
Academy Xperts
32
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
•
Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de acceso a internet en el puerto Ethernet1
•
Usar el MAC-Winbox para conectare al equipo con configuración en blanco.
•
Hacer una copia de seguridad de la configuración y reiniciar el sistema
•
Si el problema era de una contraseña perdida, vuelva a realizar la configuración desde cero.
o o
Importante para la gestión de un acceso adecuado de los archivos. Importante para la gestión de un acceso adecuado de los archivos.
Para RouterBOARDs con el puerto COM •
Comenzar igual que antes o PC en la Ethernet1 con una direcciones estática o Conectar desde el puerto serial del PC al puerto COM del RouterBOARD o Iniciar Netinstall ( configurar parámetros de Net Booting) o Seleccionar directorio con archivos NPK válidos o Reiniciar el router o Presionar Enter, cuando se le solicite para entrar en la configuración o Podemos presionar “o” para reiniciar el dispositivo o Podemos presionar “e” para Ethernet o Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router)
El router aparecerá en la sección Routers/Drivers Se selecciona la versión del RouterOS requerido desde la sección Packages • •
Hacer click en Keep old configuration Presionar el botón install
La barra de progreso se tornará azul mientras se transfiere los archivos NPK
Academy Xperts
33
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
• • • • • • • •
Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de acceso a internet en el puerto 1 Ahora usted puede usar Winbox para conectarse o Aquí se encontrará la opción Keep old configuration Reiniciar el router Presionar Enter, cuando se le solicite para entrar en la configuración Podemos presionar “o” para reiniciar el dispositivo Podemos presionar “e” para Ethernet Podemos presionar “n” para desconectar el puerto Ethernet o Si te olvidas de esto, siempre el router se iniciara desde la Ethernet Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router)
Recursos adicionales Wiki http://wiki.mikrotik.com/wiki/Manual:TOC • •
•
Aquí se encontrará información acerca del RouterOS Todos los comandos del RouterOS o Explicación o Sintaxis o Ejemplos Consejos y trucos adicionales
Tiktube http://www.tiktube.com/ • • • •
Recursos en videos sobre varios temas Presentados por Trainers, Partners, IPSs, etc. Se encontrará diversas presentaciones Los videos están en varios lenguajes
Foros de Discusión http://forum.mikrotik.com/ • • • •
Moderado por el personal de MikroTik Es un foro de discusiones sobre diversos temas Aquí se puede encontrar una gran cantidad de información Se puede encontrar una solución a su problema
Academy Xperts
34
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Soporte MikroTik • • •
Mail: [email protected] Instrucciones para solicitar soporte: http://www.mikrotik.com/support.html El apoyo de Mikrotik si el router fue comprado a fábrica es de: o 15 días (nivel licencia 4) o 30 días (nivel 5 Licencia y el nivel 6)
Distribuidores/Soporte • • •
El distribuidor mayorista/reseller proporcionará soporte siempre y cuando el router haya sido comprado a él Se pueden contratar a Consultores Certificados para necesidades especiales http://www.mikrotik.com/consultants
Academy Xperts
35
RouterOS v6.35.1.01 – Capítulo 1 – RouterOS
Preguntas de repaso del Capítulo 1 1.
Cuál es la cantidad mínima de memoria RAM, y de espacio en disco que se requiere para instalar RouterOS?
2.
Hasta qué capacidad de memoria RAM se reconoce en los dispositivos Cloud Core?
3.
Hasta qué capacidad de memoria RAM se reconoce en los dispositivos que no son Cloud Core?
4.
Cuáles son los diferentes medios de almacenamiento que soporta RouterOS?
5.
Cuál es la versión de Kernel de Linux en la que está basado el RouterOS 6.x?
6.
Cuáles son las arquitectura soportadas por RouterOS?
7.
Cuál es la IP por defecto que usan los routers MikroTik cuando viene configurado de fábrica?
8.
Enumere las diferentes formas de accesar a un router MikroTik
9.
Cuáles son las formas de acceso en forma segura a un router MikroTik?
10. Cuáles son los parámetros para la configuración cuando se ingresa por puerto serial? 11. Cuáles son la maneras de realizar un Upgrade del RouterOS? 12. Qué hace la opción Check For Updates? 13. Es importante realizar la actualización del RouterBoot? Por qué? 14. Cuál es la diferencia entre backup y export? 15. Cuáles son los usos típicos de los diferentes niveles de licencias RouterOS? 16. Para qué se usa el NetInstall? 17. A través de qué puerto funciona el NetInstall? Funciona a través de otros puertos? 18. Que función tiene la opción Keep Old Configuration en NetInstall?
Laboratorio – Capítulo 1
Academy Xperts
36
RouterOS v6.35.1.01 – Capítulo 2 – Ruteo Estático
Capítulo 2: Ruteo Estático Conceptos de Ruteo El ruteo (routing) es un proceso en la capa 3 del modelo OSI. El ruteo define por donde va a ser enviado el tráfico. Es necesario para que puedan comunicarse entre sí diferentes subredes.
Routing o enrutamiento Es la función de buscar un camino entre todos los posibles en una red de paquetes cuyas topologías poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero será definir qué se entiende por mejor ruta y en consecuencia cuál es la métrica que se debe utilizar para medirla Los parámetros que se manejan son: Métrica de la red Puede ser, por ejemplo, el número de saltos necesarios para ir de un nodo a otro. Aunque ésta no es una métrica óptima ya que supone el valor 1 para todos los enlaces, es sencilla y suele ofrecer buenos resultados. Otro tipo de métrica es la medición del retardo de tránsito entre nodos vecinos, en la que la métrica se expresa en unidades de tiempo y sus valores no son constantes sino que dependen del tráfico de la red. Mejor Ruta Entendemos por mejor ruta aquella que cumple las siguientes condiciones: • • •
Consigue mantener acortado el retardo entre pares de nodos de la red. Consigue ofrecer altas cadencias efectivas independientemente del retardo medio de tránsito Permite ofrecer el menor costo.
El criterio más sencillo es elegir el camino más corto, es decir la ruta que pasa por el menor número de nodos. Una generalización de este criterio es el de coste mínimo. En general el concepto de distancia (o coste de un canal) es una medida de la calidad del enlace basado en la métrica que se haya definido. En la práctica se utilizan varias métricas simultáneamente. Pregunta: Cuales son los motivos por los cuales estos dispositivos no se pueden comunicar entre si en el siguiente escenario? (Fig.M2-1)
Academy Xperts
37
RouterOS v6.35.1.01 – Capítulo 2 – Ruteo Estático
Respuesta: No se comunicarán, porque cada computador o dispositivo, se encuentra en un segmento de red distinto. Para que puedan verse entre sí, tienen estas opciones (Fig.M2-1): • •
Tendrán que pertenecer a un mismo segmento de red todos los computadores Colocar un router configurado con los parámetros adecuados para que se comuniquen las subredes.
Etiquetas de Rutas Las rutas tienen varios estados los cuales son identificados por letras. En este curso, nosotros tendremos que familiarizarnos con estos términos, por ejemplo: • • • • •
X : Deshabilitada A : Activa D : Dinámica C : Conectada S : Static (estática)
Significado de las etiquetas de rutas más comunes: En la sección de Router Flags del wiki de mikrotik, podremos apreciar más etiquetas: http://wiki.mikrotik.com/wiki/Manual:IP/Route Etiqueta (Flag) disabled (X) active (A) dynamic (D) connect (C)
Academy Xperts
Descripción Regla de ruteo está deshabilitada. No tiene ningún efecto sobre las otras rutas y no se utiliza de ninguna manera para reenvío (forwarding) o protocolos de ruteo Ruta se utiliza para el reenvió de paquetes. Denota una ruta activa. Regla de ruteo creada por el software y no por la interface de administración. No se exporta, y no puede ser modificado directamente. Ruta conectada. Se genera cuando se configura una dirección IP en una interface activa
38
RouterOS v6.35.1.01 – Capítulo 2 – Ruteo Estático Etiqueta (Flag) static (S) rip (r) bgp (b) ospf (o) mme (m) blackhole (B) unreachable (U) prohibit (P)
Descripción Ruta estática. Ruta creada por el usuario de manera fija. Este método forzará el envío de paquetes a través de un Gateway definido por el usuario/administrador Ruta RIP Ruta BGP Ruta OSPF Ruta MME Descarta silenciosamente el paquete reenviado por esta ruta Descartar los paquetes reenviados por esta ruta. Se notifica al originador del paquete por medio de un mensaje ICMP host unreachable (tipo 3, código 1) Descartar los paquetes reenviados por esta ruta. Se notifica al originador del paquete por medio de un mensaje ICMP communication administratively prohibited (tipo 3, código 13)
Rutas Estáticas •
• •
Las tablas de enrutamiento de los nodos se configuran de forma manual y permanecen inalterables hasta que no se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a los cambios de las condiciones de la red es nula. Las rutas estáticas que existen sobre un router son creados y conocido por ese router. Pero, qué pasará si usted necesita llegar a una subred que existe en otro router? Cabe recalcar que una ruta estática es una forma manual de reenviar el tráfico a subredes desconocidas
Ejercicio 2.1 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.1
Academy Xperts
39
RouterOS v6.35.1.01 – Capítulo 2 – Ruteo Estático
Ejercicio 2.2 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.254
Propiedades generales •
• •
•
•
•
• •
•
check-gateway (arp | ping; Default: "").- Periódicamente (cada 10 segundos) se chequea el gateway enviando ya sea un ICMP echo request (ping) o un ARP request (arp). Si no se recibe respuesta del gateway en 10 segundos, se solicita un tiempo de espera (request times out). Después de dos timeouts el gateway se considera inalcanzable (unreachable).- Después de recibir una respuesta del gateway se considera alcanzable (reachable) y el contador de timeout se resetea. comment (string; Default: "").- Es la descripción de una ruta particular distance (integer[1..255]; Default: "1").- Valor usado en la selección de ruta. Las rutas con valores de distancia más pequeños tendrán preferencia. Si no se especifica el valor de esta propiedad, entonces el valor default depende del protocolo de ruteo: § connected routes: 0 (rutas conectadas) § static routes: 1 (rutas estáticas) § eBGP: 20 § OSPF: 110 § RIP: 120 § MME: 130 § iBGP: 200 dst-address (IP prefix; Default: 0.0.0.0/0).- Prefijo IP de la ruta, especifica las direcciones destino para la que esta ruta puede ser utilizada. La parte netmask de esta propiedad especifica cuántos de los bits más significantes en la dirección del paquete destino deben coincidir con este valor. Si existen varias rutas activas que coinciden con la dirección destino del paquete , entonces se utilizará la más específica (el que tenga el valor de netmask más grande). gateway (IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "").- Arreglo de direcciones IP o nombres de interface. Especifica a cuál host o interface deberían ser enviados los paquetes. Las rutas conectadas y las rutas con tipo blackhole, unreachable o prohibit no tienen estas propiedad. Usualmente el valor de esta propiedad es una dirección IP sencilla de un gateway que puede alcanzado directamente a través de una de las interfaces del router. Las rutas ECMP tienen más de un valor de gateway. El valor puede ser repetido varias veces. pref-src (IP; Default: "").- Cuál de las direcciones IP locales se utilizará para los paquetes originados localmente que son enviados a través de esta ruta. El valor de esta propiedad no tiene efecto en los paquetes reenviados. Si el valor de esta propiedad se configura con una dirección IP que no es la dirección local de este router, entonces la ruta se volverá inactiva. Si no se configura el valor pref-src, entonces para los paquetes originados localmente que son enviados usando esta ruta, el router elegirá una dirección local anexada a la interface de salida que coincida con el prefijo destino de la ruta. route-tag (integer; Default: "").- Valor del atributo la etiqueta de ruta para RIP u OSPF. Para RIP los únicos valores válidos son 0..4294967295 routing-mark (string; Default: "").- Nombre de la tabla de ruteo que contiene esta ruta. No se configura por default porque es el mismo que la tabla principal de ruteo. Los paquetes que son marcados por el firewall con este valor de routing-mark serán ruteados usando las rutas de esta tabla, a menos que sean anulados por las reglas de políticas de ruteo. No se puede usar más de 250 routing-mark por router. scope (integer[0..255]; Default: "30").- Usado en la resolución del nexthop. La ruta puede resolver el nexthop únicamente a través de las rutas que tienen scope menor o igual al target-scope de esta ruta. El valor por default depende del protocolo de ruteo:
Academy Xperts
40
RouterOS v6.35.1.01 – Capítulo 2 – Ruteo Estático
•
•
•
§ connected routes: 10 (si la interface está corriendo) § OSPF, RIP, MME routes: 20 § static routes: 30 § BGP routes: 40 § connected routes: 200 (si la interface NO está corriendo) target-scope (integer[0..255]; Default: "10").- Utilizado en la resolución del nexthop. Este es el valor máximo de scope para una ruta a través del cual un nexthop de esta ruta puede ser resuelto. Para iBGP el valor se configura por default en 30. type (unicast | blackhole | prohibit | unreachable; Default: unicast).- Rutas que no especifican nexthop para los paquetes, pero que el cambio desarrollan alguna otra acción en los paquetes que tienen un tipo diferente del usual unicast. § blackhole – esta ruta descarta silenciosamente los paquetes § unreachable – envía el mensaje ICMP Destination Unreachable (código 1) a la dirección origen del paquete § prohibit – envía el mensaje ICMP Destination Unreachable (código 13) a la dirección origen del paquete vrf-interface (string; Default: "10").- Nombre de la interface VRF
Propiedades de solo-lectura •
• •
gateway-status (array).- Arreglo de gateways, estados de los gateway y cuál interface es usada para reenvío. Sintaxis del estado IP de la interface, por ejemplo 10.5.101.1 reachable bypass-bridge. El estado puede ser unreachable, reachable o recursive. ospf-metric (integer).- Usado para la métrica OSPF para una ruta en particular. ospf-type (string)
Ventajas del Enrutamiento Estático • • •
Hace más sencilla la configuración en redes pequeñas que lo más probable es que no crezca. Limita el uso de recursos del router (memoria, CPU) El administrador podrá entender fácilmente la configuración cuando la red no es compleja.
Limitantes del Enrutamiento Estático • • • • •
La configuración y el mantenimiento son prolongados. Requiere configuraciones manuales para poder alcanzar nuevas sub redes. La configuración es propensa a errores, especialmente en redes extensas. No se adapta bien con las redes en crecimiento, el mantenimiento se torna cada vez más complicado, en lo que respecta al tema de escalabilidad. Requiere un conocimiento completo de toda la red para una correcta implementación.
Cómo crear rutas estáticas Para agregar rutas estáticas: • • • • •
Menu: IP à Routes + (Add) Especificar subred y mascara de subred Especificar Gateway (el siguiente salto)
Academy Xperts
41
RouterOS v6.35.1.01 – Capítulo 2 – Ruteo Estático
Ejercicio 2.3 (Fig.M2-5): Ejemplo de Enrutamiento Estático Cómo llego desde la Red A hasta la Red C?
Solución Ejercicio 2.3 Router 1 /ip route add distance=1 dst-address=172.31.4.0/24 gateway=10.1.1.2 Router 2 /ip route add distance=1 dst-address=172.31.4.0/24 gateway=10.2.2.6
Configurando la Ruta por Defecto La ruta 0.0.0.0/0 es conocida como la ruta por defecto. Es el destino a donde se enviará todo el tráfico a subredes desconocidas. También es una ruta estática, y puede ser creada por el administrador o creada automáticamente por el router. /ip route add gateway=a.b.c.d
Gestión de Rutas Dinámicas Como se mencionó antes, las rutas dinámicas son agregadas automáticamente por el proceso de enrutamiento, no por el administrador. No se puede gestionar las rutas dinámicas, debido a que es un proceso automatizado realizado por el router. En algunos casos la ruta puede llegar a ser " inalcanzable " si la interfaz física está apagada o caida (down). Esto puede ocurrir cuando la interfaz esta deshabilitada o la PC se encuentra desconectada de la red. Ejercicio 2.4 (Fig.M2-6): Implementación de Enrutamiento Estático En el siguiente caso de estudio se desea implementar una solución de enrutamiento estático. Se desea que la RED-A (192.168.0.0/24), pueda llegar a la RED-C (192.168.2.0/24). Asuma que los enlaces inalámbricos ya están previamente configurados.
Academy Xperts
42
RouterOS v6.35.1.01 – Capítulo 2 – Ruteo Estático
Solución Ejercicio 2.4 Router 1 /ip route add distance=1 dst-address=192.168.2.0/24 distance=1 gateway=10.10.0.2 /ip route add distance=1 dst-address=192.168.2.0/24 distance=2 gateway=10.10.0.3 Router 2 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.2.2 Router 3 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.1.2
Preguntas de repaso del Capítulo 2 1.
Cuáles son las diferentes etiquetas de rutas en RouterOS? Qué significa cada una?
2.
Cuando existen varias rutas activas que coinciden con una dirección destino, que ruta se utilizará?
3.
Cuáles son los valores por default de distancia de los diferentes protocolos de ruteo?
4.
Es posible gestionar las rutas dinámicas? Por qué?
Laboratorio – Capítulo 2
Academy Xperts
43
RouterOS v6.35.1.01 – Capítulo 3 – Bridge
Capítulo 3: Bridge Conceptos de Bridging El bridge trabaja en la capa 2 del modelo OSI. EL bridge Ethernet trabaja con el protocolo CSMA/CD, el cual le permite sensar y escuchar la red antes de transmitir. Cuando algunos equipos al mismo tiempo transmiten, se generan colisiones que hacen que la red colapse.
Un puente de red o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Este interconecta segmentos de red (o divide una red en segmentos) haciendo la transferencia de datos de una red hacia otra con base en la dirección física de destino de cada paquete. El termino bridge, formalmente, responde a un dispositivo que se comporta de acuerdo al estándar IEEE 802.1D En definitiva, un bridge conecta segmentos de red formando una sola subred (permitir conexión entre equipos sin necesidad de routers). Funciona a través de una tabla de direcciones MAC detectadas en cada segmento al que está conectado. Cuando detecta que un nodo de un segmento está intentando transmitir datos a un nodo del otro segmento, el bridge copia la trama hacia la otra subred, teniendo la capacidad de desechar la trama (filtrado) en caso de no tener dicha subred con destino. Para conocer por donde enviar cada trama que le llega (encaminamiento) incluye un mecanismo de aprendizaje automático (autoaprendizaje) por lo que no necesitan configuración manual. Los bridge usan una tabla de reenvío para enviar tramas a lo largo de los segmentos de la red. Si una dirección de destino no se encuentra en la tabla, la trama es enviada por medio de inundación (flooding) a todos los puertos del bridge excepto por el que llego. Por medio de este envío masivo de tramas, el dispositivo de destino recibirá el paquete y responderá, quedando así registrada la dirección destino como una entrada de la tabla. Dicha tabla incluye tres campos: dirección MAC, interface a la que está conectada y la hora a la que llego la trama (a partir de este campo y la hora actual se puede saber si la entrada está vigente en el tiempo). El bridge utilizará esta tabla para determinar qué hacer con las tramas que le llegan.
Ejemplo 1 Todos los ordenadores pueden comunicarse entre sí (Fig.M3-3). Todos tienen que esperar a que el resto de equipos dejen de transmitir para así poder transmitir los datos.
Academy Xperts
44
RouterOS v6.35.1.01 – Capítulo 3 – Bridge
Ejemplo 2 (Fig.M3-4). • • •
Todos los equipos todavía se comunican entre sí. Todos los equipos ahora solo comparten la mitad del cable Todavía tienen que esperar a que el resto de equipos terminen de transmitir, pero el grupo es la mitad del tamaño ahora.
Usando Bridges Por defecto, en los routers MikroTik, los puertos Ethernet están asociados (esclavos) a un puerto maestro. Ventajas: • •
No necesita configuración previa. Conmutación rápida (a través de chip switch, no en software)
Desventajas: • • • •
No hay visibilidad del tráfico de los puertos de esclavos. No conviene si se utiliza SNMP para monitorear el uso de puertos. No se limita el número de reenvíos mediante broadcast Difícilmente escalable para redes muy grandes El procesado y almacenamiento de datos introduce retardos
Mediante la eliminación de configuración maestro (master) y esclavo (slave), se debe utilizar una interfaz bridge para vincular a los puertos requeridos en una sola LAN. Ventajas: •
Completa visibilidad de todas las estadísticas de puerto de los puerto involucrados
Desventajas: •
La función de switch se hace a través de software, por lo que provee una velocidad de transferencia de paquetes menos óptima
Academy Xperts
45
RouterOS v6.35.1.01 – Capítulo 3 – Bridge
Creando un Bridge
Agregando puertos al bridge • •
La adición de puertos definirá cuales puertos van a pertenecer a la misma subred Se puede agregar diferentes tecnologías, tales como una interfaz WiFi
Haciendo Bridge con redes Wireless • •
Lo mismo se puede hacer con interfaces Wireless Veremos acerca de este tema en el siguiente módulo.
Preguntas de repaso del Capítulo 3 1.
En qué capa del modelo OSI trabaja el bridge?
2.
Cuáles son las ventajas de usar bridge?
3.
Cuáles son las desventajas de usar bridge?
Laboratorio – Capítulo 3
Academy Xperts
46
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
Capítulo 4: IEEE 802.11 (Wireless) Conexión Inalámbrica La comunicación inalámbrica (sin cables) es aquella en la que la que el emisor y el receptor no se encuentra unidos por un medio de propagación físico, sino que se utiliza la modulación de ondas electromagnéticas a través del espacio. En este sentido, los dispositivos físicos sólo están presentes en los emisores y receptores de la señal, entre los cuales encontramos: antenas, computadoras portátiles, PDA, teléfonos móviles, etc.
IEEE 802.11 El estándar IEEE 802.11 define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. Los protocolos de la rama 802.x definen la tecnología de redes de área local y redes de área metropolitana. Recuerde: El MikroTik RouterOS opera en 5GHz (802.11a/n/ac) y 2.4GHz (802.11b/g/n)
Frecuencias y bandas: Protocolo Fecha de Frec. BW 802.11 liberación GHz MHz 802.11 1997
Jun-97
a
Sep-99
b g
Sep-99 Jun-03
n
Oct-09
ac
Dec-13
2.4
22
5 3.7 2.4 2.4
20 20 22 20
Stream data rate (Mbps)
1, 2
6, 9, 12, 18, 24, 36, 48, 54 6, 9, 12, 18, 24, 36, 48, 54 1, 2, 5.5, 11 6, 9, 12, 18, 24, 36, 48, 54 7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2 20 (6.5, 13, 19.5, 26, 39, 52, 58.5, 65) 2.4/5 15, 30, 45, 60, 90, 120, 135, 150 40 (13.5, 27, 40.5, 54, 81, 108, 121.5, 135) 7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2, 86.7, 96.3 20 (6.5, 13, 19.5, 26, 39, 52, 58.5, 65, 78, 86.7) 15, 30, 45, 60, 90, 120, 135, 150, 180, 200 40 (13.5, 27, 40.5, 54, 81, 108, 121.5, 135, 162, 180) 5 32.5, 65, 97.5, 130, 195, 260, 292.5, 325, 390, 433.3 80 (29.2, 58.5, 87.8, 117, 175.5, 234, 263.2, 292.5, 351, 390) 65, 130, 195, 260, 390, 520, 585, 650, 780, 866.7 160 (58.5, 117, 175.5, 234, 351, 468, 702, 780)
MIMO posibles Modulación streams
Rango Aproximado Indoor Outdoor metros metros
N/A
DSSS, FHSS
20
100
N/A
OFDM
N/A N/A
DSSS OFDM, DSSS
35 — 35 38
120 5,000 140 140
4
OFDM
70
250
70
250
8
35 35 35 35
802.11b/g • •
2.4GHz, Ancho de Banda 22MHz, 54Mbps Rango de Frecuencia en Canales 1, 6 y 11 no se sobreponen o no se produce el efecto de overlapping
Academy Xperts
47
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
Identificador de Canal 1 2 3 4 5 6 7 8 9 10 11 12 13 14
Frecuencia MHz 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462 2467 2472 2484
802.11a El estándar 802.11a utiliza el mismo juego de protocolos de base que el estándar original, opera en la banda de 5 GHz y utiliza la multiplexacion por división de frecuencias (OFDM) con una velocidad máxima de 54 Mbit/s, lo que lo hace un estándar práctico para redes inalámbricas con velocidades reales de aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbit/s.El estándar 802.11a tiene 12 canales que no se sobreponen, 8 para red inalámbrica y 4 para conexiones punto a punto. No puede interoperar con equipos del estándar 802.11b, excepto si se dispone de equipos que implementen ambos estándares.
Identificador de Canal 36 40 42 44 48 50 52 56 58
Academy Xperts
Frecuencia MHz 5180 5200 5210 5220 5240 5250 5260 5280 5290
48
RouterOS v6.35.1.01 – Capítulo 4 – Wireless 60 64 149 152 153 157 160 161
5300 5320 5745 5760 5765 5785 5800 5805
Problema del Nodo Oculto El problema del nodo oculto (tambien llamado problema de terminal oculto) se produce cuando un nodo es visible desde un punto de acceso inalámbrico (AP), pero no es visible desde otros nodos que se comunican con ese mismo AP. Esto conduce a dificultades en la subcapa de control de acceso al medio. Cada nodo está dentro del tango de comunicación del AP, pero los nodos no se pueden comunicar uno con otro ya que no tienen una conexión física entre ellos. La tecnología de transmisión wireless trabaja en un esquema en que si más de un usuario remoto transmite datos al AP al mismo tiempo, es difícil para el punto de acceso distinguir entre los dos transmisores. Cuando se creó el estándar 802.11 los protocolos que se diseñaron para prevenir este problema asumieron que todos los usuarios y nodos deberían estar en las proximidades del AP y podrían escuchar la transmisión de cada uno de los otros nodos. Por ejemplo, supongamos que los nodos A y B son laptops inalámbricas que se conectan a un AP (Access Point) y que el nodo A empieza a enviar datos al AP al mismo tiempo que el nodo B. El nodo A es lo suficientemente inteligente como para escuchar en el momento exacto que está enviando los datos con el fin de garantizar que cuenta con las ondas de radio claras y libres. Si se oye algún otro transmisor al mismo tiempo, puede detener el envío de datos, o, en otros casos, el nodo B puede ser el que detenga su envío de datos. El mecanismo exacto utilizado para determinar el orden de detención de envío de datos es similar a la regla de parada de cuatro vías (four-way stop). Estas reglas son necesarias para evitar una colisión y permitir que cada nodo para enviar sus datos sin obstáculos. Se puede decir entonces, que el estándar 802.11 está diseñado de tal forma que si un nodo escucha que otro nodo está hablando, detiene su envío de datos para evitar que se produzca un caos cuando múltiples nodos rtansmitiendo al mismo tiempo. Esto debería cumplirse para cada nodo en la red. Todo este esquema funciona bien si los nodos remotos se encuentran relativamente cercanos al AP y pueden “verse” entre si. El problema aparece cuando los nodos se alejan bastante del AP y la distancia (mayor a 50 metros) impide que los nodos (por ejemplo A y B) que ahora debn usar antenas direccionales (debido a la distancia), puedan escuchar uno al otro. El resultado es que dichos nodos no pueden llegar a conocer al otro y por lo tanto no pueden detener el envío de datos cuando ambos transmiten simultáneamente. En términos técnicos, los nodos A y B están fuera de rango uno de otro y no puden detectar una colisión mientras transmiten. Es decir, en etse caso el protocolo CSMA/CD (carrier sense multiple access with collision detection) no trabaja y ocurren colisiones lo que ocasiona que los datos que se reciben en el AP estén corruptos.
Para resolver este problema del nodo oculto se implementa una solución basada en el handshaking IEEE 802.11 RTS/CTS en conjunto con el esquema CSMA/CA (carrier sense multiple access with collision avoidance). Sin embargo RTS/CTS no presenta una solución completa e incluso puede afectar el throughput considerablemete, aunque se puede hacer uso de ACKs (acknowledgments) desde las estaciones para ayudar. Otros métodos que se pueden emplear para resolver el problema del nodo oculto son los siguientes:
Academy Xperts
49
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
• • • •
Incrementar la potencia de transmisión de los nodos Mover el nodo Utilizar un software que mejore el protocolo Usar diversidad espacial
Incrementar la potencia de transmisión de los nodos Esta opción puede ayudar a resolver el problema del nodo oculto haciendo que aumente la cobertura alrededor de cada nodo, abarcando todos los otros nodos. Esta configuración permite que los nodos no-ocultos puedan detectar o escuchar al nodo oculto. Si los nodos no-ocultos pueden escuchar el nodo oculto, entonces el nodo oculto ya no lo estará. Las redes WLAN (Wireless LAN) utilizan el protocolo CSMA/CA, y esto hace que los nodos esperen su turno antes de comunicarse con el AP. Esta solución sólo funciona si se aumenta la potencia de transmisión en los nodos que están ocultos. Si se aumenta la potencia de transmisión únicamente en el AP, no se va a resolver todo el problema, ya que normalmente los nodos ocultos son los clientes (laptops, dispositivos móviles), y no el propio AP, por lo que los clientes aún no serán capaces de escuchar a los demás. Incluso, aumentar la potencia de transmisión del AP puede empeorar el problema, porque va a poner nuevos clientes dentro del rango del AP y por lo tanto agregar nuevos nodos a la red que están ocultos de otros clientes. Mover el nodo Al mover el nodo los nodos-ocultos podrían verse entre si. El objetivo es proveer la cobertura adecuada que cubra el área oculta. Es posible que reqiuera puntos de acceso (AP) adicionales. Software que mejore el protocolo Existen varias implementaciones de protocolos que básicamente lo que hacen es implementar una estrategia de polling o token-passing. En este caso, un equipo master (generalmente el AP) hace un polling dinámicamente a los clientes para obtener la data. Los clientes no están permitidos de enviar datos sin la invitación del master. Esta estrategia elimina el problema del nodo oculto pero incrementa la latencia y puede disminuir el throughput.
Diversidad Espacial También conocido como Diversida de Antena es uno de los varios esquema Wireless que usa dos o más antenas para mejorar la calidad y confiabilidad de un enlace wireless. En ambientes indoor (oficinas, restaurantes, edificios) y ambientes urbanos no existe una línea de vista (LOS= line-of-sight) claramente definida y lo que sucede es que la señal se refleja entre múltiples rutas antes de que sea recibida. Cada uno de estos rebotes puede introducir cambios de fase, retardos de tiempo (delay), atenuaciones y distorsiones que puede interferir en la antena de recepción. La diversidad de antena es especialmetne efectiva para mitigar estas situaciones de múltiples rutas. Esto se debe a que las múltiples antenas ofrecen varios receptores para la misma señal. Cada antena experimentará un ambiente de interferencia distinto. De esta manera, si una antena experimenta un desvanecimiento de la señal (deep fade), es muy probable que la otra antena reciba suficiente señal, pudiendo proveer un enlace robusto. El esquema de diversidad de antena requiere una integración y hardware adicional en comparación con sistemas que manejan una sola antena. Esto también requiere una mayor demanda de procesamiento en el receptor. La confiablidad de enlace es mayor (usando diversidad espacial) y disminuye en forma efectiva los abandonos (drop-out) y las pérdidas de desconexión.
basic-rates / supported-rates • • •
basic-rates: son las tasas de velocidad mínima que un cliente debería soportar al momento de conectarse a un AP. Para que haya comunicación entre el AP y el Cliente, ambos deberán tener el mismo Basic-rate. supported-rates: estas son las tasas de velocidad que un cliente puede llegar o soportar. Los data-rates son soportados según el estándar usado como tenemos a continuación: o 802.11b : 1 a 11Mbps o 802.11a/g : 6 a 54Mbps o 802.11n : 6 a 300Mbps, dependiendo de factores como el canal, ancho de banda (20 o 40 MHz), y el número de salidas o antenas (MikroTik las conoce como CHAINS)
HT chains •
Hace referencia a una antena de radio
Academy Xperts
50
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
•
Son usados para el protocolo 802.11n y es un factor de rendimiento configurable.
