Conceptos Fundamentales de MikroTik RouterOS v6.39.0.01

Por Mauro Escalante Libro de Estudio

RouterO Router OS Conceptos Fundamentales de MikroTik RouterOS v6 v 6.39.0.01

Ruteo Estático, Bridge, Bridge, Wirele Wireless, ss, Administración de Red, Firewall, Firewall, Colas Simples, Túneles (VPN)

Conceptos Fundamentales de MikroTik RouterOS v6.39.0.01 Libro de Estudio

ABC Xperts ® Network Xperts ® Academy Xperts ®

Derechos de autor y marcas registradas

Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo

Derechos de autor © por Academy Xperts

Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmi tido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales.

RouterOS v6.39.0.01 – Libro de Estudio

Tabla de Contenido Introducción ........................................................................................................................................................ vi

Resumen .................................................................................................................... ......................................................................................................................................................................... ..................................................... vii Audiencia ......................................................................................................................................................................... ......................................................................................................................................................................... vii Organización ............................................................................................................. ................................................................................................................................................................... ...................................................... vii Convenciones usadas en este libro ...................................................................................................................... ................................................................................................................................ .......... viii Comentarios y preguntas ..................................................................................................................................... ............................................................................................................................................... .......... viii Partners de Academy Xperts Xpert s en Latinoamérica Latino américa .............................................................................................. ix

Empresas Asociadas ........................................................................................................................................................ ........................................................................................................................................................ ix Universidades e Institutos Superiores .............................................................................................................................. ..............................................................................................................................ix Deseas convertirte en Academia o ser Partner de Academy A cademy Xperts? ............................................................................. ix Un poco de Historia (Costa Rica) .................................................................................................... ...................................................................................................................................... ..................................x Cubriendo un País con MikroTik. ..............................................................................................................................x Capítulo 1: RouterOS .......................................................................................................................................... 1

Sobre MikroTik Mik roTik ..................................................................................................................................................... ................................................................................................................................................................. ............ 1 ¿Qué es RouterOS? ........................................................................................................................ ......................................................................................................................................................... ................................. 1 Característica de RouterOS ................................................................................................................................. ............................................................................................................................................. ............ 2 Qué hay de nuevo en la Versión V ersión 6 ................................................................................................................................... ................................................................................................................................... 4 Detalle de cambios cam bios en la última versión de RouterOS ..................................................................................................... 7 6.39 (2017-Abril-27 10:06)............................................................................................................................. ........................................................................................................................................ ........... 7 Qué es RouterBOARD? ................................................................................................................................................. 14 Arquitecturas Soportadas: ...................................................................................................................................... ...................................................................................................................................... 14 Programa Made For MikroTik (MFM) ............................................................................................................................. ............................................................................................................................. 14 Por qué trabajar con un router integrado?............................................................................................................ ...................................................................................................................... .......... 14 Nomenclatura de los productos RouterBOARD ............................................................................................................. ............................................................................................................. 15 Nomenclatura de los productos CloudCoreRouter ......................................................................................................... 16 Nomenclatura de los productos CloudCoreSwitch ......................................................................................................... 16 Ingresando al Router por Primera vez .................................................................................................................. ............................................................................................................................ .......... 17 WebFig - Ingreso por Web Browser ................................................................................................ ............................................................................................................................... ............................... 17 Skins ............................................................................................................................................................................... ............................................................................................................................................................................... 18 Quickset .......................................................................................................................................................................... .......................................................................................................................................................................... 19 WinBox ........................................................................................................................................................................... 20 RoMON ........................................................................................................................................................................... ........................................................................................................................................................................... 20 Secrets ................................................................................................................................................................... 22 Peer Discovery Dis covery .................................................................................................. ....................................................................................................................................................... ..................................................... 22 Aplicaciones ........................................................................................................................................................... 22 Otras formas de acceso: SSH y Telnet .......................................................................................................................... .......................................................................................................................... 23 Acceso por puerto serial (puerto de Consola) ........................................................................................................ ........................................................................................................ 23 Bootloader .............................................................................................................................................................. 23 Consola Serial / Terminal Serial ................................................................................................................... ............................................................................................................................. .......... 23 Configuración Básica o dejar el router en Blanco .......................................................................................................... .......................................................................................................... 24 Actualizando el router ...................................................................................................................... ..................................................................................................................................................... ............................... 25 Cómo hacer un Upgrade ......................................................................................................... ........................................................................................................................................ ............................... 26 Actualización automática ............................................................................................................................... ........................................................................................................................................ ......... 27 RouterBoot firmware Upgrade ...................................................................................................................... ................................................................................................................................ .......... 27 Paquetes de RouterOS ................................................................................................................... .................................................................................................................................................. ............................... 28 Paquetes principales de RouterOS ........................................................................................................................ 28 Paquetes extra de RouterOS ....................................................................................................................... ................................................................................................................................. .......... 29 Listado de paquetes RouterOS y las respectivas arquitecturas ............................................................................. 30 Administración de usuarios en un RouterOS ................................................................................................................. ................................................................................................................. 30 Grupos de Usuario (User Group) ........................................................................................................................... ........................................................................................................................... 30 Información Sensitiva S ensitiva ............................................................................................................................................. ............................................................................................................................................. 31 Usuarios del Router (router users) ......................................................................................................................... 32 Monitoreo de los usuarios activos .......................................................................................................................... .......................................................................................................................... 33 AAA Remoto ................................................................................................................................................. ........................................................................................................................................................... .......... 34 SSH Keys ............................................................................................................................................................... ............................................................................................................................................................... 34 Private Keys ............................................................................................................................ ........................................................................................................................................................... ............................... 35 Administración de servicios en un RouterOS (IP Services) ........................................................................................... 35 Administración de los respaldos (backup) de las configuraciones ................................................................................. 36 Comando export ..................................................................................................................................................... ..................................................................................................................................................... 36 Guardar archivos de Backup ................................................................................................... .................................................................................................................................. ............................... 36 Licencias RouterOS......................................................................................................................... ........................................................................................................................................................ ............................... 37 Niveles de Licencias Li cencias ................................................................................................................ ............................................................................................................................................... ............................... 37 Cambio de Niveles de Licencias ............................................................................................................................ 38 Academy Xperts

i


Uso de las Licencias Licenc ias................................................................................................................ ............................................................................................................................................... ............................... 38 NetInstall ......................................................................................................................................................................... ......................................................................................................................................................................... 39 Procedimientos para usar Netinstall ....................................................................................................................... ....................................................................................................................... 39 Recursos adicionales ...................................................................................................................... ..................................................................................................................................................... ............................... 41 Preguntas de repaso del Capítulo 1 ............................................................................................................................... ............................................................................................................................... 42 Laboratorio – Capítulo 1 ................................................................................................................................................. ................................................................................................................................................. 42 Capítulo 2: Ruteo Estático E stático .................................................................................................... ............................ 43

Conceptos de Ruteo ........................................................................................................................ ....................................................................................................................................................... ............................... 43 Routing o enrutamiento .......................................................................................................................................... .......................................................................................................................................... 43 Etiquetas de Rutas ................................................................................................................................................. ................................................................................................................................................. 44 Significado de las etiquetas de rutas más comunes: ............................................................................................. 44 Rutas Estáticas................................................................................................................................ ............................................................................................................................................................... ............................... 45 Propiedades generales ............................................................................................................ ........................................................................................................................................... ............................... 45 Propiedades de solo-lectura .......................................................................................................................... ................................................................................................................................... ......... 46 Configurando la Ruta por Defecto ........................................................................................................................ .................................................................................................................................. .......... 47 Gestión de Rutas Dinámicas Dinámic as ................................................................................................................................ .......................................................................................................................................... .......... 47 Preguntas de repaso del Capítulo 2 ............................................................................................................................... ............................................................................................................................... 48 Laboratorio – Capítulo 2 ................................................................................................................................................. ................................................................................................................................................. 48 Capítulo 3: Bridge................................................................................................. Bridge................................................................................................. ............................................. 49

Conceptos de Bridging ................................................................................................................................................... ................................................................................................................................................... 49 Usando Bridges .............................................................................................................................................................. .............................................................................................................................................................. 50 Creando un Bridge .......................................................................................................................... ......................................................................................................................................................... ............................... 51 Preguntas de repaso del Capítulo 3 ............................................................................................................................... ............................................................................................................................... 51 Laboratorio – Capítulo 3 ................................................................................................................................................. ................................................................................................................................................. 51 Capítulo 4: IEEE 802.11 (Wireless) .................................................................................................................. 52

Tablas de compatibilidad de características para los diferentes protocolos .................................................................. 52 Matriz de Características Wireless ......................................................................................................................... ......................................................................................................................... 52 Matriz de Configuraciones WDS ............................................................................................................................ 52 Matriz de Modos Estación (station) ........................................................................................................................ ........................................................................................................................ 53 IEEE 802.11 .................................................................................................................................... ................................................................................................................................................................... ............................... 53 Estándares Wireless........................................................................................................................ ....................................................................................................................................................... ............................... 53 Wireless Bands (RouterOS) ........................................................................................................................................... ........................................................................................................................................... 53 802.11a ................................................................................................................................................................... ................................................................................................................................................................... 55 Channel Width (RouterOS).............................................................................................................. ............................................................................................................................................. ............................... 56 Frecuencias Soportadas.................................................................................................................. ................................................................................................................................................. ............................... 57 Scan List ..................................................................................................................... ......................................................................................................................................................................... .................................................... 57 Problema del Nodo N odo Oculto ................................................................................................................................... ............................................................................................................................................. .......... 58 Diversidad Espacial ................................................................................................................................................ ................................................................................................................................................ 59 basic-rates / supported-rates ................................................................................................................................ .......................................................................................................................................... .......... 60 Tasas Básicas (802.11b) ............................................................................................................................... ........................................................................................................................................ ......... 60 Tasas Básicas (802.11a/g) ............................................................................................................................ ..................................................................................................................................... ......... 60 Tasas Básicas (802.11n) ............................................................................................................................... ........................................................................................................................................ ......... 60 Tasas Básicas (802.11ac) ............................................................................................................................. ...................................................................................................................................... ......... 61 Tasas Soportadas (802.11b) .................................................................................................................................. .................................................................................................................................. 61 Tasas Soportadas (802.11a/g) ............................................................................................................................... ............................................................................................................................... 62 Tasas Soportadas (802.11n) .................................................................................................................................. .................................................................................................................................. 62 Tasas Soportadas (802.11ac) ................................................................................................................................ ................................................................................................................................ 62 HT chains ................................................................................................................... ....................................................................................................................................................................... .................................................... 63 802.11n - Data Rates ..................................................................................................................................................... 63 802.11ac - Data Rates..................................................................................................................... .................................................................................................................................................... ............................... 64 Tipos de Modulación ...................................................................................................................................................... ...................................................................................................................................................... 65 Modo de Frecuencia (frequency-mode) ......................................................................................................................... ......................................................................................................................... 66 Rate Flapping ................................................................................................................................................................. ................................................................................................................................................................. 66 Configuración básica de un Access Point (AP) .............................................................................................................. 66 Perfil de Seguridad (Security profile) .................................................................................................................... .............................................................................................................................. .......... 67 Configuración básica de una Estación E stación (client/station) .................................................................................................... 68 Filtrado por MAC MA C address ................................................................................................................ ............................................................................................................................................... ............................... 68 Access-list .............................................................................................................................................................. 69 Parámetros adicionales: ......................................................................................................................................... ......................................................................................................................................... 69 Connect-list: ............................................................................................................................................................ ............................................................................................................................................................ 70 Default-authentication ............................................................................................................................................. ............................................................................................................................................. 70 Default-forwarding .................................................................................................................................................. 71 WPA, WPA2 ................................................................................................................................................................... ................................................................................................................................................................... 71 Protocolos Wireless propietarios de MikroTik ................................................................................................................ 71 NV2 (Nstreme Version V ersion 2) ....................................................................................................................................... 71 Academy Xperts

ii


Herramientas de monitoreo m onitoreo ............................................................................................................. ............................................................................................................................................ ............................... 72 Wireless scan s can .................................................................................................... ......................................................................................................................................................... ..................................................... 72 Snooper ................................................................................................................................... .................................................................................................................................................................. ............................... 72 Registration table..................................................................................................................... .................................................................................................................................................... ............................... 72 Redes inalámbricas inalám bricas en Modo Bridge B ridge.................................................................................................................... .............................................................................................................................. .......... 73 Preguntas de repaso del Capítulo 4 ............................................................................................................................... ............................................................................................................................... 73 Laboratorio – Capítulo 4 ................................................................................................................................................. ................................................................................................................................................. 73 Capítulo 5: Network Management M anagement ......................................................................................... .................................................................................................................... ........................... 74

ARP / RARP ................................................................................................................................................................... 74 Modos ARP ............................................................................................................................. ............................................................................................................................................................ ............................... 75 Tabla ARP .............................................................................................................................................................. .............................................................................................................................................................. 76 Servidor / Cliente DHCP .................................................................................................................. ................................................................................................................................................. ............................... 76 DHCP Server Setup ............................................................................................................................................... 77 DHCP Client ........................................................................................................................................................... ........................................................................................................................................................... 80 Gestión de Asignaciones ................................................................................................................. ................................................................................................................................................ ............................... 80 Preguntas de repaso del Capítulo 5 ............................................................................................................................... ............................................................................................................................... 81 Laboratorio – Capítulo 5 ................................................................................................................................................. ................................................................................................................................................. 81 Capítulo 6: Firewall................................................................................................ Firewall................................................................................................ ............................................ 82

Conceptos básicos de Firewall .............................................................................................................................. ....................................................................................................................................... ......... 82 ¿Cómo funciona un firewall? .................................................................................................................................. .................................................................................................................................. 82 Mapa de Protocolos ................................................................................................................. ................................................................................................................................................ ............................... 88 Flujo de Paquetes............................................................................................................................ ........................................................................................................................................................... ............................... 88 Diagrama de flujo para Capa 2 (Bridging) (B ridging) en RouterOS v5 ................................................................................... 89 Diagrama de flujo para Capa 3 (Routing) en RouterOS v5 .................................................................................... .................................................................................... 89 Diagrama de flujo para Capa 3 (Routing) en RouterOS v6 .................................................................................... .................................................................................... 89 Diferencias principales en diagrama de flujo entre v5 y v6 .................................................................................... 90 Detalle de facilidades ............................................................................................................................................. 91 Procesos y decisiones automáticas ....................................................................................................................... 91 Diagrama de mangle incluyendo RAW ................................................................................................................... 92 Connection Tracking y sus Estados ............................................................................................................................... ............................................................................................................................... 93 Ubicación del connection tracking .................................................................................................................................. .................................................................................................................................. 93 TCP-States ................................................................................................................................................... ............................................................................................................................................................. .......... 95 Estados de las Conexiones (connection-state) ...................................................................................................... ...................................................................................................... 95 Estructura: chains chai ns y acciones ................................................................................................................................ ......................................................................................................................................... ......... 95 Filtrado Firewall en acción ...................................................................................................................................... ...................................................................................................................................... 96 Consejos Básicos y trucos ............................................................................................................................ ..................................................................................................................................... ......... 96 Filtrado por Parámetros ................................................................................................................................ .......................................................................................................................................... .......... 96 Filter actions ................................................................................................................................................................... ................................................................................................................................................................... 96 Protegiendo tu router (input)............................................................................................................ ........................................................................................................................................... ............................... 96 Protegiendo a todos los clientes (forward) ..................................................................................................................... ..................................................................................................................... 97 Address-list conceptos básicos ...................................................................................................................................... ...................................................................................................................................... 97 Source NAT .................................................................................................................................................................... .................................................................................................................................................................... 98 masquerade & src-nat ............................................................................................................................................ ............................................................................................................................................ 98 Destination NAT NA T ............................................................................................................................................................. ............................................................................................................................................................. 99 dst-nat & redirect .................................................................................................................................................. .................................................................................................................................................. 100 scripts ........................................................................................................................................................................... ........................................................................................................................................................................... 100 Preguntas de repaso del Capítulo 6 ............................................................................................................................. ............................................................................................................................. 100 Laboratorio – Capítulo 6 ............................................................................................................................................... ............................................................................................................................................... 100 Capítulo 7: Colas Simples y QoS .......................................................................................... ................................................................................................................... ......................... 101

Principales cambios en la v6 de RouterOS .................................................................................................................. 101 Por qué estos cambios? ....................................................................................................................................... ....................................................................................................................................... 102 Características de las Colas Simples en v6 ......................................................................................................... ......................................................................................................... 102 Conceptos generales....................................................................................................................... .................................................................................................................................................... ............................. 103 Principios de limitación de velocidad .................................................................................................................... ............................................................................................................................ ........ 103 Simple Queues (Colas Simples) ............................................................................................................................ ................................................................................................................................... ....... 104 Identificadores de Flujo F lujo ........................................................................................................................................ 105 Propiedades HTB HT B .................................................................................................................... ................................................................................................................................................. ............................. 106 Tipos de Colas (Queue Types)..................................................................................................................... ............................................................................................................................. ........ 107 PFIFO, BFIFO BFIF O y MQ PFIFO ......................................................................................................................................... ......................................................................................................................................... 108 RED .............................................................................................................................................................................. .............................................................................................................................................................................. 109 SFQ .............................................................................................................................................................................. 110 PCQ .............................................................................................................................................................................. .............................................................................................................................................................................. 111 Nueva implementación de PCQ (a partir de la v5.0RC5) ..................................................................................... 114 Interface Queue ............................................................................................................................... ............................................................................................................................................................ ............................. 114 Burst ............................................................................................................................................................................. ............................................................................................................................................................................. 115 Academy Xperts

iii


Preguntas de repaso del Capítulo 7 ............................................................................................................................. ............................................................................................................................. 117 Laboratorio – Capítulo 7 ............................................................................................................................................... ............................................................................................................................................... 117 Capítulo 8: Túneles PPP ....................................................................................................... .......................... 118

Introducción ................................................................................................................ .................................................................................................................................................................. .................................................. 118 RouterOS y Túneles T úneles ........................................................................................................................ ..................................................................................................................................................... ............................. 119 /ppp profile (perfiles de usuario) ............................................................................................................................ ................................................................................................................................... ....... 119 /ppp secret (base de datos de usuario) ........................................................................................................................ ........................................................................................................................ 121 /ppp active (usuarios activos) ....................................................................................................................................... ....................................................................................................................................... 122 /ppp aaa (AAA remoto) .................................................................................................................... ................................................................................................................................................. ............................. 123 /ppp client (cliente PPP) ....................................................................................................................................... ............................................................................................................................................... ........ 123 /ip pool .......................................................................................................................................................................... .......................................................................................................................................................................... 124 PPPoE .......................................................................................................................................................................... .......................................................................................................................................................................... 125 Operación PPPoE ................................................................................................................... ................................................................................................................................................ ............................. 126 Tipos de paquetes utilizados ................................................................................................................................ ................................................................................................................................ 127 MTU ...................................................................................................................................................................... ...................................................................................................................................................................... 127 pppoe client (Cliente PPPoE) PPPoE ) ....................................................................................................................... ............................................................................................................................... ........ 128 Status ................................................................................................................................................................... 128 Scanner ................................................................................................................................................................ 129 Configuración del Server PPPoE (Concentrador de Acceso) .............................................................................. 130 PPTP ............................................................................................................................................................................ 132 PPTP Client Cli ent (cliente pptp) .................................................................................................................................... 134 PPTP Server (servidor pptp) ................................................................................................................................ 134 L2TP ................................................................................................................................................ ............................................................................................................................................................................. ............................. 135 L2TP Client (cliente l2tp) ...................................................................................................................................... ...................................................................................................................................... 136 L2TP Server (servidor l2tp) .................................................................................................................................. .................................................................................................................................. 136 Clientes y servidores SSTP .......................................................................................................................................... .......................................................................................................................................... 137 Clientes y Servidores S ervidores OpenVPN .................................................................................................................................. 139 Configuración de Rutas entre redes ..................................................................................................................... ............................................................................................................................. ........ 139 Preguntas de repaso del Capítulo 8 ............................................................................................................................. ............................................................................................................................. 140 Laboratorio – Capítulo 8 ............................................................................................................................................... ............................................................................................................................................... 140 Capítulo 9: Herramientas RouterOS .............................................................................................................. 141

