Por Mauro Escalante Libro de Estudio
RouterO Router OS Conceptos Fundamentales de MikroTik RouterOS v6 v 6.39.2.01
Ruteo Estático, Bridge, Bridge, Wirele Wireless, ss, Administración de Red, Firewall, Firewall, Colas Simples, Túneles (VPN)
Conceptos Fundamentales de MikroTik RouterOS v6.39.2.01 Libro de Estudio
ABC Xperts ® Network Xperts ® Academy Xperts ®
Derechos de autor y marcas registradas
Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts
Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmiti do por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.39.2.01 – Libro de Estudio
Tabla de Contenido Introducción ........................................................................................................................................................ vi
Resumen ......................................................................................................................................................................... vii Audiencia ......................................................................................................................................................................... vii Organización ................................................................................................................................................................... vii Convenciones usadas en este libro ................................................................................................................................ viii Comentarios y preguntas ............................................................................................................................................... viii Partners de Academy Xperts en Latinoamérica .............................................................................................. ix
Empresas Asociadas ........................................................................................................................................................ ix Universidades e Institutos Superiores ...............................................................................................................................x Deseas convertirte en Academia o ser Partner de Academy Xperts? ..............................................................................x Un poco de Historia (Costa Rica) ..................................................................................................................................... xi Cubriendo un País con MikroTik. ............................................................................................................................. xi Capítulo 1: RouterOS .......................................................................................................................................... 1
Sobre MikroTik ................................................................................................................................................................. 1 ¿Qué es RouterOS? ......................................................................................................................................................... 1 Característica de RouterOS ............................................................................................................................................. 2 Qué hay de nuevo en la Versión 6 ................................................................................................................................... 4 Detalle de cambios en las últimas versiones de RouterOS .............................................................................................. 7 6.39.2 (2017-Jun-06 08:01) ...................................................................................................................................... 7 6.39.1 (2017-May-03 10:06) ..................................................................................................................................... 8 6.39 (2017-Abril-27 10:06)........................................................................................................................................ 8 Qué es RouterBOARD? ................................................................................................................................................. 15 Arquitecturas Soportadas: ...................................................................................................................................... 15 Programa Made For MikroTik (MFM) ............................................................................................................................. 15 Por qué trabajar con un router integrado? ...................................................................................................................... 15 Nomenclatura de los productos RouterBOARD ............................................................................................................. 16 Nomenclatura de los productos CloudCoreRouter ......................................................................................................... 17 Nomenclatura de los productos CloudCoreSwitch ......................................................................................................... 17 Ingresando al Router por Primera vez ............................................................................................................................ 18 WebFig - Ingreso por Web Browser ............................................................................................................................... 18 Skins ............................................................................................................................................................................... 19 Quickset .......................................................................................................................................................................... 20 WinBox ........................................................................................................................................................................... 21 RoMON ........................................................................................................................................................................... 21 Secrets ................................................................................................................................................................... 23 Peer Discovery ....................................................................................................................................................... 23 Aplicaciones ........................................................................................................................................................... 23 Otras formas de acceso: SSH y Telnet .......................................................................................................................... 24 Acceso por puerto serial (puerto de Consola) ........................................................................................................ 24 Bootloader .............................................................................................................................................................. 24 Consola Serial / Terminal Serial ............................................................................................................................. 24 Configuración Básica o dejar el router en Blanco .......................................................................................................... 25 Actualizando el router ..................................................................................................................................................... 26 Cómo hacer un Upgrade ........................................................................................................................................ 27 Actualización automática ........................................................................................................................................ 28 RouterBoot firmware Upgrade ................................................................................................................................ 28 Paquetes de RouterOS .................................................................................................................................................. 29 Paquetes principales de RouterOS ........................................................................................................................ 29 Paquetes extra de RouterOS ................................................................................................................................. 30 Listado de paquetes RouterOS y las respectivas arquitecturas ............................................................................. 31 Administración de usuarios en un RouterOS ................................................................................................................. 31 Grupos de Usuario (User Group) ........................................................................................................................... 31 Información Sensitiva ............................................................................................................................................. 32 Usuarios del Router (router users) ......................................................................................................................... 33 Monitoreo de los usuarios activos .......................................................................................................................... 34 AAA Remoto ........................................................................................................................................................... 35 SSH Keys ............................................................................................................................................................... 35 Private Keys ........................................................................................................................................................... 36 Administración de servicios en un RouterOS (IP Services) ........................................................................................... 36 Administración de los respaldos (backup) de las configuraciones ................................................................................. 37 Comando export ..................................................................................................................................................... 37 Guardar archivos de Backup .................................................................................................................................. 37 Licencias RouterOS........................................................................................................................................................ 38 Academy Xperts