802.11n - Data Rates Protocolo en el cual la velocidad real de transmisión podría llegar a los 300 Mbps (lo que significa que las velocidades teóricas de transmisión serían aún mayores), y debería ser hasta 10 veces más rápida que una red bajo los estándares 802.11a y 802.11g, y unas 40 veces más rápida que una red bajo el estándar 802.11b MCS index
Spatial streams
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 3 3 3 3 3 3 3 3 4 4 4 4 4 4 4 4 1
Modulation type
Coding rate
BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM BPSK
1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 1/2
Data rate (Mbit/s) 20 MHz channel 40 MHz channel 800 ns GI 400 ns GI 800 ns GI 400 ns GI 6.50 7.20 13.50 15.00 13.00 14.40 27.00 30.00 19.50 21.70 40.50 45.00 26.00 28.90 54.00 60.00 39.00 43.30 81.00 90.00 52.00 57.80 108.00 120.00 58.50 65.00 121.50 135.00 65.00 72.20 135.00 150.00 13.00 14.40 27.00 30.00 26.00 28.90 54.00 60.00 39.00 43.30 81.00 90.00 52.00 57.80 108.00 120.00 78.00 86.70 162.00 180.00 104.00 115.60 216.00 240.00 117.00 130.00 243.00 270.00 130.00 144.40 270.00 300.00 19.50 21.70 40.50 45.00 39.00 43.30 81.00 90.00 58.50 65.00 121.50 135.00 78.00 86.70 162.00 180.00 117.00 130.00 243.00 270.00 156.00 173.30 324.00 360.00 175.50 195.00 364.50 405.00 195.00 216.70 405.00 450.00 26.00 28.80 54.00 60.00 52.00 57.60 108.00 120.00 78.00 86.80 162.00 180.00 104.00 115.60 216.00 240.00 156.00 173.20 324.00 360.00 208.00 231.20 432.00 480.00 234.00 260.00 486.00 540.00 260.00 288.80 540.00 600.00 N/A N/A 6.00 6.70
802.11ac - Data Rates Spatial Streams
Academy Xperts
Modulation Type
Coding Rate
Data Rates (Mb/s) 20 MHz
40 MHz
80 MHz
160 MHz/80+80 MHz
51
RouterOS v6.35.1.01 – Capítulo 4 – Wireless VHT MCS Index 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9
1
2
3
4
5
6
7
8
Academy Xperts
BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM 256-QAM 256-QAM BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM 256-QAM 256-QAM BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM 256-QAM 256-QAM BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM 256-QAM 256-QAM BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM 256-QAM 256-QAM BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM 256-QAM 256-QAM BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM 256-QAM 256-QAM BPSK QPSK QPSK 16-QAM 16-QAM 64-QAM 64-QAM 64-QAM 256-QAM 256-QAM
1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 3/4 5/6 1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 3/4 5/6 1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 3/4 5/6 1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 3/4 5/6 1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 3/4 5/6 1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 3/4 5/6 1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 3/4 5/6 1/2 1/2 3/4 1/2 3/4 2/3 3/4 5/6 3/4 5/6
800ns GI
400ns GI
800ns GI
400ns GI
800ns GI
6.5 13.0 19.5 26.0 39.0 52.0 58.5 65.0 78.0 n/a 13.0 26.0 39.0 52.0 78.0 104.0 117.0 130.0 156.0 n/a 19.5 39.0 58.5 78.0 117.0 156.0 175.5 195.0 234.0 260.0 26.0 52.0 78.0 104.0 156.0 208.0 234.0 260.0 312.0 n/a 32.5 65.0 97.5 130.0 195.0 260.0 292.5 325.0 390.0 n/a 39.0 78.0 117.0 156.0 234.0 312.0 351.0 390.0 468.0 520.0 45.5 91.0 136.5 182.0 273.0 364.0 409.5 455.0 546.0 n/a 52.0 104.0 156.0 208.0 312.0 416.0 468.0 520.0 624.0 n/a
7.2 14.4 21.7 28.9 43.3 57.8 65.0 72.2 86.7 n/a 14.4 28.9 43.3 57.8 86.7 115.6 130.0 144.4 173.3 n/a 21.7 43.3 65.0 86.7 130.0 173.3 195.0 216.7 260.0 288.9 28.9 57.8 86.7 115.6 173.3 231.1 260.0 288.9 346.7 n/a 36.1 72.2 108.3 144.4 216.7 288.9 325.0 361.1 433.3 n/a 43.3 86.7 130.0 173.3 260.0 346.7 390.0 433.3 520.0 577.8 50.6 101.1 151.7 202.2 303.3 404.4 455.0 505.6 606.7 n/a 57.8 115.6 173.3 231.1 346.7 462.2 520.0 577.8 693.3 n/a
13.5 27.0 40.5 54.0 81.0 108.0 121.5 135.0 162.0 180.0 27.0 54.0 81.0 108.0 162.0 216.0 243.0 270.0 324.0 360.0 40.5 81.0 121.5 162.0 243.0 324.0 364.5 405.0 486.0 540.0 54.0 108.0 162.0 216.0 324.0 432.0 486.0 540.0 648.0 720.0 67.5 135.0 202.5 270.0 405.0 540.0 607.5 675.0 810.0 900.0 81.0 162.0 243.0 324.0 486.0 648.0 729.0 810.0 972.0 1,080.0 94.5 189.0 283.5 378.0 567.0 756.0 850.5 945.0 1,134.0 1,260.0 108.0 216.0 324.0 432.0 648.0 864.0 972.0 1,080.0 1,296.0 1,440.0
15.0 30.0 45.0 60.0 90.0 120.0 135.0 150.0 180.0 200.0 30.0 60.0 90.0 120.0 180.0 240.0 270.0 300.0 360.0 400.0 45.0 90.0 135.0 180.0 270.0 360.0 405.0 450.0 540.0 600.0 60.0 120.0 180.0 240.0 360.0 480.0 540.0 600.0 720.0 800.0 75.0 150.0 225.0 300.0 450.0 600.0 675.0 750.0 900.0 1,000.0 90.0 180.0 270.0 360.0 540.0 720.0 810.0 900.0 1,080.0 1,200.0 105.0 210.0 315.0 420.0 630.0 840.0 945.0 1,050.0 1,260.0 1,400.0 120.0 240.0 360.0 480.0 720.0 960.0 1,080.0 1,200.0 1,440.0 1,600.0
29.3 58.5 87.8 117.0 175.5 234.0 263.3 292.5 351.0 390.0 58.5 117.0 175.5 234.0 351.0 468.0 526.5 585.0 702.0 780.0 87.8 175.0 263.0 351.0 526.5 702.0 n/a 877.5 1,053.0 1,170.0 117.0 234.0 351.0 468.0 702.0 936.0 1,053.0 1,170.0 1,404.0 1,560.0 146.3 292.5 438.8 585.0 877.5 1,170.0 1,316.3 1,462.5 1,755.0 1,950.0 175.5 351.0 526.5 702.0 1,053.0 1,404.0 1,579.0 1,755.0 2,106.0 n/a 204.8 409.5 614.3 819.0 1,228.5 1,638.0 n/a 2,047.5 2,457.0 2,730.0 234.0 468.0 702.0 936.0 1,404.0 1,872.0 2,106.0 2,340.0 2,808.0 3,120.0
400ns GI 32.5 65.0 97.5 130.0 195.0 260.0 292.5 325.0 390.0 433.3 65.0 130.0 195.0 260.0 390.0 520.0 585.0 650.0 780.0 866.7 97.5 195.0 292.5 390.0 585.0 780.0 n/a 975.0 1,170.0 1,300.0 130.0 260.0 390.0 520.0 780.0 1,040.0 1,170.0 1,300.0 1,560.0 1,733.3 162.5 325.0 487.5 650.0 975.0 1,300.0 1,462.5 1,625.0 1,950.0 2,166.7 195.0 390.0 585.0 780.0 1,170.0 1,560.0 1,755.0 1,950.0 2,340.0 n/a 227.5 455.0 682.5 910.0 1,365.0 1,820.0 n/a 2,275.0 2,730.0 3,033.3 260.0 520.0 780.0 1,040.0 1,560.0 2,080.0 2,340.0 2,600.0 3,120.0 3,466.7
800ns GI
400ns GI
58.5 117.0 175.5 234.0 351.0 468.0 526.5 585.0 702.0 780.0 117.0 234.0 351.0 468.0 702.0 936.0 1,053.0 1,170.0 1,404.0 1,560.0 175.5 351.0 526.5 702.0 1,053.0 1,404.0 1,579.5 1,755.0 2,106.0 n/a 234.0 468.0 702.0 936.0 1,404.0 1,872.0 2,106.0 2,340.0 2,808.0 3,120.0 292.5 585.0 877.5 1,170.0 1,755.0 2,340.0 2,632.5 2,925.0 3,510.0 3,900.0 351.0 702.0 1,053.0 1,404.0 2,106.0 2,808.0 3,159.0 3,510.0 4,212.0 4,680.0 409.5 819.0 1,228.5 1,638.0 2,457.0 3,276.0 3,685.5 4,095.0 4,914.0 5,460.0 468.0 936.0 1,404.0 1,872.0 2,808.0 3,744.0 4,212.0 4,680.0 5,616.0 6,240.0
65.0 130.0 195.0 260.0 390.0 520.0 585.0 650.0 780.0 866.7 130.0 260.0 390.0 520.0 780.0 1,040.0 1,170.0 1,300.0 1,560.0 1,733.0 195.0 390.0 585.0 780.0 1,170.0 1,560.0 1,755.0 1,950.0 2,340.0 n/a 260.0 520.0 780.0 1,040.0 1,560.0 2,080.0 2,340.0 2,600.0 3,120.0 3,466.7 325.0 650.0 975.0 1,300.0 1,950.0 2,600.0 2,925.0 3,250.0 3,900.0 4,333.3 390.0 780.0 1,170.0 1,560.0 2,340.0 3,120.0 3,510.0 3,900.0 4,680.0 5,200.0 455.0 910.0 1,365.0 1,820.0 2,730.0 3,640.0 4,095.0 4,550.0 5,460.0 6,066.7 520.0 1,040.0 1,560.0 2,080.0 3,120.0 4,160.0 4,680.0 5,200.0 6,240.0 6,933.3
52
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
Tipos de Modulación Las técnicas de modulación digital fundamentales están basadas en Keying. Keying es una familia de formas de modulación donde la señal de modulación toma un número específico (predeterminado) de los valores en todo momento. El objetivo de la modulación es transmitir una señal digital a través de un canal analógico. El nombre deriva de la clave de código Morse utilizado para la señalización telegráfica. La modulación es la técnica general de convertir una señal para transmitir información. Cuando un mensaje digital tiene que ser representado como una forma de onda analógica, se utiliza la técnica el término “keying” (o modulación digital). El “keying” se caracteriza por el hecho de que la señal de modulación tendrá un número limitado de estados (o valores) en todo momento, para representar los estados digitales correspondientes (comúnmente cero y uno, aunque esto puede depender del número de símbolos utilizados). https://en.wikipedia.org/wiki/Keying_(telecommunications) •
• • •
PSK (phase-shift keying) – se utiliza un número finito de fases o BPSK (Binary PSK), utiliza M=2 símbolos o QPSK (Quadrature PSK), utiliza M=4 símbolos FSK (frequency-shift keying) – se utiliza un número finito de frecuencias ASK (amplitude-shift keying) – se utiliza un número finito de amplitudes QAM (quadrature amplitude modulation) – se utiliza un número finito de al menos 2 fases y al menos 2 amplitudes
En QAM, una señal “inphase” (“I”) y una señal de fase de cuadratura (“Q”) son modulados en amplitud, con un número finito de amplitudes, y luego son sumados. Puede visualizarse como un sistema de dos canales, donde cada canal utiliza ASK. La señal resultante es equivalente a una combinación de PSK y ASK.
Modo de Frecuencia (frequency-mode) Esta opción nos permitirá elegir el modo en el cual nuestro router va a trabajar, respetando las siguientes limitaciones: • • • •
regulatory-domain: Esta sección limita los canales usados y la potencia de TX, basado en las regulaciones de cada país o del estándar. manual-txpower: Igual que el anterior pero sin la restricción de potencia de TX. superchannel: Ignorará todas las restricciones. country: Frecuencias y potencias de TX, limitados y regulados por cada país. Usando el parámetro no-countryset, se podría configurar los parámetros de frecuencia y potencia según canales aprobados por la FCC.
Rate Flapping Se conoce como Rate Flapping a la variación muy notable (o inestabilidad) en las velocidades alcanzadas, con respecto al tiempo. Si esta variación se produce en períodos cortos de tiempo, afecta al desempeño del enlace ya que cada cambio de velocidad (data rate) implica el uso de un esquema de modulación diferente y por lo tanto los paquetes deben ser retransmitidos. Se puede resolver este tipo de problemas disminuyendo la tasas soportadas (supported-rates). La estrategia que se debe aplicar es analizar el data-rate más bajo (entre los valores en que está fluctuando en enlace) y adoptarlo como el máximo data-rate (en tasas soportadas). Asumiendo que los data-rate varían entre 36 Mbps y 54 Mbps (según el siguiente gráfico) …
Academy Xperts
53
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
La solución es reducir las tasas soportadas haciendo que el máximo valor sea 36 Mbps (según la siguiente imagen):
Configuración básica de un Access Point (AP) Para configura un AP debemos conocer los siguientes parámetros • • • • •
mode: AP bridge band: Esta opción se seleccionará basada en la capacidad de los AP y clientes. Si el AP soporta múltiples bandas (ej. B/G/N) se debe seleccionar la que ofrece mejores características. frequency: Cualquiera que defina el instructor o habilitada para usarse (De este tema se hablara más adelante) ssid: El nombre del identificador de la red inalámbrica generada. wireless-protocol: Basado en los equipos (AP y clientes) usados. En este caso usaremos 802.11
Academy Xperts
54
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
Perfil de Seguridad (Security profile) POR FAVOR no olvidar configurar el security-profile. • •
Ayudará a fomentar una mayor seguridad en nuestros equipos. No se recomienda usar por ningún motivo una conexión inalámbrica sin security-profile ya que deja la red propensa a un ataque o infiltración. Para crear un security-profile o Menu: Wireless à Security Profile o Click en Add (+) o Name : nombre del profile o Mode : Tipo de autenticación usada. o Authentication types : Método de autenticación usada en la conexión o Ciphers : Métodos de cifrado.
Ahora ya se puede usar el security-profile creado. Se debe regresar a la ventana de Wireless y se selecciona el securityprofile creado. NOTA: Se pueden crear hasta 128 AP Virtuales por interfaz inalámbrica. •
•
Ahora vamos a revisar la red inalámbrica a la cual nos vamos a conectar, con herramientas que las encontraremos en la sección principal de Interface Wlan1> Wireless. Una de estas herramientas es Snooper: o Click en “Snooper” o Procederemos con la inspección. o ¡Ten cuidado! Esto desconectará la interfaz WLAN y clientes asociados Al momento de ingresar en snooper lo que observaremos es lo siguiente o Click en “Snooper” start o Tenga cuidado, ya que todos los clientes asociados a su red se desconectarán de la red inalámbrica. o Usted tendrá una vista completa de frecuencias y otros parámetros para analizarlos. o Seleccionamos un canal de frecuencia libre para nuestra red inalámbrica
Academy Xperts
55
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
Configuración básica de una Estación (client/station) • • •
mode: station band: la misma usada en el AP. frequency: no es un parámetro importante para el cliente.
• • •
ssid: El SSID al cual el equipo STATION se va a conectar wireless-protocol: Se coloca el mismo usado en el AP, en este caso usamos 802.11 Crearemos un security-profile igual al creado en el AP, para que al momento que se inicie la negociación de autenticación, el AP acepte al router en modo STATION.
Filtrado por MAC address Es un mecanismo adicional para limitar las conexiones inalámbricas de los clientes. Para agregar y poder realizar esta limitación, nos dirigimos a nuestro AP, y en “registration” que es la lista de los usuarios registrados, seleccionamos a los clientes deseados, abrimos los detalles con doble click al cliente y damos click en la sección de “copy to access list”
•
Ya podemos ver una nueva entrada en la sección «access-list»
Access-list Las listas de acceso se usan en los AP para restringir las conexiones a clientes específicos y controlar sus parámetros de conexión. Hay que tener en cuenta lo siguiente: • • •
Las Reglas serán comprobadas secuencialmente Sólo se aplicara la primera regla que coincida con todos los parámetros. Si la opción "Default Authentícate" (en la pestaña " Wireless " en "Interface - > WLAN" de pantalla) no se encuentra habilitado, los dispositivos que no corresponden a una regla de la lista de acceso serán rechazados.
Academy Xperts
56
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
Parámetros adicionales: • •
•
•
Authentication Option este ítem le dirá al router que compruebe el "security- profile " para determinar si la conexión se debe permitir. Si no coinciden la autenticación, siempre fallará el acceso. Forwarding u opción de reenvío le dirá al router permita a los clientes del AP llegar a la otra sin la ayuda de otros APs (evitando así las reglas del firewall que pueda tener). Para mayor seguridad , deje sin marcar
AP Tx limitantes y restricción de data rate desde el AP hacia el cliente o Si se establece muy bajo, esto ocasionara problemas de conexión. Siempre se realizan pruebas antes de ponerlas en práctica. Client TX límites y restricciones de data rate desde el cliente hacia el AP o Extensión propietaria son soportadas únicamente por clientes RouterOS. o También siempre se realizan pruebas antes de ponerlas en práctica.
Connect-list: Esta opción es para clientes. Asigna propiedades, basado en potencia de señal y configuraciones de seguridad, que cada AP tiene sobre los clientes. Tomar en cuenta que: • • •
• •
• •
Las Reglas son revisadas secuencialmente. Se aplica solamente cuando se tiene coincidencia en los parámetros. Si la opción “Default Authenticate” (“Wireless” -> “Interface -> wlan”)si está habilitada en los connect-list, los clientes se conectaran o serán aceptados con respecto a parámetros basados en potencia de la señal o configuraciones de seguridad Nota de Interés: si en el campo SSID (en la sección station connect rule) está vacío, El cliente podría conectarse a cualquier SSID únicamente realizando un match. En la Interfaz Wlan el campo SSID también deberá estar vacío!
Nota de Interés: si el campo SSID (en la sección station connect rule) está vacío, el cliente podría conectarse a cualquier SSID únicamente realizando un match . En la Interfaz Wlan el campo SSID también deberá estar vacío!
Academy Xperts
57
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
Default-authentication • •
Si el AP no tiene ninguna lista de acceso, y default-authenticate no está marcada, los clientes nunca se conectarán. Si la estación no tiene ninguna connect list , y default-authenticate no está marcada , nunca se conectará a un AP.
Default-forwarding •
Especifica el comportamiento del re-envío de paquetes de clientes que ya han sido verificados en la access-list. o Si esta opción esta habilitada, se permitirán comunicaciones en capa 2 entre clientes. o Si esta deshabilitada la comunicación se realizara en capa 3 y serán influenciados bajos las reglas del firewall.
WPA, WPA2 WiFi Protected Access, llamado también WPA (en español «Acceso WiFi protegido») es un sistema para proteger las redes inalámbricas (WiFi); creado para corregir las deficiencias del sistema previo, Wired Equivalent Privacy (WEP). Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). • •
WiFi Protected Access (1 y 2) Estos protocolos fueron creados después de la creación de WEP debido a que se encontraron debilidades en el mismo.
Es apropiado configurar WPA, ya que es muy seguro, pero lo recomendable es WPA2 debido que ofrece mayor seguridad WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante una clave compartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red. • • •
Se usa en remplazo de WEP ya que es muy inseguro. Usa TKIP como protocolo de cifrado o Este protocolo genera una nueva Key por cada paquete enviado. Actualmente ya se esta dejando de usar la versión 1 debido a que también se han encontrado debilidades.
Un inconveniente encontrado en la característica agregada al Wi-Fi llamada Wi-Fi Protected Setup (también bajo el nombre de QSS) permite eludir la seguridad e infiltrarse en las redes que usan los protocolos WPA y WPA2. • •
MikroTik no USA WPS porque lo considera demasiado inseguro. En la actualizad se han encontrado debilidades en WPS, como por ejemplo ataques de fuerza bruta.
WPA2 •
Usa CCMP para reemplazarlo como un protocolo de cifrado.
Academy Xperts
58
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
• •
o Basado en AES o Mas robusto que TKIP Es reglamentario que todos los dispositivos WiFi sean certificados. Esta orden esta desde 2006 Se debe utilizar para lograr mayores tasas de bits, en redes que se circunscriben a 54Mbps.
Protocolos Wireless propietarios de MikroTik NV2 (Nstreme Version 2) • • • •
Protocolo propietario de MikroTik Funciona únicamente con chips inalámbricos Atheros 802.11. Este protocolo esta basado en TDMA (Time Division Multiple Access) lo que le permite abarcar mas estaciones en lugar de CSMA (Carrier Sense Multiple Access) Se utiliza para mejorar el rendimiento a través de largas distancias
TDMA es un método de acceso al canal por medio compartido de redes. Permite que varios usuarios/estaciones compartan la misma frecuencia del canal dividiendo la señal en diferentes intervalos de tiempo. Los usuarios transmiten en una rápida sucesión, uno tras otro, cada uno con su propio espacio de tiempo. Esto permite que varias estaciones compartan el mismo medio de transmisión (ej: canal de radio frecuencia) mientras que se utiliza sólo una parte de la capacidad del canal. Los beneficios más importantes de NV2 son los siguientes: • • • • • • • • •
Aumento de la velocidad Baja latencia No hay limitaciones de distancia Más conexiones de los clientes en entornos de PTM. Acepta mas clientes en ambientes punto a multi-punto (soporta hasta 511 clientes) Mayor control en latencia, logrando parámetros muy bajos. Reduce el retardo en Propagación. Reduce el polling overhead. No hay penalización por largas distancias. A partir de RouterOS v5.0beta5 puede se configurar NV2 en el menú Wireless. Soporte de anchos de canal de 5/10/20/40 MHz
Para realizar la conexión usando NV2 en el lado de AP se necesita seleccionar wireless-protocol=nv2, e igualmente en el equipo cliente. En la actualidad, con 802.11n y NV2 puede obtener aproximadamente 97Mbps de tráfico UDP y TCP 94Mbs tráfico a través de RB711 en una dirección usando un solo chain. Enlace más largo del mundo sin usar amplificador El enlace WiFi más largo sin usar amplificador es un enlace de 304 kilómetros alcanzado por CISAR (Centro Italiano de Actividades de radio). • • • • • • •
2007-06-16, Monte Amiata (Toscana) a Monte Limbara (Cerdeña) Frecuencia: 5765 MHz IEEE 802.11a (WiFi), ancho de canal de 5 MHz Radio: Ubiquiti Networks XR5 Equipo inalámbrico: MikroTik RouterOS con RouterBOARD, optimizado con Nstreme Longitud: 304 kilómetros (189 millas). Antena de 120 cm. 35 dBi estimado
https://en.wikipedia.org/wiki/Long-range_Wi-Fi
Herramientas de monitoreo Hay varias herramientas que le ayudarán en el análisis de lo que está en el aire para que pueda elegir la frecuencia con la menor interferencia.
Wireless scan Esta es una herramienta muy útil, ya que nos muestra de manera simple las redes inalámbricas vecinas: • • •
Frecuencia usada, Banda, SSID, Señal y otros. Iniciamos Scan dándole clic en start. Esta herramienta detecta, conexiones inalámbricas vecinas, las conexiones clientes son descartadas.
Academy Xperts
59
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
Snooper El uso del Snooper fue diseñado para ser una herramienta eficiente que le ayudará a supervisar con un detalle mejorado los router vecinos. Proporciona un detallado mejorado de los router vecinos
Registration table Muestra inmediatamente todos los clientes que se lograron registrar a nuestra red inalámbrica: • • • •
Nos entrega información de los clientes conectados en modo Station. Usado en puntos de accesos (AP). Podemos ver el estado de conexiones realizadas. NOTA: Los comentarios que aparecen por encima de las estaciones son para dar mayor información de su función y son definidas por el usuario o administrador, por lo general se basan en información del “access-list”.
Redes inalámbricas en Modo Bridge • • • •
El AP en RouterOS acepta a los routers MikroTik en modo station-bridge para que trabaje en Capa 2 de manera segura. Se puede utilizar para ampliar una subred inalámbrica a muchos clientes. Este modo es MikroTik propietario y no se puede utilizar para conectar otros dispositivos de marca. Cabe recalcar que este modo es un método seguro para usar bridge de L2 y se deberá utilizarse siempre que existan razones suficientes para no utilizar el modo de estación-WDS
Ejercicio en Clases
Academy Xperts
60
RouterOS v6.35.1.01 – Capítulo 4 – Wireless
Con toda la explicación realizada, ya se encuentra en capacidad de conectarse a una red inalámbrica. Trabajar en parejas, un estudiante en modo AP y el otro en modo STATION, con las configuraciones realizas en el diagrama, y realice las siguientes pruebas, (el valor de “x” será definían por el instructor): • • •
Búsqueda de la red del AP mediante herramientas, SCAN y SNOOPER. Conectividad entre el AP y STATION, use la herramienta PING. Prueba de filtrado por MAC
Preguntas de repaso del Capítulo 4 1.
Cuáles son las bandas/frecuencias en la que trabaja el MikroTik RouterOS?
2.
Cuáles son los canales que no se sobreponen en 802.11b/g?
3.
Cuál es el ancho de canal estándar para 802.11b/g y para 802.11a?
4.
Cuál es la diferencia entre basic- rates y supported-rates?
5.
Cuáles son los parámetros que se requieren conocer para configurar un equipo como AP?
6.
Cuáles son los parámetros que se requieren conocer para configurar un equipo como Station?
7.
Para que se usa el Access List?
8.
Para que se usa el Connect List?
9.
Cuál tipo de autenticación es mejor?
10. Cuál tipo de encriptación es mejor? 11. Cuáles son los protocolos propietarios de MikroTik? 12. Cuáles son los beneficios de Nstreme y NV2?
Laboratorio – Capítulo 4
Academy Xperts
61
RouterOS v6.35.1.01 – Capítulo 5 – Network Management
Capítulo 5: Network Management ARP / RARP http://www.protocols.com/pbook/tcpip3/#ARP https://en.wikipedia.org/wiki/Address_Resolution_Protocol TCP/IP utiliza el ARP (Addres Resolution Protocol) y el RARP (Reverse Address Resolution Protocol) para inciar el uso de del direccionamiento de internet en una red Ethernet (u otra) que usa su propio Control de Acceso al Medio (MAC: Medium Access Control). ARP permite que un host se comunique con otros hosts cuando únicamente se conoce la dirección de internet de sus vecinos. ARP dentro del mapa de Protocolos TCP/IP
Estructura de la cabecera ARP/RARP Offsets Octet 0 1 2 3 Octet Bit 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 0
0
4
32
Hardware Type (HTYPE)
8 12
64 96
Sender Hardware Address (SHA) Sender Protocol Address (SPA)
16
128
Target Hardware Address (THA)
20
160
Target Protocol Address (TPA)
24
192
HLEN
PLEN
Protocol Type (PTYPE) Operation (OPER)
Es un protocolo de la capa de enlace de datos responsable de encontrar la dirección de hardware (MAC Ethernet) que corresponde a una dirección IP determinada. Para ello se envía un paquete ARP-request a la dirección de broadcast (difusión) de la red (broadcast MAC=FF FF FF FF FF FF) que contiene la dirección IP por la que se pregunta, y se espera a que ese dispositivo (u otro) responda (con un ARP-reply) con la dirección MAC Ethernet que le corresponde.
Academy Xperts
62
RouterOS v6.35.1.01 – Capítulo 5 – Network Management
Cada máquina mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la dirección de internet ser independiente de la dirección Ethernet, pero esto solo funciona si todas los dispositivos lo soportan. • • •
ARP se lo conoce como Protocolo de resolución de direcciones Es un mecanismo que relaciona las direcciones IP (Capa 3) con las direcciones MAC (Capa 2) Se utiliza normalmente como un proceso dinámico, pero se puede configurar de forma estática en ciertas situaciones donde la seguridad lo requiere
ARP se utiliza en 4 casos referentes a la comunicación entre 2 hosts: 1. 2. 3. 4.
Cuando 2 hosts están en la misma red y uno quiero enviar un paquete a otro. Cuando 2 host están sobre redes diferentes y deben usar un Gateway/router para alcanzar otro host. Cuando un router necesita enviar un paquete a un host a través de otro router. Cuando un router necesita enviar un paquete a un host de la misma red.
Modos ARP Se pueden configurar varios modos de ARP en la interface: 1.
2. 3. 4.
disabled: Si esta característica estea como arp=disabled, los ARP requests de los clientes no serán respondidos por el router. Por lo tanto, una entrada estática de ARP debe ser agregada a los clientes también. Por ejemplo, las direcciones IP y MAC del router, debe añadirse a los host. enabled: Este modo se activa de forma predeterminada en todas las interfaces. El protocolo ARP descubrirá automáticamente y las nuevas entradas dinámicas se añadirá a la tabla ARP. proxy-arp: Este funcionamiento puede ser muy útil, por ejemplo, si desea asignar direcciones IP a un dial-in (PPP, PPPoE, PPTP) y que sean desde el mismo espacio de direcciones tal como se utiliza para conectarnos a una LAN. reply-only: El router solo responderá a solicitudes ARP (ARP requests) que se han ingresado manualmente o que se hayan declarado com estáticas. Una tabla ARP muestra todas las entradas ARP y la interface desde la cual se aprendió la dirección
Ventajas de usar ARP La principal ventaja del uso de la técnica ARP Proxy es que se puede agregar a un solo enrutador en la red, esto permite que no se distorsione las tablas de encaminamiento de los otros enrutadores de la red. Es recomendable que el ARP Proxy sea utilizado en redes donde los hosts IP no se encuentran configurados con ninguna puerta de enlace predeterminada. Desventajas de usar ARP Los anfitriones no tienen ni idea de los detalles físicos de la red y suponen que es una red plana la cual llega a cualquier destino con tan solo hacer una solicitud ARP. Pero como todo le ARP tiene su desventaja las cuales son: • • • •
Aumenta la cantidad de trafico ARP en su segmento Posee grandes tablas ARP para manejar la asignación de direcciones IP a MAC La seguridad puede ser expuesta. Un host puede simular ser otro host con el fin de interceptar los paquetes, eso es llamado “spoofing” No funciona para redes que no utilicen el protocolo ARP para la resolución de direcciones.