E-mail ........................................................................................................................................................................... 141 Send Email E mail .............................................................................................................................. ........................................................................................................................................................... ............................. 141 Netwatch ....................................................................................................................................................................... ....................................................................................................................................................................... 142 Ping .............................................................................................................................................................................. 144 Formato de la cabecera (header) ICMP ............................................................................................................... ............................................................................................................... 144 Mensajes de Control ICMP ............................................................................................................................ ................................................................................................................................... ....... 145 MAC ping ................................................................................................................................. .............................................................................................................................................................. ............................. 147 Traceroute ............................................................................................................................................................. .................................................................................................................................................................... ....... 147 Profiler (Carga del CPU).................................................................................................................. ............................................................................................................................................... ............................. 148 Torch ............................................................................................................................................................................ 150 Graphing (Gráficos) ...................................................................................................................................................... ...................................................................................................................................................... 151 Interface Graphing ........................................................................................................................................ ................................................................................................................................................ ........ 153 Queue Graphing ................................................................................................................................................... ................................................................................................................................................... 153 Resource Graphing ................................................................................................................. .............................................................................................................................................. ............................. 153 Graphics en WinBox W inBox ................................................................................................................ ............................................................................................................................................. ............................. 154 SNMP ........................................................................................................................................................................... 154 SNMP dentro del mapa de Protocolos TCP/IP ..................................................................................................... 156 Community (Comunidad) ............................................................................................................................... ...................................................................................................................................... ....... 156 Management information base (MIB) ................................................................................................................... 157 Identificadores de Objetos Obj etos (OID - Object identifiers) ............................................................................................ ............................................................................................ 157 Traps .................................................................................................................................................................... 157 SNMP write.............................................................................................................................. ........................................................................................................................................................... ............................. 157 System identity ............................................................................................................................................................. ............................................................................................................................................................. 158 IP Neighbor................................................................................................................. ................................................................................................................................................................... .................................................. 159 IP Neighbor discovery .......................................................................................................................................... 160 Ponerse en contacto con Soporte MikroTik .................................................................................................................. 161 Supout.rif .............................................................................................................................................................. 161 Supout.rif Viewer V iewer .................................................................................................................................................. .................................................................................................................................................. 161 Autosupout.rif ....................................................................................................................................................... 162 Registros (logging) del sistema y registros de depuración ........................................................................................... 162 Configuración del Logging ............................................................................................................................. .................................................................................................................................... ....... 162 Actions .................................................................................................................................................................. .................................................................................................................................................................. 163 Tópicos ................................................................................................................................................................. ................................................................................................................................................................. 164 Bandwidth Test ................................................................................................................................ ............................................................................................................................................................. ............................. 165 Academy Xperts

iv


Bandwidth Test Server ......................................................................................................................................... ......................................................................................................................................... 165 Bandwidth Test Client .............................................................................................................. ........................................................................................................................................... ............................. 165 Ping Speed ................................................................................................................................................................... ................................................................................................................................................................... 166 SMS ...................................................................................................... .............................................................................................................................................................................. ........................................................................ 167 Packet Sniffer ............................................................................................................................................................... ............................................................................................................................................................... 168 IP-Scan ......................................................................................................................................................................... ......................................................................................................................................................................... 169 Telnet ............................................................................................................................................................................ ............................................................................................................................................................................ 170 SSH .............................................................................................................................................................................. 170 MAC Telnet................................................................................................................. ................................................................................................................................................................... .................................................. 170 Sigwatch ....................................................................................................................................................................... ....................................................................................................................................................................... 170 Wake on Lan (Activación de la Lan) ..................................................................................................................... ............................................................................................................................. ........ 171 Fetch ............................................................................................................................................................................. ............................................................................................................................................................................. 171 Dynamic DNS ............................................................................................................................................................... ............................................................................................................................................................... 172 Flood Ping P ing .................................................................................................................................................................... .................................................................................................................................................................... 175 Generator Traffic (Generador de Tráfico) ............................................................................................................. ..................................................................................................................... ........ 175 Monitor de Tráfico de Interface .............................................................................................................................. ..................................................................................................................................... ....... 179

Academy Xperts

v


Introducción MikroTik es una empresa que nace en Latvia (Letonia) en 1996 con el claro objetivo de proveer un sistema operativo de red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico y multi-núcleo, este hardware es el RouterBOARD. A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes por nuestros racks, siendo Cisco el referente, sin embargo, siempre había representado un costo más o menos importante a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP. No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica (Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas. Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD. Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de fabricantes y costos de implementación. Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.

Mauro Escalante

CEO Academy Xperts CEO Network Xperts

Academy Xperts

vi


Resumen Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de certificación, pero que resultan claves para el correcto entendimiento de la materia. La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y www.youtube.com/abcxperts

Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio ritmo. Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción. Tenemos una tarea inmensa por delante, pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía de autoestudio MikroTik.

Audiencia Las personas que leen este libro deben estar familiarizados con: Operaciones de red en Capa 2 Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP Este libro está dirigido a: Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a: Redes Corporativas ! Clientes WISP e ISP ! Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes corporativa y PYMES Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario (Help Desk) • •

•

•

•

Organización Este libro consta de 8 capítulos. Al final de cada capítulo existe una lista de que resume las ideas principales. El apéndice proporciona material de referencia de utilidad, Capítulo 1, MikroTik, RouterOS y RouterBOARD

Una rápida revisión sobre quién es MikroTik, el desarrollo del hardware RouterBOARD, y la base de su sistema operativo RouterOS en el kernel de Linux. Se enumeran todas las nuevas características que hacen a la versión 6.x.El contenido de este capítulo se apoya en los videos tutoriales de nuestro canal de conocimiento ABCxperts ( http://www.abcxperts.com ) en la plataforma YouTube ( http://www.youtube.com/abcxperts ). Capítulo 2, Ruteo Estático

Trabajar en ruteo estático es muy sencillo en el RouterOS, sin embargo, es muy importante fortalecer los conceptos y comprender los diferentes parámetros asociados con esta tarea. Los instructores (MikroTik Trainer Partners) deben fortalecer este entendimiento con ejercicios de laboratorio y prácticas teóricas. En nuestro canal de YouTube (http://www.youtube.com/abcxperts ) tenemos video basados en Webinars específicamente sobre Conceptos de Ruteo, Subnetting, y VLSM. Capítulo 3, Bridge

Una revisión del concepto de bridge, ventajas y desventajas. Capítulo 4, Wireless

El mundo de Wireless en RouterOS es sumamente extenso y versátil, sin embargo, en este capítulo del curso se sientan las bases para poder realizar enlaces básicos y de mediana envergadura para punto-punto y punto-multipunto. En este capítulo se revisan temas como la seguridad Wireless, filtrado por MAC (address-list y access-list), HT chains, rate flapping, etc. Capítulo 5, Network Management

RouterOS es un sistema operativo que provee diferentes herramientas de administración y monitoreo. En este capítulo se revisarán temas como ARP, DHCP Server, DHCP Cliente, Herramientas de RouterOS (email, netwatch, ping, traceroute, profiler, IP neighbors) Capítulo 6, Firewall

La función Firewall de RouterOS es sumamente s umamente poderosa y en esta sección se tratará de cubrir las opciones y acciones más importantes destinadas a proteger el router y la red, así como también las formas de proveer acceso a recursos de LAN a través de un dispositivo que da la cara a Internet o red externa. Existen decenas de parámetros y situaciones entre las que se revisarán: Flujo de paquetes, Connection Track, Chains, Actions, Filtros, NAT (src-nat, dst-nat), Mangle. Capítulo 7, Colas Simples y QoS

Si bien es cierto las Colas Simples (simple-queues) son “simples”, sin embargo, proporcionan una posibilidad casi ilimitada para realizar una verdadera implementación de calidad de servicio (QoS) de la mano con las reglas de Mangle. Colas simples Academy Xperts

vii


tiene sus limitaciones sobre la eficiencia de la asignación de ancho de banda, pero en los ejercicios que se desarrollen se podrá emular una estructura jerárquica que podrá ser mejorada en el curso de Control de Tráfico Avanzado. Capítulo 8, Túneles

Por qué son necesarios los túneles? Cómo entender las interfaces virtuales que se generan? Cómo interconectar dos o más redes remotas a través de internet? Viajan los datos en forma segura o están expuesto en la nube? Este capítulo enseña cómo crear los diferentes tipos de túneles PPP en RouterOS. Se revisarán los parámetros y esquema de configuración de túneles: PPPoE, PPTP, L2TP, SSTP y OVPN

Convenciones usadas en este libro En este libro se utilizarán las siguientes convenciones tipográficas: Itálicas

Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso de términos técnicos Courier new

Indica direcciones IP y ejemplos de línea de comando Courier new en itálica

Indica texto que puede ser reemplazado Courier new en negrita

Indica datos de entrada del usuario Este icono significa un consejo, sugerencia, o una nota general. Este icono indica una advertencia o precaución.

Comentarios y preguntas Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección: Network Xperts S.A.

Av. Juan T. Marengo y J. Orrantia Edificio Professional Center, Piso 5, Ofic. 507 Guayaquil, ECUADOR +593-4-600-8590 +593-9-9535-2132 A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información adicional: http://cursos.abcxperts.com

Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a: [email protected]

Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros Websites y canal de YouTube http://www.abcxperts.com http://www.academyxperts.com http://www.youtube.com/abcxperts

Academy Xperts

viii


Partners de Academy Xperts en Latinoamérica Nuestro recorrido por América Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros estudiantes el mejor y más completo material de estudio & laboratorio, y lo que es muy importante… que el contenido siem pre esté actualizado. Nos encantaría estar presente en cada uno de los 14 países y las más de 40 ciudades que recorremos todos los años, pero el tiempo y la disponibilidad física nos es un obstáculo. Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en diferentes países que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido y el acceso a la suscripción anual de este libro (y todos sus recursos) por un cómodo valor.

Empresas Asociadas

Universidades e Institutos Superiores

Deseas convertirte en Academia o ser Partner de Academy Xperts? •

•

•

Si eres Universidad o Instituto Superior que cuenta con el respectivo acuerdo ministerial de tu país, puedes optar por convertirte en una Academia MikroTik. Escríbenos a [email protected] para para darte más información. Si eres Trainer Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitación, te invitamos escribirnos a [email protected] para proporcionarte los detalles. Si deseas que organicemos cursos en tu ciudad/país de residencia, escríbenos a [email protected]

Academy Xperts

ix


Un poco de Historia (Costa Rica) Cubriendo un País con MikroTik. En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing. Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2 Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps. En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas bajo la misma marca MikroTik y su sistema operativo RouterOS. Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A (REICO). Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de 80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para alcanzar una cobertura de más del 80% del territorio y a más del 90% de la población. La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales, turísticos, comerciales, etc. Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus más de 1,500 equipos de acceso, acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK. REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro, Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa Rica 2014.

Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico sobre los inicios de MikroTik en Latinoamérica.

Academy Xperts

x

RouterOS v6.39.0.01 – Capítulo 1 – RouterOS

Capítulo 1: RouterOS MikroTik, RouterOS y RouterBOARD

Sobre MikroTik MikroTik es una compañía fundada en 1996 en Riga, capital de Latvia, creada para desarrollar routers y sistemas inalámbricos para Proveedores de Servicios de Internet (ISP – Internet Service Provider)

En 1997 MikroTik creó el sistema de software RouterOS que proporciona estabilidad, control y flexibilidad para todos los tipos de interfaces de datos y ruteo En el 2002 MikroTik decidió fabricar su propio hardware y de esta forma nace el RouterBOARD. MikroTik tiene distribuidores en muchas partes del mundo, y clientes probablemente en casi todos los países del planeta. Páginas de interés: www.mikrotik.com - Website oficial www.routerboard.com - Página oficial de los productos RouterBOARD wiki.mikrotik.com - Portal de documentación tiktube.com - Portal de videos mum.mikrotik.com - Eventos y conferencias del MikroTik User Meeting forum.mikrotik.com - Foro de soporte oficial

¿Qué es RouterOS? MikroTik RouterOS es el sistema operativo del hardware MikroTik RouterBOARD, que tiene las características necesarias para un ISP: Firewall, Router, MPLS, VPN, Wireless, HotSpot, Calidad de Servicio (QoS), etc. RouterOS es un sistema operativo independiente basado en el kernel de Linux v3.3.5 que proporciona todas las funciones en una instalación rápida y sencilla, con una interface fácil de usar. RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles con x86, como tarjetas embebidas y sistemas miniITX. RouterOS soporta computadores multi-core y multi CPU. Soporta tambien Multiprocesamiento Simétrico (SMP: Symmetric MultiProcessing). Se puede ejecutar en los motherboards Intel más recientes y aprovechar los nuevos CPUs multicore. Multiprocesamiento Simétrico

Es una arquitectura de Software y Hardware donde dos o más procesadores idénticos son conectados a una simple memoria compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son controlados por una simple instancia del OS (Sistema Operativo), en el cual todos los procesadores son tratados en forma igualitaria, sin que ninguno sea reservado para propósitos especiales. En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos, tratándolos como procesadores separados. El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo. Soporta una gran variedad de interfaces de red, incluyendo tarjetas Ethernet de 10 Gigabit, tarjetas wireless 802.11a/b/g/n/ac y módems 3G y 4G.


Fechas de liberación de las versiones de RouterOS • • • •

v6 - May 2013 v5 - Mar 2010 v4 - Oct 2009 v3 - Ene 2008

Característica de RouterOS Soporte de Hardware • • •

•

• •

Compatible con arquitectura i386 Compatible con SMP (multi-core y multi-CPU) Requiere un mínimo de 32MB de RAM (reconoce hasta máximo 2GB, excepto en los dispositivos Cloud Core, donde no existe un máximo) Soporta los medios de almacenamiento IDE, SATA, USB y flash, con un mínimo de 64MB de espacio. Incluye HDDs, tarjetas CF y SD, y discos SDD Tarjetas de red soportadas por el kernel de Linux v3.3.5 (PCI, PCI-X) Soporte de configuración de Chip de Switch: o

•

http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

Compatibilidad de diferentes tipos de interfaces y dispositivos. Existe una lista de compatibilidad que alimentada por los usuarios en el siguiente link: o

http://wiki.mikrotik.com/wiki/Supported_Hardware

Instalación •

Netinstall: Instalación basada en red desde una tarjeta de red habilitada con PXE o EtherBoot. o

• •

http://wiki.mikrotik.com/wiki/Manual:Netinstall

Netinstall: Instalación a un drive secundario montado en Windows Instalación basada en CD

Configuración • •

Acceso basado en MAC para configuración inicial. http://wiki.mikrotik.com/wiki/Manual:First_time_startup WinBox: herramientas de configuración gráfica (GUI) independiente para Windows. o

• •

•

http://wiki.mikrotik.com/wiki/Manual:Winbox

WebFig: Interface de configuración avanzada basada en web Poderosa interface de configuración basada en Línea de Comandos (CLI: command line) con capacidades de scripting integrado, accesible a través de terminal local, consola serial, telnet y ssh. o

http://wiki.mikrotik.com/wiki/Manual:Scripting

o

http://wiki.mikrotik.com/wiki/Manual:API

API: una forma de crear sus propias configuraciones y aplicaciones de monitoreo.

Respaldo y Restauración (Backup/Restore) • •

Copia de seguridad se configuración binaria Exportar e Importar la Configuración en formato de texto legible

Firewall • •

Filtrado basado en el estado del paquete (statefull filtering) Source NAT y Destination NAT. o

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

•

NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp).

•

http://wiki.mikrotik.com/wiki/Manual:IP/Services#Service_Ports Marcas internas: mark-connection, mark-routing y mark-packet o

•

Filtrado basado en dirección IP y rango de direcciones, puerto y rango de puertos, protocolo IP, DSCP y muchos más. o

•

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

Listas de direcciones (address lists). o

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list

o

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7

•

Filtros de Capa 7 personalizados.

•

Soporte para IPv6.