i
RouterOS v6.39.2.01 – Libro de Estudio
Niveles de Licencias ............................................................................................................................................... 38 Cambio de Niveles de Licencias ............................................................................................................................ 39 Uso de las Licencias............................................................................................................................................... 39 NetInstall ......................................................................................................................................................................... 40 Procedimientos para usar Netinstall ....................................................................................................................... 40 Recursos adicionales ..................................................................................................................................................... 42 Preguntas de repaso del Capítulo 1 ............................................................................................................................... 43 Laboratorio – Capítulo 1 ................................................................................................................................................. 43 Capítulo 2: Ruteo Estático ..................................................................................................... ........................... 44
Conceptos de Ruteo ....................................................................................................................................................... 44 Routing o enrutamiento .......................................................................................................................................... 44 Etiquetas de Rutas ................................................................................................................................................. 45 Significado de las etiquetas de rutas más comunes: ............................................................................................. 45 Rutas Estáticas............................................................................................................................................................... 46 Propiedades generales........................................................................................................................................... 46 Propiedades de solo-lectura ................................................................................................................................... 47 Configurando la Ruta por Defecto .................................................................................................................................. 48 Gestión de Rutas Dinámicas .......................................................................................................................................... 48 Preguntas de repaso del Capítulo 2 ............................................................................................................................... 49 Laboratorio – Capítulo 2 ................................................................................................................................................. 49 Capítulo 3: Bridge.................................................................................................. ............................................ 50
Conceptos de Bridging ................................................................................................................................................... 50 Usando Bridges .............................................................................................................................................................. 51 Creando un Bridge ......................................................................................................................................................... 52 Preguntas de repaso del Capítulo 3 ............................................................................................................................... 52 Laboratorio – Capítulo 3 ................................................................................................................................................. 52 Capítulo 4: IEEE 802.11 (Wireless) .................................................................................................................. 53
Teoría de Wireless ......................................................................................................................................................... 53 Free-space path loss (FSPL) Perdida de camino en el espacio vacío. .................................................................. 53 PATH LOSS (Pérdida de camino) .......................................................................................................................... 53 FREE SPACE PATH LOSS (FSPL) ....................................................................................................................... 54 Perdida de camino en el espacio vacío .................................................................................................................. 54 Línea de Vista................................................................................................................................................................. 55 Radio LOS y Optical LOS. .............................................................................................................................................. 55 Pérdida en cables y conectores ............................................................................................................................. 56 Zonas de Fresnel............................................................................................................................................................ 56 Cálculo de Presupuesto de Enlace Inalámbrico ............................................................................................................. 57 Tablas de compatibilidad de características para los diferentes protocolos .................................................................. 60 Matriz de Características Wireless ......................................................................................................................... 60 Matriz de Configuraciones WDS ............................................................................................................................ 60 Matriz de Modos Estación (station) ........................................................................................................................ 60 IEEE 802.11 ................................................................................................................................................................... 61 Estándares Wireless....................................................................................................................................................... 61 Wireless Bands (RouterOS) ........................................................................................................................................... 61 802.11a ................................................................................................................................................................... 63 Channel Width (RouterOS)............................................................................................................................................. 64 Frecuencias Soportadas................................................................................................................................................. 64 Scan List ......................................................................................................................................................................... 65 Problema del Nodo Oculto ............................................................................................................................................. 66 Diversidad Espacial ................................................................................................................................................ 67 basic-rates / supported-rates .......................................................................................................................................... 68 Tasas Básicas (802.11b) ........................................................................................................................................ 68 Tasas Básicas (802.11a/g) ..................................................................................................................................... 68 Tasas Básicas (802.11n) ........................................................................................................................................ 68 Tasas Básicas (802.11ac) ...................................................................................................................................... 69 Tasas Soportadas (802.11b) .................................................................................................................................. 69 Tasas Soportadas (802.11a/g) ............................................................................................................................... 70 Tasas Soportadas (802.11n) .................................................................................................................................. 70 Tasas Soportadas (802.11ac) ................................................................................................................................ 70 HT chains ....................................................................................................................................................................... 71 802.11n - Data Rates ..................................................................................................................................................... 71 802.11ac - Data Rates.................................................................................................................................................... 72 Tipos de Modulación ...................................................................................................................................................... 73 Modo de Frecuencia (frequency-mode) ......................................................................................................................... 74 Rate Flapping ................................................................................................................................................................. 74 Academy Xperts