Academy Xperts
63
RouterOS v6.35.1.01 – Capítulo 5 – Network Management
Tabla ARP • •
•
La tabla ARP muestra todas las entradas ARP y las interfaces desde la cual ellos lo aprendieron. La tabla ARP provee: o La dirección IP de los dispositivos conocidos o Las direcciones MAC asociadas a los dispositivos conocidos o Las interfaces de donde fueron aprendidas las direcciones Se puede agregar entradas estática en la tabla ARP para proporcionar una mayor seguridad en la red o Se pueden evitar ataques de ARP poisoning / ARP spoofing o Requiere mucho trabajo y planificación
Sintaxis ARP 1. Ver la tabla ARP /ip arp print Flags: X – disabled, I – invalid, H – DHCP, D – Dynamic, P – published # ADDRESS MAC-ADDRESS INTERFACE 0 172.16.2.222 11:22:33:44:55:66 LAN Etiquetas en la tabla ARP: X = Deshabilitado, R = Corriendo, S = Esclavo 2. Agregar una entrada estática /ip arp add address=172.16.2.222 mac-address=11:22:33:44:55:66 interface=LAN 3. Configuración de un modo ARP: /interface ethernet set ether4 arp=proxy-arp /interface ethernet print Flags: X – disabled. R – running, S – Slave # NAME MTU MAC-ADDRESS ARP 0 S ether1 1500 D4:CA:6D:5C:E2:F2 enabled 1 RS ether2 1500 D4:CA:6D:5C:E2:F3 enabled 2 RS ether3 1500 D4:CA:6D:5C:E2:F4 enabled 3 RS ether4 1500 D4:CA:6D:5C:E2:F5 proxy-arp 4 S ether5 1500 D4:CA:6D:5C:E2:F6 enabled
MASTER-PORT
SWITCH
none none none none
switch1 switch1 switch1 switch1
Servidor / Cliente DHCP El protocolo DHCP (protocolo de configuración dinámica de host) se utiliza para la fácil distribución de direcciones IP en una red. El RouterOS MikroTik incluye ambas partes: Servidor / Cliente. El router soporta un servidor DHCP individual por cada interfaz Ethernet. El servidor MikroTik cumple con las funciones principales que es la de brindar a un cliente asignaciones de una dirección IP con su respectiva máscara IP, como también la dirección de la puerta de enlace (gateway) y la del servidor DNS. La interfaz que aloja el servidor DHCP debe tener su propia dirección IP y que a la vez no debe estar incluida en el pool de direcciones que los clientes van a recibir cuando lo soliciten.
Academy Xperts
64
RouterOS v6.35.1.01 – Capítulo 5 – Network Management
El proceso para de asignaciones de una dirección IP para un cliente es el siguiente: 1. 2. 3. 4.
El cliente envía un broadcast DHCP-DISCOVER El server envía un broadcast DHCP-OFFER El cliente envía un broadcast DHCP-REQUEST El server envía un broadcast DHCP-ACK
DHCP dentro del mapa de Protocolos TCP/IP
Academy Xperts
65
RouterOS v6.35.1.01 – Capítulo 5 – Network Management
DHCP Server Setup La interfaz que va ser configurada como DHCP- Server debe tener su propia dirección y al mismo tiempo esa dirección no debe ser incluida en el pool de dirección. Un pool es un rango de direcciones que estarán disponibles para los clientes
En la ventana de DHCP-Server, se presiona el botón DHCP Setup y luego se sigue con los requisitos que se piden: 1.
Interfaz a la que va ser asignado el servidor DHCP
2.
Dirección de red:
3.
Puerta de enlace:
4.
Pool de direcciones para los clientes DHCP
5.
DNS servers (Más de uno se pueden configurar)
Academy Xperts
66
RouterOS v6.35.1.01 – Capítulo 5 – Network Management
6.
Tiempo de asignaciones
7.
Luego de a ver definido el tiempo de asignaciones presionamos siguiente y con ellos habremos terminado el proceso. En la ventana podremos ver el DHCP server Creado.
En esta configuración automática (ejecutando el DHCP Setup) se generan los siguientes parámetros: • • •
Se crea un pool de direcciones: un grupo de direcciones para asignar a los clientes Se crea el servidor DHCP: su nombre y parámetros (como la interfaz que aceptara solicitudes de los clientes) Se crea el espacio de direcciones: la dirección IP de red y varios parámetros
DHCP puede ser usado para configurar opciones tales como: • • •
42: NTP Servers 70: POP3-Servers http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml
Nota importante: si usted tiene un ambiente en bridge, el servidor DHCP debe estar configurado en la interfaz de bridge. Si se cnfigura el DHCP Server en un puerto que forma parte del bridge, el servidor DHCP no funcionará. Configuraciones por línea de comando /ip dhcp-server setup Select interface to run DHCP server on Dhcp server interface: ether4 Select network for DHCP address Dhcp address space: 192.168.20.0/24 Select gateway for given network Gateway for dhcp network: 192.168.20.1 Select pool of ip addresses given out by DHCP server Addresses to give out: 192.168.20.2-192.168.20.254 Select DNS servers Dns server: 8.8.8.8 Select lease time Lease time: 3d Para agregar configuraciones opcionales de DHCP /ip dhcp-server Option add name=46-node-type code=46 value=0x0008 Para ver por línea de comandos los Servidores DHCP que hay en un router /ip dhcp-server print Flags: X – disabled, I – invalid Academy Xperts
67
RouterOS v6.35.1.01 – Capítulo 5 – Network Management
# 0 1
NAME dhcp1 dhcp2
INTERFACE ether3 ether4
RALAY 0.0.0.1
ADDRESS-POOL dhcp_pool2 dhcp_pool3
LEASE-TIME ADD-ARP 3d 3d
/ip dhcp-server network set dhcp-option=46-node-type numbers=1 Para asignar un servidor WINS para la red se haría de la siguiente manera /ip dhcp-server network set wins-server=172.16.2.100 numbers=1 Para ver las opciones anteriormente configuradas /ip dhcp-server network print # ADDRESS GATEWAY 0 192.168.10.0/24 192.168.10.1 1 192.168.20.0/24 192.168.20.1
DNS-SERVER 8.8.8.8 8.8.8.8
/ip dhcp-server option print # NAME CODE VALUE 0 46-node-type 46 0x008
WIN-SERVER 8.8.4.4 172.16.2.100
DOMAIN
RAW-VALUE 008
DHCP Client Permite que una interface Ethernet pueda solicitar una dirección IP •
•
Un DHCP Server remoto nos suministrará o Dirección IP o Mascara y Gateway o Direcciones de DNS server El DHCP Client nos suministrará estas opciones o Hostname o ID de cliente (en este caso, la dirección MAC)
Para configurar un DHCP client en un interfaz por línea de comando /ip dhcp-client add interface=ether2 dhcp-options=clientid, hostname Para configurar un DHCP client en un interfaz por medio de la venta DHCP Client
Sintaxis DHCP Client Para configurar una interfaz como DHCP-Client /ip dhcp-client add interface=ether5 dhcp-options=clientid, hostname Para ver y activar un DHCP client /ip dhcp-client print /ip dhcp-client enable numbers=1 Para ver las direcciones IP asignadas /ip address print
Gestión de Asignaciones El comando /ip dhcp-server lease provee información acerca de los DHCP Client y asignaciones. /ip dhcp-server lease print Flags: X – disabled, R – Radius, D – Dynamic, B – blocked # ADDRESS MAC-ADDRESS HO SER.. RA 0 D 192.168.3.254 78:84:3C:9E:BE:4A Da dhcp1 • •
• •
Nos mostrará las gestiones estáticas y dinámicas Se puede convertir una IP asignada dinámicamente en estática o Puede ser muy útil para cuando un dispositivo necesita mantener la misma dirección IP o ¡Ten cuidado! Se cambia la tarjeta de red, se pondrá una nueva dirección Un servidor DHCP podría ser obligado a correr únicamente con direcciones estáticas Los clientes solo recibirán las direcciones IP pre configurados
Academy Xperts
68
RouterOS v6.35.1.01 – Capítulo 5 – Network Management
o
Evalúe su situación y la necesidad de hacer esto. Requerirá mucho trabajo para grandes redes.
Para ver asignaciones de DHCP /ip dhcp-server lease print Flags: X – disabled, R – Radius, D – Dynamic, B – blocked 0 address=192.168.3.254 mac-address=78:84:3C:9E:BE:4A client-id=”1:78:84:3C:9e:4A” server=dhcp1 dhcp-option”” status=bound expires-after=2d23h59m38s last-seen=22s active-address=192.168.3.254 active-mac-address=78:84:3C:9E:BE:4ª active-client-id=”1:78:84:3C:9e:4A” active-server=dhcp1 hostname=”Darwin”
Preguntas de repaso del Capítulo 5 1.
Para qué sirve el protocolo ARP?
2.
Cuáles son los modos ARP que se pueden configurar en las interfaces de un MikroTik?
3.
Cuáles son las ventajas y desventajas de usar ARP?
4.
Cuál es el proceso de que siguen el cliente y server en la negociación DHCP?
5.
Qué parámetros se requieren cuando se ejecuta el DHCP Setup?
6.
Qué información le provee el DHCP Server al Cliente?
7.
Qué información le provee el DHCP Cliente al DHCP Server?
8.
De qué forma se pueden convertir las asignaciones dinámicas de DHCP en estáticas?
9.
Cuáles son las herramientas de administración más importantes que provee el RouterOS
10. Cuáles son los diferentes tipos de acciones que se pueden crear en /system logging?
Laboratorio – Capítulo 5
Academy Xperts
69
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
Capítulo 6: Firewall Conceptos básicos de Firewall Un firewall es un dispositivo o sistema de seguridad de red que permite (en base a un conjunto de reglas) controlar el tráfico que ingresa y sale a la red. Generalmente un firewall crea una barrera entre una red que se considera segura (usualmente la red interna o LAN) y otra red que se asume no es segura (comúnmente red externa, y/o Internet). El firewall filtra el tráfico entre dos o más redes. Los routers que gestionan el tráfico entre redes contienen componentes de firewall, y de igual manera algunos firewalls pueden desempeñar ciertas funciones de ruteo, pudiendo incluso proveer servicios de túneles (VPN), asignación de direcciones pro DHCP, y otros.
•
•
• • • •
•
•
En la actualidad, un firewall es una herramienta indispensable para proteger nuestra conexión a Internet. El hecho de hacer uso de una conexión a Internet puede ser causa de múltiples ataques a nuestro equipo de cómputo desde el exterior, cuanto más tiempo estemos en línea, mayor es la probabilidad de que la seguridad de nuestro sistema se vea comprometida por un intruso desconocido. Por lo tanto, ya no solamente es necesario tener instalado y actualizado un software antivirus y un software antispyware sino también es totalmente recomendable mantener instalado y actualizado un software de firewall. Un firewall es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red privada. Pueden implementarse firewalls en hardware, software o en ambos. Los firewalls se utilizan con frecuencia para impedir que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet. El firewall MikroTik protege al equipo frente a ataques de Internet, contenidos Web peligrosos, análisis de puertos y otros comportamientos de naturaleza sospechosa. El Firewall implementa filtrado de paquetes y de este modo provee funciones de seguridad, que son usadas para administrar los datos que fluyen hacia, desde, y a través del router: Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes conectadas directamente y al router en sí mismo. Y también sirve como un filtro para el tráfico de salida. RouterOS funciona como un Stateful Firewall, lo cual significa que desarrolla una inspección del estado de los paquetes, y realiza el seguimiento del estado de las conexiones de red que viajan a través del router RouterOS también soporta: Source y Destination NAT o NAT o Helpers para las aplicaciones populares o UPnP El firewall provee marcado interno de conexiones, Routing y paquetes.
¿Cómo funciona un firewall? El Firewall opera usando reglas. Esta tiene 2 opciones: • •
The matcher : Todas las condiciones tienes que ser verificadas y deben coincidir, para poder aplicar. The Action : Una vez que todos los parámetros coinciden y pasa la primera verificación, se procede con la acción.
El matcher analiza y compara estos siguientes parámetros: • • • • • • • •
Source MAC address IP addresses (network or list) and address types (broadcast, local, multicast, unicast) Port or port range Protocol Protocol options (ICMP type and code fields, TCP flags, IP options) Interface the packet arrives from or leaves through DSCP byte Y muchos mas…
Academy Xperts
70
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
Listado de Puertos más Conocidos https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Well-known_ports Port
TCP
UDP
Description
Status
0
N/A
N/A
In programming APIs (not in communication between hosts), requests a system-allocated (dynamic) port
N/A
0 1
TCP
UDP UDP
Reserved TCP Port Service Multiplexer (TCPMUX)
Official Official
2
TCP
UDP
CompressNET Management Utility
Official
3
TCP
UDP
CompressNET Compression Process
Official
4 5
TCP TCP
UDP UDP
Unassigned Remote job entry
Official Official
6
TCP
UDP
Unassigned
Official
7
TCP
UDP
Echo Protocol
Official
8 9
TCP TCP
UDP UDP
Unassigned Discard Protocol
Official Official
UDP
Wake-on-LAN
Unofficial
10
9 TCP
UDP
Unassigned
Official
11 12
TCP TCP
UDP UDP
Active Users (systat service) Unassigned
Official Official
13
TCP
UDP
Daytime Protocol (RFC 867)
Official
14
TCP
UDP
Unassigned
Official
15 16
TCP TCP
UDP UDP
Previously netstat service Unassigned
Unofficial Official
17
TCP
UDP
Quote Of The Day
Official
18
TCP
UDP
Message Send Protocol
Unofficial
20
TCP
UDP
FTP data transfer
Official
21
TCP SCTP
UDP
FTP control (command)
Official
22
TCP SCTP
UDP
Secure Shell (SSH), secure logins, file transfers (scp, sftp) and port forwarding
Official
23
TCP
UDP
Telnet protocol—unencrypted text communications
Official
24
TCP
UDP
Priv-mail, any private mail system
Official
25
TCP
UDP
Simple Mail Transfer Protocol (SMTP), used for e-mail routing between mail servers
Official
26 27
TCP TCP
UDP UDP
Unassigned NSW User System FE
Official Official
29
TCP
UDP
MSG ICP
Official
33
TCP
UDP
Display Support Protocol
Official
35 37
TCP TCP
UDP UDP
Official Official
39
TCP
UDP
40
TCP
UDP
Any private printer server protocol Time Protocol Resource Location Protocol (RLP)—used for determining the location of higher level services from hosts on a network Unassigned
42
TCP
UDP
ARPA Host Name Server Protocol
Official
42
TCP
UDP
Windows Internet Name Service
Unofficial
43 47
TCP TCP
UDP UDP
WHOIS protocol NI FTP
Official Official
49
TCP
UDP
TACACS+ Login Host protocol
Official
50
TCP
UDP
ESP
Official
51 52
TCP TCP
UDP UDP
IMP Logical Address Maintenance XNS (Xerox Network Systems) Time Protocol
Official Official
53
TCP
UDP
Domain Name System (DNS)
Official
54
TCP
UDP
Xerox Network Systems (XNS) clearinghouse
Official
55 56
TCP TCP
UDP UDP
ISI Graphics Language (ISI-GL) Xerox Network Systems (XNS) authentication
Official Official
56
TCP
UDP
Route Access Protocol (RAP)
Unofficial
57
TCP
UDP
Any private terminal access
Official
58 64
TCP TCP
UDP UDP
Xerox Network Systems (XNS) Mail CI (Travelport) (formerly Covia) Comms Integrator
Official Official
67
TCP
UDP
Bootstrap Protocol (BOOTP) server; also used by Dynamic Host Configuration Protocol (DHCP)
Official
68
TCP
UDP
Bootstrap Protocol (BOOTP) client; also used by Dynamic Host Configuration Protocol (DHCP)
Official
69 70
TCP TCP
UDP UDP
Trivial File Transfer Protocol (TFTP) Gopher protocol
Official Official
71–74
TCP
UDP
NETRJS protocol
Official
77
TCP
UDP
Any private Remote job entry
Official
79
TCP
UDP
Finger protocol
Official
80
TCP SCTP
UDP
Hypertext Transfer Protocol (HTTP)
Official
UDP
QUIC (from Chromium) for HTTP
Unofficial
Torpark onion routing
Unofficial
80 81
TCP
Academy Xperts
Official Official
71
RouterOS v6.35.1.01 – Capítulo 6 – Firewall Port
TCP
82
UDP
Description
Status
UDP
Torpark control
Unofficial
88 90
TCP TCP
UDP UDP
Kerberos authentication system dnsix (DoD Network Security for Information Exchange) Security Attribute Token Map
Official Official
90
TCP
UDP
PointCast (dotcom)
Unofficial
99
TCP
WIP Message protocol
Unofficial
CyberGate RAT protocol NIC host name
Unofficial Official
100 101
TCP
UDP UDP
102
TCP
UDP
ISO Transport Service Access Point (TSAP) Class 0 protocol; also used by Digital Equipment Corporation DECnet (Phase V+) over TCP/IP
Official
104 105
TCP TCP
UDP UDP
ACR/NEMA Digital Imaging and Communications in Medicine (DICOM) CCSO Nameserver Protocol (Qi/Ph)
Official Official
107
TCP
UDP
Remote Telnet Service protocol
Official
108
TCP
UDP
SNA Gateway Access Server
Official
109 110
TCP TCP
UDP UDP
Post Office Protocol v2 (POP2) Post Office Protocol v3 (POP3)
Official Official
111
TCP
UDP
ONC RPC (Sun RPC)
Official
113
TCP
Ident, authentication service/identification protocol, used by IRC servers to identify users
Official
Authentication Service (auth) Simple File Transfer Protocol
Official Official
113 115
UDP TCP
117
STD
118
TCP
119 123
UUCP Path Service
Official
UDP
Structured Query Language (SQL) Services
Official
TCP TCP
UDP
Network News Transfer Protocol (NNTP), retrieval of newsgroup messages Network Time Protocol (NTP), used for time synchronization
Official Official
126
TCP
UDP
Formerly Unisys Unitary Login, renamed by Unisys to NXEdit. Used by Unisys Programmer's Workbench for Clearpath MCP, an IDE for Unisys MCP software development
Official
135
TCP
UDP
DCE endpoint resolution
Official Unofficial
135
TCP
UDP
Microsoft EPMAP (End Point Mapper), also known as DCE/RPC Locator service, used to remotely manage services including DHCP server, DNS server and WINS. Also used by DCOM
137 138
TCP TCP
UDP UDP
NetBIOS Name Service NetBIOS Datagram Service
Official Official
139
TCP
UDP
NetBIOS Session Service
Official
143
TCP
Internet Message Access Protocol (IMAP), management of email messages
Official
152 153
TCP TCP
UDP UDP
Background File Transfer Program (BFTP) Simple Gateway Monitoring Protocol (SGMP)
Official Official
156
TCP
UDP
SQL Service
Official
158
TCP
UDP
Distributed Mail Service Protocol (DMSP)
Unofficial
161 162
TCP
UDP UDP
Simple Network Management Protocol (SNMP) Simple Network Management Protocol Trap (SNMPTRAP)
Official Official
170
TCP
Print-srv, Network PostScript
Official
175
TCP
VMNET (IBM z/VM, z/OS & z/VSE—Network Job Entry (NJE))
Official
177 179
TCP TCP
UDP
X Display Manager Control Protocol (XDMCP) Border Gateway Protocol (BGP)
Official Official
194
TCP
UDP
Internet Relay Chat (IRC)
Official
199
TCP
UDP
SMUX, SNMP Unix Multiplexer
Official
201 209
TCP TCP
UDP UDP
AppleTalk Routing Maintenance Quick Mail Transfer Protocol
Official Official
210
TCP
UDP
ANSI Z39.50
Official
213
TCP
UDP
Internetwork Packet Exchange (IPX)
Official
218 220
TCP TCP
UDP UDP
Message posting protocol (MPP) Internet Message Access Protocol (IMAP), version 3
Official Official
259
TCP
UDP
Efficient Short Remote Operations (ESRO)
Official
262
TCP
UDP
Arcisdms
Official
264 280
TCP TCP
UDP UDP
Border Gateway Multicast Protocol (BGMP) http-mgmt
Official Official
300
TCP
ThinLinc Web Access
Unofficial
308
TCP
Novastor Online Backup
Official
311 318
TCP TCP
UDP
Mac OS X Server Admin (officially AppleShare IP Web administration) PKIX Time Stamp Protocol (TSP)
Official Official
319
UDP
Precision Time Protocol (PTP) event messages
Official
320
UDP
Precision Time Protocol (PTP) general messages
Official
350 351
TCP TCP
UDP UDP
Mapping of Airline Traffic over Internet Protocol (MATIP) type A MATIP type B
Official Official
356
TCP
UDP
cloanto-net-1 (used by Cloanto Amiga Explorer and VMs)
Official
366
TCP
UDP
On-Demand Mail Relay (ODMR)
Official
369 370
TCP TCP
UDP
Rpc2portmap codaauth2, Coda authentication server
Official Official
UDP
codaauth2, Coda authentication server
Official
370
Academy Xperts
72
RouterOS v6.35.1.01 – Capítulo 6 – Firewall Port
TCP
370
UDP
Description
Status
UDP
securecast1, outgoing packets to NAI's SecureCast servers As of 2000
Unofficial
371 383
TCP TCP
UDP UDP
ClearCase albd HP data alarm manager
Official Official
384
TCP
UDP
A Remote Network Server System
Official
387
TCP
UDP
AURP (AppleTalk Update-based Routing Protocol)
Official
389 399
TCP TCP
UDP UDP
Lightweight Directory Access Protocol (LDAP) Digital Equipment Corporation DECnet (Phase V+) over TCP/IP
Official Official
401
TCP
UDP
Uninterruptible power supply (UPS)
Official
427
TCP
UDP
Service Location Protocol (SLP)
Official
433 434
TCP TCP
UDP UDP
NNSP, part of Network News Transfer Protocol Mobile IP Agent (RFC 5944)
Official Official
443
TCP SCTP
UDP
Hypertext Transfer Protocol over TLS/SSL (HTTPS)
Official
UDP UDP
QUIC (from Chromium) for HTTPS Simple Network Paging Protocol (SNPP), RFC 1568
Unofficial Official
443 444
TCP
445
TCP
Microsoft-DS Active Directory, Windows shares
Official
445
TCP
Microsoft-DS SMB file sharing
Official
464 465
TCP TCP
Kerberos Change/Set password URL Rendezvous Directory for SSM (Cisco protocol)
Official Official
465
TCP
Simple Mail Transfer Protocol over TLS/SSL (SMTPS)
Unofficial
475
TCP
tcpnethaspsrv, Aladdin Knowledge Systems Hasp services
Official
491
TCP
GO-Global remote access and application publishing software
Unofficial
497
TCP
Dantz Retrospect
Official
500
TCP
UDP
Internet Security Association and Key Management Protocol (ISAKMP) / Internet Key Exchange (IKE)
Official
502
TCP
UDP
Modbus Protocol
Official
504
TCP
UDP
Citadel, multiservice protocol for dedicated clients for the Citadel groupware system
Official
510 512
TCP TCP
UDP
FirstClass Protocol (FCP), used by FirstClass client/server groupware system Rexec, Remote Process Execution
Official Official
UDP
comsat, together with biff
Official
rlogin
Official
UDP
Who Remote Shell, used to execute non-interactive commands on a remote system (Remote Shell, rsh, remsh)
Official Official
UDP
Syslog, used for system logging
Official
Line Printer Daemon (LPD), print service
Official
Talk NTalk
Official Official
512 513 513 514
TCP TCP
517 518 520
UDP
TCP
514 515
UDP
UDP UDP
efs, extended file name server
Official
520
UDP
Routing Information Protocol (RIP)
Official
521
UDP
Routing Information Protocol Next Generation (RIPng)
Official
UDP
NetWare Core Protocol (NCP) is used for a variety things such as access to primary NetWare server resources, Time Synchronization, etc.
Official
UDP
Timed, Timeserver
Official
UDP UDP
Remote procedure call (RPC) AOL Instant Messenger
Official Unofficial
524
TCP
TCP
525 530 531
TCP TCP
532
TCP
533
netnews
Official
UDP
netwall, For Emergency Broadcasts
Official
UDP
Unix-to-Unix Copy Protocol (UUCP) commerce (Commerce Applications)
Official Official
540 542
TCP TCP
543
TCP
klogin, Kerberos login
Official
544
TCP
kshell, Kerberos Remote shell
Official
545 546
TCP TCP
UDP
OSIsoft PI (VMS), OSISoft PI Server Client Access DHCPv6 client
Unofficial Official
547
TCP
UDP
DHCPv6 server
Official
548
TCP
Apple Filing Protocol (AFP) over TCP
Official
550 554
TCP TCP
new-rwho, new-who Real Time Streaming Protocol (RTSP)
Official Official
556
TCP
UDP UDP
Remotefs, RFS, rfs_server
Official
560
UDP
rmonitor, Remote Monitor
Official
561 563
TCP
UDP UDP
monitor NNTP over TLS/SSL (NNTPS)
Official Official
564
TCP
9P (Plan 9)
Unofficial
587
TCP
e-mail message submission (SMTP)
Official
591
TCP
FileMaker 6.0 (and later) Web Sharing (HTTP Alternate, also see port 80)
Official
593
TCP
HTTP RPC Ep Map, Remote procedure call over Hypertext Transfer Protocol, often used by Distributed Component Object Model services and Microsoft Exchange Server
Official
601
TCP
Reliable Syslog Service — used for system logging
Official
604
TCP
TUNNEL profile, a protocol for BEEP peers to form an application layer tunnel
Official
UDP
Academy Xperts
73
RouterOS v6.35.1.01 – Capítulo 6 – Firewall Port
TCP
623
UDP
Description
Status
UDP
ASF Remote Management and Control Protocol (ASF-RMCP)
Official Unofficial Official
625 631
TCP TCP
UDP
Open Directory Proxy (ODProxy) Internet Printing Protocol (IPP)
631
TCP
UDP
Common Unix Printing System (CUPS) administration console (extension to IPP)
Unofficial
635
TCP
UDP
RLZ DBase
Official
636 639
TCP TCP
UDP UDP
Lightweight Directory Access Protocol over TLS/SSL (LDAPS) MSDP, Multicast Source Discovery Protocol
Official Official
641
TCP
UDP
SupportSoft Nexus Remote Command (control/listening), a proxy gateway connecting remote control traffic
Official
643
TCP
UDP
SANity
Official
646 647
TCP TCP
UDP
Label Distribution Protocol (LDP), a routing protocol used in MPLS networks DHCP Failover protocol
Official Official
648
TCP
Registry Registrar Protocol (RRP)
Official
651
TCP
UDP
IEEE-MMS
Official
653 654
TCP TCP
UDP
SupportSoft Nexus Remote Command (data), a proxy gateway connecting remote control traffic Media Management System (MMS) Media Management Protocol (MMP)
Official Official
655
TCP
UDP
Unofficial
657
TCP
UDP
660
TCP
Tinc VPN daemon IBM RMC (Remote monitoring and Control) protocol, used by System p5 AIX Integrated Virtualization Manager (IVM) and Hardware Management Console to connect managed logical partitions (LPAR) to enable dynamic partition reconfiguration Mac OS X Server administration
666
TCP
UDP
Doom, first online first-person shooter
Official
666 674
TCP TCP
airserv-ng, aircrack-ng's server for remote-controlling wireless devices Application Configuration Access Protocol (ACAP)
Unofficial Official
688
TCP
UDP
REALM-RUSD (ApplianceWare Server Appliance Management Protocol)
Official
690
TCP
UDP
Velneo Application Transfer Protocol (VATP)
Official
691 694
TCP TCP
UDP
MS Exchange Routing Linux-HA high-availability heartbeat
Official Official
695
TCP
IEEE Media Management System over SSL (IEEE-MMS-SSL)
Official
Optimized Link State Routing (OLSR)
Official
698
UDP
Official Official
700
TCP
Extensible Provisioning Protocol (EPP), a protocol for communication between domain name registries and registrars (RFC 5734)
Official
701
TCP
Link Management Protocol (LMP), a protocol that runs between a pair of nodes and is used to manage traffic engineering (TE) links
Official
702
TCP
IRIS (Internet Registry Information Service) over BEEP (Blocks Extensible Exchange Protocol) (RFC 3983)
Official
706
TCP
Secure Internet Live Conferencing (SILC)
Official
711
TCP
Cisco Tag Distribution Protocol—being replaced by the MPLS Label Distribution Protocol
Official
712 749
TCP TCP
UDP
Topology Broadcast based on Reverse-Path Forwarding routing protocol (TBRPF; RFC 3684) Kerberos (protocol) administration
Official Official
UDP
kerberos-iv, Kerberos version IV
Official
UDP
kerberos_master, Kerberos authentication
Unofficial
UDP
passwd_server, Kerberos password (kpasswd) server Reverse Routing Header (RRH)
Unofficial Official
753
UDP
Reverse Routing Header (RRH)
Official
753
UDP
userreg_server, Kerberos userreg server
Unofficial
tell send krb5_prop, Kerberos v5 slave propagation
Official Unofficial
UDP
tell send
Official
UDP
krbupdate [kreg], Kerberos registration
Unofficial
Conserver serial-console management server SpamAssassin spamd daemon
Unofficial Unofficial
750 751 752 753
754 754
TCP TCP
TCP TCP
754 760
TCP
782 783
TCP TCP
800
TCP
mdbs-daemon
Official
808
TCP
Microsoft Net.TCP Port Sharing Service
Unofficial
829 830
TCP TCP
UDP
Certificate Management Protocol NETCONF over SSH
Unofficial Official
831
TCP
UDP
NETCONF over BEEP
Official
832
TCP
UDP
NETCONF for SOAP over HTTPS
Official
833 843
TCP TCP
UDP
NETCONF for SOAP over BEEP Adobe Flash
Official Unofficial
847
TCP
848
TCP
860 861
UDP
DHCP Failover protocol
Official
UDP
Group Domain Of Interpretation (GDOI) protocol
Official
TCP TCP
UDP
iSCSI (RFC 3720) OWAMP control (RFC 4656)
Official Official
862
TCP
UDP
TWAMP control (RFC 5357)
Official
873
TCP
rsync file synchronization protocol
Official
888 888
TCP TCP
cddbp, CD DataBase (CDDB) protocol (CDDBP) IBM Endpoint Manager Remote Control
Unofficial Unofficial
897
TCP
Brocade SMI-S RPC
Unofficial
UDP
Academy Xperts
74
RouterOS v6.35.1.01 – Capítulo 6 – Firewall Port
TCP
UDP
Description
Status
898
TCP
UDP
Brocade SMI-S RPC SSL
Unofficial
901 901
TCP TCP
UDP
Samba Web Administration Tool (SWAT) VMware Virtual Infrastructure Client (from managed device to management console)
Unofficial Unofficial
902
TCP
UDP
ideafarm-door (IdeaFarm (tm) Operations)
Official
902
TCP
UDP
VMware Server Console (from management console to managed device)
Unofficial
903 903
TCP TCP
UDP
ideafarm-panic (IdeaFarm (tm) Operations) VMware Remote Console
Official Unofficial
904
TCP
VMware Server alternate
Unofficial
911
TCP
Network Console on Acid (NCA), local tty redirection over OpenSSH
Unofficial
UDP UDP
Network File System Service Domain Name System (DNS) RNDC Service
Unofficial Unofficial
UDP
Network File System over IPv6 Service SofaWare Technologies Remote HTTPS management for firewall devices running embedded Check Point FireWall-1 software Microsoft Windows SBS SharePoint
Unofficial
944 953
TCP
973 981
TCP
987
TCP
989 990
TCP TCP
UDP UDP
FTPS Protocol (data), FTP over TLS/SSL FTPS Protocol (control), FTP over TLS/SSL
Official Official
991
TCP
UDP
Netnews Administration System (NAS)
Official
992
TCP
UDP
Telnet protocol over TLS/SSL
Official
993 994
TCP TCP
UDP
Internet Message Access Protocol over TLS/SSL (IMAPS) Internet Relay Chat over TLS/SSL (IRCS)
Official Official
995
TCP
Post Office Protocol 3 over TLS/SSL (POP3S)
Official
999
TCP
ScimoreDB Database System
Unofficial
1002 1010
TCP TCP
Opsware agent (aka cogbot) ThinLinc Web Administration
Unofficial Unofficial
1023
TCP
Reserved
Official
UDP
Unofficial Unofficial
RouterOS puede filtrar por: • • • •
Dirección IP, rango de direcciones, puerto, rango de puertos Protocolo IP, DSCP y otros parámetros Soporta Listas de Direcciones estáticas y Dinámicas Puede hacer match de paquetes por patrón en su contenido, especificado en Expresiones Regulares, conocido como Layer 7 matching
El Firewall de RouterOS también soporta IPv6 Un firewall constituye una especie de barrera delante de nuestro equipo, esta barrera examina todos y cada uno de los paquetes de información que tratan de atravesarlo. En función de reglas previamente establecidas, el firewall decide qué paquetes deben pasar y cuáles deben ser bloqueados. Muchos tipos de firewalls son capaces de filtrar el tráfico de datos que intenta salir de nuestra red al exterior, evitando así que los diferentes tipos de código malicioso como caballos de Troya, virus y gusanos, entre otros, sean efectivos. El firewall actúa de intermediario entre nuestro equipo (o nuestra red local) e Internet, filtrando el tráfico que pasa por él. Un firewall, como ya se ha descrito, intercepta todos y cada uno de los paquetes destinados a nuestro equipo y los procedentes de él, realizando este trabajo antes de que algún otro servicio los pueda recibir. De lo anterior podemos concluir que un firewall puede controlar todas las comunicaciones de un sistema a través de Internet. Se dice que un puerto de comunicaciones está abierto si el sistema devuelve una respuesta al llegar un paquete de petición de establecimiento de conexión. En caso contrario el puerto se considera cerrado y nadie puede conectarse a él. El punto fuerte de un firewall reside en que al analizar cada paquete que fluye a través del mismo, puede decidir si lo deja pasar en uno u otro sentido, y puede decidir si las peticiones de conexión a determinados puertos deben responderse o no. Los firewalls también se caracterizan por su capacidad para mantener un registro detallado de todo el tráfico e intentos de conexión que se producen (lo que se conoce como un log). Estudiando los registros o logs es posible determinar los orígenes de posibles ataques y descubrir patrones de comunicación que identifican ciertos programas maliciosos. Sólo los usuarios con privilegios administrativos pueden acceder a estos registros, pero es una característica que se le puede exigir a estas aplicaciones. http://wiki.mikrotik.com/wiki/Firewall
Academy Xperts
75
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
Mapa de Protocolos
Flujo de Paquetes Todas las comunicaciones de Internet se realizan mediante el intercambio o flujo de paquetes o datos, que son la unidad mínima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino, independientemente de donde se encuentren las máquinas que se comunican, debe llevar anexada la información referente a la dirección IP de cada máquina en comunicación, así como el puerto a través del que se comunican. La dirección IP de un dispositivo lo identifica de manera única dentro de una red. Los puertos de comunicación también son una parte muy importante de la que el Firewall deberá verificar y controlar también, debido a que la mayoría de comunicaciones se realizan bajo protocolos los cuales realizan el envió de paquetes mediante puertos tales como: TCP es el protocolo de comunicación que garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron. TCP usa el concepto de número de puerto para identificar a las aplicaciones emisoras y receptoras. Cada lado de la conexión TCP tiene asociado un número de puerto (de 16 bits sin signo, con lo que existen 65536 puertos posibles) asignado por la aplicación emisora o receptora. Los puertos son clasificados en tres categorías: bien conocidos, registrados y dinámicos/privados. Los puertos bien conocidos son asignados por la Internet Assigned Numbers Authority (IANA), van del 0 al 1023 y son usados normalmente por el sistema o por procesos con privilegios. Las aplicaciones que usan este tipo de puertos son ejecutadas como servidores y se quedan a la escucha de conexiones. Algunos ejemplos son: FTP (21), SSH (22), Telnet (23), SMTP (25) y HTTP (80). Los puertos registrados son normalmente empleados por las aplicaciones de usuario de forma temporal cuando conectan con los servidores, pero también pueden representar servicios que hayan sido registrados por un tercero (rango de puertos registrados: 1024 al 49151). Los puertos dinámicos/privados también pueden ser usados por las aplicaciones de usuario, pero este caso es menos común. Los puertos dinámicos/privados no tienen significado fuera de la conexión TCP en la que fueron usados (rango de puertos dinámicos/privados: 49152 al 65535, recordemos que el rango total de 2 elevado a la potencia 16, cubre 65536 números, del 0 al 65535) User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas (Encapsulado de capa 4 Modelo OSI), este protocolo no garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron. UDP utiliza puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud de 16 bits, por lo que el rango de valores válidos va de 0 a 65.535. El puerto 0 está reservado, pero es un valor permitido como puerto origen si el proceso emisor no espera recibir mensajes como respuesta.