•

PCC: clasificador basado en conexión, utilizado en configuraciones de balanceo de carga.

o

http://wiki.mikrotik.com/wiki/Manual:IPv6_Overview

o

http://wiki.mikrotik.com/wiki/Manual:PCC

Ruteo (Routing) • •

Ruteo Estático Virtual Routing and Forwarding (VRF). o

http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding


• • • • • •

Ruteo basado en políticas (policy based routing) Interface de ruteo. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Routes_with_interface_as_a_gateway Ruteo ECMP. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Multipath_.28ECMP.29_routes Protocolos de ruteo dinámico IPv4: RIP v1/v2, OSPFv2, BGP v4 Protocolos de ruteo dinámico IPv6: RIPng, OSPFv3, BGP Bidirectional Forwarding Detection ( BFD). o

http://wiki.mikrotik.com/wiki/Manual:Routing/BFD

MPLS • •

Static Label Bindings para IPv4 Label Distribution protocol para IPv4. o

•

Túneles de Ingeniería de Tráfico RSVP. o

• • •

http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS http://wiki.mikrotik.com/wiki/Manual:MPLS/TE_Tunnels

Autodescubrimiento y señalización basado en VPLS MP-BGP MP-BGP basado en MPLS IP VPN Es el siguiente link se puede revisar la lista completa de las características de MPLS

VPN •

IPsec: túnel y modo de transporte, certificado o PSK, protocolos de seguridad AH y ESP. Soporte de encriptación por hardware en RouterBOARD 1000. o

• • • • •

Point to point Tunneling (OpenVPN, PPTP, PPPoE, L2TP, SSTP) Características avanzadas de PPP (MLPPP, BCP) Soporte para túneles simples ( IPIP, EoIP) IPv4 e IPv6 Soporte para túnel 6to4 (IPv6 sobre red IPv4) VLAN: soporte para IEEE802.1q Virtual LAN, Soporte de Q-in-Q. o

•

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN

VPNs basadas en MPLS. o

http://wiki.mikrotik.com/wiki/Manual:RouterOS_features#MPLS

Wireless • • • • • • • • • • •

Cliente y Access Point inalámbrico IEEE802.11a/b/g Soporte completo para IEEE802.11n Protocolos propietarios Nstreme y Nstreme2 Protocolo NV2. http://wiki.mikrotik.com/wiki/Manual:Nv2 Wireless Distribution System (WDS) Virtual AP WEP, WPA, WPA2 Control por Lista de Acceso (Access List) Roaming de cliente Wireless WMM. http://wiki.mikrotik.com/wiki/Manual:WMM Protocolo HWMP+ Wireless MESH. o

•

http://wiki.mikrotik.com/wiki/Manual:Interface/HWMPplus

Protocolo de ruteo wireless MME. o

http://wiki.mikrotik.com/wiki/Manual:Routing/MME

DHCP • • • • • • •

DHCP server por interface DHCP client y relay Arrendamiento de direcciones IP (leases) DHCP estáticas y dinámicas Soporte RADIUS Opciones personalizadas de DHCP Delegación de prefijo DHCPv6 (DHCPv6-PD) Cliente DHCPv6

HotSpot • • • •

Acceso Plug-n-Play a la red Autenticación de clientes de red locales Contabilización de usuarios (Users Accounting) Soporte RADIUS para Autenticación y Contabilización

QoS •

Sistema Hierarchical Token Bucket (HTB) QoS con CIR, MIR, burst y soporte de prioridades. o

• •

http://wiki.mikrotik.com/wiki/Manual:HTB

Colas Simples (Simple Queues) para implementación de QoS básico para una solución rápida y simple Entrega equitativa de ancho de banda al cliente en forma dinámica (PCQ).


o

http://wiki.mikrotik.com/wiki/Manual:PCQ

Proxy •

Servidor proxy para almacenamiento en caché de HTTP

•

Proxy Transparente HTTP

•

Soporte de protocolo SOCKS. o

•

Entradas estáticas DNS. o

• • • •

http://wiki.mikrotik.com/wiki/Manual:IP/SOCKS http://wiki.mikrotik.com/wiki/Manual:IP/DNS

Soporte para almacenamiento en caché en un drive separado Soporte para Proxy Padre (parent proxy) Lista de Control de Acceso (access control list) Lista de almacenamiento en caché (caching list)

Herramientas

•

Ping, traceroute Test de ancho de Banda (bandwidth test), ping flood Packet sniffer, torch Telnet, ssh E-mail y herramientas de envío SMS Herramientas de ejecución de Scripts automatizados CALEA. http://wiki.mikrotik.com/wiki/CALEA Herramienta File Fetch.

•

Generador avanzado de tráfico

• • • • • • •

o

http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch

Características adicionales •

Soporte para Samba.

•

Soporte para OpenFlow.

o o • • •

•

• • • • • • • •

http://wiki.mikrotik.com/wiki/Manual:IP/SMB http://wiki.mikrotik.com/wiki/Manual:OpenFlow

Bridging: spanning tree protocol (STP, RSTP), bridge firewall y MAC natting. Herramienta de actualización de Dynamic DNS NTP client/server y sincronización con sistema GPS. o

http://wiki.mikrotik.com/wiki/Manual:System/Time#SNTP_client

o

http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP

Soporte para VRRP v2 y v3. SNMP M3P: MikroTik Packet Packer Protocol para enlaces Wireless y Ethernet MNDP: MikroTik neighbor discovery protocol, soporta CDP (Cisco discovery protocol) Autenticación y Contabilización RADIUS TFTP server. http://wiki.mikrotik.com/wiki/Manual:IP/TFTP Soporte para interface Sincrónica (farsync cards only) (Se removió en la versión v5.x) Asincrónico: serial PPP dial-in/dial-out, dial on demand ISDN: dial-in/dial-out, soporte para128K bundle, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial on demand

Qué hay de nuevo en la Versión 6 Novedades Generales • • •

Drivers y Kernel actualizados a linux-3.3.5 Soporte inicial para OpenFlow. http://wiki.mikrotik.com/wiki/Manual:OpenFlow Nuevas características para pantallas táctiles LCD. http://wiki.mikrotik.com/wiki/Manual:LCD_TouchScreen Método de login mac-cookie para el HotSpot (mayormente usado en teléfonos inteligentes). o http://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction#MAC_Cookie Opciones configurables del kernel en el menú /ip settings y /ipv6 settings (ip forward, filtros rp etc.) El timeout del ARP puede ser cambiado en /ip settings El Neighbor discovery puede ser deshabilitado por default en las interfaces dinámicas en el menú /ip neighbor discovery settings Para habilitar/deshabilitar el descubrimiento (discovery) en la interface se debe usar el comando /ip neighbor discovery set (interface number/name) discover=yes/no o

•

• • •

•

• • • • •

Muestra el last-logged-in en la lista de usuarios GRE soporta todos los protocolos de encapsulación, no solo IPv4 e IPv6 La etiqueta ‘Slave’ se muestra en las interfaces que están en bridge, bonding o grupo de switch El cliente SSH provee la nueva propiedad output-to-file, muy útil cuando se realiza scripting. Soporte para API sobre TLS (SSL). http://wiki.mikrotik.com/wiki/Manual:API


•

API se encuentra habilitado por default DNS reintenta las búsquedas con TCP si se reciben resultados truncados DNS rota los servidores únicamente en falla DNS cache guarda en bitácora los requerimientos de los tópicos "dns" y "packet"; WebFig ahora soporta autenticación RADIUS (vía MS-CHAPv2).

•

http://wiki.mikrotik.com/wiki/Manual:Webfig Se agregó un nuevo parámetro en Web Proxy: max-cache-object-size

• • • •

o

• • •

Se incrementó el contador de conexiones Max client/server en el Web Proxy Si el cliente NTP está habilitado, el log muestra la hora y fecha correctas cuando el router ha realizado un reboot Trunking 802.1Q con el chip de switch Atheros. o

http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

OpenFlow: Es la primera interface de comunicaciones estándar definida entre las capas de control y forward de una

arquitectura SDN. Permite el acceso directo y la manipulación del plano de forward de los dispositivos de red tales como switches y routers, tanto físicos como virtuales (basados en hypervisor) El OpenFlow basado en tecnologías SDN, permite direccionar el consumo de ancho de banda, adaptar la red a las necesidades cambiantes del negocio, y reducir la complejidad de las operaciones y de la administración. https://www.opennetworking.org/sdn-resources/openflow

SDN = Software-Defined Networking. Es la separación del de la red del Un controla diferentes dispositivos. https://www.opennetworking.org/sdn-resources/sdn-definition

Mac-Cookie: es una nueva función HotSpot, diseñado para mejorar la accesibilidad de los teléfonos inteligentes,

computadoras portátiles y otros dispositivos móviles. Si tenemos activado esto podremos: Primer inicio de sesión correcto. MAC cookie mantiene un registro de nombre de usuario y la contraseña de la dirección MAC si solo hay un HotSpot con tales MAC. Aparece un nuevo Host. HotSpot chequea si hay un registro de cookies mac para la dirección y los registros. •

•

PPP • • • • •

SSTP puede forzar una encriptación AES en lugar del RC4 por default El profile de PPP provee ahora los parámetros bridge-path-cost y bridge-port-priority Secrets muestra la fecha y hora de last-logged-out HotSpot y PPP ahora soportan múltiples address-lists Únicamente se crean 2 reglas de mangle mss para todas las interfaces PPP

Firewall • • • •

Nuevos comparadores (matchers) de interfaces all-ether, all-wireless, all-vlan, all-ppp Comparador con prioridad Nuevas opciones en change-dscp: from-priority y from-priority-to-high-3-bits Nuevas acciones de mangle: snif-tzsp, snif-pc

Wireless •

Opciones de Canales Wireless: se puede crear una lista de canales personalizados. o

http://wiki.mikrotik.com/wiki/Manual:Wireless_Advanced_Channels

DHCP • • •

El cliente DHCP ahora soporta opciones personalizadas El cliente DHCP v4 ahora tiene la opción special-classless para el parámetro add-default-route Se puede agregar la opción (Option 82) de información del agente relay. o

• • • •

http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay

Soporte de la opción DHCPv6 DNS Soporte de DHCPv6 Relay Soporte de ruta enmarcada DHCP server RADIUS Opción de configuración por entrega de IP (lease) DHCP

IPsec • • • • •

• •

Se mejoró significativamente la configuración Road Warrior cuando se usa con el soporte Mode Configuration. Soporte Mode Conf (unity split include, address pools, DNS) IPsec peer puede ser configurado como pasivo: no iniciará una negociación ISAKMP SA Soporte Xauth ( xauth PSK e Hybrid RSA) Plantilla de políticas: permite generar una política solo si src/dst address, protocol y proposal coinciden con la plantilla Grupos de pares ( peer groups) Se pueden usar múltiples pares ( peers) con la misma dirección IP.


• • •

Para los peers con un sistema especificado de dirección IP completo se auto-iniciará una negociación ISAKMP SA. generate-policy puede ahora tener un valor port-strict que usará el puerto del proposal del peer La dirección origen ( source address) de la fase 1 se puede ahora configurar

Certificados •

•

• • •

Las claves CA ( CA keys) ya no son almacenados, cada operación CA ahora requiere un CA passphrase válido. Se usa el parámetro set-ca-passphrase para que el servidor SCEP almacene la clave CA ( CA key) en forma encriptada Para los certificados marcados como trusted=yes, CRL CRL se actualizará automáticamente una vez por hora desde las fuentes HTTP IPsec y SSTP respetan los CRLs Soporte para server/cliente SCEP El administrador de certificados puede ahora emitir certificados firmados por sí mismo.

Ruteo (Routing) • •

•

Nuevo parámetro use-dn en OSPF. Obliga a ignorar el DN bit en los LSAs. Se cambió la lógica de propagación BGP MED. Ahora se descarta cuando se envía una ruta con non-empty AS_PATH a un par externo Las rutas conectadas se vuelven inactivas cuando la interface se cae. Esto significa que los protocolos de ruteo dinámico detendrán la distribución de las rutas conectadas que no tengan la etiqueta Active.

Colas (Queues) • •

•

• • •

• •

•

Se mejoró el desempeño del uso de las colas simpes ( simple queues) Se mejoró la administración de las colas (/queue simple y /queue tree), permitiendo el manejo de decenas de miles de colas Las entradas de /queue tree con parent=global se ejecutan en forma separada de las /queue simple y antes de las /queue simple Se crean por default los tipos de encolamiento ( queue types): pcq-download-default y pcq-upload-default Las colas simples ( simple queues) tienen configuraciones de prioridad separados para download/upload/total Los padres global-in, global-out, global-total en /queue tree se reemplazan con global que es el equivalente a global-total en la versión 5 Las colas simples se ejecutan en un lugar diferente: al final de los chains postrouting y local-in Los parámetros target-addresses e interface en colas simples se unen en un solo parámetro destino, ahora soporta múltiples interfaces para una sola cola El parámetro dst-address en las colas simples se cambia a dst dst y ahora soporta una interface como destino

Exportar una configuración compacta • •

Ahora por default la configuración se exporta en modo compacto Para realizar un export completo de la configuración se debe usar el parámetro verbose /export verbose file=myConfig

Herramientas • • •

Soporte FastPath. http://wiki.mikrotik.com/wiki/Manual:Fast_Path Se renombró en e-mail el tls tls a start-tls y se agregó como un parámetro configurable La herramienta Fetch ahora tiene soporte para HTTPS. o

• • •

http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch

Se agregó soporte de la cabecera IPv6 al generador de tráfico ( traffic generator) Reproducción de archivos pcap dentro de la red usando el nuevo comando trafficgen inject-pcap La NAND Flash puede ser particionada en los routerboards y se pueden instalar versiones separadas de RouterOS en cada una de las particiones. o

http://wiki.mikrotik.com/wiki/Manual:Partitions


Detalle de cambios en la última versión de RouterOS Para una revisión más amplia del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link: http://abcxperts.com/index.php/bitacora-de-cambios

6.39 (2017-Abril-27 10:06) IMPORTANTE bridge Se agregó la configuración y contadores " fast-forward" (habilitado por default únicamente en los nuevos bridges) (sólo a nivel de CLI): Se agregó soporte para un caso especial y más rápido de fastpath que se lo llama " fast-forward" (disponible únicamente en bridges con 2 interfaces) Se revirtió el procesamiento BPDU del bridge regresando al comportamiento a pre-v6.38 (la v6.40 tendrá otra implementación bridge consciente de VLAN separada) filesystem Se corrigió una rara situación cuando el filesystem fallaba en leer toda la configuración al arranque Se corrigió una rara situación cuando el filesystem se iba a modo read-only (algunas configuraciones pudieron haberse perdido en el reboot) firewall Se descontinúa el soporte para el matcher p2p (las reglas anteriores serán inválidas) kernel Se corrigió un problema de manejo de checksum UDP en algunas raras situaciones de overflow l2tp Se agregó el soporte fastpath cuando el MRRU está habilitado ppp Se reescribió completamente el algoritmo de fragmentación interna (cuando se utiliza el MRRU), optimizado para •

•

•

• •

•

•

•

•

multicore

ppp •

Se implementó un algoritmo interno para " change-mss", ya no se necesitan reglas de mangle

pppoe Se agregó soporte fastpath cuando el MRRU y MLPPP están habilitados quickset Los cambios de configuración ahora se aplican únicamente cuando se presiona " OK" y "Apply" (no en modo change) tile Se corrigió un problema de paquete fuera-de-orden en la aceleración por hardware IPsec, mejorando significativamente el desempeño winbox La versión mínima requerida es la v3.11 •

•

•

•

address Se corrigió un problema de caída cuando la dirección estaba asignada a otro puerto bridge •


api Se corrigió un problema de etiquetas dinámicas dobles en " /ip firewall address-list print"; capsman Se agregó los modos de auto matching " extension-channel" XX y XXXX Se agregó la configuración " keepalive-frames" Se agregó la configuración " skip-dfs-channels" Se agregó el soporte a la lista de descubrimiento de interface de CAP CAP Se agregó soporte DFS DFS Se agregó EAP identity a la tabla de registro Se agregó la habilidad de especificar múltiples canales en el campo frequency field Se agregó la opción save-channel para acelerar la selección de frecuencia en el reinicio de CAPsMAN Se agregó soporte para " background-scan" y channel " reselect-interval" Se agregó soporte para interfaces virtuales estáticas en CAP CAP Se cambió el nombre de canal " width" a "control-channel-width" y se cambiaron los valores por default Se mejoró la búsqueda de estatus CAP CAP Se mejoró el soporte de la prioridad del frame de comunicación entre CAP CAP y CAPsMAN certificate El cliente SCEP ahora soporta FQDN URL y puerto Se permite que la dirección CRL CRL se especifique como nombre DNS DNS console Se corrigió un problema en el export "/ip neighbor discovery" Se corrigió un problema en el valor de distancia mínima DHCP/PPP add-default-route = 1 Se corrigió un problema de caída Se corrigió un problema de valor incorrecto ":put [/lcd get enabled]" ddns Se mejoró la validación de autenticación " dns-update" defconf Se corrigió un problema de configuración de banda ac en Groove 52 Se corrigió un problema de generación de configuración default cuando el paquete Wireless está deshabilitado •

• • • • • • • • • • • • •

• •

• • • •

•

• •

dhcp-client

Se agregó la opción " script" la cual ejecuta un script en cambios de estado dhcpv4 Se corrigió un problema en el analizador de opción de string dhcpv4-server Se agregó el parámetro de script " lease-hostname" Por default se hace que el server sea “ authoritative” Se realizan algunos chequeos de lease únicamente en el objeto habilitado discovery Se corrigió un problema en el Discovery LLDP, en que la dirección IPv6 no fue analizada correctamente dude (los cambios se discuten en: http://forum.mikrotik.com/viewtopic.php?f=21&t=116471 ); email Se chequea errores durante el proceso de intercambio SMTP ethernet Se agregó el estatus " voltage-too-low" para dispositivos de un solo puerto power injector Se corrigió un problema " loop-protect" en "master-port"; Se corrigió un raro problema en que se congelaba el chip de switch (podría causar port flapping); Se corrigió el ciclo de poder innecesario del dispositivo alimentado cuando se cambiaba cualquier configuración relacionada con poe-out related en dispositivos con un puerto power injector Se renombró el campo " rx-lose" a "rx-loss" en estadísticas de ethernet Se reversó poe-priority en hEX PoE y OmniTIK 5 PoE para hacer " poe-priority" sea consistente a todas las otras prioridades de RouterOS fastpath Se corrigió un raro problema de caída en dispositivos con interfaces dinámicas fetch •

•

• • •

•

•

•

• • • •

• •

•


•

• •

Se agregaron los parámetros " http-data" y "http-method" para permitir usar los métodos delete, get, post, put put (content-type=application/x-www-form-urlencoded por default ); Se corrigió un problema de falla de autenticación Se corrigió un problema de descarga sobre HTTPS

gps Se agregó los parámetros " fix-quality" y "horizontal-dilution" graphing Se corrigió un problema en que desaparecía el graph después de un corte de energía hotspot Se agregó el acceso a las cabeceras HTTP utilizando $(http-header-name) ike1 Se corrigió ph2 ID logging ike2 Se permite múltiples selectores de tráfico de hijo SA en re-key Siempre se reemplaza el TSi TSi vacío con la Dirección configurada si está disponible Se chequea el estado de los hijos antes de permitir el rekey Se configura por default a /32 /32 la máscara de dirección del peer Se corrigió el modo CTR CTR Se corrigió la longitud del mensaje EAP EAP ISA en SA delete Se corrigió la remoción del objeto que maneja ISA Se corrigió la autenticación RSA sin EAP EAP Se corrigió el modo ctr ctr Se corrigió el DPD DPD deshabilitado Se corrigió el ultimo EAP auth payload type Se corrigió es estado ph2 ph2 cuando se envía la notificación Se corrigió la liberación de política durante la negociación SA Se corrigió el estado cuando se envía el paquete eliminado Se mejoró el logging Mata únicamente los hijos SAs SAs los cuales no están re-keyed por un peer remoto Se envía a log el mensaje RADIUS timeout en el tópico error Se remueve el viejo SA después de rekey Se envía la identidad EAP EAP como atributo user-name RADIUS Se actualiza el atributo " calling_station_id" RADIUS Se actualiza la identificación del peer después de una autenticación EAP EAP exitosa ippool Se retorna el mensaje de error apropiado cuando se intenta crear un nombre duplicado ipsec Se agregó el parámetro " last-seen" a la lista de conexiones activas Se permite combinar los algoritmos aead en el proposal Mejor respuesta al cálculo de etiqueta en consola Se deshabilitan las políticas combinadas AH+ESP No se pierde el parámetro " use-ipsec=yes" después de hacer un downgrade Se habilita aes-ni en i386 y x64 x64 para los modos cbc, ctr y gcm Se corrigió "/ip ipsec policy group export verbose" Se corrigió " mode-cfg" verbose export Se corrigió la etiqueta de autenticación SA Se renombró la etiqueta " hw-authenc" a "hw-aead" Se muestra los SAs SAs autenticados acelerados por hardware Se actualiza el clasificador tilera de UDP UDP encapsulado ESP ESP l2tp Se agregó soporte para múltiples túneles L2TP (no se debe confundir con sesiones) entre los mismos puntos finales (requerido en algunas configuraciones LNS LNS) LNS Se corrigió un atributo de decriptación oculto en las respuestas de CHAP para LNS l2tp-server Se agregó " caller-id-type" a la estación que llama al RADIUS en la autenticación Se agregó la opción " use-ipsec=required" Se corrigió la actualización para mantener " use-ipsec=yes" en el servidor L2TP •