ii
RouterOS v6.39.2.01 – Libro de Estudio
Configuración básica de un Access Point (AP) .............................................................................................................. 74 Perfil de Seguridad (Security profile) .............................................................................................................................. 75 Configuración básica de una Estación (client/station) .................................................................................................... 76 Filtrado por MAC address ............................................................................................................................................... 76 Access-list .............................................................................................................................................................. 77 Parámetros adicionales: ......................................................................................................................................... 77 Connect-list: ............................................................................................................................................................ 78 Default-authentication ............................................................................................................................................. 78 Default-forwarding .................................................................................................................................................. 79 WPA, WPA2 ................................................................................................................................................................... 79 Protocolos Wireless propietarios de MikroTik ................................................................................................................ 79 NV2 (Nstreme Version 2) ....................................................................................................................................... 79 Herramientas de monitoreo ............................................................................................................................................ 80 Wireless scan ......................................................................................................................................................... 80 Snooper .................................................................................................................................................................. 80 Registration table.................................................................................................................................................... 80 Redes inalámbricas en Modo Bridge.............................................................................................................................. 81 Preguntas de repaso del Capítulo 4 ............................................................................................................................... 81 Laboratorio – Capítulo 4 ................................................................................................................................................. 81 Capítulo 5: Network Management .................................................................................................................... 82
ARP / RARP ................................................................................................................................................................... 82 Modos ARP ............................................................................................................................................................ 83 Tabla ARP .............................................................................................................................................................. 84 Servidor / Cliente DHCP ................................................................................................................................................. 84 DHCP Server Setup ............................................................................................................................................... 85 DHCP Client ........................................................................................................................................................... 88 Gestión de Asignaciones ................................................................................................................................................ 88 Preguntas de repaso del Capítulo 5 ............................................................................................................................... 89 Laboratorio – Capítulo 5 ................................................................................................................................................. 89 Capítulo 6: Firewall................................................................................................ ............................................ 90
Conceptos básicos de Firewall ....................................................................................................................................... 90 ¿Cómo funciona un firewall? .................................................................................................................................. 90 Mapa de Protocolos ................................................................................................................................................ 96 Flujo de Paquetes........................................................................................................................................................... 96 Diagrama de flujo para Capa 2 (Bridging) en RouterOS v5 ................................................................................... 97 Diagrama de flujo para Capa 3 (Routing) en RouterOS v5 .................................................................................... 97 Diagrama de flujo para Capa 3 (Routing) en RouterOS v6 .................................................................................... 97 Diferencias principales en diagrama de flujo entre v5 y v6 .................................................................................... 98 Detalle de facilidades ............................................................................................................................................. 99 Procesos y decisiones automáticas ....................................................................................................................... 99 Diagrama de mangle incluyendo RAW ................................................................................................................. 100 Connection Tracking y sus Estados ............................................................................................................................. 101 Ubicación del connection tracking ................................................................................................................................ 101 TCP-States ........................................................................................................................................................... 103 Estados de las Conexiones (connection-state) .................................................................................................... 103 Estructura: chains y acciones ....................................................................................................................................... 103 Filtrado Firewall en acción .................................................................................................................................... 104 Consejos Básicos y trucos ................................................................................................................................... 104 Filtrado por Parámetros ........................................................................................................................................ 104 Filter actions ................................................................................................................................................................. 104 Protegiendo tu router (input) ......................................................................................................................................... 104 Protegiendo a todos los clientes (forward) ................................................................................................................... 105 Address-list conceptos básicos .................................................................................................................................... 105 Source NAT .................................................................................................................................................................. 106 masquerade & src-nat .......................................................................................................................................... 106 Destination NAT ........................................................................................................................................................... 107 dst-nat & redirect .................................................................................................................................................. 108 scripts ........................................................................................................................................................................... 108 Preguntas de repaso del Capítulo 6 ............................................................................................................................. 108 Laboratorio – Capítulo 6 ............................................................................................................................................... 108 Capítulo 7: Colas Simples y QoS ................................................................................................................... 109