Academy Xperts
76
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
• • •
Los puertos 1 a 1023 se llaman puertos bien conocidos y en sistemas operativos tipo Unix enlazar con uno de estos puertos requiere acceso como súper usuario. Los puertos 1024 a 49.151 son puertos registrados. Los puertos 49.152 a 65.535 son puertos efímeros y son utilizados como puertos temporales, sobre todo por los clientes al comunicarse con los servidores.
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers Para facilitarnos el entendimiento • • •
MikroTik ha creado diagramas para ayudarnos a la configuración avanzada en el flujo de paquetes. Es bueno estar familiarizado con ellos para saber qué está pasando con los paquetes y en qué orden irán. Para este curso, se analizara superficialmente y de manera simple los gráficos.
http://wiki.mikrotik.com/wiki/Packet_Flow
Ejemplo de flujo de paquetes • •
Usted que piensa, Complicado? Bueno bienvenido al club! El siguiente ejemplo ayudara a ilustrar mejor el flujo de paquetes: Realice un Ping hacia (nodo no existente) sobre la interfaz de su router LAN a través de su WAN interface o IP no asignada a ningún equipo : 172.16.x.x o IP asignada a un cliente : 192.168.x.x o IP asignada para WAN (ether1 o wlan1) : 172.16.x.x
Configuración previa al análisis de flujo de paquetes /ip firewall filter add action=log chain=input log-prefix=Filter-input protocol=icmp add action=log chain=output log-prefix=Filter-output protocol=icmp add action=log chain=forward log-prefix=Filter-forward protocol=icmp /ip add add add add add
firewall mangle action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp action=log chain=output log-prefix=Mangle-output protocol=icmp action=log chain=input log-prefix=Mangle-input protocol=icmp action=log chain=forward log-prefix=Mangle-forward protocol=icmp action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp
/ip firewall nat add action=log chain=srcnat log-prefix=srcnat protocol=icmp add action=log chain=dstnat log-prefix=dstnat protocol=icmp Ejecutar el PING Realizamos la ejecución del ping hacia las redes definidas al comienzo de la practica en clases: •
Ejemplo: ping 192.168.3.2
De ahí procedemos con la revisión de los LOGs para verificar que información podemos obtener. Ping entrante. ===PREROUTING=== Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 ===FORWARD=== Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 Academy Xperts
77
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 Reply ===OUTPUT=== Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 ===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3>172.16.2.100, len 88
Connection Tracking y sus Estados • • •
El Connection Tracking administra la información de las conexiones activas. Antes de crear filtros o reglas en el firewall, es bueno conocer qué tipo de tráfico está pasando a través del router. El Connection Tracking mostrará una información como está a continuación:
•
El uso de connection-tracking permite el seguimiento de las conexiones UDP, aunque UDP sea stateless. Como tal, el firewall de MikroTik puede filtrar sobre los “estados” UDP.
Recuerde: En caso de que se deshabilite el connection-tracking por cualquier motivo, las siguientes funciones dejaran de funcionar: • •
•
NAT Firewall o connection-bytes, connection-mark o connection-type, connection-state o connection-limit, connection-rate o layer7-protocol, p2p o new-connection-mark, tarpit p2p matching en cola simple
Entonces podemos definir que sin el connection-tracking el servidor de seguridad sólo utilizará criterios básicos, tales como (pero no limitados a): • • •
Direcciones de origen y de destino Protocolos Los puertos de origen y de destino o Dentro y fuera de las interfaces
Academy Xperts
78
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
TCP-States Los TCP-States son (asumiendo que hay una conexión desde un punto A hacia B): • • • • •
established: Se establece una sesión TCP con el host remoto, proporcionando una conexión abierta donde se pueden intercambiar datos time-wait: Tiempo de espera para asegurar que el host remoto ha recibido un acuse de recibo (ACK) de su solicitud de finalización de conexión (después se "cierra") close: Representa a la espera de una solicitud de finalización de conexión del host remoto. syn-sent: Cuando un Client-A se encuentra en espera para un matching connection request, después de haber enviado la solicitud. syn-received: Cuando un Client-B se encuentra en la espera de una confirmación de un connection request acknowledgement cuando ambos puntos ya recibieron un connection request.
Estados de las Conexiones (connection-state) Primer paquete será "nuevo“en las conexión, el resto de paquetes se puede aceptar como establecido si no se alcanza el valor UDP-timeout. •
•
•
•
new – es el primer paquete UDP, TCP que pasa en la sincronización de paquetes. o Es el primer paquete que puede establecer una entrada en el conection tracking. o Es el primer paquete en sincronizar en TCP. o Es el primer paquete UDP. established – Cuando pasa el resto de paquetes UDP o TCP o Los paquetes de conexiones ya conocidos o El resto de la comunicación UDP, si la tasa de paquetes puede mantenerse antes de un UDP timeout related – Cuando se crea una conexión basada en una ya existente. o Conexión que se crea por otra conexión ya establecida. o Por ejemplo: la conexión de datos de la TFP que son creados por primera instancia por una conexión FTP. o Es esencial para una conexión relacionada primero ser establecida. invalid – paquete TCP inválido o no relacionado con el conection-traking. o Cualquier paquete con estado desconocido o Es buena idea dejarlos o realizarle un DROP.
Estructura: chains y acciones •
•
Un chain: es una agrupación de reglas basado en los mismos criterios. Hay tres cadenas predeterminadas en función de criterios predefinidos. o input: El tráfico que va al router o forward: El tráfico que va a través del router o output: El tráfico procedente del router Por ejemplo, se puede implementar un chain pasado en: o Basado en el criterio: todo el tráfico del icmp. o Basado en tráficos provenientes de puertos Ethernet, por ejemplo: Ether2 hacia una red LAN remota o una red bridge.
Academy Xperts
79
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
•
• •
Los usuarios definen los chains, y estos mismos son creados dependiendo de los parámetros que se puedan comparar, y si desean pueden realizar un «jump» para una vez que el match ha sido confirmado, se realizara un salto hacia otra regla en el firewall, esto se los define en «jump target» Una acción dicta lo que va a realizar el filtro o regla cuando los paquetes aplican con todas las condiciones para ser filtrado. Los paquetes se comprueban secuencialmente contra de las reglas existentes en la cadena de firewall actual hasta que se produce una coincidencia. (Cuando se tenga el # significa que respetará un orden: primero uno si coinciden, se aplica la acción, y de ahí pasara a la siguiente si se encuentra habilitada esa opción, en caso contrario hasta ahí llegara el análisis)
Filtrado Firewall en acción Se puede aprovechar la seguridad de un firewall de diferentes maneras tales como: • • •
Confiar en la seguridad de nuestra LAN, ya que lo proveniente de la WAN es lo inseguro. Bloqueamos todos y permitimos únicamente en lo que estamos de acuerdo. Permitiremos todo y bloquearemos únicamente lo que causa problemas.
Consejos Básicos y trucos • • •
• • •
Antes de realizar cambios en el firewall ingresemos en “modo seguro” Después de realizar configuraciones y cambios en las reglas firewall, se aconseja probar las debilidades: una herramienta recomendada: ShieldsUP Antes de comenzar se recomienda escribir en texto plano o en papel una descripción sencilla de las políticas que se quiere aplicar. o Una vez que las entiende y está de acuerdo con ellos, se procede con ingreso al router. o Añadir las siguientes reglas progresivamente, una vez que esté satisfecho con las reglas básicas ingresadas. o Si se es nuevo en el área de seguridad, lo recomendable es que no ingrese reglas que apunten en todas direcciones, suficiente con hacer lo básico, pero hay que hacerlo bien. Es una buena idea poner fin a sus cadenas con las reglas "catch-all" y ver lo que se puede haber perdido. Usted necesitará dos reglas "catch-all", uno de "log" y uno de "drop" para todo tráfico sin precedentes. Ambos deben basarse en los mismos parámetros comparados para que sea útil para usted. Una vez que vea lo que llega a las reglas "catch-all", puede agregar nuevas reglas basadas en el comportamiento deseado por el firewall.
Filtrado por Parámetros • •
Antes de decidir en tomar una acción en el firewall, primero hay que identificarlo. Nosotros tenemos muchos parámetros por el cual podemos comparar.
Filter actions Una vez realizada el match con todos los parámetros de una regla, y coinciden, entonces se realizara una acción. El firewall de MikroTik tiene las 10 siguientes acciones: accept: Acepte el paquete. El Paquete ya no pasaría a la siguiente regla de firewall. add-dst-to-address-list: dirección destino, después de hacer match el paquete pasa a la siguiente regla. add-src-to-address-list: dirección origen. Después de hacer match el paquete pasa a la siguiente regla. drop: el paquete es desechado. Después de hacer match el paquete pasa a la siguiente regla. jump: jump es definido por el usuario y sirve para saltar a una regla en específico, definido por el jump-target. Después de hacer match el paquete pasa a la siguiente regla definida en jump-target. 6. log: añade un mensaje en los logs con la siguiente información: in-interface, out-interface, src-mac, protocol, src-ip:port->dst-ip:port y length of the packet. Después de hacer match el paquete pasa a la siguiente regla. 7. passthrough: si esta opción está marcada, habilitará la opción de ignorar resta regla y pasar a la siguiente (muy útil para estadísticas de red). 8. reject: desecha los paquetes icmp y envía un mensaje definido por el usuario el paquete no pasa a la siguiente regla. 9. return: pasa el control del filtro de nuevo, en donde se originó el filtro anterior. Después de hacer match el paquete pasa a la siguiente regla (únicamente si la regla anterior no ocasiona que se deseche el paquete y pare el match). 10. tarpit: captura y retiene los paquetes TCP (replicas con SYN/ACK para paquetes entrantes TCP SYN). Después de hacer match el paquete pasa a la siguiente regla. 1. 2. 3. 4. 5.
Academy Xperts
80
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
Protegiendo tu router (input)
• •
El chain=input analiza todo el tráfico entrante al router. Al aplicar una regla chain=input, se controla el ingreso de información al router
MikroTik da las siguientes sugerencias para el Input Asumiendo que la interfaz ether1 está conectada a una WAN insegura. • • • • • •
Aceptar el tráfico de icmp-echo-reply (si se desea tener replica de ping sobre internet, esto es útil cuando manejamos servidores) Desechar todo el tráfico icmp-echo-request (Cuando no deseamos que nos hagan ping otro dispositivo. Con esto evitamos estar en la mira de ataques como smurf attack u otros) Aceptar todo el tráfico entrante establecido y relacionado. Desechar todo el tráfico inválido. Realizar un Log de todo el resto del tráfico Desechar todo el resto de tráfico.
Protegiendo a todos los clientes (forward) •
El trafico forward es el tráfico que pasa a través del router.
MikroTik da las siguientes sugerencias para el Forward Asumiendo que la interfaz ether1 está conectada a una WAN insegura. • • • •
Aceptar todo el tráfico forward establecido y relacionado. Desechar todo el tráfico inválido. Hacer Log de todo el resto del tráfico (para verificar si es que algún paquete importante ha sido bloqueado) Desechar todo el resto de tráfico.
Address-list conceptos básicos address-list se usa para agrupar direcciones IP. Ayuda a simplificar la cantidad de reglas creadas en el router.
Academy Xperts
81
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
•
¿Qué es mejor? Aplicar 10 reglas aplicadas a 10 IPs o aplicar 1 sola regla a un solo grupo de IPs.
Los grupos de address-list pueden representar: • • •
Grupo de administradores, departamentos, Hackers Lo que sea que se dese clasificar
Pueden ser usados por Filter, Mangle, y NAT. La creación puede realizarse de manera automática con la acción de firewall: add-src-to-address-list o add-dst-to-address-list. Con esto se facilita aplicar acciones en grupo en Firewall Filter, Mangle o NAT. Esta puede ser una gran vía para poder facilitar el bloqueo de IP. add action=add-src-to-address-list address-list=blacklist chain=input comment=nombre_lista in-interface=interface •
Para visualizar listas existentes: /ip firewall address-list print Para crear listas permanentes /ip firewall address-list add address=1.2.3.4 list=hackers Crear listas a través de reglas firewall creadas: /ip firewall filter add action=add-dst-to-address-list address-list=temp-list address-listtimeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24 /ip firewall nat add action=add-src-to-address-list address-list=NAT-AL chain=srcnat /ip firewall mangle add action=add-dst-to-address-list address-list=DST-AL address-listtimeout=10m chain=prerouting protocol=tcp
Source NAT
El Network Address Translation (NAT) permite a los hosts de una red LAN, comunicarse con redes externas •
•
Source NAT (srcnat) traduce las direcciones IP (de una LAN) a direcciones IP públicas cuando se accede al Internet. También realiza la traducción de IP pública a privada cuando el tráfico se genera desde la WAN hacia una LAN. Las direcciones IP que no son Públicamente Ruteables, son direcciones IP que no pueden ser usados en Internet. o Estas direcciones privadas son: § 10.0.0.0/8 § 172.16.0.0/12 § 192.168.0.0/16
masquerade & src-nat El primer chain para NAT es srcnat. Es usado para aplicar acciones a los datos salientes del router. Al igual que los filtros de firewall, las reglas de NAT tienen algunas propiedades y acciones (13 acciones). La primera y más básica acción de NAT es action=masquerade. Academy Xperts
82
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
masquerade reemplaza la dirección IP origen en paquetes por otra IP determinada (ejemplo una privada a publica) para facilitar el enrutamiento. •
Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por la dirección de la interfaz externa (WAN)
chain=src-nat permite realizar cambios en dirección IP y puerto origen de los paquetes a unos especificados por el administrador de la red Ejemplo de uso: Dos empresas (alfa y beta) se han fusionado, pero hay un problema en sus redes locales ya que ambas redes utilizan el mismo espacio de direcciones (por ejemplo, 172.16.0.0/16.). Ellos no desean cambiar sus segmentos de red, ya que todos los dispositivos en la empresa (impresoras, proyectores, copiadoras, etc.) tienen direcciones asignadas e implicaría pérdida de tiempo. Solución: Orientándonos al concepto de NAT, lo único que se requerirá son reglas básicas de NAT con src-nat y posiblemente reglas de dst-nat, independientemente que las redes locales de cada una sean iguales.
Destination NAT
• •
action=dst-nat es una acción usada en chain=dstnat para re direccionar el tráfico entrante hacia una diferente IP o puerto. Ejemplo de aplicación: Se tiene una granja de servidores (Web, Mail y SSH) y solo una dirección IP pública en el router de borde. Se desea acceder desde del exterior hacia cada servidor en forma independiente.
Academy Xperts
83
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
dst-nat & redirect • • •
action=redirect cambia el puerto destino del tráfico hacia un puerto del propio router. Ejemplo de aplicación: Todo tráfico http (TCP, puerto 80) va a ser reenviado al web proxy del router por TCP puerto 8080. Este concepto en otros dispositivos se lo conoce como port-forwarding
Sintaxis NAT Agregar regla masquerade /ip firewall nat add action=masquerade chain=srcnat Cambiar el source IP address add chain=srcnat src-address=192.168.0.109 action=src-nat to-addresses=10.5.8.200 Destination NAT. Redirecciona todo el tráfico WEB (TCP, port 80) hacia el web proxy del router sobre el port 8080 add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
scripts • • •
Es un archivo de órdenes, o archivo de procesamiento por lotes. Es un programa usualmente simple, que por lo regular se almacena en un archivo de texto plano. Usualmente es usado en MikroTik para automatizar tareas. Se puede realizar la automatización con scheduler.
Ejemplo de scripts ------------ PORT SCAN ------------:global portscannerip; :if ([:len [/ip firewall address-list find list=port_scanners]]>0) do= { :log error "------IP's dectada como ATAQUE PORTSCANNER------"; :foreach i in [/ip firewall address-list find list=port_scanners] do={ :set portscannerip [/ip firewall address-list get $i address]; :log error $portscannerip }; } --------------- cpu LOAD ------------":if \(\[ /system resource get cpu-load \] \ >= 90 \) do={ /system reboot; }"
Academy Xperts
84
RouterOS v6.35.1.01 – Capítulo 6 – Firewall
Preguntas de repaso del Capítulo 6 1.
Cómo funciona un firewall (matcher y action)?
2.
Cuál es el número total de puertos disponibles para TCP/UDP?
3.
Cómo se clasifican estos puertos?
4.
Para qué sirve el Connection Tracking?
5.
Qué funcionalidades dejan de trabajar si se deshabita el Connection Tracking?
6.
Cuáles son los diferentes TCP-States que se presentan en el Connection Tracking?
7.
Cuáles son los 4 connection-states en firewall?
8.
Cuales son las principales acciones el /ip firewall filter?
9.
Cuándo se usa chain=input?
10. Cuándo se usa chain=forward? 11. Que tipos de direcciones se puede definir en el Address List? 12. Explique la diferencia entre los chain SRCNAT y DSTNAT
Laboratorio – Capítulo 6
Academy Xperts
85
RouterOS v6.35.1.01 – Capítulo 7 – QoS
Capítulo 7: QoS Calidad de Servicio o QoS (Quality of Service) es el rendimiento promedio de una red de datos, telefonía o de computadoras, visto por los usuarios de la red. La calidad de servicio se aplica para mejorar varios aspectos del servicio de red, tales como tasas de errores, ancho de banda, rendimiento, retraso en la transmisión, disponibilidad, jitter, etc. Problemas en redes de datos conmutados Muchas cosas le ocurren a los paquetes desde su origen al destino, resultando los siguientes problemas vistos desde el punto de vista del transmisor y receptor: • • • • • • •
Bajo rendimiento Paquetes sueltos Retardos Latencia Jitter Entrega de paquetes fuera de orden Errores
Simple Queue (Cola simple) QoS (Calidad de servicio) es el arte de la gestión de los recursos de ancho de banda y no sólo "a ciegas", limitando el ancho de banda para ciertos nodos. El QoS puede priorizar el tráfico basado en las métricas. Útil para • •
Las aplicaciones críticas Tráfico sensible como flujos de voz y vídeo
Definición: • • • • • • •
Las colas se utilizan para limitar y priorizar el tráfico: Límite la velocidad de datos para ciertas direcciones IP, subredes, protocolos, puertos y otros parámetros Límite tráfico punto a punto Priorizar algunos flujos de paquetes sobre los demás Configurar ráfagas de tráfico para la navegación web más rápida Aplicar diferentes límites en base al tiempo Dividir el tráfico entre los usuarios por igual, o dependiendo de la carga del canal
La implementación de cola en MikroTik RouterOS se basa en Hierarchical Token Bucket (HTB). HTB permite crear la estructura jerárquica de colas y determinar las relaciones entre las colas. En RouterOS, estas estructuras jerárquicas pueden estar unidos en 4 lugares diferentes (esto es válido hasta la v5.x): • • • •
global-in: Representa todas las interfaces de entrada en general. Colas unidos a global-se aplican al tráfico en que es recibido por el router antes de que el filtrado de paquetes. global-out: representa a todos los interfaces de salida en general. global-total: representa todas las interfaces de entrada y salida junto. Se utiliza en caso de que los clientes tienen de límite único para ambos, cargar y descargar. : representa una interfaz de salida particular. Sólo el tráfico que se designa a salir a través de esta interfaz pasará esta cola HTB.
Academy Xperts
86
RouterOS v6.35.1.01 – Capítulo 7 – QoS
Hay dos maneras diferentes de cómo configurar colas en RouterOS: • •
queue-simple - diseñado para facilitar la configuración de las tareas de gestión de colas simples y cotidianas (como las limitaciones upload/download de descarga, limitación del tráfico p2p, etc.) queue-tree - para la implementación de las tareas de gestión de colas avanzadas (como la política de priorización global, limitaciones de grupos de usuarios). Requiere paquete marcado fluye desde /ip firewall mangle.
target • •
•
Es el objetivo al que se aplica la cola sencilla Se debe introducir un objetivo que puede ser: o Una dirección IP o Una subred o Una interface El orden de la cola es importante. Cada paquete debe pasar por cada cola sencilla hasta que se produce una coincidencia.
dst • • • •
La dirección IP donde el tráfico del target está dirigido. Interfaz a través del cual el tráfico del target fluirá. No es obligatorio que el campo "target" Puede ser utilizado para limitar la restricción de la cola
max-limit y limit-at • • • •
El parámetro max-limit es la velocidad de datos máxima que puede alcanzar un objetivo Se lo conoce como MIR (máxima velocidad de información) o En el mejor de los casos El parámetro limit-at es la velocidad de datos mínima garantizada para el objetivo Se lo conoce como CIR (tasa de información comprometida) o Peor de los casos
Burst • • •
Burst es una característica que permite satisfacer el requisito de cola para ancho de banda adicional, incluso si la tasa requerida es más grande que la MIR (max-limit) durante un período de tiempo limitado. Bursting permite a los usuarios obtener, por un corto tiempo, más ancho de banda que permite el parámetro maxlimit. Útil para impulsar el tráfico que no utiliza el ancho de banda con demasiada frecuencia. Por ejemplo, HTTP. Obtener una página de descarga rápida, que leyó durante unos segundos.
Parámetros del Burst: 1. 2. 3. 4.
5.
Burst Limit: Velocidad máxima de datos al tiempo que se permite la ráfaga. Burst-time: tiempo en segundos, durante el cual se hizo el muestreo. Burst-threshold: el valor que determinará si se le permitirá a un usuario el burst. average-rate: Un promedio de transmisión de datos calcula en 1/16 o partes de "tiempo de ráfaga". Cada 1/16 partes del burst-time, el router calcula la velocidad de datos promedio de cada clase en los últimos segundos de burst-time actual-rate: actual tasa de transferencia de datos (real).
Academy Xperts
87
RouterOS v6.35.1.01 – Capítulo 7 – QoS
Bursting - Como trabaja • • •
El bursting está permitido mientras el average-rate este abajo el burst-threshold El bursting será limitado a la velocidad especificada por burst-limit El average-rate es calculado con un promedio de 16 muestras (actual-rate) sobre varios segundos del burst-time o Si burst-time está en 16 segundos. Continuación, se toma una muestra cada segundo o Si burst-time está en 8 segundos, continuación, se toma una muestra cada medio segundo.
Cuando el burst-time está definido con 16 segundos
Cuando el burst-time está definido con 8 segundos
Sintaxis Agregar una simple Queue (cola simple) /queue simple add max-limit=2M/2M name=queue1 target=192.168.3.0/24 Agregar una simple Queue con Bursting /queue simple add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s limit-at=1M/1M max-limit=2M/2M name=queue2 target=192.168.3.0/24 Tip Usted puede haber notado que los iconos de cola cambian de color de acuerdo al uso. El color tiene un significado. • • •
Verde: 0 – 50% de ancho de banda disponible Amarillo: 51 – 75% de ancho de banda disponible Red: 76 – 100% de ancho de banda disponible
Limitación de Tráfico • • •
Los principios que usa MikroTik para la limitación, se basa en los siguientes métodos: Shapper: desecha los paquetes que sobrepasan el trafico. Scheduler: genera un delay para que los paquetes no sean desechados y lleguen pero con retardo.
Academy Xperts
88
RouterOS v6.35.1.01 – Capítulo 7 – QoS
Tipos de Colas Tenemos los siguientes tipos de colas: • • • •
BFIFO, PFIFO, MQ PFIFO RED SFQ PCQ
FIFO: Los paquetes que esperan en una cola y van siendo atendidas en el orden en que llegaron, es decir, que ‘el primera paquete que entra es el primer paquete que sale’.
PCQ PCQ se introdujo para optimizar los sistemas de calidad de servicio masivos, donde la mayoría de las colas son exactamente los mismos para los diferentes sub-corrientes. Por ejemplo, un sub-corriente se puede descargar o cargar para un cliente en particular (IP) o la conexión al servidor. PCQ algoritmo es muy simple - en un primer momento que utiliza clasificadores seleccionado para distinguir una subcorriente de otro, a continuación, aplica tamaño de la cola FIFO individual y limitación en todos los sub-corriente, luego grupos de todos los sub-corrientes juntos y se aplica tamaño de la cola FIFO mundial y limitación. PCQ parámetros: • • • •
pcq-classifier (dst-address | dst-port | src-address | src-port; default: “”) pcq-rate (numero) pcq-limit (numero) pcq-total-limit (numero)
Una cola simple para toda la red (PCQ) Porque tener un Queue para todo? • •
Por la conexión de colas (PCQ) es una forma dinámica de conformación de tráfico para varios usuarios que utilizan una configuración más sencilla. Definir los parámetros (direcciones IP específicas, por ejemplo) tendrá las mismas limitaciones.
Configuración PCQ-rate • •
El parámetro pcq-rate limita el tipo de cola que será permitido Clasificador es como el router comprueba cómo se aplicará esta limitación. Puede ser en dirección de origen o de destino, o puerto de origen o destino. Entonces usted podría limitar el tráfico de usuarios o el tráfico de aplicaciones (HTTP, por ejemplo).
Configuración PCQ-limit
Academy Xperts
89
RouterOS v6.35.1.01 – Capítulo 7 – QoS
• •
•
•
Este parámetro se mide en paquetes. Un valor PCQ-limit grande o Creará un buffer más grande, lo que reduce los paquetes caídos o Aumentará latencia Un valor PCQ-limit más pequeño o Aumentará paquetes gotas (desde buffer es menor) y obligará a la fuente para volver a enviar el paquete, lo que reduce la latencia o Supondrá un ajuste de tamaño de la ventana TCP, diciendo la fuente para reducir la velocidad de transmisión ¿Qué valor se debe utilizar? No hay una respuesta fácil. o Si a menudo salen "Trial & Error" por aplicación o Si los usuarios se quejan de latencia, reducir el valor de pcq- límit (longitud de la cola) o Si los paquetes tienen que pasar por un servidor de seguridad complejo, entonces usted puede tener que aumentar la longitud de la cola, ya que puede producir retrasos o Fast interfaces (como carruaje) requieren colas más pequeñas, ya que reducen los retrasos
PCQ, ejemplo Vamos a suponer que tenemos usuarios que comparten un vínculo WAN limitado. Les daremos los siguientes tipos de datos: • • • •
Descargar: 2Mbps Subir: 1Mbps WAN está en ether1 Subred LAN es 192.168.3.0/24
Academy Xperts
90
RouterOS v6.35.1.01 – Capítulo 7 – QoS
/ip firewall mangle Add action=mark-packet chain=forward new-packet-mark=client_upload out-interface=ether1 srcaddress=192.168.3.0/24 Add action=mark-packet chain=forward dst-address=192.168.3.0/24 in-interface=ether1 new-packetmark=client_download /queue type Add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M Add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M /queue tree Add name=queue_upload packet-mark=client_upload parent=global queue=PCQ_upload Add name=queue_download packet-mark=client_download parent=global queue=PCQ_download Nuestro ejemplo, nos explica Mangle: Le estamos diciendo al router para marcar los paquetes con el "client_upload" o la marca "client_download", dependiendo de si: • •
Los paquetes vienen de la LAN y están saliendo de ether1 (upload) o, Los paquetes que están entrando desde ether1 e ir a la LAN (descargar).
Tipos de colas: Estamos definiendo los tipos de datos y los clasificadores a utilizar para diferenciar sub-corrientes (origen o destino) Queue tree: Las combinaciones que se comprueban para ver si los paquetes califican para la modulación del tráfico y lo que debe aplicar. •
Por ejemplo, en el caso del tráfico de subida, comprobamos entrada y salida de las interfaces (globales) para los paquetes con la marca "client_upload" y aplicamos el "PCQ_upload" tipo de cola.
Preguntas de repaso del Capítulo 7 1.
Cuáles pueden ser los principales problemas en las redes de datos?
2.
Por qué son útiles las colas?
3.
En qué se basa la implementación del QoS en MikroTik RouterOS?