•

•

•

• • • • • • • • • • • • • • • • • • • • •

•

• • • • • • • • • • • •

•

•

• • •


leds • • • •

Se agregó el disparador de tecnología de acceso de modem LTE Se cambió un mensaje de error en una tarjeta no soportada Se no se actualiza el estado de un LED LED cuando no es cambiado Se muestra una advertencia en print cuando " modem-signal-threshold" no está disponible

log • • • • • •

gps" Se agregó el tópico " gps Se agregó el tópico " tr069" Se agregó la entrada de log perdida " license limit exceeded" Se agregó una advertencia cuando las sesiones Winbox/Dude eran denegadas No se muestran los cambios en el paquete si NAT NAT no ha sido utilizado Se hace que los logs SNMP sean más compactos

lte Se agregó " session-uptime" en el comando info Se agregó la lectura de nivel de señal LTE LTE para los modems Cinterion Se agregó el manejo de error cuando se ejecuta el AT remoto Se agregó el soporte inicial para el modem DWR-910 Se agregó el soporte inicial para Quectel ec25 Se agregó la inicialización para Cinterion Se agregó la entrada de log log para el reporte de entrega SMS SMS Se agregó el soporte para Vodafone R216 (Huawei); Eventos de buffer AT mientras el comando info está activo Se corrigió " /interface lte info X once"; Se corrigió el prefijo de Dirección IPv6 en la interface Se corrigió la selección del modo de red para me909u, mu609; Se corrigió el análisis del Viejo estándar CEREG Se corrigió el soporte para Huawei R216 Se corrigió user-command Se resetea las estadísticas de interface en " link-down" netinstall Se corrigió la tipografía ntp Se reincia el cliente NTP NTP cuando se congela en un estado de error ppp Se agregó la opción " bridge-horizon" en PPP/Profile Se agregó la opción la especificar " interface-list" en PPP/Profile Se corrigió una rara falla de kernel en la conexión PPP client Se corrigió una rara falla de kernel cuando se recibe la dirección IPv6 en la interface PPP PPP Se incluyen los parámetros rates, limits y address-lists en los requerimientos de RADIUS ppp-client Se agregó soporte para Datacard 750UL, DWR-730 y K4607-Zr pppoe Se agregó una advertencia en PPPoE client/server, si está configurado en la interface esclava Se configura por default el keepalive 10s para los nuevos clientes PPPoE creados quickset Se agregó el modo de soporte inicial LTE AP rb1100ahx2 Se corrigió un reseteo de contador aleatorio de ether12,13 rb3011 Se agregó el soporte de particionamiento smb Se corrigió un problema de pérdida de memoria y de caídas Se corrigió un problema de share path en dispositivos con "/flash" directory smips Se redujo el tamaño del paquete principal RouterOS • • • • • • • • • • • • • • • •

•

•

• • • • •

•

• •

•

•

•

• •

•


• • • • • •

• •

El mensaje de error " No Such Instance" se reemplaza con " No Such Object" Se agregó el OID de fan-speed en "/system health print oid" Se agregó la tabla óptica Se corrigió un raro problema de caída Se mejoró el getall filter Se mejoró la velocidad de respuesta cuando se recibían múltiples requerimientos dentro de un corto período de tiempo Se incrementó el valor de “ engineBoots” en el reboot Se optimizó el procesamiento de la tabla de bridge

tile Se agregó el soporte inicial para los controladores de disco NVMe SSD Se corrigió una caída de IPSec (introducida en v6.39rc64) Se optimizó la encriptación por hardware tr069-client Se agregó el soporte "Device.Hosts.Host.{i}." Se agregó el soporte "Device.WiFi.NeighboringWiFiDiagnostic." Se agregó el parámetro "Ethernet.Interface.{i}.MACAddress" Se agregó el soporte DHCP server Se agregó el soporte Upload RPC "2 Vendor Log File" Se agregó el parámetro de nombre de arquitectura ( X_MIKROTIK_ArchName – específica del vendedor) Se agregó los parámetros de estadísticas básicas para algunos tipos de interface Se agregó el soporte básico "/ip firewall filters" Se agregó la autenticación de requerimiento de conexión Se agregó el soporte firewall NAT NAT usando los Parámetros del fabricante Se agregó el soporte de parámetros para la administración del cliente DNS DNS Se agregó el soporte del diagnóstico de ping Se agregó el soporte para las referencias de entidad de escape (& < > ' ") Se agregó el soporte para manejar el valor "/system/identity/" Se agregó el soporte para los Parámetros de memoria y carga de CPU CPU Se agregó el soporte para el script de fábrica de uploading/downloading Se agregó el soporte para los diagnósticos de traceroute Se cierra la conexión si el CPE CPE considera el XML XML como inválido Se corrigió el valor " AddObjectResponse" “InstanceNumber” Se corrigió la actualización del valor " Device.ManagementServer." XML Se corrigió en análisis del carácter especial XML Se corrigió una caída en un caso especial de cambio de =acs-url Se corrigió los caracteres especiales en el envío de datos XML XML Se corrigió la escritura de " Device.ManagementServer.URL" Mejoras generales en la reducción del espacio de almacenamiento Se generan requerimientos de conexión aleatorios de target path Se oculta el valor " Device.PPP.Interface.{i}.Password" Se mejoró el proceso de monitoreo LTE LTE Se incrementó el desempeño en GetParameterValues Se hace que cualquier Download RPC RPC sobreescriba la configuración excepto ".alter" Se hace que más parámetros denieguen las notificaciones activas Se configura el ID de licencia CHR CHR como un valor ".SerialNumber" para evitar un error " no serial number" en • • •

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •

ACS ACS

traceroute Pequeñas correcciones tunnels Se corrigió un bucle en el reboot en las configuraciones con túneles IPIP y EoIP (introducido en v6.39rc68) usb Se agregó el soporte para más dispositivos CP210X userman Se permite que " name-for-user" esté vacío Se selecciona automáticamente todos los nuevos usuarios creados para generar vouchers Se corrigió una rara caída cuando el User Manager requería archivos que no existían en el router Se corrigió una rara caída en la interface web mientras se usaba la sección Users •

•

•

• • • •


wAP ac Se mejoró el desempeño del Wireless 2.4GHz webfig Se agregó en la barra del menú para seleccionar rápidamente entre Webfig, Quickset y Terminal Se permite bytes más cortos en k,M,G en firewall "connection-bytes" y "connection-rates" Se permite cambiar los contenidos de la variable global Se permite ingresar los rangos de frecuencia en el wireless scan list Se permite seleccionar el " default-encryption" profile en los túneles PPP PPP Se especifica correctamente el prefijo del filtro de ruteo No se permite reordenar los ítems si la tabla si está ordenada por alguna columna Se corrigió el display de la propiedad bridge Se corrigió el retardo del key press en terminal Se corrigió el orden de pestaña en Google Chrome Se corrigió la información de tiempo en “ last-link-up” & “last-link-down” Se mejoró el diseño de campo Se hace que la ventana terminal trabaje dentro de la venta de Webfig Se muestra todas las opciones disponibles en “ Advanced Mode” de las interfaces Wireless Se muestran los mensajes de error apropiados para los campos de texto erróneo opcionales winbox Se agregó el botón " Flush" en el menú unicast-fdb Se agregó " group-key-update" para las configuraciones de seguridad CAPsMAN Se agregó el soporte de unidad " k" y "M" para los Parámetros PPP secret limit-bytes Se agregó los parámetros " memory-scroll", "filter-cpu", "filter-ipv6-address", "filter-operationbetween-entries" Se agregó la configuración " save-selected" en los canales CAPsMAN Se agregó " static-virtual" a wireless CAP Se agregó el menu GPS GPS Se agregó los Parámetros de routerboard protegido en el menú de configuraciones routerboard Se permite bytes más cortos para k,M,G en firewall "connection-bytes" y "connection-rates" Se permite cambiar la contraseña del usuario por una contraseña vacía Se permite no especificar el certificado en las configuraciones IPSec peer Se permite especificar " route-distance" en "dhcp-client" si se selecciona el modo " special-classless" Se permite especificar el tipo de certificado cuando se lo exporta Se permite especificar las interfaces que CAPsMAN puede usar para administración Se permite mostrar ( unhide) las contraseñas SNMP Se permite especificar static-dns como lista No se permite Packet Sniffer "memory-limit" y "file-limit" menor que 10KiB No se crea el campo field cuando se copia la entrada CAPsMAN access list No se muestra " dpd-max-failures" en IKEv2 No se muestra los campos vacíos LTE LTE en el menú Info No se inicia el Traffic Generator automáticamente cuando se abre " Quick Start" No se intenta deshabilitar los ítems dinámicos de las tablas de firewall Se corrigió la tipografía " Montly" a "Monthly" en el menú Graphing Se corrigió la frecuencia de canales CAPsMAN (se permite especificar una lista de ellos) Se corrigió las configuraciones IPSec "mode-config" DNS Se corrigió un problema cuando las políticas IPsec que estaban trabajando se mostraban como inválidas Se corrigió un error engañoso cuando se intentaba exportar un certificado Se corrigió la tipografía en anuncios BGP BGP en el menú Aggragator->Aggregator Se oculta "wps-mode" & "security-profile" en el modo wireless nv2 Se oculta el menú health en RB450 Se mejoró "/tool torch" Se incrementó el número máximo de sesiones Winbox 20->100 Se llama apropiadamente a las interfaces CAP CAP en la creación de una nueva interface Se muestra apropiadamente las advertencias " dhcp-server" Se muestra apropiadamente IPSec " installed-sa" "enc-algorithm" cuando es aes-gcm Se muestra apropiadamente los contadores de estadísticas en la tabla de registro Wireless Se removió la configuración " sfp-rate-select" de la interface ethernet Se removió el innecesario menú "/system health" en "hAP ac lite" La configuración por default " dhcp-client" "default-route-distance" es igual a 1 Se muestra la etiqueta " A" para las políticas IPSec •

• • • • • • • • • • • • • • •

• • • •

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •


Se muestra la etiqueta " H" para IPSec instalado SAs SAs Se muestra la corriente, voltaje y potencia PoE-OUT únicamente en dispositivos que pueden reportar estos valores wireless Se agregó la configuración de país Egypt 5.8 Se agregó el soporte de autenticación ara el modo estación en Wireless Se aplica bit de broadcast a los requerimientos DHCP cuando se utiliza el modo " station-pseudobridge" No se permite direcciones MAC MAC iguales entre múltiples Virtual APs cuando se utiliza la misma " masterinterface" Se corrigió un problema en el soporte de canal pequeño RBSXT5HacD2nr2 Se corrigió un problema de caída cuando se ejecuta " spectral-scan” Se corrigió la remoción de la interface Wireless dinámica de los puertos del bridge cuando se cambiaba el modo • •

• • • •

• • •

Wireless • • • • •

Se corrigió un problema de falso positive en la detección de radar DFS ocasionado por los dispositivos iPhone 6s Se corrigió un problema cuando las interfaces Wireless podrían no mostrarse en modo CAP CAP Se corrigió una caída ocasional cuando se deshabilitaba la interface Se corrigió un raro problema de caída en configuraciones nv2 nv2 Se corrigió un raro problema en la interface Wireless ac

x86 •

Se agregó soporte para controladores de disco para NVMe SSD


Qué es RouterBOARD? Es una familia de soluciones de hardware con circuitos diseñados por MikroTik para responder a las necesidades de los clientes a nivel mundial. Todas las placas RouterBOARD operan con el sistema operativo RouterOS. Esta división de hardware se caracteriza por incluir su sistema operativo RouterOS y actualizaciones de por vida. Estos dispositivos tienen la ventaja de tener una excelente relación costo/beneficio comparados con otras soluciones en el mercado.

Arquitecturas Soportadas:

Soluciones Integradas • • •

Estos productos se proporcionan completos con carcasas y adaptadores de corriente. Listo para usar y pre configurados con la funcionalidad más básica. Todo lo que necesitas hacer es conectarlo y conectarse a Internet o a una red corporativa.

RouterBOARD solamente

Son pequeñas placas madres que se venden "tal cual". Se debe elegir el modelo y solicitar adicionalmente, adaptador de corriente y las interfaces, todo esto por separado. Es ideal para el montaje de sistemas/implementaciones propietarias. Enclosures

Son cubiertas para interiores/exteriores, sirven para albergar los dispositivos RouterBOARD. La Selección se realiza en base a: Localización prevista El modelo del RouterBOARD El tipo de conexiones necesarias (USB, antenas, etc.). • • •

Interfaces •

•

Módulos Ethernet, fibra SFPs, o tarjetas de radio inalámbricas para ampliar la funcionalidad de los dispositivos RouterBOARD y PCs con RouterOS. Una vez más, la selección se basa según las necesidades.

Accesorios

Abarca toda la gama de dispositivos adicionales para los productos MikroTik, tales como: adaptadores de corriente, soportes, antenas e inyectores PoE.

Programa Made For MikroTik (MFM) Este programa consta de dos partes: “Mikrotik Certified Integrators” y “Mikrotik Certified Accessories” http://www.mikrotik.com/mfm

Accesorios Certificados MikroTik (MikroTik Certified Accesories)

Son hechos por empresas homologadas de MikroTik, y que hacen los accesorios específicamente para productos MikroTik. Esto incluye productos compatibles con RouterBOARD, antenas externas y otros productos. Integrador Certificado MikroTik (MikroTik Certified Integrator)

Son empresas que hacen soluciones basados en un RouterBOARD MikroTik y RouterOS. Estos productos incluyen en el ensamblado de dispositivos CPE/AP, preinstalación de antenas integradas y soluciones para montaje en rack con RouterOS.

Por qué trabajar con un router integrado? Con este tipo de solución se puede atender muchas necesidades. Los routers integrados proveen poca o ninguna expansión, ya que vienen con una configuración de hardware fija (WiFi, puertos ethernet, memorias on-board, puertos USB) Esta es una solución simple, pero muy sólida para muchas necesidades. •

•


Nomenclatura de los productos RouterBOARD Los nombres de los routers son elegidos según características, y basados en una nomenclatura establecida. La abreviatura para RouterBOARD es RB Para complementar información se puede ir al siguiente link http://wiki.mikrotik.com/wiki/Manual:Product_Naming Formato para la nomenclatura de los productos:

Nombre de la tarjeta (board name)

Actualmente existen 3 tipos de nombres de tarjetas: •

Número de 3 dígitos o El primer dígito representa la serie o El segundo dígito indica el número de interfaces cabeladas potenciales (Ethernet, SFP, SFP+) o El tercer dígito indica el número de interfaces wireless potenciales (tarjetas embebidas, y slots mPCI y

mPCIe) •

•

Usando una palabra (word).- Los nombres que actualmente se usan son: o OmniTIK o Groove o SXT o SEXTANT o METAL o Si la tarjeta (board) sufre un cambio fundamental en el hardware (como por ejemplo un CPU

completamente diferente) se agregará una revisión de versión al final Nombres excepcionales.- Las tarjetas 600, 800, 1000, 1100, 1200, 2011 representan de forma independiente las series, o tienen más de 9 interfaces cableadas, por lo que los nombres fueron simplificados a cientos totales o el año de desarrollo.

Características de la Tarjeta

Las características de la tarjeta siguen a continuación de la sección Nombre de la Tarjeta (sin espacios o guiones), excepto cuando el nombre de la tarjeta es una palabra. Entonces las carácterísticas de la tarjeta se separan por un espacio. Las características que actualmente se usan son las siguientes. Están listadas en el orden en que son mayormente usadas U : USB P : Power Injection con Controlador i : Puerto simple Power Injector sin Controlador A : Más memoria (y usualmente el nivel de licencia más alto) H : Un CPU más potente G : Gigabit (puede incluir U, A, H si no se usa con L) L : Edición Light (ligera) S : Puerto SFP (uso legacy – dispositivos SwitchOS) e : Tarjeta de extensión PCIe x : Donde N es el número de núcleos (core) de CPU (x2, x9, x16, x36, x72, etc.) • • • • • • • • • •

Detalles de la tarjeta Wireless Embebida

Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:

•

•

•

•

Banda (band) o 5 : 5 GHz o 2 : 2.4 GHz o 52 : Dual band. 5 GHz y 2.4 GHz Potencia por chain (power per chain ) o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g Protocolo (protocol) o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g o n : para tarjetas con soporte 802.11n o ac : para tarjetas con soporte 802.11ac Número de Chains (number_of_chains) o (not used) : single chain o D : dual chain o T : triple chain


Tipo de Conector (connector type) • • •

(not used) : únicamente una opción de conector en ese modelo MMCX : conector de tipo MMCX u.FL : conector de tipo u.FL

Tipo de Enclosure (enclosure type) • •

• • • • • •

(not used) : Tipo de enclosure principal para un producto BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal ya viene en el case RM : enclosure para montar en rack (rack-mount enclosure) IN : enclosure para interiores (indoor enclosure) OUT : enclosure para exteriores (outdoor enclosure) SA : enclosure para antena sectorial (sector antenna enclosure) HG : enclosure para antena de alta ganancia (high gain antenna enclosure) EM : memoria extendida (extended memory)

Ejemplo: Decodificar la siguiente nomenclatura RB912UAG-5HPnD • • • •

RB : RouterBOARD 912 : Board de la serie 9na, con 1 interface cableada (Ethernet) y 2 interfaces wireless (embebida y miniPCIe) UAG : Tiene puerto USB, más memoria y puerto Gigabit Ethernet 5HPnD : Tiene una tarjeta embebida de 5GHz, de alta potencia, dual chain, con soporte 80211n.

Nomenclatura de los productos CloudCoreRouter El formato para la nomenclatura de estos productos es la siguiente:

Número de 4 dígitos • • •

El primer dígito representa la serie El segundo dígito es reservado El tercero y cuarto dígito indican el número total de núcleos por CPU en el dispositivo

Lista de Puertos • • •

G : número de puertos Gigabit Ethernet S : número de puertos SFP S+ : número de puertos SFP+


• • • • • •


Nomenclatura de los productos CloudCoreSwitch El formato para la nomenclatura de estos productos es la siguiente:

Número de 3 dígitos • •

El primer dígito representa la serie El segundo y tercer dígito indican el número de interfaces cableadas (Ethernet, SFP, SFP+)

Lista de Puertos • • •

G : número de puertos Gigabit Ethernet S : número de puertos SFP S+ : número de puertos SFP+

Detalles de la tarjeta Wireless Embebida

Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:


•

•

•

•

Banda (band) o 5 : 5 GHz o 2 : 2.4 GHz o 52 : Dual band. 5 GHz y 2.4 GHz Potencia por chain (power per chain ) o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g Protocolo (protocol) o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g o n : para tarjetas con soporte 802.11n o ac : para tarjetas con soporte 802.11ac Número de Chains (number_of_chains) o (not used) : single chain o D : dual chain o T : triple chain


• • • • • •


Por qué construir su propio Router?