Principales cambios en la v6 de RouterOS .................................................................................................................. 109 Por qué estos cambios? ....................................................................................................................................... 110 Características de las Colas Simples en v6 ......................................................................................................... 110 Conceptos generales.................................................................................................................................................... 111 Academy Xperts
iii
RouterOS v6.39.2.01 – Libro de Estudio
Principios de limitación de velocidad ............................................................................................................................ 111 Simple Queues (Colas Simples)................................................................................................................................... 112 Identificadores de Flujo ........................................................................................................................................ 113 Propiedades HTB ................................................................................................................................................. 114 Tipos de Colas (Queue Types) ............................................................................................................................. 115 PFIFO, BFIFO y MQ PFIFO ......................................................................................................................................... 116 RED .............................................................................................................................................................................. 117 SFQ .............................................................................................................................................................................. 118 PCQ .............................................................................................................................................................................. 119 Nueva implementación de PCQ (a partir de la v5.0RC5) ..................................................................................... 122 Interface Queue ............................................................................................................................................................ 122 Burst ............................................................................................................................................................................. 123 Preguntas de repaso del Capítulo 7 ............................................................................................................................. 125 Laboratorio – Capítulo 7 ............................................................................................................................................... 125 Capítulo 8: Túneles PPP ........................................................................................................ ......................... 126
Introducción .................................................................................................................................................................. 126 RouterOS y Túneles ..................................................................................................................................................... 127 /ppp profile (perfiles de usuario) ................................................................................................................................... 127 /ppp secret (base de datos de usuario) ........................................................................................................................ 129 /ppp active (usuarios activos) ....................................................................................................................................... 130 /ppp aaa (AAA remoto) ................................................................................................................................................. 131 /ppp client (cliente PPP) ............................................................................................................................................... 131 /ip pool .......................................................................................................................................................................... 132 PPPoE .......................................................................................................................................................................... 133 Operación PPPoE ................................................................................................................................................ 134 Tipos de paquetes utilizados ................................................................................................................................ 135 MTU ...................................................................................................................................................................... 135 pppoe client (Cliente PPPoE) ............................................................................................................................... 136 Status ................................................................................................................................................................... 136 Scanner ................................................................................................................................................................ 137 Configuración del Server PPPoE (Concentrador de Acceso) .............................................................................. 138 PPTP ............................................................................................................................................................................ 140 PPTP Client (cliente pptp) .................................................................................................................................... 142 PPTP Server (servidor pptp) ................................................................................................................................ 142 L2TP ............................................................................................................................................................................. 143 L2TP Client (cliente l2tp) ...................................................................................................................................... 144 L2TP Server (servidor l2tp) .................................................................................................................................. 144 Clientes y servidores SSTP .......................................................................................................................................... 145 Clientes y Servidores OpenVPN .................................................................................................................................. 147 Configuración de Rutas entre redes ............................................................................................................................. 147 Preguntas de repaso del Capítulo 8 ............................................................................................................................. 148 Laboratorio – Capítulo 8 ............................................................................................................................................... 148 Capítulo 9: Herramientas RouterOS .............................................................................................................. 149
E-mail ........................................................................................................................................................................... 149 Send Email ........................................................................................................................................................... 149 Netwatch ....................................................................................................................................................................... 150 Ping .............................................................................................................................................................................. 152 Formato de la cabecera (header) ICMP ............................................................................................................... 152 Mensajes de Control ICMP ................................................................................................................................... 153 MAC ping .............................................................................................................................................................. 155 Traceroute .................................................................................................................................................................... 155 Profiler (Carga del CPU)............................................................................................................................................... 156 Torch ............................................................................................................................................................................ 