4.
Cuáles son las principales diferencias entre Queue Simple y Queue Tree?
5.
Que tipo de servicio de red es recomendado para aplicar el burst?
6.
Cómo trabaja el burst?
7.
Cuáles son las características más importantes del PCQ?
8.
Cuáles son las principales herramientas de monitoreo que encontramos en RouterOS?
Laboratorio – Capítulo 7
Academy Xperts
91
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
Capítulo 8: Túneles Introducción Los túneles son una forma de ampliar una red privada a través de una red pública, como Internet. A los Túneles también se les conoce como VPNs (redes privadas virtuales). •
El concepto de seguridad se asocia con VPN. Es recomendable ya que no se desea que el tráfico de los usuarios vaya a través de redes que no son seguras
Se conoce como túnel o tunneling a la técnica que consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel de información dentro de una red de computadoras. El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la redirección de tráfico, etc. La técnica de tunelizar se suele utilizar para trasportar un protocolo determinado a través de una red que, en condiciones normales, no lo aceptaría. Otro uso de la tunelización de protocolos es la creación de diversos tipos de redes privadas virtuales. El establecimiento de dicho túnel se implementa incluyendo una PDU (unidad de datos de protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH. Así, el protocolo A es encapsulado dentro del protocolo B, de forma que el primero considera al segundo como si estuviera en el nivel de enlace de datos. Ejemplos de protocolos tunelizados • • • • • • • •
L2TP (Layer 2 Tunneling Protocol) MPLS (Multiprotocol Label Switching) PPTP (Point-to-Point Tunneling Protocol) PPPoE (point-to-point protocol over Ethernet) PPPoA (point-to-point protocol over ATM) IPSec (Internet Protocol security) IEEE 802.1Q (Ethernet VLANs) 6to4 (IPv6 over IPv4 as protocol 41)
Túneles PPP dentro del mapa de Protocolos TCP/IP
Academy Xperts
92
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
RouterOS y Túneles MikroTik RouterOS provee funcionalidad escalable de Autenticación, Autorización y Contabilización •
AAA = Authentication Authorization Accounting (Contabilización)
La autenticación local se logra usando una Base de Datos de Usuario y una Base de Datos de Perfil (profile). La configuración del usuario está compuesta por el registro del respectivo usuario (tomado de la Base de Datos de Usuario), el ítem asociado de la Base de Datos de Perfil (profile) y el ítem en la base de datos de Perfil en cual está configurado como default para un servicio dado al que el usuario está autenticando. Las configuraciones del Perfil por default de la base de Datos del Perfil, tienen la prioridad más baja, mientras que las configuraciones de los registros de acceso de usuario de la Base de Datos de Usuario tiene la más alta prioridad con la única excepción de que siendo una dirección IP particular toma precedencia sobre los Pools de direcciones IP en las configuraciones local-address y remote-address. El soporte para la autenticación RADIUS le proporciona al ISP o al administrador de red la habilidad para manejar el acceso y la contabilidad de usuarios PPP desde un solo servidor a través de una gran red. MikroTik RouterOS tiene un Cliente RADIUS que puede autenticar conexiones PPP, PPPoE, PPTP, L2TP e ISDN. Los atributos recibidos del servidor RADIUS invalidan las configuraciones del Perfil (profile) por default, pero si algunos parámetros no son recibidos, entonces son tomados del Perfil por default respectivo
/ppp profile (perfiles de usuario) Los perfiles PPP se utilizan para definir los valores por default de los registros de usuario que se almacenan en el submenu /ppp secret. Las configuraciones /ppp secret de la Base de Datos de Usuario invalidan las configuraciones /ppp profile correspondientes, excepto que las direcciones IP simples siempre tienen precedencia sobre los Pool de direcciones IP cuando se especifican como parámetros en local-addres o remote-address. Los PPP profiles representan los parámetros de configuración para ser utilizado por los clientes PPP, pero no limitados a: • Dirección IP o Pool de direcciones (remotas o locales) • Compresión • Cifrado /ppp profile (example from a client) add change-tcp-mss=yes name=Profile-external\ use-compression=yes use-encryption=yes use-vj-compression=no /ppp profile (example from a server) add change-tcp-mss=yes local-address=192.168.222.1\ name=Profile-external remote-address=192.168.222.2 use-compression=yes\ use-encryption=yes use-vj-compression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=Profile-internal\ remote-address=Pool-VPN use-compression=yes use-encryption=yes use-vj-compression=no Parámetros • • •
• • • • •
• • •
•
address-list (string; Default: ) .- Especifica el nombre del address-list a donde se agregarán las direcciones asignadas PPP bridge (string; Default: ) .- Nombre de la interface bridge a la que se agregará la interface ppp como un puerto esclavo. Ambos puntos finales del tunel (server y cliente) deben estar en un bridge para que esto funcione. change-tcp-mss (yes | no | default; Default: default) .- Permite cambiar la configuración de la conexión MSS o yes : ajusta el valor de la conexión MSS o no : no ajusta el valor de la conexión MSS o default : obtiene este valor del perfil por default de la interface comment (string; Default: ) .- Campo para escribir un comentario dhcpv6-pd-pool (string; Default: ) .- Nombre del Pool Ipv6 que se usará para el servidor DHCPv6-PD creado dinámicamente cuando los clientes se conectan. dns-server (IP; Default: ) .- Dirección IP del server DNS que se suministra a los clientes PPP idle-timeout (time; Default: ) .- Especifica la cantidad de tiempo luego del cual el enlace se terminará si es que no hay actividad presente. incoming-filter (string; Default: ) .- Nombre del chain de firewall para paquetes entrantes. El chain especificado obtiene el control para cada paquete que viene del cliente. El chain PPP debería ser agregado manualmente, y también deberían agregarse las reglas con action=jump jump-target=ppp a otros chains relevantes para que esta característica funcione. local-address (IP address | pool; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se asigna la dirección a la interface PPP local name (string; Default: ) .- Nombre del Perfil PPP only-one (yes | no | default; Default: default) .- Define si es que un usuario está permitido tener más de una conexión a la vez. o yes – Un usuario NO está permitido tener más de una conexión al mismo tiempo o no – El usuario está permitido a tener más de una conexión a la vez o default – Obtiene este valor del Perfil por default de la Interface outgoing-filter (string; Default: ) .- Nombre del chain de firewall para paquetes salientes. El chain especificado obtiene el control para cada paquete que va hacia el cliente. El chain PPP debería ser agregado manualmente, y
Academy Xperts
93
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
•
• • • •
•
•
•
•
•
también deberían agregarse las reglas con action=jump jump-target=ppp a otros chains relevantes para que esta característica funcione. rate-limit (string; Default: ) .- La limitación de velocidad desde el punto de vista del router se presenta en la siguiente forma (rx es el tráfico de subida del cliente, y tx es el tráfico de bajada del cliente): o rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/txburst-threshold] [rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/txrate-min]]]] o Todas las velocidades están medidas en bits-por-segundo (bps), a menos que le siga el sufijo k (kilobits por segundo) o el sufijo M (megabits por segundo) o Si no se especifica el tx-rate, entonces el rx-rate sirve también como tx-rate o Lo mismo aplica para tx-burst-rate, tx-burst-threshold y tx-burst-time. Si rx-burstthreshold y tx-burst-threshold no se especifican (but burst-rate está especificado), rx-rate y tx-rate se utilizan como burst thresholds. o Si rx-burst-time y tx-burst-time no se especifican, se utiliza 1s como default. La prioridad toma los valores 1..8, donde 1 representa a la prioridad más alta, y 8 la prioridad más baja. o Si rx-rate-min y tx-rate-min no se especifican, entonces se utilizan los valores rx-rate y tx-rate o Los valores de rx-rate-min y tx-rate-min no pueden exceder a los valores rx-rate y tx-rate. remote-address (IP; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se asigna la dirección a la interface PPP remota remote-ipv6-prefix-pool (string | none; Default: none) .- Asigna el prefijo del Pool IPv6 al cliente e instala la correspondiente ruta IPv6. session-timeout (time; Default: ) .- Especifica el máximo tiempo de conexión que se puede establecer. Por default no se configura límite de tiempo. use-compression (yes | no | default; Default: default) .- Especifica si se usa compresión o no. Esta configuración no afecta los túneles OVPN o yes – Habilita la compresión de datos o no – Deshabilita la compresión de datos o default – Obtiene este valor del Perfil por default de la Interface use-encryption (yes | no | default | require; Default: default) .- Especifica si se usa encriptación o no. Esta configuración no afecta los túneles OVPN o yes – Habilita la encriptación de datos o no – Deshabilita la encriptación de datos o default – Obtiene este valor del Perfil por default de la Interface use-ipv6 (yes | no | default | require; Default: default) .- Especifica si se permite IPv6. Por default se habilita si es que el paquete IPv6 está instalado. o yes – Habilita el soporte IPv6 o no – Deshabilita el soporte IPv6 o default – Obtiene este valor del Perfil por default de la Interface o require – Requiere explícitamente soporte IPv6 use-mpls (yes | no | default | require; Default: default) .- Especifica si es que se permite MPLS sobre PPP o yes – Habilita el soporte MPLS o no – Deshabilita el soporte MPLS o default – Obtiene este valor del Perfil por default de la Interface o require – Requiere explícitamente soporte MPLS use-vj-compression (yes | no | default; Default: default) .- Especifica si es que se usa el algoritmo de compresión de cabecera Van Jacobson o yes – Habilita la compresión de cabecera Van Jacobson o no – Deshabilita la compresión de cabecera Van Jacobson o default – Obtiene este valor del Perfil por default de la Interface wins-server (IP address; Default: ) .- Permite especificar la dirección IP del servidor WINs para suministrar a los clientes
Notas Importantes •
Existen dos Perfiles por Default que no pueden ser removidos: /ppp profile print Flags: * - default 0 * name="default" use-compression=no use-vj-compression=no use-encryption=no only-one=no change-tcp-mss=yes 1 * name="default-encryption" use-compression=default use-vj-compression=default use-encryption=yes only-one=default change-tcp-mss=default
•
Se debe usar el algoritmo de compresión Van Jacobson únicamente si es necesario, ya que se reducen las comunicaciones en canales malos o congestionados.
Academy Xperts
94
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
•
• •
Los argumentos incoming-filter y outgoing-filter agregan reglas de jump dinámicas al chain PPP, donde el argumento jump-target será igual al argumento incoming-filter o outgoing-filter en /ppp profile. Por lo tanto, el chain PPP debe ser agregado manualmente antes de que se cambien estos argumentos. El parámetro only-one se ignora si se usa la autenticación RADIUS Si hay más de 10 conexiones PPP simultáneas, se recomienda apagar (off) la propiedad change-mss, y usar una regla general de cambio MSS en la tabla de mangle, para reducir la utilización del CPU.
/ppp secret (base de datos de usuario) La Base de Datos de Usuario PPP almacena los registros de acceso de usuario PPP con el perfil de usuario PPP asignado a cada usuario. Los PPP secrets se encuentran en PPP servers y también podemos especificar los parámetros básicos y necesarios para autenticar a un cliente, tales como: • • • •
Nombre: Identificación del usuario Contraseña: contraseña del usuario Servicio: el protocolo que está dando servicio (si de dejan en “any” el PPP secret autenticara al usuario a través de algunos de estos servicios (PPPoE, L2TP, PPTP, etc.)) Perfil: el subconjunto de configuración que utilizara este usuario. Los perfiles permiten parámetros a ser utilizados por muchos usuarios sin tener que volver a escribir todo cada vez.
Los clientes no utilizan PPP secrets como credenciales de autenticación. Se especifican en la interfaz del cliente PPP bajo los parámetros de “Usuario” y “Contraseña” /ppp secret add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal Parámetros •
• • • • • • • • • •
•
•
caller-id (string; Default: ) .- Para PPTP y L2TP, este parámetro es la dirección IP desde la cual un cliente debe conectarse. Para PPPoE es la dirección MAC (escrito en letras mayúsculas) desde la cual un cliente debe conectarse. Para ISDN es el número del caller (que puede o no puede ser provisto por el operador) desde el cual el cliente debe llamar. comment (string; Default: ) .- Una corta descrición del usuario disabled (yes | no; Default: no) .- Permite especificar si se usará un secret limit-bytes-in (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede subir (upload) en una sesión limit-bytes-out (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede descargar (download) local-address (IP address; Default: ) .- Dirección IP que será configurada localmente en la interface PPP name (string; Default: ) .- Nombre usado para la autenticación password (string; Default: ) .- Contraseña (password) usada para la autenticación profile (string; Default: default) .- Especifica qué perfil se utilizará remote-address (IP; Default: ) .- Especifica la dirección IP que se asignará a la interface PPP remota remote-ipv6-prefix (IPv6 prefix; Default: ) .- Prefijo IPv6 asignado al cliente PPP. El prefijo se agrega a la lista de prefijo ND que permite la configuración automática de direcciones sin estado en una interface PPP. Esta opción está disponible desde la v5.0 routes (string; Default: ) .- Especifica las rutas que aparecen en el server cuando el cliente se conecta. El formato de la ruta es dst-address gateway metric (por ejemplo 10.1.0.0/24 10.0.0.1 1). Se peude especificar varias rutas separando con comas. Este parámetro será ignorado por OpenVPN service (any | async | isdn | l2tp | pppoe | pptp | ovpn | sstp; Default: any) .- Especifica el tipo de servicio que un usuario específico podrá utilizar.
/ppp active (usuarios activos) Este submenú permite minitorear los usuarios activos o usuarios conectados. Representa el estado actual de las conexiones. Útil para depurar y verificar el funcionamiento correcto de sus túneles. • /ppp active print mostrará todos los usuarios conectados actualmente • /ppp active print stats mostrará los bytes y paquetes recibidos /ppp active print detail Flags: R - radius 0 name=”alain” service=pppoe caller-id=”28:D2:44:2C:06:EE”\ address=192.168.5.100 uptime=3m56s encoding=”MPPE128 statefull” session-id=0x81B00044\ limit-bytes-in=0 limit-bytes-out=0 1 name=”Pod4-external” service=pppoe caller-id=”D4:CA:6D:8E:1ª:97”\ address=192.168.222.2 uptime=37s encoding=”MPPE128 stateless” session-id=0x81B00045\ limit-bytes-in=0 limit-bytes-out=0 /ppp active print Academy Xperts
95
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
Flags: R – radius # NAME 0 alainpppoe 1 Pod4-exte... pppoe
SERVICE CALLER-ID 28:D2:44:2C:06:EE D4:CA:6D:8E:1ª:97
ADDRESS 192.168.5.100 192.168.222.2
UPTIME 4m12s 53s
ENCODING MPPE128 statefull MPPE128 stateless
Parámetros • • • • • • • •
• • •
address (IP address) .- La dfirección IP que el cliente obtiene del server bytes (integer) .- Cantidad de bytes transferidos a través de esta conexión. La primera representa la cantidad de tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de tráfico recibido. caller-id (string) .- Para PPTP y L2TP es la dirección IP desde la que el cliente está conectado. Para PPPoE es la dirección MAC desde la que el cliente está conectado. encoding (string) .- Muestra la encriptación y codificación (separado con “/” si es asimétrico) que está siendo usado en esta conexión. limit-bytes-in (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al router limit-bytes-out (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al cliente name (string) .- Nombre de usuario proporcionado en la fase de autenticación packets (integer/integer) .- Cantidad de paquetes transferidos a través de esta conexión. La primera representa la cantidad de tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de tráfico recibido. service (async | isdn | l2tp | pppoe | pptp | ovpn | sstp) .- Tipo de servicio que el usuario está usando session-id (string) .- Muestra el identificador de cliente único uptime (time) .- Tiempo de actividad del usuario
/ppp aaa (AAA remoto) Las configuraciones en este menú permiten sonfigurar la contabilización (accounting) y autenticación (authentication) RADIUS. La base de datos de usuario RADIUS se consulta únicamente si el nombre usuario (username) requerido no se encuentra en la base de datos de usuario local Parámetros • • •
accounting (yes | no; Default: yes) .- Habilita la contabilización (accounting) RADIUS interim-update (time; Default: 0s) .- Intervalo de tiempo de actualización interino use-radius (yes | no; Default: no) .- Habilita la autenticación de usuario vía RADIUS. Si no se encuentra le entrada en la base de datos Secret Local, entonces el cliente será autenticado vía RADIUS.
/ppp client (cliente PPP) Parámetros • • • • • • • • • • • • • • •
• • •
add-default-route (yes | no; Default: no) .- Especifica si se agrega la ruta por default para encaminar todo el tráfico sobre el túnel. allow (pap | chap | mschap1 | mschap2; Default: pap,chap,mschap1,mschap2) .- Especifica los protocolos permitidos a usar para la autenticación apn (string; Default: ) .- Nombre del Access Point (APN = Access Point Name) del Proveedor de Servicio comment (string; Default: ) .- Nombre que describe el item data-channel (integer; Default: 0) .- Especifica cuál de los canales de puertos es usado para transferir datos. default-route-distance (integer; Default: 1) .- A partir de la v6.2, configura el valor distancia aplicado para la ruta por default creada automáticamente, si es que también se ha seleccionado add-default-route dial-command (string; Default: "ATDT") .- Comando dial que se va a usar. Por default se configura el modo del tono de marcado dial-on-demand (yes | no; Default: no) .- Habilita/deshabilita dial on demand disabled (yes | no; Default: yes) .- Especifica si es que la interface esta deshabilitada o no. Por default está deshabilitada info-channel (integer; Default: 0) .- Especifica cuál de los canales de puerto (por channels) se utiliza para info keepalive-timeout (integer [0..4294967295]; Default: 30s) .- Keepalive timeout PPP en segundos max-mru (integer; Default: 1500) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface PPP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1500) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface PPP estará habilitada para enviar sin fragmentación de paquetes modem-init (string; Default: "") .- String de inicialización del modem mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel. name (string; Default: ) .- Nombre descriptivo de la interface null-modem (yes | no; Default: no) .- Habilita/deshabilita el modo null-modem (cuando está habilitado, no se envían cadenas de inicialización al modem) password (string; Default: "") .- Contraseña (password) usada para autenticación
Academy Xperts
96
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
• • • • • • •
phone (string; Default: "") .- Número de teléfono para marcar (dial-out) pin (string; Default: "") .- Código de Pin de las Tarjetas SIM port (string; Default: "") .- Nombre del puerto Serial o USB donde está conectado el modem profile (name; Default: default) .- Perfil PPP que se utiliza remote-address (IP Address; Default: ) .- Dirección IP remota use-peer-dns (yes | no; Default: yes) .- Usa las configuraciones DNS server del servidor remoto user (string; Default: ) .- Nombre de usuario usado para autenticación
/ip pool El Pool IP define un rango de direcciones IP que es utlizado por el Server DHCP y también por los Servers Point-to-Point. Es decir que no sólo es utilizado para DHCP, sino que también se puede utilizar para los clientes PPP y Hotspot. Útil cuando una interfaz puede dar servicio a muchos clientes. Las direcciones se asignan a partir del Pool de forma automática. Rangos de IPs son listas de direcciones IP que no se repiten entre si y que se pueden asignar a los clientes a través de servicios (DHCP, PPP, Hotspot). Parámetros • • •
name (name) .- El nombre del Pool next-pool (name) .- Cuando la dirección se adquiere de un pool que no tiene direcciones libres, y la propiedad next-pool está configurada a otro pool, entonces la siguiente dirección se obtendrá del next-pool ranges (IP address) .- La lista de dirección IP de los rangos de dirección IP en la forma: desde1-hasta1, desde2-hasta2, …, desdeN-hastaN. Por ejemplo, 10.0.0.1-10.0.0.27,10.0.0.32-10.0.0.47
Vamos a demostrar con un ejemplo. Usted tiene 50 ordenadores de la LAN corporativa y 50 que vienen desde VPN. /ip pool add name=Pool-PC ranges=192.168.5.50-192.168.5.99 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149 Supongamos ahora que usted necesita agregar 50 equipos en el Pool de la LAN /ip pool print # NAME RANGES 0 Pool-PC 192.168.5.50-192.168.5.99 1 Pool-VPN 192.168.5.100-192.168.5.149 /ip pool set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199 /ip pool> print # NAME RANGES 0 Pool-PC 192.168.5.50-192.168.5.99 192.168.5.150-192.168.5.199 1 Pool-VPN 192.168.5.100-192.168.5.149 Asignaciones para un servicio • •
Un Pool puede ser asignado para diferentes servicios tales como DHCP, PPP y HotSpot. Veremos la sintaxis más adelante
Pregunta: Cómo comunicamos las redes A y B?
Academy Xperts
97
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
PPPoE El protocolo PPPoE (Point to Point Protocolo ver Ethernet) proporciona una amplia administración de usuario, administración de red y beneficios de contabilización (accounting) a los ISPs y administradores de red. En muchos sitios el PPPoE se utiliza principalmente en los ISPs para controlar las conexiones de clientes por xDSL y Cable Modem, así como también por redes Ethernet planas (plain networks). PPPoE es una extensión del estándar PPP. La diferencia entre ambos esta en el medio de transporte, ya que PPPoE utiliza Ethernet en lugar de conexiones de modem serial. Generalmente PPPoE se utiliza para manejar las direcciones IP a clientes basados en autenticación por nombre de usuario (incluso si se requiere también por estación de trabajo) en lugar de la autenticación únicamente por estación de trabajo donde se utiliza direccionamiento estático o DHCP. Se recomienda no utilizar direccionamiento estático o DHCP en las mismas interfaces como PPPoE por razones de seguridad. El cliente y server PPPoE trabajan sobre: • • • • •
Cualquier interface Ethernet Capa 2 Wireless 802.11 (Aironet, Cisco, WaveLan, Prism, Atheros) Ethernet 10/100/1000 Mbit/s RadioLan EoIP (túnel Ethernet sobre IP)
Características principales de PPPoE • • • • • • • •
Soporte para cliente y server PPPoE Multilink PPP (MLPPP) MLPPP sobre un enlace simple (habilidad para transmitir frames de tamaño completo) Soporte para BCP (Bridge Control Protocol). Permite el envío de frames Ethernet sobre enlaces PPP Encriptación MPPE 40bits Encriptación MPPE 128 RSA Autenticación pap, chap, mschap v1, mschap v2 Soporte RADIUS para autenticación y contabilización de clientes
Nótese que cuando el servidor RADIUS está autenticando un usuario con CHAP, MS-CAHPv1 o MS-CHAPv2, el protocolo RADIUS no usa una clave compartida (shared secret), ya que esta calve compartida se utiliza únicamente en la respuesta a la autenticación. Esto significa que si se tiene una clave compartida errónea, el servidor RADIUS aceptará el requerimiento. Se puede entonces utilizar el comando /radius monitor para visualizar el parámetro bad-replies. Este valor debería incrementar cada vez que un cliente intenta conectarse. Conexiones soportadas • •
El Cliente PPPoE MikroTik RouterOS se puede conectar con cualquier servidor PPPoE (concentrador de acceso) El Servidor PPPoE MikroTik RouterOS (concentrador de acceso) se puede conectar con múltiples clientes PPPoE (los clientes pueden provenir de casi todos los sistemas operativos y la mayoría de routers)
Operación PPPoE Estados PPPoE tiene 2 estados 1)
Descubrimiento (Discovery) .- Un cliente descubre todos los concentradores de acceso disponible, y selecciona uno de ellos para establecer la sesión PPPoE. Este estado tiene cuatro pasos:
Academy Xperts
98
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
• • •
•
2)
a. Inicialización (initialization) b. Oferta (offer) c. Request (requerimiento) d. Confirmación de sesión (sesión confirmation) PPPoE Discovery utiliza frames Ethernet especiales con su propio tipo de frame Ethernet (0x8863) Para iniciar el descubrimiento, el cliente PPPoE envía un frame PADI a la dirección Ethernet broadcast FF:FF:FF:FF:FF:FF, y opcionalmente puede especificar un nombre de servicio (service name) Cuando el server recibe el frame PADI, el server responde con un frame PADO a la dirección Ethernet unicast del Cliente. Puede haber más de un servidor en el rango broadcast del cliente. En tal caso el Cliente colecciona los frames PADO y elige uno para iniciar la sesión. En la mayoría de los casos elige el servidor que responde primero. El Cliente envía un frame PADR a la dirección Ethernet unicast del Server que elige. Si el Server está de acuerdo en configurar una sesión con este Cliente, entonces asigna recursos para configurar una sesión PPP y asigna un número de Identificación de Sesión (Session ID). Este número se envía de retorno al Cliente en un frame PADS. Cuando el Cliente recibe el frame PADS, conoce la dirección MAC de los servidores y el Session ID, asigna los recursos y la sesión puede comenzar.
Sesión (Session) .- Cuando se completa el estado Discovery, ambas partes conocen el PPPoE Session ID y la dirección MAC Ethernet de cada uno, con lo cual juntos definen la sesión PPPoE. Los frames PPPoE son encapsulados en frames de sesión PPPoE, los mismos que tienen un tipo de frame Ethernet 0x8864 Cuando el Server envía la confirmación y el Cliente la recibe, se inicia el estado de Sesión PPP que consiste de los siguientes pasos: a. Negociación LCP b. Autenticación c. Negociación IPCP, donde se le asigna una dirección IP al Cliente El Server PPPoE envía paquetes Echo-Request al Cliente para determinar el estado de la sesión, de otra forma el Server no podrá determinar que la sesión está terminada en los casos en que el Cliente termina la sesión sin enviar el paquete Terminate-Request
Tipos de paquetes utilizados PADI – PPPoE Active Discovery Initialization El Cliente PPPoE envía un paquete PADI a la dirección broadcast. Este paquete también puede poblar el campo service-name si un nombre de servicio ha sido ingresado en las propiedades de networking dial-up del cliente PPPoE. Si no se ha ingresado un service-name, este campo nos será poblado PADO – PPPoE Active Discovery Offer El Server PPPoE (Concentrador de Acceso) debe responder al PADI con un PADO si el Concentrador de Acceso está habilitado para servir el campo service-name que ha sido listada en el paquete PADI. Si ningún campo service-name ha sido listado, el Concentrador de Acceso responderá con un paquete PADO que tiene el campo service-name poblado con los nombres de servicio que el Concentrador de Acceso puede servir. El paquete PADO se envía a la dirección unicast del cliente PPPoE PADR – PPPoE Active Discovery Request Cuando se recibe un paquete PADO, el Cliente PPPoE responde con un paquete PADR. Este paquete se envía a la dirección unicast del Concentrador de Acceso. El cliente puede recibir múltiples paquetes PADO, pero el cliente responde al primer PADO válido que el cliente recibió. Si el paquete inicial PADI tiene un campo service-name en blanco, el cliente puebla el campo service-name del paquete PADR con el nombre del primer servicio que retorna en el paquete PADO.
Academy Xperts
99
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
PADS – PPPoE Active Discovery Session confirmation Cuando se recibe el PADR, el Concentrador de Acceso genera una identificación de sesión única (ID) para la sesión PPP y regresa este ID al Cliente PPPoE en el paquete PADS. Este paquete es enviado a la dirección unicast del Cliente. PADT – PPPoE Active Discovery Terminate Puede ser enviado en cualquier momento después de que se establece una sesión para indicar una sesión PPPoE terminada. Puede ser enviada por el Server como por el Cliente.
MTU Típicamente el frame Ethernet más grande que se puede transmitir sin fragmentación es 1500 bytes. El protocolo PPPoE agrega 6 bytes de overhead y el campo PPP agrega 2 bytes más, dejando 1492 bytes para el datagrama IP. Por lo tanto los valores máximos de MTU y MRU para PPPoE no deben ser mayores a 1492. Las pilas TCP tratan de evitar la fragmentación, por lo que usan un MSS (Maximum Segment Size). Por default el MSS es elegido como el MTU de la interface saliente menos el tamaño usual de las cabeceras IP y TCP (40 bytes), lo cual resulta en 1460 bytes para una interface Ethernet. Desafortunadamente puede haber enlaces intermedios con un MTU más bajo el cual puede ocasionar fragmentación. En tal caso, la pila TCP ejecuta un path MTU discovery. Los routers que no pueden pasar el datagrama sin fragmentación se supone que abandonarán/rechazarán (drop) el paquete y enviarán un mensaje ICMP-Fragmentation-Required al host origen. Cuando el host recibe este paquete ICMP, intenta disminuir el MTU. Esto debería funcionar en un esquema ideal, sin embargo en el mundo real muchos routers no generan los datagramas fragmentation-requiered, y también muchos firewalls abandonan/rechazan (drop) todos los datagramas ICMP. La solución para este problema es ajustar el MSS si es que es demasiado grande. Por default el RouterOS agrega reglas de mangle para interceptar los paquetes TCP SYN y silenciosamente ajusta cualquier opción MSS anunciando la que será apropiada para el enlace PPPoE.
pppoe client (Cliente PPPoE) Propiedades • • • • •
• • • • •
• • • • • •
ac-name (string; Default: "") .- Nombre del Concentrador de Acceso. Este campo puede ser dejado en blanco y el cliente se conectará a cualquier Concentrador de Acceso en el dominio de broadcast. add-default-route (yes|no; Default: no) .- Habilita/Deshabilita si es que se agregará automáticamente la ruta por default. allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de autenticación permitidos. Por default todos los métodos están permitidos. default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route dial-on-demand (yes | no; Default: no) .- Se conecta al Concentrador de Acceso únicamente cuando se genera tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada mientras la conexión no está establecida interface (string; Default: ) .- Nombre de la interface en la cual correrá el cliente keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit mrru (disabled | integer 512..65535; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel name (string; Default: ) .- Nombre de la interface PPPoE. Se genera automáticamente por el RouterOS si es que no se especifica. password (string; Default: "") .- Contraseña (password) usado para la autenticación profile (name; Default: default-encryption) .- Especifica el perfil por default para la conexión definida en /ppp profiles service-name (string; Default: "") .- Especifica el nombre de servicio configurado en el Concentrador de Acceso. Puede ser dejado en blanco para conectarse a cualquier Server PPPoE use-peer-dns (yes|no; Default: no) .- Habilita/Deshabilita la obtención de las configuraciones DNS desde su peer user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPPoE service-name • •
El service-name puede ser visto como el SSID de 802.11, lo que significa que es el nombre de red que el cliente este buscando. A diferencia del SSID, si el cliente no especifica uno, el concentrador de acceso (servidor PPPoE) enviara todos los service-names que administre. El cliente responderá al primero que llegue.
Status El comando /interface pppoe-client monitor mostrará el estatus PPPoE actual Propiedades
Academy Xperts
100
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
• • • • • • • • • •
•
ac-mac (MAC address) .- La dirección MAC del Concentrador de Acceso al que el Cliente está conectado ac-name (string) .- Nombre del Concentrador de Acceso active-links (integer) .- Número de las conexiones MLPPP unidas (‘1’ si no se está usando MLPPP) encoding (string) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado en esta conexión. local-address (IP Address) .- Dirección IP asignada al cliente remote-address (IP Address) .- Dirección IP remota asignada al Server (por ejemplo la dirección del Gateway) mru (integer) .- MRU efectivo del enlace mtu (integer) .- MTU efectivo del enlace service-name (string) .- Nombre del servicio utilizado status (string) .- Estatus actual del enlace. Los valores disponibles son: • dialing (marcando) • verifying password... (verificando contraseña) • connected (conectado) • disconnected (desconectado) uptime (time) .- Tiempo de conexión mostrado en días, horas, minutos y segundos.