Puede ayudar a solucionar una gran variedad de necesidades específicas que desea cubrir. Dependiendo del board que use, puede tener muchas ranuras de Expansión muy útiles. Gran variedad de complementos. Configuración personalizable. • •

Ingresando al Router por Primera vez Dentro de las formas que tenemos para ingresar al router están las siguientes: WebFig (Web Browser) WinBox - http://www.mikrotik.com/download SSH Telnet Emulador de Terminal a través de conexión serial o puerto de consola (RS-232) • • • • •

WebFig - Ingreso por Web Browser Este método de ingreso puede ser usado cuando el router ya tiene algunos parámetros previamente configurados. Proporciona una manera intuitiva de conectarse a un router/dispositivo/PC (que tiene instalado RouterOS) únicamente colocando en el navegador web la dirección IP asignada al router. Por defecto se utiliza 192.168.88.1 WebFig es un utilitario de RouterOS basado en Web que permite monitorear, configurar y hacer labores de troubleshooting en el router. Está diseñado como una alternatica al WinBox WinB ox ya que ambos tienen similares diseños de menú de acceso a las opciones de RouterOS. WebFig se puede acceder directamente desde el router, esto quiere decir que no es necesario instalar ningún software adicional, tan solo tener un Web Browser con soporte JavaScript. WebFig es una plataforma independiente, por lo que puede ser usado directamente desde varios dispositivos móviles sin la necesidad del desarrollo de software específico. Algunas de las tareas que se pueden ejecutar con WebFig son: Configuración – Ver y editar la configuración actual Monitoreo – Mostrar el estatus actual del router, información de ruteo, estadísticas de interface, registros (logs), etc. Troubleshooting – RouterOS provee muchas herramientas para realizar troubleshooting (como ping, traceroute, packet sniffers, traffic generators, y otras) y todas las que puede ser usadas con WebFig. • • •


El servicio http de RouterOS puede escuchar también en IPv6. Para acceso vía browser debe ingresar la dirección IPv6, por ejemplo 2001:db8:1::4 Si se requiere conectar a la dirección local, se debe recordar especificar el nombre de la interface o el ID de la interface en Windows. Por ejemplo, fe80::9f94:9396%ether1 Pasos para ingresar por Web browser:

Conecte al router con un cable Ethernet y posteriormente a su tarjeta de red. Abra un navegador (Mozilla, Chrome, Internet Explorer, etc.) Escriba en el browser la dirección IP por default: 192.168.88.1 Si se le solicita, inicie sesión. Nombre de usuario es admin y la contraseña está en blanco por defecto. Al momento de ingresar verá lo siguiente: • • • •

Skins Esta herramienta permite crear interfaces más amigables para el usuario. No puede ser considerado como una herramienta de seguridad total, ya que si el usuario posee los suficientes derechos de acceso, podrá acceder a los recursos ocultos. Diseño de Skins

Si el usuario tiene los permisos adecuados (es decir que el grupo tiene permisos de edición) entonces tiene acceso al botón de Design Skin (Diseño de Skin). Los posibles operadores son: Hide menu – Ocutará todos los items y sus sub menús Hide submenu – Ocultará únicamente ciertos sub menús Hide tabs – Si los detalles de sub menú tienen varias pestañas, es posible ocultarlas por esta vía Rename menus, items – Hacer que ciertas características sean más obvias, o traducirlas a algún lenguaje Add note to to item (in detail view) – Agregar comentarios Make item read-only (in detail view) – Para campos muy sensibles en seguridad para el usuario, los cuales pueden ser puestos en modo de “solo lectura” Hide flags (en modo de vista detallada) – Mientras es posible únicamente ocultar la etiqueta en modo detallado, esta etiqueta no será visible en la vista de lista y en modo detallado Add limits for field - (en modo de vista detallada) Donde está presente, muestra la lista de tiempos que están separados por coma o por newline, de valores permitidos: • • • • • •

•

•


!

•

•

núm eros, por number interval '..' por ejemplo: 1..10 mostrará los valores para los campos con números,

ejemplo MTU size. ! field prefix (Text fields, MAC address, set fields, combo-boxes). Si se requiere limitar la longitud del prefijo, se debe agregar el símbolo “$” al final Add Tab – Se agregará una cinta gris con una etiqueta editable que separará los campos. La cinta se añadirá antes de campo Add Separator – Agregará un campo horizontal de baja altura antes del campo

Quickset Es un menú especial de configuración que permite preparar el router a través de unos pocos clicks. Está disponible en WinBox y WebFig para: Dispositivos CPE (Licencia Nivel 3, una interface wireless, una interface ethernet) Dispositivos AP a partir de RouterOS v5.15 (Licencia Nivel 4, una interface wireless, más interfaces ethernet) • •


WinBox WinBox es un utilitario propietario de MikroTik que posee una rápida y simple interface GUI que permite el acceso a los

routers con RouterOS instalado. Es un programa binario Win32, pero también puede correr en Linux y Mac OSX usando wine Casi todas las funciones de RouterOS están disponibles en WinBox, sin embargo algunas funciones avanzadas y configuraciones críticas únicamente están disponibles desde consola. Por ejemplo los cambios de las direcciones MAC MAC en una interface. El WinBox se puede descargar desde el sitio web de MikroTik o del router. o

http://www.mikrotik.com/download

Se puede para acceder al router a través de IP (capa 3 OSI) o MAC (capa 2 OSI). Utilizando Winbox • • • • •

Haga clic en el ícono de WinBox, para abrir la aplicación y darle click en refresh. Escriba la dirección IP 192.168.88.1 Haga clic en Conectar Esperar a que se cargue la interface completa: Haga clic en OK

También se puede ingresar el número del puerto después de la dirección IP, separándolo con “:” “:”, como por ejemplo 192.168.88.1:9999

El puerto se puede cambiar en el menú de Servicios de RouterOS Importante: Se recomienda utilizar la dirección IP siempre que sea posible. Las sesiones MA C utilizan broadcast de red y no es 100% confiable. Se puede utilizar el “ discovery neighbor” para listar los routers disponibles. Debe hacer click en el botón “ Neighbor” Si se hace click en la dirección IP entonces se realiza la conexión por Capa 3 (Layer 3). Si se hace click en la dirección MAC entonces se realiza la conexión por Capa 2 (Layer 2). Importante: La opción Neighbor Discovery mostrará también los dispositivos que no son compatibles con WinBox, como por ejemplo los routers Cisco y cualquier otro dispositivo que utilice el protocolo CDP (Cisco Discovery Protocol).

RoMON RoMON son las siglas de Router Management Overlay Network. RoMON opera independientemente de que a configuración sea en Capa 2 o Capa 3 (L2 o L3).


A cada router en la red RoMON se le asigna su RoMON ID, el mismo que puede ser seleccionado desde el puerto de la dirección MAC o el especificado por el usuario. El protocolo RoMON no proporciona servicios de encriptación. La encriptación se provee a nivel de la Capa de Aplicación, por ejemplo, usando SSH o a través de WinBox Seguro (Secure WinBox). Configuración

Para que un dispositivo participe en una red RoMON, se debe habilitar la característica RoMON y se deben especificar los puertos que participan en la red RoMON. En RouterOS v6.28 la característica RoMON se configura en el menú /romon, después de RouterOS v6.28 se configura en /tool romon. Contiene las siguientes configuraciones: enabled (yes | no; Default: no) – Habilita o deshabilita la característica RoMON id (MAC address; Default: 00:00:00:00:00:00) – Dirección MAC que se utiliza como ID de este router • •

Cuando RoMON se habilita y el ID se selecciona automáticamente, el ID se reporta en menú info: En RouterOS v6.28: /romon print ;;; RoMON running, ID 00:33:00:00:00:02 enabled: yes id: 00:00:00:00:00:00

Después de RouterOS v6.28: /tool romon enabled: id: secrets: current-id:

print yes 00:00:00:00:00:00 00:33:00:00:00:02

Los puertos que participan en una red RoMON son configurados en el menú “ romon port”. La lista de puerto es una lista ordenada de entradas que coinciden ya sea con un puerto específico o con todos los puertos, y especifica si el puerto (s) que coincide está prohibido de participar en la red RoMON, y en caso de que el puerto esté permitido de participar en la red RoMON la entrada también especifica el costo del puerto. Es importante notar que todas las entradas de puerto específico deben ubicarse sobre la entrada “wildcard” con interface=all

Por ejemplo, la siguiente lista especifica que todos los puertos, excepto ether1, participan en la red RoMON con costo 100 En RouterOS v6.28: /romon port print Flags: X - disabled, D - dynamic # INTERFACE 0 ether1 1 all

FORBID yes no

COST 100 100

Después de RouterOS v6.28: /tool romon port print Flags: X - disabled, D - dynamic # INTERFACE 0 ether1 1 all

FORBID yes no

COST 100 100

Por default se crea una entrada wildcard (comodín) con forbid=no y cost=100


Secrets Los secrets del protocolo RoMON se utilizan para la autenticación de mensajes, chequeo de integridad y prevención de respuesta por medio de mensaje hashing que contiene MD5. Para cada interface, si la lista de secret de la interface específica está vacía, se utiliza la lista de secret global. Cuando se hace el envío, se aplica hash a los mensajes con el primer secret en la lista si es que la lista no está vacía y el primero que no sea un secret vacío (empty secret, es decir que tenga un empty string = “”), de otra manera los mensajes se envían sin aplicar hash. Cuando se reciben, los mensajes que no se han aplicado hash simplemente se aceptan si la lista secret está vacía o si contiene “ empty secret”, los mensajes que se han aplicado hash se aceptan si s i es que se les ha aplicado hash con cualquier otro secret en lista. Este diseño permite una introducción incremental y/o cambio de secrets en la red sin interrupción del servicio RoMON y puede ocurrir sobre el propio RoMON. Por ejemplo: Inicialmente todos los routers están sin secrets Configurar cada router, uno por uno, con secrets=””, “mysecret” . Esto hará que todos los routers continúen enviando frames no protegidos, pero ellos estarán listos para aceptar los frames protegidos con el secret “mysecret” Configurar cada router, uno por uno, con secrets=“mysecret”, “” . Esto hará que todos los routers usen el secret “mysecret” pero también continuará aceptando los frames no protegidos (de routers que todavía no han sido cambiados) Configurar cada router con secrets=”mysecret” . Esto hará que todos los routers usen secret “mysecret” y también únicamente acepte frames protegidos con “mysecret” El cambio de secret en la red debería ser ejecutado en un esquema similar donde ambos secrets estén al mismo tiempo en la red. • •

•

•

Peer Discovery Para descubrir todos los routers en la red RoMON se debe usar el comando romon discover:

En RouterOS v6.28: /romon discover ADDRESS 00:22:00:00:00:02 00:02:03:04:05:06

COST 200 400

HOPS PATH 1 00:22:00:00:00:02 2 00:22:00:00:00:02 00:02:03:04:05:06

L2MTU 1500 1500

COST 200 400

HOPS PATH 1 00:22:00:00:00:02 2 00:22:00:00:00:02 00:02:03:04:05:06

L2MTU 1500 1500

Después de RouterOS v6.28: /tool romon discover ADDRESS 00:22:00:00:00:02 00:02:03:04:05:06

Aplicaciones Se pueden ejecutar múltiples aplicaciones sobre la red RoMON Ping

Para poder probar que se puede alcanzar a un router específico en una red RoMON, se puede usar el comando romon ping: En RouterOS v6.28: /romon ping 00:22:00:00:00:02 SEQ HOST TIME STATUS 0 00:22:00:00:00:02 0ms 1 00:22:00:00:00:02 1ms 2 00:22:00:00:00:02 1ms sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms


Después de RouterOS v6.28: /tool romon ping 00:22:00:00:00:02 SEQ HOST TIME STATUS 0 00:22:00:00:00:02 0ms 1 00:22:00:00:00:02 1ms 2 00:22:00:00:00:02 1ms sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms

SSH

Para poder establecer una conexión de terminal seguro en una red RoMON, se puede usar el comando romon ssh, que se provee cuando se instala el paquete security: En RouterOS v6.28: /romon ssh 00:22:00:00:00:02

Después de RouterOS v6.28: /tool romon ssh 00:22:00:00:00:02

Otras formas de acceso: SSH y Telnet Entre las herramientas IP estándar para acceder al router tenemos: Telnet: La comunicación se realiza en texto plano, sin cifrar (puerto 23/TCP). Es un método INSEGURO. o Disponible en la mayoría de sistemas operativos, por terminal, línea de comandos, otros. SSH: Cifra la comunicación realizada entre el usuario y router (puerto 22/TCP). Es un método SEGURO. o Hay herramientas disponibles de código libre para el acceso por ssh, ejemplo: PuTTy. •

•

!

http://www.putty.org

Acceso por puerto serial (puerto de Consola) Los puertos seriales (también llamados RS-232) fueron las primeras interfaces que permitieron que los equipos intercambien información con el "mundo exterior". El término serial se refiere a los datos enviados mediante un solo hilo: los bits se envían uno detrás del otro. Para conectarse al router se requiere una conexión null-modem (puerto RS-232). Importante: La configuración por defecto es cuando se accede vía serial es la siguiente: 115200 bps de velocidad 8 bits de data 1 bit de parada (stop) Sin paridad (no parity) • • • •

Bootloader El bootloader o cargador de arranque, es un programa que se encarga de cargar y ejecutar el sistema operativo, este cargador de arranque va a configurar el dispositivo según las opciones que se muestran a continuación:

Consola Serial / Terminal Serial La interface de línea de comandos (CLI = Command Line Interface) es un m étodo que permite a los usuarios dar instrucciones a algún programa informático por medio de una línea de texto simple. Este método se usa normalmente cuando se ingresa por PUTTY, Telnet, SSH, Terminal u otros. /system console y /system serial-terminal son herramientas para comunicarse con otros sistemas que están interconectados a través del puerto serial. Terminal Serial

Nos sirve para monitorear y configurar muchos dispositivos:


• • •

Módems Dispositivos de red (incluyendo routers MikroTik) Cualquier dispositivo que se pueda conectar a un puerto serial (asíncrono)

Consola Serial •

•

•

Configurar facilidades de acceso directo (monitor/teclado y puerto serial) que son mayormente usados para configuraciones de recuperación Si no se desea usar un puerto serial para acceder a otro dispositivo o para conexión de datos a través de un modem, se puede entonces configurarlo como una consola serial. Un puerto serial libre puede ser usado para acceder a otras consolas seriales de otros routers (u otros equipos como switches) desde un router MikroTik

Special Login

Puede ser usado para acceder a otro dispositivo (ejemplo: un sw itch) que está conectado a través de un cable serial abriendo una sesión telnet/ssh que lo llevará directamente a ese dispositivo sin tener que hacer login al primer RouterOS. http://wiki.mikrotik.com/wiki/Manual:Special_Login

Configuración Básica o dejar el router en Blanco •

•

•

Usted puede o no tener una configuración básica cuando recién ha instalado el equipo, debido a que el equipo provee una configuración inicial, por defecto, para permitirle usar el equipo sin previa configuración definida por el usuario. Usted puede optar por no tomar la configuración básica por defecto, o dejar en blanco los equipos para poderlo configurar a gusto del cliente, usuario o administrador. Puede visitar el siguiente link para revisar cómo se comportará el dispositivo: o

http://wiki.mikrotik.com/wiki/Manual:Default_Configurations

Configuración Básica

Dependiendo del hardware, se tendrá una configuración por defecto que puede incluir: Puertos WAN Puertos LAN DHCP client (WAN) y servidor (LAN) Reglas básicas de Firewall Reglas NAT Direccionamiento LAN IP por defecto Al momento de tener acceso por medio de WinBox, podrá revisar la configuración por defecto por medio de una ventana emergente inicial, que consta de opciones de visualización de configuración o de borrar configuraciones y dejar en blanco. En cualquier momento usted puede observar la configuración por defecto, con el comando: • • • • • •

/system default-configuration print

Al conectar por primera vez con WinBox, haga clic en OK. Después se revisará la opción: remove-configuration El router tiene la configuración básica por defecto que la muestra en una ventana Cuando el equipo es nuevo viene con varias configuraciones por defecto, entre las que sobresalen las siguientes: Se crea un bridge (bridge1) por defecto entre wlan1 y ether2. A este bridge1 se le asigna la dirección IP 192.168.88.1/24 Se crea un dhcp-server en bridge1 y el rango del pool es de 192.168.88.2 a 192.168.88.254 Se configuran reglas de /ip firewall fitler y /ip firewall nat que impiden que se pueda acceder al router por ether1 Las interfaces ether2, ether3, ether4 y ether5 están configuradas en switch • •

• • • •

•


Configuración en Blanco

Puede ser utilizado en situaciones en las que no se requiere la configuración básica por defecto. No hay necesidad de Reglas de firewall por defecto. No hay necesidad de Reglas de NAT por defecto Los pasos mínimos para configurar un acceso básico a Internet (si el router no tiene una configuración básica por defecto) Direcciones IP de LAN Puerta de enlace predeterminada y servidor DNS Dirección IP de la WAN Regla de NAT (enmascaramiento) Cliente SNTP y la zona horaria • •

• • • • •

Actualizando el router Cuando realizar una Actualización

Si el router MikroTik se encuentra desactualizado, podemos podem os realizar en cualquier momento la actualización siempre y cuando intentemos mejorar o corregir lo siguiente: Corregir un error conocido. Cuando se necesita una nueva característica. Mejora del rendimiento. NOTA: Leer la lista de cambios antes de realizar un Upgrade, en especial si tiene una versión inferior a la v6. • • •

http://wiki.mikrotik.com/wiki/Manual:RouterOS6_news

El Procedimiento •

•

•

Se requiere una planificación. o Los pasos posiblemente tengan que hacerse en un orden preciso y con planificación previa. Se requiere pruebas ... o Antes de que ponga en acción la nueva actualización, es necesario realizar pruebas en ambientes controlados, o sino realizar un backup de la configuración anterior, como medida de contingencia en caso de que la nueva actualización no funcione como se espera. Recomendaciones: Si el dispositivo funciona correctamente no se recomienda realizar un upgrade, de preferencia mantenerse con la configuración anterior.

Antes de realizar una actualización

Es importante saber la arquitectura soportada (mipsbe, ppc, x86, mipsle, tile) en la cual se va a realizar la actualización. Winbox indica la arquitectura del equipo.