Scanner A partir de la v3.21 RouterOS agregó la herramienta PPPoE Scanner. Esta herramienta permite escanear todos los servidores PPPoE activos en el dominio de broadcast. /interface pppoe-client scan Propiedades • • •
service (string) .- Nombre del servicio configurado en el Server mac-address (MAC) .- Dirección MAC del Server detectado ac-name (string) .- Nombre del Concentrador de Acceso
Notas importantes En Windows, algunas instrucciones de conexión pueden usar la forma donde el phone number, por ejemplo MikroTik_AC\mt1, se especifica para indicar que MikroTik_AC es el nombre del Concentrador de Acceso (AC), y mt1 es el nombre del servicio. La especificación del MRRU significa que se habilita MP (Multilink PPP) sobre un enlace simple. Este protocolo se utiliza para dividir los paquetes grandes en paquetes más pequeños. En Windows esto se puede habilitar en la pestaña Networking, botón Configuración, opción “Negociar multi-link para conexiones de enlace simple”. El MRRU en Windows está codificado en 1614. Esta configuración es útil para resolver fallas de PathMTU Discovery. La configuración MP debe estar habilitada en ambas partes.
Configuración del Server PPPoE (Concentrador de Acceso) /interface pppoe-server server El Server PPPoE (Concentrador de Acceso) soporta múltiples servers para cada interface, con diferentes nombres de servicio (service-name). El Throughput del Server PPPoE ha sido probado a 160 Mbps en un CPU Celeron 600. El uso de CPUs de mayor velocidad debería incrementar proporcionalmente el Throughput. El nombre del Concentrador de Acceso y el nombre del servicio PPPoE son usados por los clientes para identificar el concentrador de acceso al cual se quieren registrar. El nombre del concentrador de acceso es el mismo que la identidad del router que se muestra antes del command prompt. La identidad se puede configurar en /system identity Es importante recordar que si no se especifica un nombre de servicio en Windows XP, únicamente usará un servicio sin nombre. Por lo tanto si se desea atender clientes Windows XP, se debe dejar el nombre de servicio vacío. Propiedades • • • •
•
•
authentication ( mschap2 | mschap1 | chap | pap; Default: "mschap2, mschap1, chap, pap") .- Algoritmo de autenticación. default-profile (string; Default: "default") .- Perfil de usuario por default que se va a utilizar interface (string; Default: "") .- Interface a la que los clientes se conectan keepalive-timeout (time; Default: "10") .- Define el período de tiempo (en segundos) después del cual el router inicia el envío de paquetes keepalive cada segundo. Si es que no existe tráfico y no arriban respuestas keepalive en ese período de tiempo (por ejemplo, 2*keepalive-timeout), el cliente que no responde se proclama como desconectado. max-mru (integer; Default: "1480") .- Maximum Receive Unit. El valor óptimo es el MTU de la interface en la que el túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe configurar el MTU en 1480 para evitar la fragmentación de paquetes. max-mtu (integer; Default: "1480") .- Maximum Transmission Unit. El valor óptimo es el MTU de la interface en la que el túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe configurar el MTU en 1480 para evitar la fragmentación de paquetes.
Academy Xperts
101
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
• •
• •
max-sessions (integer; Default: "0") .- Número máximo de clientes que el Concentrador de Acceso puede atender. 0 (cero) significa que no hay limitantes. mrru (integer: 512..65535 | disabled; Default: "disabled") .- Tamaño máximo del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el túnel MTU, será divido en múltiples paquetes, permitiendo el tamaño completo de los paquetes IP o Ethernet que serán enviados a través del túnel. one-session-per-host (yes | no; Default: "no") .- Se permite únicamente una sesión por host (determinado por la dirección MAC). Si un host intenta establecer una nueva sesión, la anterior será cerrada. service-name (string; Default: "") .- El nombre de servicio PPPoE. El servidor aceptará clientes a los cuales envía el mensaje PADI con service-names que concuerden con esta configuración o si el campo de service-name en el mensaje PADI no está configurado.
Notas importantes El valor por default de 10 segundos del parámetro keepalive-timeout es adecuado en la mayoría de los casos. Si se configura este parámetro como 0 (cero), el router no desconectará a los clientes hasta que ellos explícitamente hagan logout o hasta que el router reinicie. Para resolver este problema, se puede utilizar la propiedad one-session-per-host. Como punto importante de seguridad recuerde que no debe asignar una dirección IP a la interface en la cual se recibirán los requerimientos PPPoE. La especificación del MRRU significa que se habilita MP (Multilink PPP) sobre un enlace simple. Este protocolo se utiliza para dividir los paquetes grandes en paquetes más pequeños. En Windows esto se puede habilitar en la pestaña Networking, botón Configuración, opción “Negociar multi-link para conexiones de enlace simple”. El MRRU en Windows está codificado en 1614. Esta configuración es útil para resolver fallas de PathMTU Discovery. La configuración MP debe estar habilitada en ambas partes. PPPoE Server (Servidor PPPoE) /interface pppoe-server Una interface se crea por cada túnel establecido al servidor dado. Las interfaces estáticas se agregan administrativamente si es que existe la necesidad de referenciar el nombre de la interface en particular (en reglas en firewall u otro lugar) creada para el usuario en particular. Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP Server •
•
Las interfaces estáticas se agregan administrativamente si es que existe una necesidad para referenciar el nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en particular. Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre. Si existe problema se debe configurar el valor one-session-per-host.
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario es seguro usar la configuración dinámica. Es importante notar que en ambos casos los usuarios PPP deben ser configurados apropiadamente. Las entradas estáticas no reemplazan la configuración PPP. Propiedades • • • • • • • •
encoding (read-only: text) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado en esta conexión. mru (integer) .- MRU del cliente mtu (integer) .- MTU del cliente name (name) .- Nombre de la interface remote-address (read only: MAC address) .- Dirección MAC del cliente conectado service (string) .- Nombre del servicio al que el usuario está conectado uptime (time) .- Tiempo que el cliente ha estado conectado user (name) .- Nombre del usuario conectado (debe estar presente en la base de datos de usuario)
Creando un PPPoE server • • • •
•
Un PPPoE server es el dispositivo que ofrece el servicio de tunelización Permite a los clientes obtener un servicio de VPN seguro a la capa 3 a través de la infraestructura de la capa 2. Usted no puede llegar a un servidor PPPoE a través de routers. Ya que es un protocolo de capa 2, el servidor solo se puede llegar a través del mismo dominio de difusión Ethernet a la que los clientes pertenecen. Antes de crear el servidor, creamos los parámetros de configuración que usted requiere tales como: o IP Pool o PPP profiles PPP secrets Crear la interfaz de servidor de la interfaz física frente a los clientes Ejemplo:
/ip pool Academy Xperts
102
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
add name=Pool-PC ranges=192.168.5.50-192.168.5.99, 192.168.5.150-192.168.5.199 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149 /ppp profile add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \ remote-address=192.168.222.2 use-compression=yes use-encryption=yes \ use-vj-compression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1\ name=Profile-internal remote-address=Pool-VPN use-compression=yes\ use-encryption=yes use-vj-compression=no /ppp secret add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal /interface pppoe-server server add authentication=mschap2 default-profile=Profile-external disabled=no \ interface=ether1 mrru=1600 service-name=PPPoE-external add authentication=mschap2 default-profile=Profile-internal disabled=no \ interface=ether5 mrru=1600 service-name=PPPoE-internal Tip: Usted puede dejar un puerto Ethernet sin un puerto maestro, un bridge o una dirección IP y el cliente que está conectado a este puerto pueden conseguir todavía el acceso a Internet si el servidor PPPoE (y el cliente PPPoE) está configurado correctamente. Direcciones Point-to-Point • • •
Direcciones desde /ppp secret tienen prioridad sobre /ppp profile, y ellos tienen prioridad sobre /ip pool. Tanto las direcciones locales y remotas pueden ser únicas o de un Pool Direcciones estáticas o direcciones por medio de DHCP no se deben utilizar en interfaces de clientes PPPoE.
Creando Clientes PPPoE en un RouterOS • • •
Si desea utilizar un perfil diferente que el de por defecto, crearlo primero. Crear la interfaz de cliente en la interfaz de cara al ISP Ya está!
Ejemplo /ppp profile add change-tcp-mss=yes name=Profile-external use-compression=yes \ use-encryption=yes use-vj-compression=no /interface pppoe-client add ac-name=" " add-default-route=yes allow=mschap2 default-route-distance=1\ dial-on-demand=no disabled=no interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=disabled name=Client-PPPoE password=pod4-123 profile=Profile-external service-name=" " usepeer-dns=no user=Pod4-external Habilite la interfaz del cliente. Tip El router no tendría que ser configurado con un cliente DHCP en la interfaz WAN y esto aún funcionará si el servidor PPPoE está en la misma infraestructura de capa 2 como puerto WAN.
PPTP PPTP es un túnel seguro para transportar tráfico IP usando PPP. PPTP encapsula PPP en líneas virtuales que corren sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP. Los clientes PPTP están disponibles en casi todos los sistemas operativos, incluso en Windows. RouterOS soporta Multilink PPP (también conocido como MP, MLPPP, MPPP, MLP, o Multilink) con lo cual se provee un método para esparcir el tráfico a través de múltiples conexiones PPP distintas. En una simple línea PPP los frames no pueden arribar fuera de orden, pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP. Por este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. MP es un ejemplo de tecnología de agregación de enlace. MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP. •
•
MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño. o MRRU = Maximum Received Reconstructed Unit o El MRRU es similar al MTU (Maximum Transmission Unit), pero solo se aplica a los paquetes Multilink. o El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar. o Por default el MRRU es 1500 bytes, pero se puede configurar un diferente de MRRU si el equipo con el que va a conversar permite/acepta ese nuevo valor. La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar frames Ethernet a través de enlaces PPP.
Academy Xperts
103
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. Para esto se necesita que el Bridge tenga una dirección MAC o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC. PPTP incluye contabilización (accounting) y autenticación (authentication) PPP para cada conexión PPTP. La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local RouterOS soporta los tipos de encriptación • •
MPPE 40bit RC4 MPPE 128bit RC4
El tráfico PPTP utiliza • •
TCP puerto 1723 IP protocol GRE o GRE = Generic Routing Encapsulation o GRE = IP protocol ID 47
PPTP puede ser usado con la mayoría de firewalls y routers habilitando TCP 1723 y GRE (protocolo 47). De esta manera el tráfico puede ser ruteado a través del firewall o router. Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura a través de una conexión enmascarada (NATeada). PPTP es un protocolo de túnel que utiliza la información y direccionamiento del enrutamiento IP, para ligar a los clientes a los servidores PPTP. • •
La definición del servidor PPTP es casi lo mismo que para PPPoE, excepto que ninguna interfaz tiene que ser especificada. El cliente se define casi de la misma manera como un cliente PPPoE, excepto que una dirección IP tiene que ser especificada para el servidor.
Consejo: Se debe desbloquear el puerto 1723 en el firewall del router (el servidor PPTP) para que pueda llegar con su túnel. Es un túnel seguro para el transporte de trafico IP mediante PPP. La encapsulación de PPTP en líneas virtuales que corren sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point-to-Point Encryption) para hacer enlaces cifrados. El objetivo de este protocolo es hacer conexiones seguras bien administradas entre los routers, así como entre los router clientes PPTP. Clientes están disponibles para y/o incluido en casi todos los sistemas operativos incluyendo Windows). Se crea una interfaz para cada túnel establecido con el servidor dado. Hay dos tipos de interfaces en la configuración de PPTP. • •
Las interfaces estáticas se añaden administrativamente si hay una necesidad de hacer referencia al nombre de la interfaz en particular (en las reglas de firewall) creados por el usuario en particular. Las interfaces dinámicas se añaden a esta lista de forma automática cada vez que se conecta un usuario y su nombre de usuario no coincide con ninguna entrada estática existente.
Interfaces dinámicas aparecen cuando un usuario se conecta y desaparecen una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en el servidor de seguridad), así que si necesitas reglas persistentes para ese usuario, crear una entrada estática para el usuario, de lo contrario es seguro usar configuración dinámica. El siguiente ejemplo muestra como conectar un ordenar a un red de oficina remota a través de una túnel PPTP encriptado, dando ese equipo una dirección IP de la misma red que la oficina remota tiene (sin necesidad de tender un bridge sobre túneles EoIP)
El router de la oficina está conectado a internet a través de ether1. Las estaciones de trabajo están conectados a ether2. Las portátiles están conectadas a internet, y puede alcanzar IP publica del router de la oficina (en nuestro ejemplo es 192.168.80.1)
Academy Xperts
104
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
Primer paso es crear un usuario /ppp secret add name=Laptop service=pptp password=123 local-address=10.1.101.1\ remote-address=10.1.101.100 /ppp secret print detail Flags: X – disabled 0 name=”Laptop” service=pptp caller-id=” ” password=”123” profile=default local-address=10.1.101.1 remote-address=10.1.101.100 routes==” “ Observe que la dirección local PPTP es la misma que la dirección del router en la interfaz local y la dirección remota es del mismo rango que la red local (10.1.101.0/24). El siguiente paso es habilitar el servidor PPTP y el cliente PPTP en la computadora portátil. /interface pptp-server server set enabled=yes /interface pptp-server server print Enabled: yes max-mtu: 1460 max-mru: 1460 mrru: disabled authentication: mschap2 keepalive-timeout: 30 default-profiles: default El cliente PPTP de la computadora portátil debe conectarse a routers IP publica que en nuestro ejemplo es 192.168.80.1 (consulte el manual respectivo sobre como configurar un cliente PPTP con el software del sistema operativo que esté utilizando). En este punto (cuando el cliente PPTP está conectado con éxito) si intenta hacer ping a cualquier estación de trabajo que forma parte de la red del ordenador portátil, el ping será el tiempo de espera debido a que el ordenador portátil está en condiciones de obtener aplicaciones de estaciones de trabajo. La solución es la creación de proxy arp en la interfaz local. /interface ethernet set Office arp=proxy-arp /interface ethernet print Flags: X – disabled, R – running # Name MTU MAC-ADDRESS ARP 0 R ether1 1500 00:30:4F:0B:7B:C1 enabled 1 R ether2 1500 00:30:4F:06:62:12 proxy-arp Luego que el proxy-arp este activado, el cliente remoto puede alcanzar con éxito todas las estaciones de trabajo en la red local detrás del router.
PPTP Client (cliente pptp) • • • • •
• • • • •
• • • •
add-default-route (yes | no; Default: no) .- Especifica si es que se agrega una dirección remota PPTP como una ruta por default allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de autenticación permitidos connect-to (IP; Default: ) .- Dirección remota del servidor PPTP default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route dial-on-demand (yes | no; Default: no) .- Se conecta al servidor PPTP únicamente cuando se genera tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada mientras la conexión no está establecida disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está deshabilitada. keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel name (string; Default: ) .- Nombre descriptivo de la interface password (string; Default: "") .- Contraseña (password) usado para la autenticación profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPTP Server (servidor pptp) Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP Server •
Las interfaces estáticas son administrativamente agregadas si es que existe una necesidad para referenciar el nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en particular.
Academy Xperts
105
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
•
Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre)
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario es seguro usar la configuración dinámica. Nota Importante En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la configuración PPP Parámetros • • • •
• • •
authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2) .- Especifica los métodos de autenticación que el servidor aceptará default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará enabled (yes | no; Default: no) .- Define si es que el servidor PPTP está habilitado o no keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive no recibe ningún paquete, se enviará paquetes keepalive cada segundo por cinco veces. Si el server no recibe respuesta del cliente, entonces se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los mensajes “LCP missed echo reply” y luego se desconectará. max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel
L2TP L2TP es un protocolo de túnel seguro para transportar tráfico IP usando PPP. L2TP encapsula PPP en líneas virtuales que corren sobre IP, frame Relay y otros protocolos (que no son soportados actualmente por MikroTik RouterOS) L2TP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. El propósito de este protocolo es permitir que los extremos PPP y Capa 2 residan en diferentes dispositivos interconectados por una red conmutada de paquetes (packet-switched network) Con L2TP, un usuario tiene una conexión en Capa 2 a un concentrador de acceso – LAC (ejemplo: manco de módems, ADSL DSLAM, etc.), y el concentrador entonces hace túneles de frames PPP individuales al Servidor de Acceso de Red (NAS = Network Access Server). Esto permite que el procesamiento real de paquetes PPP sea separado de la terminación del circuito de Capa 2. Desde la perspectiva del usuario, no existe diferencia funcional entre tener que el circuito en Capa 2 termine en un NAS directamente o usando L2TP. Puede ser útil usar L2TP únicamente como cualquier otro protocolo de túnel con o sin encriptación. El estándar L2TP establece que la forma más segura de encriptar datos es usar L2TP sobre IPsec (este es el modo por default para cliente Microsoft L2TP) ya que todos los paquetes de control y datos de L2TP de un túnel aparecen como paquetes de datos UDP/IP homogéneos para el sistema IPsec. Se soporta Multilink PPP (MP) para poder proveer MRRU (la habilidad para transmitir paquetes de 1500 y más grandes) y Bridging sobre enlaces PPP (usando BCP=Bridge Control Protocol, el cual permite enviar frames Ethernet sobre enlaces PPP). De esta forma es posible configurar Bridging sin EoIP. El bridge debería tener ya sea una dirección MAC administrativa o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC. L2TP incluye autenticación (authentication) y contabilización (accounting) PPP para cada conexión L2TP. Una completa autenticación y contabilización de cada conexión puede ser realizada a través de un cliente RADIUS o localmente. Métodos de encriptación soportados • •
MPPE 40bit RC4 MPPE 128bit RC4
El protocolo L2TP utiliza el protocolo UDP para los paquetes de control y de datos. El puerto UDP 1701 se utiliza únicamente para establecer el enlace, el tráfico adicional puede utilizar cualquier puerto UDP (que puede o no ser el 1701). Esto significa que L2TP puede ser usado con la mayoría de firewalls y routers (incluso con NAT) tan solo habilitando que el tráfico UDP sea ruteado a través del firewall o del router.
L2TP Client (cliente l2tp) •
add-default-route (yes | no; Default: no) .- Especifica si es que se agrega una dirección remota L2TP como una ruta por default
Academy Xperts
106
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
• • • • •
• • • • •
• • • •
allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de autenticación permitidos connect-to (IP; Default: ) .- Dirección remota del servidor L2TP coment (string; Default: ) .- Breve descripción del túnel default-route-distance (byte; Default:) .- Desde la v6.2 se configura el valor de distancia aplicado para la ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route dial-on-demand (yes | no; Default: no) .- Se conecta únicamente cuando se genera tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada mientras la conexión no está establecida disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está deshabilitada. keepalive-timeout (integer [1..4294967295]; Default: 60s) .- Desde l av6.0rc13, el keepalive timeout en segundos max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel name (string; Default: ) .- Nombre descriptivo de la interface password (string; Default: "") .- Contraseña (password) usado para la autenticación profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
L2TP Server (servidor l2tp) Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración L2TP Server •
•
Las interfaces estáticas son agregadas administrativamente si es que existe una necesidad para referenciar el nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en particular. Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre)
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario es seguro usar la configuración dinámica. Nota Importante En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la configuración PPP Parámetros • • • •
• • •
authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2) .- Especifica los métodos de autenticación que el servidor aceptará default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará enabled (yes | no; Default: no) .- Define si es que el servidor L2TP está habilitado o no keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive-timeout no recibe ningún paquete, se enviará paquetes keepalive cada segundo, por cinco veces. Si el server no recibe respuesta del cliente, entonces se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los mensajes “LCP missed echo reply” y luego se desconectará. Este parámetro está disponible a partir de las versiones v5.22 y v6rc3 max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel
Clientes y servidores SSTP VPN SSTP es un tipo de VPN de acceso remoto que permite una conexión VPN por SSL de HTTPS, o lo que es lo mismo encapsula trafico PPP sobre un canal SSL. Esto le permite atravesar Firewalls donde las conexiones VPN por PPTP o L2TP estén prohibidas. SSTP utilizara el puerto 443 para atravesar los firewalls y a través de SSL tenemos cifrado, autenticación y negociación de claves.
Academy Xperts
107
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
• • • •
Definición del servidor SSTP es casi lo mismo que para PPTP, salvo que se especifique un puerto TCP para conectarse (443 por defecto). Se usa con certificados digitales para crear Túneles sobre internet. El cliente se define casi la misma forma que un cliente PPTP, salvo que se especifique un puerto TCP a utilizar para establecer una conexión (443 por defecto). Consejo: Debe permitir el puerto 443 para que su túnel pueda llegar sin problemas. Además, dejar el puerto en 443 para asegurarlo con SSL y poderlo utilizar para sus comunicaciones.
Configuración en línea de comando: /interface sstp-server server set authentication=mschap2 enabled=yes /interface sstp-client add add-default-route=no authentication=mschap2 certificate=none connect-to=\ 192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \ keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \ password=pod4-123 profile=Profile-external user=Pod4-external \ verify-server-address-from-certificate=no verify-server-certificate=n
Clientes y Servidores OpenVPN Es una solución de conectividad basada en software libre: SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente. • • •
Sigue el mismo patrón de configuraciones anteriores, similar a SSTP. Con la única diferencia, que con esta herramienta (OPVN) nos permites crear nuestros propios certificados digitales públicos, para poder usarlos, sin tener que pagar por ellos. Una muy buena herramienta a la hora de pensar en el factor COSTO.
Configuración de Rutas entre redes Es necesaria la configuración de rutas estáticas para que exista comunicación, tomar en cuenta: • Una vez que el túnel está configurado y operativo, usted necesita rutas para mover los paquetes de un lado a otro. • La primera forma, es usar la ruta que se crea automáticamente en el router del cliente para ese túnel. /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.0.254 0 1 ADC 192.168.0.0/24 192.168.0.5 ether1 0 2 ADC 192.168.5.0/24 192.168.5.1 Bridge-PC 0 3 ADC 192.168.5.101/32 192.168.5.1 0 • La segunda opción es especificar una o múltiples rutas con PPP secret para cada cliente: /ppp secret export add name=Pod4-external password=pod4-123 profile=Profile-external \ routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal /ppp secret print Academy Xperts
108
RouterOS v6.35.1.01 – Capítulo 8 – Túneles
Flags: X - disabled # NAME 0 Pod4-external 1 alain
SERVICE CALLER-ID any any
PASSWORD pod4-123 alain!!
PROFILE Profile-external Profile-internal
REMOTE-ADDRESS
/ppp secret set 0 routes=192.168.4.0/24,10.10.2.0/24 /ppp secret export add name=Pod4-external password=pod4-123 routes=192.168.4.0/24,10.10.2.0/24 add name=alain password=alain!! profile=Profile-internal • •
profile=Profile-external
\
La tercera forma es agregar rutas estáticas a una o varias redes a través de un túnel. Este método es útil si ambos routers tienen su propia ruta por defecto, pero implica más mantenimiento y parámetros.
/ip route add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24 \ gateway=192.168.254.10 add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21 \ gateway=192.168.254.10
Preguntas de repaso del Capítulo 8 1.
Qué protocolos pueden ser tunelizados?
2.
Qué es el SECRET y qué es el PROFILE?
3.
Cuál es la principal característica del túnel PPPoE?
4.
Cuál es el puerto y el protocolo que se debe tener en cuenta para habilitar una regla en Firewall para permitir túneles PPTP?
Laboratorio – Capítulo 8
Academy Xperts
109
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Capítulo 9: Herramientas RouterOS E-mail Es una herramienta que te permite enviar un mail desde el router. Se puede utilizar, junto con otras herramientas, para enviar copias de seguridad de configuración regulares y exportar al administrador de red. La herramiena E-mail utiliza únicamente autenticación plana y encriptación TLS. No se soportan otros métodos.
Por medio de línea de comando lo podemos ver como: /tool e-mail print Address: 0.0.0.0 Port: 25 Start-tls: no From: <> User: Password: Propiedades /tool e-mail Este sub menú permite configurar el servidor SMTP que se utilizará • • • • •
from (string; Default: <>) – Nombre o dirección email que se mostrará coom receptor password (string; Default: "") – Contraseña que se utiliza para autenticar al servidor SMTP address (IP/IPv6 address; Default: 0.0.0.0) – Dirección IP del servidor SMTP port (integer[0..65535]; Default: 25) – Puerto del servidor SMTP username (string; Default: "") – Nombre de usuario (username) utilizado para autenticar en el servidor SMTP
Importante: Si se especifican las configuraciones del server, las mismas pueden ser reemplazadas cuando se utilice el comando send.
Send Email /tool e-mail send
Este sub menú permite configurar el servidor SMTP que se utilizará • • •
body (string; Default: ) – Cuerpo (contenido) del mensaje de correo cc (string; Default: ) – Permite especificar las direcciones de correo a las que se hará una copia del mail file (string; Default: ) – Nombre del archivo que se adjuntará al mail. Únicamente se puede adjuntar un archivo
Academy Xperts
110
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
• • • • • • • •
from (string; Default: ) – Nombre o dirección de correo que aparecerá como remitente. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server password (string; Default: ) – Contraseña que se utilizará para autenticar al servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server port (integer[0..65535]; Default: ) – Puerto del servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server server (IP/IPv6 address; Default: ) – Dirección IP o IPv6 del servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server subject (string; Default: ) – Asunto del mensaje tls (yes|no; Default: yes) – Permite especificar si se utiliza encriptación TLS o no to (string; Default: ) – Dirección de correo de destino user (string; Default: ) – Nombre usuario (username) que se utiliza para autenticar al servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server
Ejemplo básico #1 El siguiente ejemplo muestra cómo enviar un mail con el export de la configuración cada 24 horas 1. Configurar el servidor SMTP /tool e-mail> set server=10.1.1.1 port=25 from="[email protected]" 2. Agregar un nuevo script llamado “export-send” /export file=export /tool e-mail send to="[email protected]" subject="$[/system identity get name] body="$[/system clock get date] configuration file" file=export.rsc
export) \
3. Agregar un scheduler para ejecutar el script /system scheduler add on-event="export-send" start-time=00:00:00 interval=24h Ejemplo básico #2 Enviar un email al servidor usando encriptación TLS/SSL. Por ejemplo, el mail de Google requiere esta configuración: 1. Configurar el cliente para conectarse al server correcto /tool e-mail set address=173.194.77.108 set port=587 set [email protected] set user=myuser set password=mypassword 2. Enviar el email usando el comando send con el parámetro tls=yes send [email protected] subject="email test" body="email test" tls=yes
Netwatch Netwatch monitorea el estado de los host de la red. Lo hace mediante el envío de pings ICMP a la lista de direcciones IP especificadas. La principal ventaja de netwatch es su capacidad arbitraria de emitir comandos ante los cambios de estado del host que monitorea. Importante: netwatch ejecuta los scripts como un usuario *sys, por lo que cualquier variable global que se defina en este script de netwatch, no podrá ser leida por el scheduler u otros usuarios. Para cada entrada se puede especificar • • •
Dirección IP Intervalo del Ping Scripts Up / Down
Es muy útil para: • • • •
Ser conscientes de los fallos de red Automatizar un cambio de puerta de enlace predeterminada, por ejemplo, si el router principal falla. Solo para tener una vista rápida de lo que está pasando Cualquier otra cosa que usted puede llegar a simplificar y acelerar es su trabajo
Propiedades /tool netwatch • •
down-script (string; Default: ) – script de consola que se ejecuta una vez cuando el estado de un host cambia a down host (IP; Default: 0.0.0.0) – Dirección IP de un host que debe ser monitoreado
Academy Xperts
111
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
• • •
interval (time; Default: 1m) – Intervalo de tiempo entre pings. Si se disminuye este valor se hará que los cambios de estado más sensibles, pero puede crear tráfico innecesario y consumir recursos del sistema. timeout (time; Default: 1s) – Tiempo en segundos luego del cual el host se considera caído (down) up-script (string; Default: ) – script de consola que se ejecuta una vez cuando el estado de un host cambia a up
Ejemplo de Netwatch con estatus “UP”
Ejemplo de Netwatch con estatus “DOWN”
Ejemplo básico #1 El siguiente ejemplo ejecutará los scripts gw_1 o gw_2 que cambiará el default gateway dependiendo del estatus de uno de los gateways: /system script add name=gw_1 source={/ip route set {... [/ip route find dst 0.0.0.0] gateway 10.0.0.1} /system script add name=gw_2 source={/ip route set {.. [/ip route find dst 0.0.0.0] gateway 10.0.0.217} /system script tool netwatch add host=10.0.0.217 interval=10s timeout=998ms \ \... up-script=gw_2 down-script=gw_1 /tool netwatch print Flags: X - disabled # HOST TIMEOUT 0 10.0.0.217 997ms
Academy Xperts
INTERVAL 10s
STATUS up
112
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
/tool netwatch print detail Flags: X - disabled 0 host=10.0.0.217 timeout=997ms interval=10s since=feb/27/2003 14:01:03 status=up up-script=gw_2 down-script=gw_1 Sin los scripts, el netwach se puede utilizar como una herramienta de información para ver cuáles enlaces están operativos (up), o cuáles hosts específicos están corriendo en ese momento. En el ejemplo anterior, se cambia la ruta por default si el gateway se vuelve inalcanzable. Para esto hay 2 scripts. El script “gw_2” se ejecuta una vez cuando el estatus de host cambia a “up”. En este caso, el siguiente es el equivalente a ingresar el comando por consola: /ip route set [find dst-address="0.0.0.0/0"] gateway=10.0.0.217 El comando find retorna una lista de todas las rutas cuyo valor de dst-adress es 0.0.0.0/0 Esta es usualmente la ruta por default. Se substituye como primer argumento por el comando /ip route set, el cual cambia el gateway de esta ruta a 10.0.0.217 El script “gw_1” se ejecuta una vez cuando el estatus del host se vuelve “down”. Hace lo siguiente: /ip route set [find dst-address="0.0.0.0/0"] gateway=10.0.0.1 Cambia el default gateway si la dirección 10.0.0.217 se vuelve inalcanzable Ejemplo básico #2 Envía una notificacion email si el host 10.0.0.215 se vuelve down: /system script add name=e-down source={/tool e-mail send {... from="[email protected]" server="159.148.147.198" body="Router down" {... subject="Router at second floor is down" to="[email protected]"} /system script add name=e-up source={/tool e-mail send {... from="[email protected]" server="159.148.147.198" body="Router up" {.. subject="Router at second floor is up" to="[email protected]"} /system script tool netwatch add host=10.0.0.215 timeout=999ms \ \... interval=20s up-script=e-up down-script=e-down /tool netwatch print detail Flags: X - disabled 0 host=10.0.0.215 timeout=998ms interval=20s since=feb/27/2003 14:15:36 status=up up-script=e-up down-script=e-down
Ping Es una herramienta de conectividad básica que utiliza mensajes de ICMP Echo para determinar si un host remoto está activo o inactivo, y también para determinar el retardo de ida y vuelta cuando se comunica con dicho host remoto La herramienta ping envía un mensaje ICMP (type 8) al host remoto y espera por el mensaje ICMP echo-reply (type 0) de retorno. El intervalo entre estos eventos se conoce como “round trip”. Si la respuesta (que se conoce como “pong”) no llega hasta que finaliza el intervalo de tiempo de espera, se asume que el tiempo se ha agotado (timed-out). Otro parámetro significativo que se reporta en la herramienta ping es ttl (Time To Live), el cual disminuye en cada máquina en que el paquete es procesado. El paquete alcanzara su destino únicamente cuando el ttl sea mayor que el número de routers entre el origen y el destino. Cabecera (header) ICMP La cabecera ICMP comienza después de la cabecera IPv4 y se identifica con el número de protocolo IP '1'. Todos los paquetes ICMP tienen una cabecera de 8 bytes y la sección de datos de tamaño variable. Los primeros 4 bytes de la cabecera tienen formato fijo, mientras que los últimos 4 bytes dependen del type/code de ese paquete ICMP.
Formato de la cabecera (header) ICMP Offsets Octet Octet
Bit
0 4
0 32
0
1
2
3
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Type
Code
Checksum Rest of Header
Mensajes de Control ICMP Type 0 – Echo Reply 1 and 2
3 – Destination Unreachable
Academy Xperts
Code 0
Status unassigned
0 1 2 3 4
Description Echo reply (used to ping) Reserved Destination network unreachable Destination host unreachable Destination protocol unreachable Destination port unreachable Fragmentation required, and DF flag set
113
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS Type
4 – Source Quench 5 – Redirect Message 6 7 8 – Echo Request 9 – Router Advertisement 10 – Router Solicitation 11 – Time Exceeded 12 – Parameter Problem: Bad IP header 13 – Timestamp 14 – Timestamp Reply 15 – Information Request 16 – Information Reply 17 – Address Mask Request 18 – Address Mask Reply 19 20 through 29 30 – Traceroute 31 32 33 34 35 36 37 38 39 40 41 42 through 252 253 254 255
Code 5 6 7 8 9 10 11 12 13 14 15 0 0 1 2 3
Status
deprecated
deprecated unassigned 0 0 0 0 1 0 1 2 0 0 0 0 0 0
0
deprecated deprecated deprecated deprecated reserved reserved deprecated deprecated deprecated deprecated deprecated deprecated deprecated deprecated deprecated deprecated experimental unassigned experimental experimental reserved
Description Source route failed Destination network unknown Destination host unknown Source host isolated Network administratively prohibited Host administratively prohibited Network unreachable for TOS Host unreachable for TOS Communication administratively prohibited Host Precedence Violation Precedence cutoff in effect Source quench (congestion control) Redirect Datagram for the Network Redirect Datagram for the Host Redirect Datagram for the TOS & network Redirect Datagram for the TOS & host Alternate Host Address Reserved Echo request (used to ping) Router Advertisement Router discovery/selection/solicitation TTL expired in transit Fragment reassembly time exceeded Pointer indicates the error Missing a required option Bad length Timestamp Timestamp reply Information Request Information Reply Address Mask Request Address Mask Reply Reserved for security Reserved for robustness experiment Information Request Datagram Conversion Error Mobile Host Redirect Where-Are-You (originally meant for IPv6) Here-I-Am (originally meant for IPv6) Mobile Registration Request Mobile Registration Reply Domain Name Request Domain Name Reply SKIP Algorithm Discovery Protocol, Simple Key-Management for Internet Protocol Photuris, Security failures ICMP for experimental mobility protocols such as Seamoby [RFC4065] Reserved RFC3692-style Experiment 1 (RFC 4727) RFC3692-style Experiment 2 (RFC 4727) Reserved
Propiedades /ping [address] [properties] La herramienta ping puede usarse para para hacer ping a direcciones IP y a direcciones MAC. MAC ping funciona únicamente a dispositivos que tienen configurado el MAC ping server • • • • •
• • • •
arp-ping (yes | no; Default: ) count (integer [0..4294967295]; Default: 0) – Número total de paquetes a enviar (por default se envía eternamente hasta que se interrumpe el comando). do-not-fragment (; Default: ) – Si la etiqueta do-not-fragment está configurada, los paquetes no serán fragmentados si el tamaño excede el MTU de la interface. interface (string; Default: ) – Especifica cuál interface se debe usar (requerido cuando se ping a direcciones IPv6) interval (time [10ms..5s]; Default: 1s) – Especifica cuánto tiempo se debe esperar por la respuesta. Si no se recibe respuesta dentro de 1,000 mseg, el ping mostrará el mensaje “timed-out”. Si se recibe una respuesta después de 3 ms, el programa ping esperará el resto de los 997 ms hasta que se envíe el próximo ping. routing-table (string; Default: main) – Especifica la tabla de ruteo que se debe usar para resolver el destino. Se utiliza en configuraciones VRF size (integer; Default: 64) – Tamaño del paquete que se va a usar. Se mide en bytes (incluye el payload y la cabecera IP) src-address (IPv4,IPv6; Default: ) – Direcciones IPv4 / IPv6 que serán utilizadas como origen de los paquetes. Sumamente útil si la respuesta se debe enviar a una dirección específica ttl (integer [1..255]; Default: ) – Permite el ajuste del parámetro TTL
Academy Xperts
114
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Importante: Si el DNS está configurado, entonces se puede utilizar en nombre DNS como destino del ping Como usar un Ping En la ventana de Terminal del WinBox, lo podemos usar para realizar algún ping /ping www.mikrotik.com HOST SIZE TTL TIME STATUS 159.148.147.196 56 50 163ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 160ms Sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
Otros Ejemplos de ping /ping 10.1.101.3 HOST SIZE TTL TIME STATUS 10.1.101.3 56 64 3ms 10.1.101.3 56 64 10ms 10.1.101.3 56 64 7ms sent=3 received=3 packet-loss=0% min-rtt=3ms avg-rtt=6ms max-rtt=10ms /ping 10.1.101.9 HOST
SIZE
TTL TIME
sent=3 received=0 packet-loss=100%
STATUS timeout timeout timeout
También se puede hacer ping a una dirección multicast para descubrir todos los hosts que pertenecen al grupo multicast: /ping ff02::1 HOST SIZE TTL TIME STATUS fe80::20c:42ff:fe49:fceb 56 64 1ms echo reply fe80::20c:42ff:fe72:a1b0 56 64 1ms echo reply fe80::20c:42ff:fe28:7945 56 64 1ms echo reply fe80::21a:4dff:fe5d:8e56 56 64 3ms echo reply sent=1 received=4 packet-loss=-300% min-rtt=1ms avg-rtt=1ms max-rtt=3ms ping de paquetes grandes /ping 10.1.101.3 size=1600 do-not-fragment HOST SIZE TTL TIME STATUS 576 64 3ms fragmentation needed and DF set 576 64 6ms fragmentation needed and DF set sent=2 received=2 packet-loss=0% min-rtt=3ms avg-rtt=4ms max-rtt=6ms ping por nombre DNS /ping www.google.lv HOST SIZE TTL 74.125.77.99 56 47 74.125.77.99 56 47 sent=2 received=2 packet-loss=0% min-rtt=59ms
TIME STATUS 59ms 85ms avg-rtt=72ms max-rtt=85ms
ping a dirección MAC Academy Xperts
115
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
/ping 00:0C:42:72:A1:B0 HOST SIZE TTL TIME STATUS 00:0C:42:72:A1:B0 56 0ms 00:0C:42:72:A1:B0 56 0ms sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms
MAC ping /mac-server ping /tool mac-server ping set enabled=yes
Este sub menú permite habilitar el MAC ping server Cuando se habilita el MAC ping, otros hosts en el mismo dominio de broadcast pueden usar la herramienta ping para hacer ping a la dirección MAC.
Traceroute Traceroute es una herramienta de diagnóstico de red que muestra la ruta (path) y mide el retardo del tránsito de los paquetes a través de una red IP. El histórico de la ruta se registra como el tiempo de ida y vuelta (round-trip) de los paquetes recibidos desde cada host sucesivo (nodo remoto) en la ruta (path). La suma de los tiempos medios en cada salto indica el tiempo total empleado para establecer la conexión. Traceroute procede a menos que todos los paquetes (3 paquetes) que se envían, se pierdan más de dos veces, entonces se pierde la conexión y la ruta ya no puede evaluada. Por otro lado, el ping sólo calcula los tiempos finales de ida y vuelta desde el punto de destino. Traceroute envía una secuencia de paquetes UDP (User Datagram Protocol) direccionados al host destino. También puede usar paquetes ICMP Echo Request, o paquetes TCP SYN. El valor del TTL se utiliza para determinar los routers intermedios por los cuales se está atravesando hasta llegar al destino. Los routers disminuyen en uno los valores TTL de los paquetes y descartan los paquetes cuyos valores de TTL son cero. Cuando un router recibe un paquete con ttl=0, envía de retorno un mensaje de error ICMP que indica ICMP Time Exceeded. Los valores de fecha y hora de retorno de cada router a lo largo del camino son los valores de la demora (latencia). Este valor generalmente se mide en milisegundos para cada paquete.
Academy Xperts
116
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
/tool traceroute www.mikrotik.com # ADDRESS LOSS SENT LAST 100% 3 timeout 216.113.124.190 0% 3 13.9ms 12.2
AVG
BEST
WORST
11.1
13.9
1.2
STD-DEV
STATUS
El emisor espera una respuesta dentro de un número especificado de segundos. Si un paquete no es reconocido dentro del intervalo esperado, se muestra un asterisco (*). El protocolo IP no requiere que los paquetes tomen la misma ruta hacia un destino en particular, por lo tanto los hosts que se muestran podría ser hosts que otros paquetes han atravesado. Si el host en el salto #N no contesta, el salto se omite en la salida. Más información es: https://en.wikipedia.org/wiki/Traceroute
Profiler (Carga del CPU) /tools profile
Esta herramienta muestra el uso del CPU para cada proceso que se ejecuta en el RouterOS. Ayuda a identificar cuál proceso es el que utiliza más recursos de CPU. /tool profile NAME USAGE sstp 9% ppp 0.5% ethernet 0% queue-mgmt 0% console 0.5% dns 0% winbox 0% logging 0% management 1.5% ospf 0% idle 87.5% profiling 0.5% queuing 0% routing 0% Academy Xperts
117
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
bridging unclassified
0% 0.5%
Utilización del CPU en sistemas multi-core El sistemas multi-core la herramienta permite especificar la utilización por núcleo de CPU. Por ejemplo, para ver la utilización del CPU en un segundo núcleo se debe utilizar el siguiente comando: /tool profile cpu=2 NAME CPU USAGE ethernet 1 0% kvm 1 2.5% management 1 0.5% idle 1 96.5% profiling 1 0% unclassified 1 0.5% El parámetro cpu permite especificar el número entero el cual representa el número de core (núcleo) • •
total – Este valor configura la suma del uso de todos los núcleos all – Este valor muestra los usos de cpu separadamente para cada núcleo (core) activo
Ejemplo con ambos parámetros en un sistema de dos núcleos: /tool profile cpu=all NAME CPU USAGE ethernet 1 0% kvm 0 0% kvm 1 4.5% management 0 0% management 1 0.5% idle 0 100% idle 1 93% profiling 0 0% profiling 1 2% /tool profile cpu=total NAME CPU ethernet all console all kvm all management all idle all profiling all bridging all
USAGE 0% 0% 2.7% 0% 97.2% 0% 0%
Clasificadores Profile clasifica los procesos. La mayoría de ellos se explican por si solos y no requieren una explicación detallada. • • • • • • • • • • • • • • • • • • • • • • • • • •
idle – Muestra el tiempo NO usado del CPU. Es decir idle=100% - (suma de todos los procesos de uso de cpu) ppp pppoe ppp-compression ppp-mppe ethernet – CPU usado por las interfaces ethernet cuando envían/reciben paquetes bridging encrypting – CPU utilizado por la encriptación de paquetes ipsec – IP security queuing – packet queuing firewall – Procesamiento de los paquetes en /ip firewall l7-matcher – CPU utilizado por el matcher Layer7 p2p-matcher – Tráfico peer-to-peer en /ip firewall gre – Túneles GRE eoip – Túneles EoIP m3p – MikroTik Packet Packer Protocol radius ip-pool routing sniffing traffic-accounting traffic-flow console telnet ssh ftp
Academy Xperts
118
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
tfpt www dns snmp socks web-proxy winbox metarouter-fs metarouter-net kvm profiling – CPU utilizado por la propia herramienta profiler btest – Herramienta bandwidth test logging flash – CPU utilizado cuando se escribe a la NAND disk – CPU utilizado cuando se escribe en Disk networking – Procesamiento de paquetes en el core serial usb firewall-mgmt queue-mgmt e-mail fetcher backup graphing health isdn dhcp hotspot radv - IPv6 route advertisement ntp - NTP server/client ldp mpls pim - Multicast routing protocol igmp-proxy bgp ospf rip mme synchronous – CPU utilizado por las tarjetas síncronas gps user-manager wireless dude supout.rif – CPU utilizado por el creador del archivo supout.rif management – Procesos de administración de RouterOS que no caen en los otros clasificadores. Por ejemplo, cuando se agregan rutas al kernel, mensajes internos de intercambio entre aplicaciones RouterOS, etc. unclassified – Cualquier otros procesos que no han podido ser clasificados.
Torch El Torch es una herramienta de monitorización de tráfico en tiempo real que se puede utilizar para monitorear el tráfico a través de una interfaz. Se puede monitorear el tráfico clasificado por nombre de protocolo, dirección origen, dirección destino, puerto. La herramienta torch muestra el protocolo que se ha elegido y la tasa de datos tx/rx de cada uno de ellos.
Academy Xperts
119
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
El siguiente ejemplo monitorea el tráfico generado por el protocolo telnet, el cual pasa a través de la interface ether1: /tool torch ether1 port=telnet SRC-PORT DST-PORT TX RX 1439 23 (telnet) 1.7kbps 368bps Para ver qué protocolos se envían a través de ether1: /tool torch ether1 protocol=any-ip PRO.. TX RX tcp 1.06kbps 608bps udp 896bps 3.7kbps icmp 480bps 480bps ospf 0bps 192bps Para ver qué protocolos están enlazados al host 10.0.0.144/32 conectado a la interface ether1: /tool torch ether1 src-address=10.0.0.144/32 protocol=any PRO.. SRC-ADDRESS TX RX tcp 10.0.0.144 1.01kbps 608bps icmp 10.0.0.144 480bps 480bps
Graphing (Gráficos) Es una herramienta para monitorear en el tiempo varios parámetros RouterOS y pone los datos recogidos en gráficos. Esta herramienta puede mostrar gráficos de: • • • •
Estado de salud del RouterBOARD (voltaje y temperatura) Utilización de recursos (CPU, memoria y utilización de disco) Tráfico que pasa através de las interfaces Tráfico que pasa através de las colas simples (simple queue)
Graphing consiste de dos partes: • •
La primera parte recoge información La segunda parte muestra los datos en una página web
Para acceder a los gráficos, debe escribir en el web browser http://[Direccion_IP_Router]/graphs/ y luego elegir el gráfico que se desea visualizar.
Academy Xperts
120
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
/tool graphing • •
store-every (24hours | 5min | hour; Default: 5min) – Cuán frecuente se escriben los datos recolectados al drive del sistema page-refresh (integer | never; Default: 300) – Cuán frecuente se refresca la página de gráficos
Academy Xperts
121
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Interface Graphing /tool graphing interface Esta opción permite configurar en cuál interface las gráficas recogerán los datos de uso de ancho de banda.
Propiedades • • • • •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a la información de gráficos comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado interface (all | interface name; Default: all) – Define qué interfaces serán monitoreadas. all significa que se van a monitorear todas las interfaces. store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Queue Graphing /tool graphing queue Esta opción permite configurar en cuál cola simple (simple queue) las gráficas recogerán los datos de uso de ancho de banda.
Propiedades • • • • • •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a la información de gráficos allow-target (yes | no; Default: yes) – Define si se permite el acceso a los gráficos desde la dirección objetivo de la cola comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado simple-queue (all | queue name; Default: all) – Define qué colas serán monitoreadas. all significa que se van a monitorear todas las colas. store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Importante: Si la cola simple (simple queue) tiene un target-address=0.0.0.0/0 entonces todos estarán habilitados para acceder a los gráficos de las colas incluso si la dirección permitida se configura con una dirección específica. Esto ocurre porque los gráficos de la cola por default son accesibles también desde la dirección objetivo (target address).
Resource Graphing /tool graphing resource Esta opción permite habilitar los gráficos de los recursos del sistema.
Graphing recolecta los datos de:
Academy Xperts
122
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
• • •
Uso de CPU Uso de Memoria Uso de Disco
Propiedades • • • •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a la información de gráficos comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Graphics en WinBox WinBox permite visualizar la misma data r ecolectada como en el web page. Debe abrir la ventana en Tools/Graphing. Luego debe hacer doble-click de lo que desea ver las gráficas
SNMP Simple Network Management Protocol (SNMP) es un protocolo de Internet estándar que se utiliza para la gestión de dispositivos en las redes IP. Puede utilizarse para graficar la información con herramientas como CACTI, MRTG o The Dude.
El soporte para la escritura en SNMP (SNMP write) está únicamente disponible para algunos OIDs. El soporte para write está disponible en los OIDs de SNMP v1, v2 o v3. Importante: SNMP responderá a la consulta en la interface SNMP que fue recibia de forzar las respuestas a tener la misma dirección que el destino de consulta enviado al router. Importante: A partir de SNMP 6.18 se implementa el OID blacklisting. El tiempo de espera del OID es 30 segundos cuando está en lista negra por 600 segundos.
Configuración rápida Para habilitar SNMP en RouterOS usando CLI /snmp print enabled: no contact: location: engine-id: trap-community: (unknown) trap-version: 1 /snmp set enabled yes En la configuración previa también se puede especificar la información del contacto administrativo. Toda la data SNMP estará disponible a las comunidades configuradas en el menú community Para habilitar SNMP en RouterOS usando WinBox
Academy Xperts
123
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Propiedades generales /snmp • • •
• • •
• • •
contact (string; Default: "") – Información de contacto enabled (yes | no; Default: no) – Permite habilitar/deshabilitar el servicio SNMP engine-id (string; Default: "") – Para SNMP v3. Se puede configurar parte del sufijo del engine-id usando este argumento. Si el cliente SNMP no es capaz de detectar el valor configurado de engine-id, entonces se debe usar el siguiente prefijo hexadecimal 0x80003a8c04 location (string; Default: "") – Información de la ubicación trap-community (string; Default: public) – Especifica las comunidades configuradas en el menú community que se usarán cuando se envíe el trap trap-generators (interfaces | start-trap; Default: ) – Especifica la acción que generarán los traps: § interfaces – Cambia la interface § start-trap – Inicia el server SNMP en el router trap-interfaces (string | all; Default: ) – Lista de las interfaces que los traps van a enviar trap-target (list of IP/IPv6; Default: 0.0.0.0) – Direcciones IPv4 o IPv6 de colectores de datos SNMP que tienen que recibir el trap trap-version (1|2|3; Default: 1) – Versión del protocolo SNMP para usar el trap
Importante: El campo engine-id mantiene el valor sufijo de engine-id, usualmente los clientes SNMP deberían estar habilitados para detectar el valor, como valores SNMP, como se lee desde el router. Sin embargo existe una posibilidad de que este no sea el caso. En cuyo caso el valor engine-id tiene que ser seleccionado de acuerdo a la siguiente regla: + , Por ejemplo, si se tiene configurado 1234 como valor sufijo entonces se debe proveer 80003a8c04 + 31323334, siendo el resultado del valor hexadecimal combinado: 80003a8c0431323334
SNMP dentro del mapa de Protocolos TCP/IP
Academy Xperts
124
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Community (Comunidad) /snmp community Esta opción permite configurar los derechos de acceso a la data SNMP. Existe poca seguridad en las versiones v1 y v2c, únicamente la cadena de texto de comunidad (username) y la habilidad para limitar el acceso por dirección IP.
A partir de SNMP v3 se han introducido mejores opciones: • •
Authorisation (User + Pass) con MD5/SHA1 Encryption con DES (y a partir de la versión v6.16 se introdujo AES)
/snmp community print value-list name: public address: 0.0.0.0/0 Academy Xperts
125
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
security: read-access: write-access: authentication-protocol: encryption-protocol: authentication-password: encryption-password:
none yes no MD5 DES ***** *****
Advertencia: Las configuraciones por default únicamente tienen una comunidad llamada public sin configuraciones de seguridad adicionales. Estas configuraciones deben ser consideradas inseguras y deberían ser ajustadas de acuerdo al perfil de seguridad requerido. Propiedades • • • • • • • • •
address (IP/IPv6 address; Default: 0.0.0.0/0) – Direcciones desde las cuales las conexiones al servidores SNMP está permitido authentication-password (string; Default: "") – Contraseña usada para autenticar la conexión al servidor (SNMPv3) authentication-protocol (MD5 | SHA1; Default: MD5) – Protocolo que se usa para autenticación (SNMPv3) encryption-password (string; Default: "") – Contraseña usada para encriptación (SNMPv3) encryption-protocol (DES | AES; Default: DES) – Protocolo de encriptación utilizado para encriptar la comunicación (SNMPv3). AES (de acuerdo al RFC-3826) está disponible desde v6.16. name (string; Default: ) read-access (yes | no; Default: yes) – Especifica si el acceso de lectura está habilitado para esta comunidad security (authorized | none | private; Default: none) write-access (yes | no; Default: no) – Especifica si el acceso escritura está habilitado para esta comunidad
Management information base (MIB) MIB es la base de datos de información mantenida por el agente que el administrador puede consultar. Se puede descargar la versión actualizada del MIB de MikroTik RouterOS. MIBs usados en RouterOS v5.x: • • • • • • • • • • • • •
MIKROTIK-MIB MIB-2 HOST-RESOURCES-MIB IF-MIB IP-MIB IP-FORWARD-MIB IPV6-MIB BRIDGE-MIB DHCP-SERVER-MIB CISCO-AAA-SESSION-MIB ENTITY-MIB UPS-MIB SQUID-MIB
Identificadores de Objetos (OID - Object identifiers) Cada OID identifica una variable que puede ser leída vía SNMP. Aunque el archivo MIB contiene todos los valores OID necesitados, se puede visualizar la información OID individual en la consola: /interface print oid Flags: D - dynamic, X - disabled, R - running, S - slave 0 R name=.1.3.6.1.2.1.2.2.1.2.1 mtu=.1.3.6.1.2.1.2.2.1.4.1 mac-address=.1.3.6.1.2.1.2.2.1.6.1 admin-status=.1.3.6.1.2.1.2.2.1.7.1 oper-status=.1.3.6.1.2.1.2.2.1.8.1 bytes-in=.1.3.6.1.2.1.2.2.1.10.1 packets-in=.1.3.6.1.2.1.2.2.1.11.1 discards-in=.1.3.6.1.2.1.2.2.1.13.1 errors-in=.1.3.6.1.2.1.2.2.1.14.1 bytes-out=.1.3.6.1.2.1.2.2.1.16.1 packets-out=.1.3.6.1.2.1.2.2.1.17.1 discards-out=.1.3.6.1.2.1.2.2.1.19.1 errors-out=.1.3.6.1.2.1.2.2.1.20.1
Traps Los traps SNMP habilitan el router para notificar al colector de data de los cambios de interface y los cambios de estatus de servicio SNMP cuando se envían los traps. Academy Xperts
126
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Es posible enviar traps con características de seguridad para soportar SNMPv1 (sin seguridad). SNMPv2 y variantes y SNMPv3 con encriptación y autorización. Para SNMPv2 y v3 se debe configurar una comunidad apropiada como un trap-community para habilitar las características requeridas (contraseña o encriptación/autorización).
SNMP write A partir de RouterOS v3, se soporta SNMP write para algunas funciones. SNMP write permite cambiar la configuración del router con requerimientos SNMP. Se debe considerar asegurar el acceso al router o al SNMP de los routers, cuando el SNMP y write-access están habilitados. Para cambiar las configuraciones de requerimientos SNMP, se debe usar el comando especificado a continuación, para permitir SNMP write para la comunidad seleccionada. La opción write-access para SNMP está disponible desde v3.14 /snmp community set write-access=yes System Identity Se puede cambiar la identidad de sistema del router configurando el comando SNMP snmpset -c public -v 1 192.168.0.0 1.3.6.1.2.1.1.5.0 s New_Identity • • • •
snmpset – Aplicación SNMP usada para los requerimientos SNMP SET para configurar la información en una entidad de red public – Nombre de la comunidad del router 192.168.0.0 – Dirección IP del router 1.3.6.1.2.1.1.5.0 – Valor SNMP de la identidad del router
El comando SNMPset es igual al comando RouterOS /system identity set identity=New_Identity Reboot Se puede hacer un reboot al router con el comando SNMP set. Para esto se necesita configurar el valor de reboot para la configuración SNMP, el cual no es igual a 0 snmpset -c public -v 1 192.168.0.0 1.3.6.1.4.1.14988.1.1.7.1.0 s 1 • •
1.3.6.1.4.1.14988.1.1.7.1.0 – Valor SNMP para el reboot del router s 1 – Comando snmpset para configurar el valor. El valor no debería ser igual a 0
El comando snmpset es igual al comando RouterOS /system reboot Run Script SNMP write permite ejecutar scripts en el router desde el menú script del sistema. snmpset -c public -v 1 192.168.0.0 1.3.6.1.4.1.14988.1.1.8.1.1.3.X s 1 • •
X – Número del script. La numeración empieza desde 1 s 1 – Comando snmpset command para configurar el valor. El valor no debería ser igual a 0
El mismo comando en RouterOS /system script print Flags: I - invalid 0 name="kaka" owner="admin" policy=ftp,reboot,read,write,policy, test,winbox,password,sniff last-started=jan/01/1970 01:31:57 run-count=23 source=:beep /system script run 0
System identity A pesar de que no es una herramienta, es importante para establecer la identidad del sistema • • •
No se puede establecer a 100 router y que todos tengan el mismo nombre “Mikrotik”. Esto hace casi imposible la resolución de problemas. Una vez establecido, se hará la identificación del router con el cual se está trabajando y hará mucho más simple la identificación Sintaxis /system identity print Name: Mikrotik
Academy Xperts
127
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
/system identity set name=my-router /system identity print Name: my-router
IP Neighbor El protocolo MNDP (MikroTik Neighbor Discovery Protocol) permite encontrar/descubrir otros protocolos compatibles con MNDP o CDP (Cisco Discovery Protocol) que estén en el mismo dominio de broadcast en Capa 2 (Layer 2). /ip neighbor Este sub-menú enumera todos los vecinos descubiertos en el mismo dominio de broadcast (Capa 2). Muestra a cual interface está conectado el vecino, muestra su dirección IP, su dirección MAC, y varios parámetros relacionados con Mikrotik. Las listas son solo de lectura.
En este ejemplo, se pueden ver varios RouterBoard y dos routers de cisco. /ip Neighbor > print # INTERFACE ADDRESS MAC-ADDRESS IDENTITY 0 ether13 192.168.33.2 00:0C:42:00:38:9F MikroTik 1 ether11 1.1.1.4 00:0C:42:40:94:25 test-host 2 local 10.0.11.203 00:02:B9:3E:AD:E0 c2611-r1 3 local 10.1.11.47 00:0C:42:84:25:BA 11.47-750 4 local 10.0.11.254 00:0C:42:70:04:83 tsys-sw1 5 local 10.0.11.202 00:17:5A:90:66:08 c7200
VERSION 5.99 5.8 cisco 5.7 5.8 Cisco
BOARD RB1100AHx RB1000 I... RB750 RB750G I...
Propiedades • • • • • • •
address (IP) – Muestra la dirección IP más alta configurada en un dispositivo descubierto address6 (IPv6) – Muestra la dirección IPv6 más alta configurada en un dispositivo descubierto age (time) – Intervalo de tiempo desde el último paquete de descubrimiento board (string) – Modelo del RouterBOARD. Muestra únicamente los dispositivos que tienen instalado RouterOS identity (string) – Muestra la identidad de sistema interface (string) – Nombre de la interface a la cual está conectado el dispositivo que se ha descubierto interface-name (string) – Nombre de la interface en el dispositivo vecino que está conectado la mismo dominio de broadcast en Capa 2. Aplica también para equipos que corren CDP
Academy Xperts
128
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
• • • • • • •
ipv6 (yes | no) – Indica si el dispositivo tiene habilitado IPv6 mac-address (MAC) – Dirección MAC del dispositivo remoto. Puede ser utilizado para conectar con mac-telnet platform (string) – Nombre de la plataforma. Por ejemplo MikroTik, Cisco, etc. software-id (string) – Software ID del RouterOS en un dispositivo remoto. Aplica únicamente a dispositivos que tienen instalado RouterOS unpack (none|simple|uncompressed-headers|uncompressed-all) – Muestra el tipo de compresión del paquete de descubrimiento uptime (time) – Tiempo de actividad del dispositivo remoto. Muestra únicamente a los dispositivos con RouterOS instalado. version (string) – Número de versión del software instalado en un dispositivo remoto
IP Neighbor discovery /ip neighbor discovery En este menú se puede cambiar el estado de la interface para especificar si participa o no en el proceso del descubrimiento de vecino (neighbor discovery). Si se decide que la interface participe, se enviará información básica sobre el sistema y procesa los paquetes descubiertos recibidos por medio de broadcast en una red Capa 2. Se muestran las interfaces que son administradas automáticamente por el RouterOS. Los ítems no pueden ser removidos ni agregados. Las configuraciones por default dependen del tipo de interface y el estado actual. Propiedades • • • •
comment (string; Default: ) – Muestra una descripción corta disabled (yes | no; Default: ) – Especifica si el ítem se deshabilita y no participa en el proceso de enviar/recibir del descubrimiento de información. Esta opción se agregó en la versión v5.x Whether item is disabled and do not participate in sending/receiving of discovery information. Added in v5.x discover (yes | no; Default: ) - Especifica si el ítem se deshabilita y no participa en el proceso de enviar/recibir del descubrimiento de información. Esta opción se agregó en la versión v5.x para mantener la compatibilidad con scripts viejos.
/ip neighbor discovery settings Propiedades
Academy Xperts
129
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
default (yes | no; Default: yes) – Especifica si se va a permitir el envío/recepción de información de descubrimiento en las interfaces dinámicas. Esta opción se agregó en la versión 6.x /ip neighbor discovery settings print default: yes default-for-dynamic: no
Ponerse en contacto con Soporte MikroTik Supout.rif El archivo de soporte se utiliza para depurar MikroTik RouterOS y para resolver las preguntas de soporte más rápido. Toda la información del Router MikroTik se guarda en un archivo binario, que se almacena en el router y puede ser descargado desde el router mediante ftp. Se puede revisar el contenido de este archivo en su cuenta de MikroTik, simplemente debe ir a la sección Supout.rif y cargar el archivo. Este archivo (supout.rif) contiene la configuración del router, los registros (logs) y otros detalles que ayudarán al grupo de soporte de MikroTik para resolver su problema.
Sintaxis Lo hacemos con el siguiente comando en “Terminal” /system sup-output Created: 14% --[Q quit|D dump|C-z pause] /system sup-output Created: 100% --[Q quit|D dump|C-z pause] Una vez que se complete la carga al 100% podremos ver el archivo en “Files”
Supout.rif Viewer Para acceder al Supout.rif Viewer solo tienes que acceder a tu cuenta Mikrotik. Usted debe tener una cuenta (es una buena idea tener una de todos modos)
El primer paso es localizar y cargar el archivo que ha generado
Academy Xperts
130
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Autosupout.rif • •
Un archivo se puede generar de forma automática en caso de fallo de software (ex Kernel Panic o el sistema deja de responder durante un minuto.) Hecho a través del organismo de control (sistema)
Academy Xperts
131
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Registros (logging) del sistema y registros de depuración RouterOS es capaz de registrar (log) diversos eventos del sistema y la información del estatus. Los registros (log) se pueden guardar en la memoria RAM de los routers, en un disco, en un archivo, pueden ser enviados por correo electrónico o incluso enviarse a un servidor remoto de registro del sistema. Este último se conoce como syslog y está acorde con el RFC 3164. Syslog corre sobre UDP 514 /log Todos los mensajes almacenados en la memoria local del router se pueden imprimir desde el menú / log. Cada entrada contiene la fecha y hora cuando se produjo el evento, los temas que pertenecen a este mensaje, y el mensaje en sí mismo. Si los registros se muestran en la misma fecha en que se agrega la entrada de registro, entonces únicamente se mostrará el tiempo.
En el siguiente ejemplo el comando mostrará todos los mensajes donde uno de los tópicos es info y detectará nuevas entradas hasta que se presiona Ctrl+C /log print follow where topics~".info" 12:52:24 script,info hello from script -- Ctrl-C to quit. Cuando se usa print se puede utilizar el modo follow. Esto ocasionará que cada vez que cada vez que se presione la barra espaciadora en el teclado, se insertará un separador /log print follow where topics~".info" 12:52:24 script,info hello from script = = =
= = =
= = =
= = =
= = =
= = =
= = =
= = =
= = =
-- Ctrl-C to quit.