Debe conocer qué ficheros se necesitan: NPK: paquete de actualización de RouterOS (siempre que se realiza un upgrade) ZIP: Paquetes adicionales (sobre la base de las necesidades) Verificar los Cambios: proceso de verificación post-actualización que valida el cambio efectuado en su dispositivo y el correcto funcionamiento (siempre que se realiza un upgrade) • • •


Cómo hacer un Upgrade Existen tres maneras Descargar archivos y copiar en el router Buscar actualizaciones (System -> Packages) Actualizaciones automáticas (System -> Automatic Updates) Se sugiere mantener siempre actualizado su RouterOS para mejor funcionamiento ya que siempre los desarrolladores están añadiendo nuevas funciones y mejorando el rendimiento y la estabilidad mediante la liberación de actualizaciones. • • •

Requisitos y sugerencias

Cuando se utiliza un dispositivo RouterBOARD, siempre se sugiere actualizar el RouterBoot bootloader , después ya se podrá actualizar el RouterOS. Para hacer esto, ejecutar el comando /system routerboard upgrade

Descargando los archivos

Copiar los archivos en el router por medio de la ventana File. Por ejemplo: routeros-mipsbe-6-28.npk ntp-6.28-mipsbe.npk Reiniciar el equipo /system reboot Comprobar que se realizó la actualización Para realizar este proceso lo principal que debemos hacer es tener descargado los paquetes de actualización que necesitamos. Primer paso es visitar la web: http://www.mikrotik.com y y nos dirigiremos a la página de descarga (downloads). Una recomendación es descargar paquetes combinados en vez de solo la versión que desea, ya que, en estos paquetes combinados, vendrán con todas las funciones incluidas, tales como, paquetes adicionales para la actualización requerida. • • • •

• •


Buscar actualizaciones • • • •

A través del menú System / Packages Presionar el botón Ckeck for Updates a continuación Download & Upgrade Luego el equipo se reiniciará automáticamente Verificamos la instalación de los paquetes y el estado del router

Desde el lanzamiento del RouterOS v5.21, se añadió la actualización automática. Para actualizar la versión de RouterOS, todo lo que se necesita hacer es hacer clic en un botón Check For Updates . Esta característica está disponible en la línea de comandos, Winbox GUI, Webfig GUI y QuickSet. La función de actualización automática se conecta a los servidores de descarga MikroTik, y comprueba si hay una nueva versión de RouterOS para su dispositivo. En caso afirmativo, se muestra una lista de cambios, y el botón de actualización se mostrará. Al hacer clic en el botón Actualizar, los paquetes de software se descargarán automáticamente, y el dispositivo se reiniciará. Incluso si usted tiene un sistema con paquetes personalizados instalados, solo los paquetes que usted desea tener en su equipo se descargarán. El proceso es fácil y rápido, con el uso de los servidores FTP.

Actualización automática Copie los archivos requeridos en uno de los routers para que sirva como fuente del archivo de actualización. Configurar todos los router para que apunten hacia el router interno • •

Objetivos • • • • • •

Hacer un router como punto central de la red con las actualizaciones, que actualizará el RouterOS en otros routers. Subir los paquetes RouterOS necesarios para este router. Mostrar los paquetes disponibles Se selecciona y se descarga los paquetes deseados Reiniciar y luego verificar el estado del router Comprobar la versión actual [admin@Mikrotik] > /system RouterBOARD print RouterBoard: yes Model: 951Ui-2HnD Serial-number: 458802555182 Current-firmware: 3.18 Upgrade-firmware: 3.18

RouterBoot firmware Upgrade Es una de las opciones más rápidas y seguras para realizar una actualización por medio de línea de comando utilizando el software de Winbox. Actualizar si es necesario (esto es un ejemplo):


/system RouterBoard Upgrade Do you really want to Upgrade firmware? [y/n]: Yes Echo: system, info, critical firmware Upgrade successfully, please reboot for changes to take effect! Reboot, yes? [y/N]:

Paquetes de RouterOS RouterOS soporta muchas y diferentes características, y desde su instalación requiere un conjunto específico de características soportadas, es posible agregar o remover ciertos grupos de características usando el sistema de paquetes. De esta forma el usuario puede controlar cuáles características estarán disponibles y el tamaño de la instalación. Los paquetes son provistos exclusivamente por MikroTik y no está permitido que terceros desarrollen paquetes. Los paquetes pueden descargarse de la sección DOWNLOAD en el Website de MikroTik ( www.mikrotik.com/download )

Si se trata de un router con configuración básica, entonces únicamente podría necesitarse que esté instalado el paquete system para que el equipo cumpla con operaciones básicas. Esto significa que los demás paquetes son opcionales.

El siguiente paquete que podría ser importante es el dhcp si su proveedor de Internet (ISP/WISP) entrega direcciones IP usando este método. Si requiere trabajar con túneles (VPN) es posible que requiera el paquete ppp ppp para conectividad pppoe y pptp. El resto de paquetes quizá no sean necesarios, por lo que debe instalar únicamente los que sean de utilidad.

Paquetes principales de RouterOS advanced-tools (mipsle, mipsbe, ppc, x86) – herramientas avanzadas de netwatch, ip-scan, sms tool, wake-onLAN dhcp (mipsle, mipsbe, ppc, x86) – client y server DHCP (Dynamic Host Control Protocol) hotspot (mipsle, mipsbe, ppc, x86) – servidor de portal cautivo HotSpot para administración de usuarios ipv6 (mipsle, mipsbe, ppc, x86) – soporte de direccionamiento IPv6 mpls (mipsle, mipsbe, ppc, x86) – soporte de MPLS (Multi Protocol Labels Switching) ppp ppp (mipsle, mipsbe, ppc, x86) – cliente MlPPP, clientes y servers PPP, PPTP, L2TP, PPPoE, ISDN PPP routerboard (mipsle, mipsbe, ppc, x86) – acceso y manejo del RouterBOOT. Información específica del RouterBOARD. routing (mipsle, mipsbe, ppc, x86) – protocolos de ruteo dinámico como RIP, BGP, OSPF y utilitarios de ruteo como BFD, filtros para rutas. •

• • • • • •

•


• •

•

security (mipsle, mipsbe, ppc, x86) – IPSEC, SSH, Secure WinBox system (mipsle, mipsbe, ppc, x86) – características de ruteo básico como ruteo estático, direccionamiento IP, sNTP,

telnet, API, queues, firewall, web proxy, DNS c ache, TFTP, IP pool, SNMP, SNM P, packet sniffer, e-mail send tool, graphing, bandwidth-test, torch, EoIP, IPIP, bridging, VLAN, VRRP etc.). También, para la plataforma RouterBOARD MetaROUTER | Virtualization wireless (mipsle, mipsbe, ppc, x86) – soporte para la interface Wireless. Algunas veces se liberan sub-tipos. Por ejemplo, wireless-fp se introdujo para soportar FastPath, wireless-cm2 se introdujo para soportar CAPsMAN v2 y wireless-rep se introdujo para soportar el modo repetidor. Ocasionalmente estos paquetes se liberan en forma separada, antes de que las nuevas características se puedan fusionar en un solo paquete principal de Wireless.

Paquetes extra de RouterOS calea (mipsle, mipsbe, ppc, x86) – herramienta de recolección de datos para usos específicos requeridos por la "Communications Assistance for Law Enforcement Act" en USA gps gps (mipsle, mipsbe, ppc, x86) – soporte a dispositivos GPS (Global Positioning System) lcd lcd (x86) – soporte para el panel LCD para dispositivos de puerto serial/paralelo. No se requiere este paquete para los equipos RouterBOARD que tienen paneles LCD multicast (mipsle, mipsbe, ppc, x86) – PIM-SM (Protocol Independent Multicast - Sparse Mode); IGMP-Proxy (Internet Group Managing Protocol – Proxy) ntp ntp (mipsle, mipsbe, ppc, x86) – NTP (Network Time Protocol server), también incluye un cliente NTP sencillo. El cliente NTP también está embebido en el system package y funciona sin que este paquete ( ntp ntp) esté instalado. openflow (mipsle, mipsbe, ppc, x86) – habilita el soporte para OpenFlow ups ups (mipsle, mipsbe, ppc, x86) – interface de administración ups APC user-manager (mipsle, mipsbe, ppc, x86) – servidor MikroTik User Manager para controlar el Hotspot y otros servicios de usuario. •

• •

•

•

• • •

Trabajando con los paquetes /system package

Los comandos que se ejecutan en este menú tendrán efecto únicamente cuando se reinicie ( restart) el router. Mientras tanto, los usuarios pueden libremente planificar o revertir las acciones configuradas

•

disable – programa el paquete para que sea deshabilitado después del próximo reboot. Una vez que el paquete

entra en modo deshabilitado (después del reboot del router) ninguna característica de ese paquete estará disponible. downgrade – cuando se elige esta opción, se pedirá y confirmará hacer un reboot del router. Durante el proceso de reboot se intentará hacer un downgrade (degradar) del RouterOS a una versión anterior o m ás vieja, para lo cual se chequearán los paquetes que se hayan subido al router (al directorio principal de files). print – se muestra la información de los paquetes, tales como: versión, estado del paquete, cambios de estado planificados, etc. enable – programa el paquete para que sea habilitado después del próximo reboot. uninstall – programa el paquete para que sea removido del router. Esta remoción se ejecutará durante el reboot. unschedule – se remueve la tarea programada para dicho paquete. Ejemplo para desinstalar un paquete y luego hacer un reboot al router: •

•

• • •

/system package uninstall ppp /system reboot Reboot, yes? [y/N]:

Ejemplo para deshabilitar un paquete: /system package disable hotspot /system reboot Reboot, yes? [y/N]:

Ejemplo para hacer downgrade al RouterOS: /system package downgrade /system reboot


Reboot, yes? [y/N]:

Ejemplo para cancelar una desinstalación o deshabilitar una acción: /system package unschedule ipv6

Listado de paquetes RouterOS y las respectivas arquitecturas

*** MIPSLE descontinuado desde la v6.x

Administración de usuarios en un RouterOS La creación de diferentes usuarios para un sistema, o en este caso para el ingreso a un RouterBOARD, es algo fundamental para mantener nuestro sistema seguro, ya que podremos crear usuarios con diferentes prioridades. No todos los usuarios necesariamente deben ingresar a todas las operaciones que se puedan realizar en un Router. Al momento de la creación de un usuario podremos darle los permisos necesarios como acceso total o que sea un usuario para solo lectura, o si se desea ser más detallado se podrá configurar los tipos de servicios a los que el usuario puede acceder.

RouterOS provee la facilidad de que los usuarios puedan conectarse al router desde: la consola local vía terminal serial vía telnet / ssh Winbox / WebFig Los usuarios se autentican utilizando ya sea la base da datos local del router, o a través de un RADIUS Server designado. Cada usuario se asigna a un grupo de usuario ( user group), en el cual se definen los derechos/permisos que posee dicho usuario. Una política de grupo ( group policy) es una combinación de diferentes políticas individuales Cuando la autenticación del usuario se realiza a través de RADIUS, se debe configurar previamente el Cliente RADIUS. • • • •

Grupos de Usuario (User Group) /user group

A través de esta opción se pueden asignar los diferentes permisos y derechos de acceso a los diferentes tipos de usuarios.


Propiedades • •

name (string; Default: ) – Permite definir el nombre del Grupo de Usuario ( user group) policy (local | telnet | ssh | ftp | reboot | read | write | policy | test | web | sniff | api | winbox | password | sensitive; Default: ) – Lista de todas las políticas permitidas: o local – Política que concede derechos para hacer log in localmente vía consola o telnet – Política que concede derechos para hacer log in remotamente vía telnet o ssh ssh – Política que concede derechos para hacer log in remotamente vía secure shell protocol o ftp ftp – Política que concede derechos para hacer log in remotamente vía FTP y para transferir archivos desde y hacia al router. Los usuarios con c on esta política pueden leer ( read), escribir ( write) y borrar ( erase) archivos, independientemente de los permisos de lectura/escritura ( read/write). o reboot – Política que permite hacer reboot al router o read – Política que concede accesos de lectura ( read) a la configuración del router. Se permiten todos los

comando de consola que no alteran la configuración del router. No afecta al FTP

o o o o

write – Política que concede accesos de escritura ( write) a la configuración del router, excepto para la administración de usuario ( user management). Esta política no permite leer la configuración, por lo que debe asegurarse de también habilitar las política de lectura ( read) policy – Política que concede los derechos de administración de usuario ( management rights). Debería utilizarse junto con la política de escritura ( write). Permite también ver las variables globales creadas por otros usuarios (requiere también la política test). test – Política que concede los derechos para ejecutar ping, traceroute, bandwidth-test, wireless scan, sniffer, snooper y otros comandos de prueba ( test) web web – Política que concede derechos para hacer log in remotamente vía WebBox winbox – Política que concede derechos para hacer log in remotamente vía WinBox password – Política que concede derechos para cambiar la contraseña ( password) sensitive – Concede los derechos para ver información sensitiva en el router. Ver después la lista de lo

o o

api api – Concede derechos para accesar al router vía API. sniff - Política que concede derechos para usar la herramienta packet sniffer.

o o o

que se reconoce como información sensitiva.

Información Sensitiva A partir de la versión v3.27 de RouterOS, la siguiente información es considerada sensitiva, y puede ser ocultada de ciertos Grupos de Usuario ( user groups) desmarcando la política sensitive. A partir de la versión v4.3 de RouterOS, los archivos de backup también son considerados sensitivos, y los usuarios que no tienen esta política no podrán descargarlo de ninguna manera. system package /radius: secret /snmp/community: authentication-password, encryption-password advanced-tools package /tool/sms: secret wireless package /interface/wireless/security-profiles: wpa-pre-shared-key, wpa2-pre-shared-key, static-key-0, static-key-1, static-key-2, static-key-3, static-sta-private-key /interface/wireless/access-list: private-key, private-pre-shared-key wireless-test package /interface/wireless/security-profiles: wpa-pre-shared-key, wpa2-pre-shared-key, static-key-0, static-key-1, static-key-2, static-key-3, static-sta-private-key, managementprotection-key /interface/wireless/access-list: private-key, private-pre-shared-key, management-protection-key user-manager package /tool/user-manager/user: password /tool/user-manager/customer: password hotspot package


/ip/hotspot/user: password

ppp package /ppp/secret: password security package /ip/ipsec/installed-sa: auth-key, enc-key /ip/ipsec/manual-sa: ah-key, esp-auth-key, esp-enc-key /ip/ipsec/peer: secret routing package /routing/bgp/peer: tcp-md5-key /routing/rip/interface: authentication-key /routing/ospf/interface: authentication-key /routing/ospf/virtual-link: authentication-key routing-test package /routing/bgp/peer: tcp-md5-key /routing/rip/interface: authentication-key /routing/ospf/interface: authentication-key /routing/ospf/virtual-link: authentication-key Importante

Existen tres Grupos de Systema ( system group) que no pueden ser eliminados: read, write y full

/user group print 0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password, policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!ftp,!write,!policy web,!ftp,!write,!policy 1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,pa policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!policy ssword,web,!ftp,!policy 2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web ,winbox,password,web

El signo de exclamación ( !) es la negación. Significa NO. Ejemplo

Agregar un grupo llamado reboot que tendrá permiso de hacer reboot al router tanto localmente o usando telnet. También deberá estar permitido de leer ( read) la configuración del router.

/user group add name=reboot policy=telnet,reboot,read,local /user group print 0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!ftp,!write,!policy ,web,!ftp,!write,!policy 1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,p policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!policy assword,web,!ftp,!policy 2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,tes policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web t,winbox,password,web 3 name="reboot" policy=local,telnet,reboot,read,!ssh,!ftp,!write,!policy,!test,!winbox,!password,!web

Usuarios del Router (router users) /user


La base de datos de usuario del router guarda información como: nombre de usuario ( username), contraseña ( password), diercciones de acceso permitidas ( allowed access addresses) y el grupo ( group) de administración personal del router. Propiedades •

• •

•

address (IP/mask | IPv6 prefix; Default: ) – Dirección de red o de computador desde la cual el usuario está permitido hacer log in group (string; Default: ) – Nombre del grupo al cual pertenece el usuario name (string; Default: ) – Nombre del usuario. Debe comenzar con un carácter alfanumérico. Puede contener los símbolos *, _, . y @ password (string; Default: ) – Contraseña del usuario. Si no especifica, se deja en blanco. Cumple con las características estándares de Unix sobre contraseñas y puede contener letras, dígitos, y los símbolos * y _

Importante

Existe únicamente un usuario predefinido con todos los rerechos de acceso: /user print Flags: X - disabled # NAME 0 ;;; system default user admin

GROUP ADDRESS full

0.0.0.0/0

Siempre debe existir por lo menos un usuario con todos los derechos de acceso. Si existe un único usuario con todos los derechos, no se puede eliminar.

Monitoreo de los usuarios activos /user active

El comando /user active print muestra el usuario activo actual junto con sus respectivas estadísticas Propiedades

Todas las propiedades son únicamente de lectura ( read only) address (IP/IPv6 address) – Dirección IP/IPv6 desde la cual el usuario está accediendo al router. La IP 0.0.0.0 significa que el usuario está haciendo log in localmente group (string) – Grupo al que pertenece el usuario name (string) – Nombre del Usuario radius (true | false) – Indica si el usuario está autenticado por RADIUS server via via (console | telnet | ssh |winbox | api | web) – Indica el método del acceso del usuario when (time) – Indica la hora y fecha en que el usuario hizo log in •

• • • • •


Otro ejemplo /user active print detail Flags: R - radius, M - by-romon 0 when=jun/26/2016 00:48:56 name="admin" 1 when=jun/26/2016 01:36:09 name="admin" 2 when=jun/26/2016 02:48:56 name="admin" 3 when=jun/26/2016 03:18:51 name="admin" 4 when=jun/26/2016 08:26:12 name="admin"

address=192.168.0.3 via=winbox group=full address=192.168.0.3 via=telnet group=full address=10.5.8.52 via=winbox address=10.5.101.38 via=telnet address=fe80::21a:4dff:fe5d:8e56 via=api

AAA Remoto /user aaa

Esta opción habilita al router para realizar autenticación y contabilización vía RADIUS server. La base de datos de usuario de RADIUS se consulta únicamente si el usuario requerido no se encuentra en la base de datos de usuarios locales (router).

Propiedades • •

•

• •

accounting (yes | no; Default: yes) exclude-groups (list of group names; Default: ) – Consiste de los grupos que no deberían estar permitidos a ser usados por los usuarios autenticados por RADIUS. Si el RADIUS server proporciona el grupo especificado en esta lista, el default-group se usará en su lugar. Esto se hace para proteger contra la escalada de privilegios cuando un usuario (sin políticas de permisos) puede cambiar la lista del RADIUS server, configurar su propio RADIUS server y hacer log in como admin default-group (string; Default: read) – Grupo de usuario utilizado por default por los usuarios autenticados vía RADIUS server. interim-update (time; Default: 0s) – Intervalo de tiempo del interim-update use-radius (yes |no; Default: no) – Habilita la autenticación de usuario vía RADIUS

Importante

Si se está usando RADIUS, se necesita tener habilitado el soporte para CHAP en el RADIUS server para que el Winbox trabaje.