Configuración del Logging /system logging • • •
action (name; Default: memory) – Especifica una de las acciones por default del sistema, o las acciones especificadas por el usuario en el menú actions prefix (string; Default: ) – Prefijo que se puede agregar al inicio de los mensajes de registro topics (account, async, backup, bgp, calc, critical, ddns, debug, dhcp, e-mail, error, event, firewall, gsm, hotspot, igmp-proxy, info, ipsec, iscsi, isdn, l2tp, ldp, manager, mme, mpls, ntp, ospf, ovpn, packet, pim, ppp, pppoe, pptp, radius, radvd, raw, read, rip, route, rsvp, script, sertcp, state, store, system, telephony, tftp, timer, ups, warning, watchdog, web-proxy, wireless, write; Default: info) – Registra todos los mensajes que caen en el tópico especificado o en la lista de tópicos. Se puede utilizar el carácter “!” antes del tópico para excluir los mensajes que caen ese tópico. El signo “!” es la negación lógica. Por ejemplo, si se desea registrar los eventos NTP pero sin mucho detalles se puede escribir /system logging add topics=ntp,debug,!packet
Academy Xperts
132
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Actions /system logging action • • • • •
• • •
• • • • • •
•
bsd-syslog (yes|no; Default: ) – Especifica si se usa el bsd-syslog según se define en RFC-3164 disk-file-count (integer [1..65535]; Default: 2) – Especifica el número de archivos que se utilizarán para guardar los mensajes de registro (log). Se aplica únicamente si action=disk disk-file-name (string; Default: log) – Nombre del archivo que se usará para guardar los mensajes de registro (log). Se aplica únicamente si action=disk disk-lines-per-file (integer [1..65535]; Default: 100) – Especifica el tamaño máximo del archivo en número de líneas. Se aplica únicamente si action=disk disk-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log) en disco luego de que se han alcanzado los valores especificados en disk-lines-per-file y disk-file-count. Se aplica únicamente si action=disk email-to (string; Default: ) – Dirección email hacia donde se enviarán los registros. Se aplica únicamente si action=email memory-lines (integer [1..65535]; Default: 100) – Especifica el número de registros en el buffer de memoria local. Se aplica únicamente si action=memory memory-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log) en memoria luego de que se han alcanzado los valores especificados en memory-lines. Se aplica únicamente si action=memory name (string; Default: ) – Nombre de la acción (action) remember (yes|no; Default: ) – Especifica si se debe mantener los mensajes de registro que aún no se han mostrado en consola. Se aplica únicamente si action=echo remote (IP/IPv6 Address[:Port]; Default: 0.0.0.0:514) – Especifica la dirección IP/IPv6 del servidor de registro remoto (syslog server) y el número de puerto UDP. Se aplica únicamente si action=remote src-address (IP address; Default: 0.0.0.0) – Dirección origen que se utiliza cuando se envían paquetes al servidor remoto syslog-facility (auth, authpriv, cron, daemon, ftp, kern, local0, local1, local2, local3, local4, local5, local6, local7, lpr, mail, news, ntp, syslog, user, uucp; Default: daemon) syslog-severity (alert, auto, critical, debug, emergency, error, info, notice, warning; Default: auto) – Nivel de indicador de severidad definido en RFC-3164: § Emergency: system is unusable § Alert: action must be taken immediately § Critical: critical conditions § Error: error conditions § Warning: warning conditions § Notice: normal but significant condition § Informational: informational messages § Debug: debug-level messages target (disk, echo, email, memory, remote; Default: memory) – Facilidad de almacenamiento o destino de los mensajes de registro (log) § disk - logs are saved to the hard drive § echo - logs are displayed on the console screen § email - logs are sent by email § memory - logs are stored in local memory buffer § remote - logs are sent to remote host
Importante: Las accione spor default no se pueden eliminar ni cambiar de nombre
Academy Xperts
133
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Tópicos Cada entrada de registro (log) tiene un tópico que describe el origen del mensaje de registro. Por lo tanto puede haber más de un tópico asignado a dicho mensaje de registro. Por ejemplo OSPF depura los registros que tienen 4 diferentes tópicos: route, ospf, debug y raw. 11:11:43 route,ospf,debug SEND: Hello Packet 10.255.255.1 -> 224.0.0.5 on lo0 11:11:43 route,ospf,debug,raw PACKET: 11:11:43 route,ospf,debug,raw 02 01 00 2C 0A FF FF 03 00 00 00 00 E7 9B 00 00 11:11:43 route,ospf,debug,raw 00 00 00 00 00 00 00 00 FF FF FF FF 00 0A 02 01 11:11:43 route,ospf,debug,raw 00 00 00 28 0A FF FF 01 00 00 00 00 Lista de opciones independiente de los tópicos: • • • • • • •
critical – Las entradas de registro marcadas como críticas. Estas entradas de registro se muestran en consola cada vez que el usuario hace log in debug – Depura las entradas de registro error – Mensajes de error info – Entrada de registro informativa packet – Entrada de registro que muestra el contenido de los paquetes enviados/recibidos raw – Entrada de registro que muestra el contenido crudo (raw) de los paquetes enviados/recibidos warning – Mensaje de Advertencia.
Tópicos usados por varias facilidades de RouterOS • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
account – Registra los mensajes generados por la opción accounting async – Registra los mensajes generados por los dispositivos asíncronos backup – Registra los mensajes generados por la opción de creación de backup bfd – Registra los mensajes generados por el protocolo Routing/BFD bgp – Registra los mensajes generados por el protocolo Routing/BGP calc – Registra los mensajes del cálculo de rutas ddns – Registra los mensajes generados por la herramienta Tools/Dynamic DNS dhcp – Registra los mensajes generados por el cliente DHCP, server y relay e-mail – Registra los mensajes generados por la herramienta Tools/email event - Registra los mensajes generados por el evento de routing. Por ejemplo, cuando una nueva ruta se ha instalado en la tabla de ruteo. Firewall - Registra los mensajes generados por el firewall cuando se configura action=log Gsm – Registra los mensajes generados por los dispositivos GSM Hotspot – Registra los mensajes relacionados con HotSpot igmp-proxy – Registra los mensajes generados con IGMP Proxy ipsec – Entradas de registro IpSec iscsi isdn l2tp – Registra los mensajes generados por Interface/L2TP cliente y servidor ldp – Registra los mensajes generados por el protocolo MPLS/LDP manager – Registra los mensajes generados por User Manager mme – mensajes de protocolo de ruteo MME mpls – Mnesajes MPLS ntp – Registra los mensajes generados por el cliente sNTP ospf – Registra los mensajes generados por el protocolo de ruteo Routing/OSPF ovpn – Registra los mensajes generados por el túnel OpenVPN pim – Registra los mensajes generados por Multicast PIM-SM ppp – Registra los mensajes generados por la opción ppp pppoe – Registra los mensajes generados por PPPoE server/client pptp – Registra los mensajes generados por PPTP server/client radius – Registra los mensajes generados por RADIUS Client radvd – Registra los mensajes generados por el IPv6 radv deamon read – Mensajes de la herramienta SMS rip – Mensajes del protocolo de ruteo RIP route – Registra los mensajes generados por la opción de ruteo rsvp – Mensajes generados por el Protocolo de Reservación de Recurso (Resource Reservation Protocol) script - Registra los mensajes generados por los scripts sertcp – Registra los mensajes relacionados por la opción responsable de /ports remote-access simulator state – Mensajes de estado de routing y del cliente DHCP store – Registra los mensajes generados por la opción store system – Mensaje genéricos del sistema
Academy Xperts
134
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
• • •
telephony tftp – Mensajes generados por el servidor TFTP timer – Registra los mensajes relacionados a los timers usados en RouterOS. Por ejemplo los registros (log) keepalive bgp 12:41:40 route,bgp,debug,timer KeepaliveTimer expired 12:41:40 route,bgp,debug,timer RemoteAddress=2001:470:1f09:131::1
• • • • •
ups – Mensajes generados por la herramientas de monitoreo UPS watchdog – Registra los mensajes generados por watchdog web-proxy – Registra los mensajes generados por web proxy wireless – Registra los mensajes generados por Interface/Wireless write – Mensajes de la herramienta SMS
Bandwidth Test Es una herramienta que nos permite medir el throughput de otro router MikroTik (cable o wireless) ayudando asi a descubrir redes con cuello de botella. Trabaja con los protocolos TCP y UDP para hacer los test. Nota: Bandwidth test usa bastantes recursos del router. Si queremos hacer un test real con lo que respecta al throughput de un router, deberíamos ejecutar el bandwidth test a través del router y no probarlo en el origen y destino.
Bandwidth Test Server /tool bandwidth-server Configuracion Bandwidth Server /tool bandwidth-server print enabled: yes authenticate: yes allocate-udp-ports-from: 2000 max-sessions: 100 Activar sesiones /tool bandwidth-server session print # CLIENT PROTOCOL DIRECTION 0 35.35.35.1 udp send 1 25.25.25.1 udp send 2 36.36.36.1 udp send
USER admin admin admin
Para habilitar bandwidth test sin ningún cliente /tool bandwidth-server set enabled=yes authenticate=no /tool bandwidth-server print enabled: yes authenticate: no allocate-udp-ports-from: 2000 max-sessions: 100
Bandwidth Test Client /tool bandwidth-test
Academy Xperts
135
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Propiedades • • • • • • • • •
• • • •
address (IP address | IPv6 prefix[%interface]; Default:): Dirección IP del host direction (both | receive | transmit; Default: receive): Dirección de datos flotantes duration (time; Default: ): Duración del test interval (time: 20ms..5s; Default: 1s): Retardo entre reportes (en segundos) local-tx-speed (integer 0..4294967295; Default: ): Transferencia máxima de velocidad del test (bits por segundo) local-udp-tx-size (integer: 28..64000): Tamaño de transmisión de paquetes locales en bytes password (string; Default: ""): Contraseña del usuario remoto protocol (udp | tcp; Default: udp): Protocolo a usar random-data (yes | no; Default: no): Si los datos aleatorios se ponen “yes”, la carga útil de los paquetes del test del ancho de banda tendrá datos del stream aleatorios que serán incomprensibles, de modo que estos enlaces que utilizan la compresión de datos no distorsionaran los resultados. remote-tx-speed (integer 0..4294967295; Default: ): Recibe la velocidad máxima del test (bits por segundo) remote-udp-tx-size (integer: 28..64000): Tamaño de transmisión del paquete en bytes. tcp-connection-count (integer 1..100; Default: 20): Número de conexiones TCP usadas. user (string; Default: ""): Usuario remoto
Ejemplo Ejecutar el bandwidth test por 15 segundos al host 10.0.0.32 enviando y recibiendo paquetes UDP de 1000 byte y con nombre de usuario admin para conectarse: /tool bandwidth-test 10.0.0.32 duration=15s \ \... direction=both local-udp-tx-size=1000 protocol=udp \ \... remote-udp-tx-size=1000 user=admin status: done testing duration: 15s tx-current: 272.8Mbps tx-10-second-average: 200.3Mbps tx-total-average: 139.5Mbps rx-current: 169.6Mbps rx-10-second-average: 164.8Mbps rx-total-average: 117.0Mbps lost-packets: 373 random-data: no direction: both tx-size: 1000 rx-size: 1000
Ping Speed El ping speed usa dos estandares de echo-request por Segundo. El tiempo entre los pings puede cambiar. La variación del tamaño del paquete ping hace posible aproximadamente evaluar los parámetros de conexión y la velocidad con diferente tamaño del paquete. Características Puede ser usado aproximadamente para evaluar el troughput de cualquier computador remoto, además nos ayuda a descubrir redes con cuello de botella. Permite evaluar los parámetros de conexión y la velocidad con diferentes tamaños de paquetes.
Propiedades • • • •
do (name) Asignación del nombre del escribir para empezar first-ping-size (integer: 32..64000; default: 32) Primer tamaño del paquete ICMP second-ping-size (integer: 32..64000; default: 1500) segundo tamaño del paquete ICMP time-between-pings (integer) El tiempo entre el primer y segundo ICMP echo-requests en segundos. Un nuevo par de paquetes ICMP nunca serán enviados antes de que el par anterior este completamente enviado y el algoritmo nunca se enviara más de dos solicitudes en un segundo
Academy Xperts
136
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
• •
Once: Especifica cual será el desempeño del ping solo una vez interval (time: 20ms..5s): Intervalo de tiempo entre dos repeticiones de ping.
SMS Permite conectarse a través de un modem GSM a un dispositivo RouterOS para así recibir y enviar mensajes sms.
Propiedades para enviar un mensaje • •
• • • •
port (string) - Nombre del puerto/lista de puerto del modem GSM esta conectado. phone-number (string) - Numero de teléfono del destinatario. Los caracteres permitidos son "0123456789*#abc". Si el primer caracter es "+" luego el tipo de numero de teléfono permitido es internacional, de lo contrario se establece como desconocido. channel (integer) - Cual canal del modem usar para luego enviar. message (string) - Contenido del mensaje. Este es codificado usando GSM 7 de codificación (UCS2 no se admite actualmente), por lo que la longitud del mensaje está limitado a 160 caracteres (caracteres ^ {} \ [] ~ smsc (string) type (string) - Si se permite la class-0, luego envía un SMS class 0. Esta es desplegada y no se almacena inmediatamente en el teléfono.
Propiedades para recibir un mensaje Antes de que un router pueda recibir SMS, es necesaria la configuración correspondiente en el menú /tool sms. • • • • • •
allowed-number (string; Default: "") - Número del remitente que se le permitirá ejecutar comandos, debe especificar el código del país, es decir. + 371XXXXXXX channel (integer; Default: 0) - Cual canal del modem usar para luego recibir. keep-max-sms (integer; Default: 0) - Numero máximo de mensajes que serán guardados. Si se permite un tamaño mas grande de lo que soporta la SIM, no se recibirán nuevos mensajes. port (string; Default: (unknown)) - Puerto del modem (el modem puede ser usado solo por un proceso /port print) receive-enabled (yes | no; Default: no) - Debe habilitarse para recibir los mensajes. secret (string; Default: "") - La contraseña secreta es obligatoria.
Ejemplo de enviar un mensaje /tool sms send usb3 "20000000" \ message="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz!@#\$%^&*(){}[]\"'~"
Packet Sniffer Captura el tráfico y analiza los paquetes que van a salir y pasar a través del router. Propiedades • • • •
file-limit (integer 10..4294967295[KiB]; Default: 1000KiB) - Tamaño limite del archivo. Sniffer parara solo cuando el limite es alcanzado. file-name (string; Default: ) - Nombre del archivo como el paquete será sniffeado. filter-ip-address (ip/mask[,ip/mask] (max 16 items); Default: ) - Máximo de 16 direcciones ip se utilizan como filtro. filter-mac-address (mac/mask[,mac/mask] (max 16 items); Default: ) - Máximo 16 direcciones MAC y mascaras de direcciones MAC se utilizan como filtro.
Academy Xperts
137
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
• •
•
• • • • • • • •
filter-port ([!]port[,port] (max 16 items); Default: ) - Máximo 16 entradas separadas por coma se utilizan como filtro. filter-ip-protocol ([!]protocol[,protocol] (max 16 items); Default: ) - Máximo 16 entradas separadas por coma se utilizan como filtros de protocolos Ip (en vez de nombres de protocolos, puede usarse el numero del protocolo). § ipsec-ah - IPsec AH protocol § ipsec-esp - IPsec ESP protocol § ddp - datagram delivery protocol § egp - exterior gateway protocol § ggp - gateway-gateway protocol § gre - general routing encapsulation § hmp - host monitoring protocol § idpr-cmtp - idpr control message transport § icmp - internet control message protocol § icmpv6 - internet control message protocol v6 § igmp - internet group management protocol § ipencap - ip encapsulated in ip § ipip - ip encapsulation § encap - ip encapsulation § iso-tp4 - iso transport protocol class 4 § ospf - open shortest path first § pup - parc universal packet protocol § pim - protocol independent multicast § rspf - radio shortest path first § rdp - reliable datagram protocol § st - st datagram mode § tcp - transmission control protocol § udp - user datagram protocol § vmtp - versatile message transport § vrrp - virtual router redundancy protocol § xns-idp - xerox xns idp § xtp - xpress transfer protocol filter-mac-protocol ([!]protocol[,protocol] (max 16 items); Default: ) - Máximo de 16 entradas separadas por comas se utilizan como filtro. Protocolos Mac pueden también ser especificados por números. § arp - Address Resolution Protocol § ip - Internet Protocol § ipv6 - Internet Protocol next generation § ipx - Internetwork Packet Exchange § rarp - Reverse Address Resolution Protocol filter-stream (yes | no; Default: yes) - Los paquetes sniffeados que son creados por el servidor sniffer serán ignorados. filter-direction (any | rx | tx; Default: ) - Especificar en que filtrado de dirección será aplicado interface (all | name; Default: all) Nombre de la interface en el cual estará ejecutándose el sniffer. all indica que sniffer, será el encargado de sniffear los paquetes en todas las interfaces. memory-limit (integer 10..4294967295[KiB]; Default: 100KiB) - Cantidad de memoria usada para almacenar los datos sniffeados. memory-scroll (yes | no; Default: yes) - Si desea reescribir mayores datos sniffeados cuando se alcanza el límite de memoria. only-headers (yes | no; Default: no) - Guardar en la memoria solo las cabeceras de los paquetes, no todo el paquete. streaming-enabled (yes | no; Default: no) - Definir si desea enviar paquetes sniffeados mediante streaming al servidor. streaming-server (IP; Default: 0.0.0.0) - Tazmen Sniffer Protocol (TZSP) stream de destino.
Academy Xperts
138
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Packet Sniffer Settings (General)
Packets
IP-Scan Permite al usuario escanear las redes basándose en los prefijos de las redes o ya sea por las configuraciones de las interfaces escucha (listen). Propiedades • • • • • •
address (string; Default: ) - Dirección Ip del dispositivo de red. mac-address (string; Default: ) - Dirección MAC del dispositivo de red. time (integer in ms; Default: ) - Tiempo de respuesta del dispositivo de red cuando es encontrado DNS (string; Default: ) - Nombre de DNS del dispositivo de red. SNMP (string; Default: ) - Nombre SNMP del dispositivo. NET-BIOS (string; Default: ) - Nombre de NET-BIOS del dispositivo, si es anunciado por el dispositivo.
Como usarlo: Cuando se usa el Ip-scan se debe de escoger que es lo que se desea escanear: • •
Prefijo IPv4 Interface del router
Academy Xperts
139
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Telnet Telnet permite conectarse remotamente a otra máquina para poder manejarla en modo terminal, pero de una manera no segura ya que la información viaja en texto plano. Propiedades •
address (string) : Dirección IP del dispositivo a conectarse
SSH Ssh también se conecta remotamente a otra máquina para manejarla, la diferencia es que se conecta mediante un interprete de comandos y la información viaja cifrada. Propiedades • •
address (string) - Dirección IP del dispositivo a conectarse user (string) - Usuario del dispositivo a conectarse
MAC Telnet Mac Telnet provee acceso a un router que no tiene permitida una dirección Ip y solamente es posible realizarlo entre dos routers MikroTik RouterOS. Propiedades •
mac-address (string) - Dirección Mac del dispositivo a conectarse
Sigwatch Monitorea el estado de los puertos seriales ligados y genera un sistema de eventos de cambio de estado. Requerimientos Sigwatch solo esta disponible en plataformas de x86 Propiedades • • • •
• • •
count (read-only: integer): cuántas veces el evento por este concepto fue provocado. El recuento se restablece en el reinicio y en la mayoría de los cambios de configuración de los elementos. log (yes | no; default: no): Si desea agregar un mensaje en forma sigwatch-item: cambio de señal [to high | to low] para facilidad del sistema-Info cada vez que se active sigwatch. name (name): Nombre del elemento sigwatch. on-condition (on | off | change; default: on): En que condición se activa la opción del elemento: § on – condición cuando el estado del pin cambia a alto. § off – condición cuando el estado del pin cambia a alto. Si el estado del pin cambia rápidamente, pudo haber disparo una sola opción por varios cambios de estado. port (name): nombre del puerto serial a monitorear script (name): script a ejecutar cuando este elemento esta funcionando signal (dtr | rts | cts | dcd | ri | dsr; default: rts) : Nombre de la señal , el numero del pin (para el conector standard de 9 pines) para monitorear. § dtr - Data Terminal Ready (pin #4)
Academy Xperts
140
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
•
§ rts - Request To Send (pin #7) § cts - Clear To Send (pin #8) § dcd - Data Carrier Detect (pin #1) § ri - Ring Indicator (pin #9) § dsr - Data Set Ready (pin #6) state (read-only: text): El ultimo estado recordado de monitoreo de signalcount (read-only: integer). Cuántas veces el evento por este concepto fue provocado. El recuento se restablece en el reinicio y en la mayoría de los cambios de configuración de los
Configuración /tool sigwatch print Flags: X - disabled # NAME 0 test
PORT SIGNAL serial1 cts
ON-CONDITION LOG change no
Wake on Lan (Activación de la Lan) Envía el MagicPacket de activación de Lan hacia cualquier dirección Mac de nuestra elección.
Fetch Copia archivos de cualquier dispositivo de red a un router Mikrotik via HTTP o FTP. También soporta el protocolo HTTPS. Permite subir archivos a locaciones remotas. Propiedades • • • • • • • • • • • •
address (string; Default: ): Dirección IP del dispositivo a copiar el archivo. ascii (yes | no; Default: no) check-certificate (yes | no; Default: no): Habilitar la validación de la cadena verdadera desde el al almacén de certificados. dst-path (string; Default: ): Destino del nombre del archivo y la ruta. keep-result (yes | no; Default: yes): Si escoge yes, se crea un archivo de entrada. mode (ftp|http|tftp {!} https; Default: http): Escoger el protocolo de conexión http, https , ftp o tftp. password (string; Default: anonymous): Contraseña, la cual es necesitada para autenticación al dispositivo remoto. port (integer; Default: ): Puerto de conexión. src-path (string; Default: ): Titulo del archivo remoto que se necesita copiar. upload (yes | no; Default: no): Si esta habilitado luego el fetch será usado para subir un archivo a un servidor remoto. Requiere los parámetros de src-path and dst-path sea autorizados. url (string; Default: ): URL apuntando a un archivo. Puede ser usado en vez de una dirección y parámetros de srcpath. user (string; Default: anonymous): Nombre del usuario, el cual se necesita para la autenticación remota.
Ejemplo de transferencia de archivo hacia otro router y con diferente nombre del archivo
Transferencia de archivo en el mismo router pero con diferente nombre del archivo
Academy Xperts
141
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Dynamic DNS Guarda el nombre de dominio apuntando hacia una dirección IP dinámica. Envía requerimientos de actualizaciones del sistema de nombre del dominio hacia un nombre de servidor, el cual tiene una zona para ser actualizada. Propiedades • • • • • • •
address (IP; Default: ) - Definir dirección IP asociada con un nombre de dominio. dns-server (IP; Default: ) - Servidor DNS envía una actualización. key (string; Default: ) - Llave de autorización para accede al servidor. key-name (string; Default: ) - Nombre de la llave de autorización (como un nombre de usuario) para acceder al servidor. name (string; Default: ) - Nombre a unir con una dirección Ip. ttl (integer; Default: ) - Tiempo de vida de ítem (en segundos). zone (string; Default: ) - Zona de DNS donde se actualizara el nombre de dominio
Para poder hacer el Dynamic DNS necesitamos tener un dominio, si no lo tenemos debemos crear uno, podemos crearlo en www.noip.com que es totalmente gratis. La prueba se lo hara con un script.
El script lo descargamos desde wiki mikrotik
Academy Xperts
142
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Agregamos el script y modificamos
usuario de my.noip.com contraseña de my.noip.com Interfaz de salida de internet
Dominio creado en my.noip.com
Academy Xperts
143
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Agregamos un Scheduler
Con el dominio que tenemos ingresamos al Winbox
También podemos ingresar por el navegador
Academy Xperts
144
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Flood Ping Envía peticiones ICMP echo hacia un host remoto de la misma manera que un ping pero este envía la siguiente petición tan pronto haya recibido una respuesta. Propiedades • • • •
Address: Dirección IP de destino del host. Size: Tamaño de cada paquete ICMP. Count: Números de paquetes ICMP. Interval: Tiempo en que el paquete es considerado como perdido en el caso de no responder.
Generator Traffic (Generador de Tráfico) Evalúa el funcionamiento del DUT (Device Under Test) y SUT (System Under Test) Genera y envía paquetes Raw sobre puertos específicos. Obtiene la latencia y los valores de jitter, rangos de tx/rx, cuenta los paquetes perdidos y detecta paquetes OOO (Fuera de orden). Parámetros Generales • • • • •
latency-distribution-scale (integer [0..28]; Default: 10) test-id (integer [0..255]; Default: 0) latency-distribution-samples (integer) latency-distribution-measure-interval (time) running (yes | no): Muestra si se inicia la herramienta de generador de servicio.
Parámetros Configuración de Puerto • • • • • •
disabled (yes | no; Default: no): Si el Puerto esta deshabilitado y no participa en la recepción y envió de paquetes. name (string; Default: ): Nombre descriptivo del Puerto. interface (string; Default: ): Nombre de la interface asociada al Puerto. dynamic (yes | no): Si el Puerto de configuración es generado automáticamente. first-header (ip | mac | raw | udp | vlan): Se señalan las primeras cabeceras de los paquetes sean enviadas fuera de la interfaz especificada. Esta es la información se puede utilizar cuando se esta creando packet templates. inactive (yes | no): Si el Puerto esta inactivo y no podrá participar en tx/rx de los paquetes.
Parámetros Packet Template (Plantilla de Paquetes) •
• •
comment (string; Default: ): Una pequeña descripción del paquete que se esta creando. § data (incrementing | random | specific-byte | uninitialized; Default: uninitialized): Especifica como se llenara la carga útil del paquete: sin inicializar los paquetes de datos (después de cabecera) es inicializado, pero no cero. Lo mas rápido. § specific-byte - trabaja junto con el establecimiento de bytes de datos. § incrementing - Los paquetes de datos llenas de "00 01 02 03", etc. § random - Los paquetes de datos llenos de bytes aleatorios. El más lento. data-byte (hex [0..FF]]; Default: 0): Byte que se usara para llenar la carga útil del paquete. interface (string; Default: ): Parámetro opcional de la plantilla del paquete. Esto es mutuamente exclusivo con la configuración del “puerto”. Especificando la interface permite al usuario no crear un Puerto de entrada para una interface en port menu. De hecho, un Puerto de entrada se crea dinámicamente. Esto es útil para realizar pruebas rápidas.
Academy Xperts
145
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
• • • •
• • • • • • • • •
• • • • • • •
ip-dscp (list of integer[0..255] (max 16 times); Default: ): DSCP solo o una lista de valores DSCP que se encuentra en la cabecera IP. ip-dst (list of IP/Netmask (max 16 times); Default: ): Lista de direcciones Ip de destino que serán usadas cuando se generen cabeceras Ip. ip-frag-off (list of integer[0..65535] (max 16 times); Default: ): Lista de fragmentación a compensar en la cabecera IP. ip-gateway (IP; Default: ): En situaciones cuando el emisor y el receptor es el mismo dispositivo es imposible determinar el próximo salto automáticamente de ip-dst. Si no se especifica ip-gateway plantilla de paquetes asumirá la dirección MAC de destino basado en ip-Gateway. ip-id (list of integer [0..65535]; Default: ) ip-protocol (list of IP protocols (max 16 times); Default: ) ip-src (list of IP/Mask (max 16 times); Default: ) ip-ttl (list of integer [0..255] (max 16 times); Default: ) mac-dst (list of MAC/MASK (max 16 times); Default: ) mac-protocol (list of mac protocols (max 16 times); Default: ) mac-src (list of MAC/MASK (max 16 times); Default: ) mac-src (list of MAC/MASK (max 16 times); Default: ): Nombre descriptivo de la plantilla. port (string; Default: ): Parámetro opcional de la plantilla del paquete. Esto sugiere que a través de un Puerto cuando un paquete generado usa esta plantilla debería ser enviado. El Puerto puede también se especificado en otros lugares como en una configuración de stream. Esto es mutuamente exclusivo en la configuración de la interface. raw-header (string (max 16 times); Default: ): Cabecera del paquete como cadena en formato hexadecimal. udp-dst-port (list of port [0..65535]/mask [0..FFFF] (max 16 times); Default: ) udp-src-port (list of port [0..65535]/mask [0..FFFF] (max 16 times); Default: ) vlan-id (; Default: ) vlan-priority (; Default: ) vlan-protocol (; Default: ) header-stack (list of ip | mac | raw | udp | vlan (max 16 times); Default: ip): Secuencia de cabeceras que un paquete generado debe tener. Actualmente es compatible con: § mac - Cabecera Ethernet (14 bytes) § vlan - Ethernet VLAN tag (4 bytes) § ip - Cabecera IPv4 (20 bytes) § udp - Cabecera UDP (8 bytes) § raw - arbitrary bytes especificado como hex string
La mayoría de los tipos de cabecera pueden estar presentes múltiples veces en la cabecera. Esto solamente puede ser solo dos cabecera Ip y una cabecera Udp por paquete. Algunas limitaciones se imponen sobre las posibles secuencias de cabeceras basado en nuestra experiencia práctica con los protocolos de red (por ejemplo, cabecera VLAN puede seguir solamente una cabecera MAC u otro encabezado VLAN). El generador de tráfico sugiere primera cabecera para una plantilla de paquete (en el menú de puerto). Pero no se hace cumplir. Parámetros Stream • • • • • • • •
disabled (yes | no; Default: no): Si el stream esta deshabilitado. mbps (integer [0..4294967295]; Default: 0): Valor en Mega bits por segundo que un stream va a tratar de generar. name (string; Default: ): Descripción del nombre del stream. num (integer [0..15]; Default: 0): packet-size (integer[1..65535] [-integer[1..65535]]; Default: 0): El tamaño de los paquetes generados en bytes. Se puede configurar el rango para la generación de paquetes de tamaño aleatorio. port (string; Default: ): Nombre del Puerto de Port menú que será usado para transmitir paquetes. pps (integer [0..4294967295]; Default: 0): Paquetes por Segundo que el stream intentara generar. tx-template (string; Default: ): Nombre de la plantilla del paquete desde los menús packet-template o raw-packettemplate usados como el origen del contenido del paquete.
Ejemplo:
Academy Xperts
146
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Configurar los puertos
Configurar los packets templates
Configurar los Streams
Academy Xperts
147
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Comenzar a Generar el Trafico
Por puertos
Por Streams
Distribución de la Latencia
Academy Xperts
148
RouterOS v6.35.1.01 – Capítulo 9 – Herramientas RouterOS
Monitor de Tráfico de Interface El trafico pasa a través de cualquier interfaz y puede asi ser monitoreada /interface monitor-traffic [id | name] Caracteristicas • • •
Estatus del tráfico en tiempo real Disponible para cada interface en la pestaña traffic También puede monitorearse desde WebFig y el CLI
Ejemplo Monitorear la ether2 y el trafico agregado. “Aggregate” se usa controlar la cantidad total de trafico manejado por el router. /interface monitor-traffic ether2,aggregate rx-packets-per-second: 9 14 rx-drops-per-second: 0 0 rx-errors-per-second: 0 0 rx-bits-per-second: 6.6kbps 10.2kbps tx-packets-per-second: 9 12 tx-drops-per-second: 0 0 tx-errors-per-second: 0 0 tx-bits-per-second: 13.6kbps 15.8kbps
Academy Xperts
149