SSH Keys /user ssh-keys

Este menú permite importar claves públicas utilizadas para la autenticación ssh ssh Advertencia

El usuario no podrá hacer log in vía ssh por contraseña (password) si se ha agregado el ssh-keys para el usuario

Propiedades •

user (string; Default: ) – Usuario (username) al cual se ha asignado el ssh key

Propiedades de solo lectura (read-only) •

key-owner (string)


Cuando se importa el ssh key utilizando el comando /user ssh-keys import se preguntará por dos parámetros: public-key-file – Nombre del archivo en el directorio raíz/principal ( root) en el router que contiene el key key (clave) user – Nombre del usuario ( user) al cual se asignará el key key (clave) • •

Private Keys /user ssh-keys private

Este menú se utiliza para importar y mostrar los private keys (claves privadas) importadas. Los private keys se utilizan para autenticar los intentos de log in remoto que usan certificados

Propiedades de solo lectura (read-only) • •

user (string) key-owner (string)

Cuando se importan las claves ssh ( ssh keys) desde este menú usando el comando /user ssh-keys private import se preguntará por tres parámetros: private-key-file – Nombre del archivo en el directorio raíz ( root) del router que contiene el private key. public-key-file – Nombre del archivo en el directorio raíz ( root) del router que contiene el public key. user – Nombre del usuario ( user) al cual se asignará el key key (clave) • • •

Administración de servicios en un RouterOS (IP Services) En estas opciones encontraremos los protocolos y puertos usados por los RouterOS MikroTik. Ayuda a determinar a través de qué puertos escucha el router MikroTik, y lo que necesita para bloquear/permitir en caso de que se quiera controlar el acceso a los servicios determinados. Servicios IP (IP Services) •

• •

Administrar los servicios IP para: o Limitar el uso de recursos (CPU, Memoria) o Limitar las amenazas de seguridad (Puertos abiertos) o Cambiar el puertos TCP o Limitar las direcciones IP y subredes IP aceptadas Para controlar los servicios se debe ir al menú “IP -> Services” Desactivar o Activar los servicios requeridos

Acceso a los Servicios IP • • •

Hacer doble clic en un servicio Si es necesario, especificar que host o subredes pueden acceder a los servicios Es una muy buena práctica de seguridad el limitar ciertos servicios a los administradores de red.


Administración de los respaldos (backup) de las configuraciones Los backup de configuración se pueden utilizar para realizar copias de seguridad de la configuración de un RouterOS MikroTik en un archivo binario, que puede ser almacenada en el router o descargado a través de FTP para su uso futuro. La opción restore (restauración) se puede utilizar para recuperar la configuración del router, tal y como era en el momento de la creación de la copia de seguridad, a partir de un archivo de backup. La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la pantalla de la consola o a un archivo de texto, que se puede descargar desde el router mediante el protocolo FTP. Tipos de Backups • •

Backup Binario Comando export

Backup Binario

Realiza un respaldo completo del sistema Incluye contraseñas y usuarios Los archivos de backup serán guardados por defecto en el mismo router. Se recomienda que el archivo backup se guarde en una PC o en una unidad externa ya que resultaría ilógico que se guarde en el mismo dispositivo. Se pueden generar “n” archivos de backup, y se guarda por defecto, con nombre del host, año, fecha, hora. • • •

Comando export Se puede visualizar la configuración completa o parcial Se usa el comando compact para mostrar la configuración no predeterminada La sentencia print permite visualizar la configuración parcial o total. Si se ingresa en la página principal únicamente el comando export, entonces se respalda toda la configuración del router • • •

/export file = nombre_del_archivo •

El comando export NO respalda los usuarios del router. /ip firewall filter export # oct/18/2016 21:58:17 by RouterOS 6.37.1 # software id = PEVF-794H # /ip firewall filter Add action=Accept chain=input comment=”default configuration” disabled=no \ Protocol=icmp Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=established Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=related Add action=drop chain=input comment=”default configuration” disabled=no \ Protocol=ethernet-gateway

Guardar archivos de Backup Una vez que se han generado los archivos de respaldo, se recomienda copiarlos en un servidor o Por medio de SFTP en la forma recomendada o FTP (Se lo habilita en el menú IP Services o Arrastrar y Soltar usando la ventana Files •


•

Dejar los archivos de respaldo en el router no es una buena práctica o al menos no es algo recomendado. Los routers no hacen respaldos en cintas o en CDs.

Licencias RouterOS Los dispositivos RouterBOARD vienen pre-instalados con una licencia RouterOS. Esto significa que si compra un dispositivo RouterBOARD no se debe hacer nada respecto a la licencia. En cambio, cuando se trabaja con sistemas X86 (por ejemplo, una PC), ahí si se necesita obtener una clave de licencia (license key). La clave de licencia ( license key) es un bloque de símbolos que necesitan copiarse desde su cuenta en mikrotik.com, o desde el email que usted recibe. Ejemplo de License Key recibido por email License key for your router, -----BEGIN MIKROTIK SOFTWARE KEY-----------LlCoU6wx6QFaGCbTieJCgAcloa4cPrF776F/9=Dxk+0+vZ39KBonqfyXrfBdrng3ajK/zFGr8KtgAcU gcwHLNA== -----END MIKROTIK SOFTWARE KEY-------------Ejemplo de License Key desde la cuenta en mikrotik.com

Se puede copiar la clave en cualquier lugar en la ventana terminal, o haciendo click en “ Paste key” en el menú de Licencias de Winbox. Es necesario/requerido hacer un reboot para que la clave (key) tenga efecto (se active).

El esquema de licenciamiento de RouterOS se basa en el número de SoftwareID que está asociado al medio de almacenamiento (HDD, NAND). La información también se puede leer desde la consola del CLI /system license print software-id: 5ATP-QYIX nlevel: 4 features:

Niveles de Licencias Tenemos 6 tipos de licencias cuyas principales diferencias se muestran en la tabla a continuación: Nivel 0 (L0) : Demo (24 Horas) Nivel 1 (L1) : Free (Muy limitada) Nivel 3 (L3) : Es una licencia solo para estaciones Wireless o WISP CPE (Cliente WiFi, cliente o CPE). Para arquitecturas x86 la licencia Nivel 3 no pude ser adquirida de forma individual. Si se desea ordenar más de 100 licencias L3, se debe escribir un correo a [email protected] Nivel 4 (L4) : WISP (Requeridos para un Access Point) Nivel 5 (L5) : WISP (Mas Capacidades) Nivel 6 (L6) : Controlador ( Capacidades ilimitadas) • • •

• • •


Datos importantes sobre las Licencias: • •

• •

•

•

El nivel de licencia determina las capacidades permitidas en un Router RouterBOARD viene con una licencia pre-instalada, la misma que varía dependiendo del tipo de arquitectura del RouterBOARD. Para un sistema X86 deben adquirirse las licencias. Una licencia es válida solo para un equipo La licencia Nivel 2 (L2) fue una licencia transicional entre el formato de licencia old-legacy (pre v2.8). Estas licencias ya no están disponibles. Si usted posee este tipo de licencia L2, la misma trabajará, pero al hacer el upgrade usted tendrá que comprar una nueva licencia. El protocolo dinámico BGP está incluido en la Licencia Nivel 3 (L3) únicamente para los RouterBOARDs. Para activar BGP en otros dispositivos se necesitará una licencia L4 o superior. Todas las licencias: o Nunca expiran o Incluyen soporte gratis vía email por 15 a 30 días o Pueden usar un número ilimitado de interfaces o Las Licencias únicamente son válidas para una sola instalación o Las licencias vienen con una capacidad de upgrade de software ilimitado

Usos Típicos: • • • •

Nivel 3: CPE, Clientes Wireless Nivel 4: WISP Nivel 5: Amplio WISP Nivel 6: infraestructuras internas ISP (Cloud Core)

Cambio de Niveles de Licencias No se puede actualizar el nivel de licencia. Si se desea usar un nivel de Licencia diferente, entonces se debe comprar el nivel apropiado/requerido. Se debe tener mucho cuidado cuando se compre la licencia, ya que se debe elegir el nivel de licenciamiento adecuado. Por qué no se puede cambiar el nivel de licencia (hacer upgrade)? Un ejemplo práctico sería actualizar el motor de un vehículo de 2L a 4L, para lo cual se requiere pagar la diferencia. Por este motivo no se puede cambiar de niveles de licenciamiento fácilmente. Esta es una política usada por muchas compañías de software. •

•

Uso de las Licencias Se puede formatear o hacer un re-flash al drive?

Formatear, y hacer una re-imagen del drive con herramientas que no son MikroTik (por ejemplo, DD y Fdisk) destruirán su licencia. Se debe actuar con cautela y contactar al soporte de MikroTik antes de hacer esto. No se recomienda ya que el soporte de MikroTik podría negar su requerimiento para reemplazar una licencia. Por este motivo MikroTik provee las herramientas Netinstall o la instalación por CD. Con Cuántas computadoras se puede usar la licencia?

Al mismo tiempo, la licencia de RouterOS se puede usar únicamente en un solo sistema. La licencia está ligada al HDD (disco duro) en donde se instala. Sin embargo, se puede mover el HDD a otro sistema de cómputo. No se puede mover la licencia a otro HDD. Si se formatea o se sobre escribe el HDD con la licencia RouterOS, se borrará todo el contenido del drive, y se deberá adquirir una nueva licencia. Si de forma accidental se removió la licencia, debe contactar al equipo de soporte para ayuda.


Se puede usar el HDD para algún a actividad diferente que RouterOS?

No se puede Se puede mover la licencia a otro HDD?

Si su HDD actual se destruye, o ya no puede ser usado, se puede transferir la licencia a otro HDD. Para ejecutar esta actividad, se deberá solicitar una clave (key) de reemplazo que costará 10 USD. Qué es la clave de reemplazo?

Es una clave especial que es emitida por el Equipo de Soporte MikroTik si es que usted accidentalmente perdió la licencia. El soporte de MikroTik decide si es o no su culpa de forma directa. Esta clave de reemplazo cuesta 10 USD y tiene las mismas características que la que perdió. Es posible que antes de que el equipo de soporte emita la clave, pueda pedirle prueba de que el viejo drive en verdad en verdad está dañado. En algunos casos esto puede implicar que deba enviar el drive muerto a MikroTik. Nota: Se puede emitir únicamente una clave de reemplazo por cada clave original. No se puede usar el procedimiento de reemplazo de clave dos veces para una sola clave. En estos casos se debe adquirir una nueva key. Para una revisión más detallada sobre Licenciamiento, le recomendamos visitar el siguiente link: http://wiki.mikrotik.com/wiki/Manual:License

NetInstall Es un programa que se ejecuta en el computador que corre el sistema operativo Windows y que permite instalar RouterOS MikroTik en una PC o en un RouterBOARD a través de una red Ethernet. El dispositivo debe ser compatible con el arranque desde Ethernet, y debe haber un enlace Ethernet directo desde el computador donde tenemos el Netinstall al dispositivo de destino. Uso de Netinstall • • •

Reinstalación del RouterOS para recuperación del sistema Reinstalación del RouterOS tras pérdida de contraseña Para descargar Netinstall: http://www.mikrotik.com/download

Procedimientos para usar Netinstall Para RouterBOARDs sin el puerto COM •

•

Nos conectamos a un computador por medio del puerto Ethernet1 o Configurar una dirección IP y máscara de subred estática al computador Iniciar Netinstall o Presionar el botón Net booting y escribir una dirección IP al azar pero que esté en la misma subred que el computador


•

•

•

•

•

•

•

•

En la sección Packages, debe hacer click en Browse y seleccionar un directorio que contenga un archivo NPK válido. Presionar el botón reset en el router hasta que el LED de actividad ( ACT) se quede apagado o El router aparecerá en la sección Routers/Drivers Seleccionamos la versión del RouterOS requerido desde la sección Packages o Presionar el botón install La barra de progreso se tornará azul mientras se transfiere los archivos NPK

Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de acceso a internet en el puerto Ethernet1 Usar el MAC-Winbox para conectare al equipo con configuración en blanco. Hacer una copia de seguridad de la configuración y reiniciar el sistema o Importante para la gestión de un acceso adecuado de los archivos. Si el problema era de una contraseña perdida, vuelva a realizar la configuración desde cero. o Importante para la gestión de un acceso adecuado de los archivos.

Para RouterBOARDs con el puerto COM

Comenzar igual que antes PC en la Ethernet1 con una direcciones estática o o Conectar desde el puerto serial del PC al puerto COM del RouterBOARD Iniciar Netinstall ( configurar parámetros de Net Booting) o Seleccionar directorio con archivos NPK válidos o Reiniciar el router o Presionar Enter, cuando se le solicite para entrar en la configuración o Podemos presionar “o” para reiniciar el dispositivo o Podemos presionar “e” para Ethernet o Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router) o El router aparecerá en la sección Routers/Drivers •


Se selecciona la versión del RouterOS requerido desde la sección Packages Hacer click en Keep old configuration Presionar el botón install La barra de progreso se tornará azul mientras se transfiere los archivos NPK Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de acceso a internet en el puerto 1 Ahora usted puede usar Winbox para conectarse o Aquí se encontrará la opción Keep old configuration Reiniciar el router Presionar Enter, cuando se le solicite para entrar en la configuración Podemos presionar “o” para reiniciar el dispositivo Podemos presionar “e” para Ethernet Podemos presionar “n” para desconectar el puerto Ethernet o Si te olvidas de esto, siempre el router se iniciara desde la Ethernet Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router) • •

•

•

• • • • •

•

Recursos adicionales Wiki http://wiki.mikrotik.com/wiki/Manual:TOC • •

•

Aquí se encontrará información acerca del RouterOS Todos los comandos del RouterOS o Explicación o Sintaxis o Ejemplos Consejos y trucos adicionales

Tiktube http://www.tiktube.com/ • • • •

Recursos en videos sobre varios temas Presentados por Trainers, Partners, IPSs, etc. Se encontrará diversas presentaciones Los videos están en varios lenguajes

Foros de Discusión http://forum.mikrotik.com/ • • • •

Moderado por el personal de MikroTik Es un foro de discusiones sobre diversos temas Aquí se puede encontrar una gran cantidad de información Se puede encontrar una solución a su problema

Soporte MikroTik • • •

Mail: [email protected] Instrucciones para solicitar soporte: http://www.mikrotik.com/support.html El apoyo de Mikrotik si el router fue comprado a fábrica es de: o 15 días (nivel licencia 4) o 30 días (nivel 5 Licencia y el nivel 6)

Distribuidores/Soporte •

El distribuidor mayorista/reseller proporcionará soporte siempre y cuando el router haya sido comprado a él Se pueden contratar a Consultores Certificados para necesidades especiales

•

http://www.mikrotik.com/consultants

•


Preguntas de repaso del Capítulo 1 1.

Cuál es la cantidad mínima de memoria RAM, y de espacio en disco que se requiere para instalar RouterOS?

2.

Hasta qué capacidad de memoria RAM se reconoce en los dispositivos Cloud Core?

3.

Hasta qué capacidad de memoria RAM se reconoce en los dispositivos que no son Cloud Core?

4.

Cuáles son los diferentes medios de almacenamiento que soporta RouterOS?

5.

Cuál es la versión de Kernel de Linux en la que está basado el RouterOS 6.x?

6.

Cuáles son las arquitecturas soportadas por RouterOS?

7.

Cuál es la IP por defecto que usan los routers MikroTik cuando viene configurado de fábrica?

8.

Enumere las diferentes formas de accesar a un router MikroTik

9.

Cuáles son las formas de acceso en forma segura a un router MikroTik?

10. Cuáles son los parámetros para la configuración cuando se ingresa por puerto serial? 11. Cuáles son las maneras de realizar un Upgrade del RouterOS? 12. Qué hace la opción Check For Updates ? 13. Es importante realizar la actualización del RouterBoot? Por qué? 14. Cuál es la diferencia entre backup y export? 15. Cuáles son los usos típicos de los diferentes niveles de licencias RouterOS? 16. Para qué se usa el NetInstall? 17. A través de qué puerto funciona el NetInstall? Funciona a través de otros puertos? 18. Que función tiene la opción Keep Old Configuration en NetInstall?

Laboratorio – Capítulo 1

RouterOS v6.39.0.01 – Capítulo 2 – Ruteo Estático

Capítulo 2: Ruteo Estático Conceptos de Ruteo El ruteo (routing) es un proceso en la capa 3 del modelo OSI. El ruteo define por donde va a ser enviado el tráfico. Es necesario para que puedan comunicarse entre sí diferentes subredes.

Routing o enrutamiento Es la función de buscar un camino entre todos los posibles en una red de paquetes cuyas topologías poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero será definir qué se entiende por mejor ruta y en consecuencia cuál es la métrica que se debe utilizar para medirla Los parámetros que se manejan son: Métrica de la red

Puede ser, por ejemplo, el número de saltos necesarios para ir de un nodo a otro. Aunque ésta no es una métrica óptima ya que supone el valor 1 para todos los enlaces, es sencilla y suele ofrecer buenos resultados. Otro tipo de métrica es la medición del retardo de tránsito entre nodos vecinos, en la que la métrica se expresa en unidades de tiempo y sus valores no son constantes sino que dependen del tráfico de la red. Mejor Ruta

Entendemos por mejor ruta aquella que cumple las siguientes condiciones: Consigue mantener acortado el retardo entre pares de nodos de la red. Consigue ofrecer altas cadencias efectivas independientemente del retardo medio de tránsito Permite ofrecer el menor costo. El criterio más sencillo es elegir el camino más corto, es decir la ruta que pasa por el menor número de nodos. Una generalización de este criterio es el de coste mínimo . En general el concepto de distancia (o coste de un canal) es una medida de la calidad del enlace basado en la métrica que se haya definido. En la práctica se utilizan varias métricas simultáneamente. • • •

Pregunta: Cuales son los motivos por los cuales estos dispositivos no se pueden comunicar entre si en el siguiente escenario? (Fig.M2-1)


Respuesta: No se comunicarán, porque cada computador o dispositivo, se encuentra en un segmento de red distinto. Para

que puedan verse entre sí, tienen estas opciones (Fig.M2-1): Tendrán que pertenecer a un mismo segmento de red todos los computadores Colocar un router configurado con los parámetros adecuados para que se comuniquen las subredes. • •

Etiquetas de Rutas Las rutas tienen varios estados los cuales son identificados por letras. En este curso, nosotros tendremos que familiarizarnos con estos términos, por ejemplo: X : Deshabilitada A : Activa D : Dinámica C : Conectada S : Static (estática) • • • • •

Significado de las etiquetas de rutas más comunes: En la sección de Router Flags del wiki de mikrotik, podremos apreciar más etiquetas: http://wiki.mikrotik.com/wiki/Manual:IP/Route


Rutas Estáticas •

•

•

Las tablas de enrutamiento de los nodos se configuran de forma manual y permanecen inalterables hasta que no se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a los cambios de las condiciones de la red es nula. Las rutas estáticas que existen sobre un router son creados y conocido por ese router. Pero, qué pasará si usted necesita llegar a una subred que existe en otro router? Cabe recalcar que una ruta estática es una forma manual de reenviar el tráfico a subredes desconocidas

Ejercicio 2.1 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.1

Ejercicio 2.2 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.254

Propiedades generales •

check-gateway (arp | ping; Default: "").- Periódicamente (cada 10 segundos) se chequea el gateway enviando ya sea un ICMP echo request (ping) o un ARP request (arp). Si no se recibe respuesta del gateway en 10 segundos, se solicita un tiempo de espera ( request times out). Después de dos timeouts el gateway se considera inalcanzable ( unreachable unreachable ). Después de recibir una respuesta del gateway se considera alcanzable (reachable) y el contador de timeout se resetea.


• •

•

•

•

•

•

•

•

•

•

comment (string; Default: "").- Es Es la descripción de una ruta particular distance (integer[1..255]; Default: "1").- Valor usado en la selección

de ruta. Las rutas con valores de distancia más pequeños tendrán preferencia. Si no se especifica el valor de esta propiedad, entonces el valor default depende del protocolo de ruteo: connected routes: 0 (rutas conectadas) ! static routes: 1 (rutas estáticas) ! ! eBGP: 20 OSPF: 110 ! RIP: 120 ! MME: 130 ! iBGP: 200 ! dst-address (IP prefix; Default: 0.0.0.0/0).- Prefijo IP de la ruta, especifica las direcciones destino para la que esta ruta puede ser utilizada. La parte netmask de esta propiedad especifica cuántos de los bits más significantes en la dirección del paquete destino deben coincidir con este valor. Si existen varias rutas activas que coinciden con la dirección destino del paquete, entonces se utilizará la más específica (el que tenga el valor de netmask más grande). gateway (IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "").- Arreglo de direcciones IP o nombres de interface. Específica a cuál host o interface deberían ser enviados los paquetes. Las rutas conectadas y las rutas con tipo blackhole, unreachable o prohibit no tienen esta propiedad. Usualmente el valor de esta propiedad es una dirección IP sencilla de un gateway que puede ser alcanzado directamente a través de una de las interfaces del router. Las rutas ECMP tienen más de un valor de gateway. El valor puede ser repetido varias veces. pref-src (IP; Default: "").- Cuál Cuál de las direcciones IP locales se utilizará para los paquetes originados localmente que son enviados a través de esta ruta. El valor de esta propiedad no tiene efecto en los paquetes reenviados. Si el valor de esta propiedad se configura con una dirección IP que no es la dirección local de este router, entonces la ruta se volverá inactiva. Si no se configura el valor pref-src, entonces para los paquetes originados localmente que son enviados usando esta ruta, el router elegirá una dirección local anexada a la interface de salida que coincida con el prefijo destino de la ruta. route-tag (integer; Default: "").- Valor del atributo de la etiqueta de ruta para RIP u OSPF. Para RIP los únicos valores válidos son 0..4294967295 routing-mark (string; Default: "").- Nombre de la tabla de ruteo que contiene esta ruta. No se configura por default porque es el mismo que la tabla principal de ruteo. Los paquetes que son marcados por el firewall con este valor de routing-mark serán ruteados usando las rutas de esta tabla, a menos que sean anulados por las reglas de políticas de ruteo. No se puede usar más de 250 routing-mark por router. scope (integer[0..255]; Default: "30").- Usado en la resolución del nexthop. La ruta puede resolver el nexthop únicamente a través de las rutas que tienen scope menor o igual al target-scope de esta ruta. El valor por default depende del protocolo de ruteo: connected routes: 10 (si la interface está corriendo) ! OSPF, RIP, MME routes: 20 ! static routes: 30 ! BGP routes: 40 ! connected routes: 200 (si la interface NO está corriendo) ! target-scope (integer[0..255]; Default: "10").- Utilizado en la resolución del nexthop. Este es el valor máximo de scope para una ruta a través del cual un nexthop de esta ruta puede ser resuelto. Para iBGP el valor se configura por default en 30. type (unicast | blackhole | prohibit | unreachable; Default: unicast).- Rutas que no especifican nexthop para los paquetes, pero que el cambio desarrollan alguna otra acción en los paquetes que tienen un tipo diferente del usual unicast. ! blackhole – esta ruta descarta silenciosamente los paquetes ! unreachable – envía el mensaje ICMP Destination Unreachable (código 1) a la dirección origen del paquete ! prohibit – envía el mensaje ICMP Destination Unreachable (código 13) a la dirección origen del paquete vrf-interface (string; Default: "10").- Nombre de la interface VRF

Propiedades de solo-lectura

•

de gateways, estados de los gateway y cuál interface es usada para reenvío. Sintaxis del estado IP de la interface, por ejemplo 10.5.101.1 reachable bypass-bridge . El estado puede ser unreachable, reachable o recursive. Usado para la métrica OSPF para una ruta en particular. ospf-metric (integer).- Usado

•

ospf-type (string)

•

gateway-status (array).- Arreglo Arreglo

Ventajas del Enrutamiento Estático • •

Hace más sencilla la configuración en redes pequeñas que lo más probable es que no crezca. Limita el uso de recursos del router (memoria, CPU)


•

El administrador podrá entender fácilmente la configuración cuando la red no es compleja.

Limitantes del Enrutamiento Estático • • • •

•

La configuración y el mantenimiento son prolongados. Requiere configuraciones manuales para poder alcanzar nuevas sub redes. La configuración es propensa a errores, especialmente en redes extensas. No se adapta bien con las redes en crecimiento, el mantenimiento se torna cada vez más complicado, en lo que respecta al tema de escalabilidad. Requiere un conocimiento completo de toda la red para una correcta implementación.

Cómo crear rutas estáticas

Para agregar rutas estáticas: Menu: IP " Routes + (Add) Especificar subred y mascara de subred Especificar Gateway (el siguiente salto) • • • •

Ejercicio 2.3 (Fig.M2-5): Ejemplo de Enrutamiento Estático

Cómo llego desde la Red A hasta la Red C?

Solución Ejercicio 2.3

Router 1 /ip route add distance=1 dst-address=172.31.4.0/24 gateway=10.1.1.2

Router 2 /ip route add distance=1 dst-address=172.31.4.0/24 gateway=10.2.2.6

Configurando la Ruta por Defecto La ruta 0.0.0.0/0 es conocida como la ruta por defecto. Es el destino a donde se enviará todo el tráfico a subredes desconocidas. También es una ruta estática, y puede ser creada por el administrador o creada automáticamente por el router. /ip route add gateway=a.b.c.d

Gestión de Rutas Dinámicas Como se mencionó antes, las rutas dinámicas son agregadas automáticamente por el proceso de enrutamiento, no por el administrador. No se puede gestionar las rutas dinámicas, debido a que es un proceso automatizado realizado por el router.


En algunos casos la ruta puede llegar a ser " inalcanzable " si la interface física está apagada o caida (down). Esto puede ocurrir cuando la interface esta deshabilitada o la PC se encuentra desconectada de la red. Ejercicio 2.4 (Fig.M2-6): Implementación de Enrutamiento E stático

En el siguiente caso de estudio se desea implementar una solución de enrutamiento estático. Se desea que la RED-A (192.168.0.0/24), pueda llegar a la RED-C ( 192.168.2.0/24). Asuma que los enlaces inalámbricos ya están previamente configurados.

Solución Ejercicio 2.4 Router 1 /ip route add distance=1 dst-address=192.168.2.0/24 distance=1 gateway=10.10.0.2 /ip route add distance=1 dst-address=192.168.2.0/24 distance=2 gateway=10.10.0.3 Router 2 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.2.2 Router 3 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.1.2


Cuáles son las diferentes etiquetas de rutas en RouterOS? Qué significa cada una?

2.

Cuando existen varias rutas activas que coinciden con una dirección destino, que ruta se utilizará?

3.

Cuáles son los valores por default de distancia de los diferentes protocolos de ruteo?

4.

Es posible gestionar las rutas dinámicas? Por qué?


RouterOS v6.39.0.01 – Capítulo 3 – Bridge

Capítulo 3: Bridge Conceptos de Bridging El bridge trabaja en la capa 2 del modelo OSI. El bridge Ethernet trabaja con el protocolo CSMA/CD, el cual le permite sensar y escuchar la red antes de transmitir. Cuando algunos equipos al mismo tiempo transmiten, se generan colisiones que hacen que la red colapse.

Un puente de red o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Este interconecta segmentos de red (o divide una red en segmentos) haciendo la transferencia de datos de una red hacia otra con base en la dirección física de destino de cada paquete. El término bridge, formalmente, responde a un dispositivo que se comporta de acuerdo al estándar IEEE 802.1D En definitiva, un bridge conecta segmentos de red formando una sola subred (permitir conexión entre equipos sin necesidad de routers). Funciona a través de una tabla de direcciones MAC detectadas en cada segmento al que está conectado. Cuando detecta que un nodo de un segmento está intentando transmitir datos a un nodo del otro segmento, el bridge copia la trama hacia la otra subred, teniendo la capacidad de desechar la trama (filtrado) en caso de no tener dicha subred con destino. Para conocer por donde enviar cada trama que le llega (encaminamiento) incluye un mecanismo de aprendizaje automático (autoaprendizaje) por lo que no necesitan configuración manual. Los bridge usan una tabla de reenvío para enviar tramas a lo largo de los segmentos de la red. Si una dirección de destino no se encuentra en la tabla, la trama es enviada por medio de inundación (flooding) a todos los puertos del bridge excepto por el que llegó. Por medio de este envío masivo de tramas, el dispositivo de destino recibirá el paquete y responderá, quedando así registrada la dirección destino como una entrada de la tabla. Dicha tabla incluye tres campos: dirección MAC, interface a la que está conectada y la hora a la que llegó la trama (a partir de este campo y la hora actual se puede saber si la entrada está vigente en el tiempo). El bridge utilizará esta tabla para determinar qué hacer con las tramas que le llegan.

Ejemplo 1

Todos los ordenadores pueden comunicarse entre sí (Fig.M3-3). Todos tienen que esperar a que el resto de equipos dejen de transmitir para así poder transmitir los datos.


Ejemplo 2 (Fig.M3-4). • • •

Todos los equipos todavía se comunican entre sí. Todos los equipos ahora solo comparten la mitad del cable Todavía tienen que esperar a que el resto de equipos terminen de transmitir, pero el grupo es la mitad del tamaño ahora.

Usando Bridges Por defecto, en los routers MikroTik, los puertos Ethernet están asociados (esclavos) a un puerto maestro ( master port). Ventajas: • •

No necesita configuración previa. Conmutación rápida (a través de chip switch, no en software)

Desventajas:

No hay visibilidad del tráfico de los puertos de esclavos. No conviene si se utiliza SNMP para monitorear el uso de puertos. No se limita el número de reenvíos mediante broadcast Difícilmente escalable para redes muy grandes El procesado y almacenamiento de datos introduce retardos Mediante la eliminación de configuración maestro ( master) y esclavo ( slave), se debe utilizar una interface bridge para vincular a los puertos requeridos en una sola LAN. •

• • •

Ventajas: •

Completa visibilidad de todas las estadísticas de puerto de los puerto involucrados

Desventajas: •

La función de switch se hace a través de software, por lo que provee una velocidad de transferencia de paquetes menos óptima


Creando un Bridge

Agregando puertos al bridge • •

La adición de puertos definirá cuales puertos van a pertenecer a la misma subred Se puede agregar diferentes tecnologías, tales como una interface WiFi

Haciendo Bridge con redes Wireless • •

Lo mismo se puede hacer con interfaces Wireless Veremos acerca de este tema en el siguiente módulo.


En qué capa del modelo OSI trabaja el bridge?

2.

Cuáles son las ventajas de usar bridge?

3.

Cuáles son las desventajas de usar bridge?


RouterOS v6.39.0.01 – Capítulo 4 – Wireless

Capítulo 4: IEEE 802.11 (Wireless) La comunicación inalámbrica (sin cables) es aquella en la que el emisor y el receptor no se encuentran unidos por un medio de propagación físico, sino que se utiliza la modulación de ondas electromagnéticas a través del espacio. En este sentido, los dispositivos físicos sólo están presentes en los emisores y receptores de la señal, entre los cuales encontramos: antenas, computadoras portátiles, PDA, teléfonos móviles, etc. La funcionabilidad Wireless de RouterOS cumple con los estándares IEEE 802.1, y provee un soporte completo para 802.11a, 802.11b, 802.11g, 802.11n y 802.11ac. También provee características adicionales como WPA, WEP, encriptación AES, Wireless Distribution System (WDS), Dynamic Frequency Selection (DFS), Virtual Access Point, y protocolos propietarios (de MikroTik) como Nstreme and NV2 (Nstreme Version 2).

Tablas de compatibilidad de características para los diferentes protocolos La siguiente matriz de características wireless especifica las diferentes características que se pueden utilizar dependiendo del tipo de protocolo. La columna que se llama 802.11 especifica la disponibilidad de opciones para redes 802.11 puras, es decir, cuando se conectan a cualquier proveedor/fabricante inalámbrico. La columna ROS 802.11 especifica las características cuando se conecta a un AP RouterOS y que permite implementar las características propietarias necesarias para trabajar.

Matriz de Características Características Wireless

* El protocolo NV2 utiliza una diferente configuración de seguridad

Matriz de Configuraciones WDS Esta matriz especifica las posibles configuraciones de red WDS para cada protocolo wireless. La primera columna especifica la estructura de red WDS

* mode=ap-bridge aplica también a mode=bridge


Matriz de Modos Estación (station) Esta matriz especifica los modos disponibles de estación (station) para cada protocolo wireless.

La funcionalidad Wireless de RouterOS puede operar en diferentes modos: client (station) access point wireless bridge etc. La funcionabilidad client/station también puede operar en diferentes modos: station station-wds station-pseudobridge station-pseudobridge-clone station-bridge • • •

• • • • •

IEEE 802.11 El estándar IEEE 802.11 define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. Los protocolos de la rama 802.x definen la tecnología de redes de área local y redes de área metropolitana. Recuerde: MikroTik RouterOS opera en 5GHz (802.11a/n/ac) y 2.4GHz (802.11b/g/n)

Estándares Wireless

Fuente: http://en.wikipedia.org/wiki/IEEE_802.11

Wireless Bands (RouterOS) Los estándares 802.11b/g/n (en 2.4GHz) utilizan el espectro de 2.400 a 2.500 GHz. Los estándares 802.11a/n/ac (en 5GHz) utilizan el espectro de 4.915 a 5.825 GHz, el cual es fuertemente regulado en diferentes países. Estos rangos se los conoce generalmente como las bandas de 2.4 GHz y 5 GHz. Cada espectro a su vez se subdivide en canales, y poseen una frecuencia central y un ancho de banda específico. RouterOS trabaja en las bandas 2.4 GHz y 5 GHz.


En cada una de estas bandas se aplican la utilización de los diferentes estándares según la siguiente tabla

Configuración de banda en 2.4 GHz

Configuración de banda en 5 GHz

En la banda de 2.4 GHz la frecuencia central inicia en 2.412 GHz, y el estándar IEEE 802.11 establece que cada 5 MHz se asigne un nuevo número de canal que tiene un ancho de 22 MHz. El mismo estándar IEEE 802.11 también establece lo que se conoce como una máscara espectral (máscara de canal o máscara de transmisión) cuyo objetivo es reducir la interferencia de los canales adyacentes limitando la radiación excesiva en frecuencias que van más allá del ancho de banda necesario: Es sumamente necesario asegurarse que una transmisión permanece dentro de su canal, por lo que se requiere que para 2.4 GHz la señal deba ser atenuada a un mínimo de 20 dB desde su pico de amplitud en +/- 11 MHz desde el centro de la frecuencia, lo que da como resultado un ancho de canal de 22 MHz.


El término Interferencia del Canal Adyacente se refiere a la degradación del desempeño como resultado de la sobre posición (overlapping) del espacio de frecuencia que ocurre debido a un diseño inapropiado de reuso de canal. Se considera un canal adyacente al canal próximo o previo al canal en el cual se está trabajando. En el caso de la gráfica anterior, el canal 3 es adyacente al canal 2. El estándar IEEE 802.11-2012 requiere una separación de 25 MHz entre las frecuencias centrales de los canales 802.11b/g para poder asegurar que no existirá overlapping. Por este motivo, únicamente los canales 1, 6 y 11 cumplen este requerimiento en caso de que se necesite disponibilidad de 3 canales. En caso de que se requiera disponibilidad únicamente de 2 canales, se podría utilizar los canales 2 y 7, así como com o los canales 3 y 8, los canales 4 y 9, o los canales 5 y 10. Lo que es importante entonces recordar es que en el estándar IEEE 802.11b/g/n se requiere 5 canales de separación en las celdas de cobertura adyacentes.

802.11a El estándar 802.11a utiliza el mismo juego de protocolos de base que el estándar original, opera en la banda de 5 GHz y utiliza la multiplexacion por división de frecuencias (OFDM) con una velocidad máxima de 54 Mbit/s (Mbps), lo que lo hace un estándar práctico para redes inalámbricas con velocidades reales de aproximadamente 20 Mbps. La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbps. El estándar 802.11a tiene 12 canales que no se sobreponen, 8 para red inalámbrica y 4 para conexiones punto a punto. No puede interoperar con equipos del estándar 802.11b, excepto si se dispone de equipos que implementen ambos estándares. Cuando se trabaja en la banda de 5 GHz U-NII existe 25 canales que son considerados como no-overlapping ya que su existe una separación de 20 MHz entre las frecuencias centrales. En la práctica siempre existirá un pequeño overlapping entre las frecuencias de cada canal OFDM, pero la ventaja es que en la banda 5 GHz no se está limitado a solo 3 canales como en la banda 2.4 GHz.


Channel Width (RouterOS) Channel Width en banda 2.4 GHz

Channel Width en banda 5 GHz

5Ghz • • • • • • • • •

5 MHz 10 MHz 20/40/80 MHz Ceee 20/40/80 MHz eCee 20/40/80 MHz eeCe 20/40/80 MHz eeeC 20/40 MHz Ce 20/40 MHz eC 20 MHz

Parámetro channel-width (20/40/80mhz-Ceee | 20/40/80mhz-eCee | 20/40/80mhz-eeCe | 20/40/80mhz-eeeC | 20/40mhz-Ce | 20/40mhz-eC | 40mhz-turbo | 20mhz | 10mhz | 5mhz; Default: 20mhz) •

Este uso de canales de extensión (por ejemplo, Ce, eC, etc) permite el uso de canales de extensión adicionales de 20 MHz y debería ser ubicado abajo (below) o arriba (aboce) del canal principal de control. El canal de extensión


permite a los dispositivos 802.11n utilizar hasta 40 MHz (802.11ac permite hasta 80 MHz) de espectro total, pudiendo obtener un incremento en el throughput máximo.

Frecuencias Soportadas Las tarjetas Atheros A/B/G/N/AC usualmente soportan frecuencias en los siguientes rangos: 2 GHz band: 2192-2539 MHz 5 GHz band: 4920-6100 MHz • •

Frecuencias en banda 2.4 GHz

Frecuencias en banda 5 GHz

Parámetro frequency (integer [0..4294967295]; Default: ) • •

•

•

Valor de frecuencia de canal en MHz en la cual operará el AP (Access Point) Los valores permitidos dependen de la banda seleccionada, y están restringidos por o Las configuraciones de país, y o La capacidad de la tarjeta inalámbrica (wireless) Esta configuración no tiene efecto si la interface está en cualquier modo de estación (station mode), o en modo wds-slave, o si el DFS DFS está activo (DFS ya no se configura a partir de v6.37.0) NOTA: Si se está usando el modo superchannel, se aceptará cualquier frecuencia soportada por la tarjeta, pero en el cliente RouterOS cualquier frecuencia no-estándar debe ser configurada en el scan-list, caso contrario dicha frecuencia no será escaneada en un rango no-estándar. En Winbox, las frecuencias de scan-list aparecen en negrillas ( bold), lo que significa que cualquier otra frecuencia (que no esté en negrilla) deberá configurarse en el scan-list

Scan List En Winbox las frecuencias por “default” se muestran resaltadas en negrilla. El valor por omisión del scan-list se muestra como “default”

Conceptos Fundamentales de MikroTik RouterOS v6.39.0.01

Recommend Documents