158 Graphing (Gráficos) ...................................................................................................................................................... 159 Interface Graphing ................................................................................................................................................ 161 Queue Graphing ................................................................................................................................................... 161 Resource Graphing .............................................................................................................................................. 161 Graphics en WinBox ............................................................................................................................................. 162 SNMP ........................................................................................................................................................................... 162 SNMP dentro del mapa de Protocolos TCP/IP ..................................................................................................... 164 Community (Comunidad)...................................................................................................................................... 164 Management information base (MIB) ................................................................................................................... 165 Identificadores de Objetos (OID - Object identifiers) ............................................................................................ 165 Traps .................................................................................................................................................................... 165 SNMP write........................................................................................................................................................... 165 Academy Xperts
iv
RouterOS v6.39.2.01 – Libro de Estudio
System identity ............................................................................................................................................................. 166 IP Neighbor................................................................................................................................................................... 167 IP Neighbor discovery .......................................................................................................................................... 168 Ponerse en contacto con Soporte MikroTik .................................................................................................................. 169 Supout.rif .............................................................................................................................................................. 169 Supout.rif Viewer .................................................................................................................................................. 169 Autosupout.rif ....................................................................................................................................................... 170 Registros (logging) del sistema y registros de depuración ........................................................................................... 170 Configuración del Logging .................................................................................................................................... 170 Actions .................................................................................................................................................................. 171 Tópicos ................................................................................................................................................................. 172 Bandwidth Test ............................................................................................................................................................. 173 Bandwidth Test Server ......................................................................................................................................... 173 Bandwidth Test Client ........................................................................................................................................... 173 Ping Speed ................................................................................................................................................................... 174 SMS .............................................................................................................................................................................. 175 Packet Sniffer ............................................................................................................................................................... 176 IP-Scan ......................................................................................................................................................................... 177 Telnet ............................................................................................................................................................................ 178 SSH .............................................................................................................................................................................. 178 MAC Telnet................................................................................................................................................................... 178 Sigwatch ....................................................................................................................................................................... 178 Wake on Lan (Activación de la Lan) ............................................................................................................................. 179 Fetch ............................................................................................................................................................................. 179 Dynamic DNS ............................................................................................................................................................... 180 Flood Ping .................................................................................................................................................................... 183 Generator Traffic (Generador de Tráfico) ..................................................................................................................... 183 Monitor de Tráfico de Interface ..................................................................................................................................... 187
Academy Xperts
v
RouterOS v6.39.2.01 – Libro de Estudio
Introducción MikroTik es una empresa que nace en Latvia (Letonia) en 1996 con el claro objetivo de proveer un sistema operativo de red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico y multi-núcleo, este hardware es el RouterBOARD. A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes por nuestros racks, siendo Cisco el referente, sin embargo, siempre había representado un costo más o menos importante a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP. No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica (Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas. Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD. Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de fabricantes y costos de implementación. Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.
Mauro Escalante
CEO Academy Xperts CEO Network Xperts
Academy Xperts
vi
RouterOS v6.39.2.01 – Libro de Estudio
Resumen Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de certificación, pero que resultan claves para el correcto entendimiento de la materia. La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y www.youtube.com/abcxperts
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio ritmo. Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción. Tenemos una tarea inmensa por delante, pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía de autoestudio MikroTik.
Audiencia Las personas que leen este libro deben estar familiarizados con: Operaciones de red en Capa 2 Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP Este libro está dirigido a: Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a: Redes Corporativas ! Clientes WISP e ISP ! Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes corporativa y PYMES Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario (Help Desk) • •
•
•
•
Organización Este libro consta de 8 capítulos. Al final de cada capítulo existe una lista de que resume las ideas principales. El apéndice proporciona material de referencia de utilidad, Capítulo 1, MikroTik, RouterOS y RouterBOARD
Una rápida revisión sobre quién es MikroTik, el desarrollo del hardware RouterBOARD, y la base de su sistema operativo RouterOS en el kernel de Linux. Se enumeran todas las nuevas características que hacen a la versión 6.x.El contenido de este capítulo se apoya en los videos tutoriales de nuestro canal de conocimiento ABCxperts ( http://www.abcxperts.com ) en la plataforma YouTube ( http://www.youtube.com/abcxperts ). Capítulo 2, Ruteo Estático
Trabajar en ruteo estático es muy sencillo en el RouterOS, sin embargo, es muy importante fortalecer los conceptos y comprender los diferentes parámetros asociados con esta tarea. Los instructores (MikroTik Trainer Partners) deben fortalecer este entendimiento con ejercicios de laboratorio y prácticas teóricas. En nuestro canal de YouTube (http://www.youtube.com/abcxperts ) tenemos video basados en Webinars específicamente sobre Conceptos de Ruteo, Subnetting, y VLSM. Capítulo 3, Bridge
Una revisión del concepto de bridge, ventajas y desventajas. Capítulo 4, Wireless
El mundo de Wireless en RouterOS es sumamente extenso y versátil, sin embargo, en este capítulo del curso se sientan las bases para poder realizar enlaces básicos y de mediana envergadura para punto-punto y punto-multipunto. En este capítulo se revisan temas como la seguridad Wireless, filtrado por MAC (address-list y access-list), HT chains, rate flapping, etc. Capítulo 5, Network Management
RouterOS es un sistema operativo que provee diferentes herramientas de administración y monitoreo. En este capítulo se revisarán temas como ARP, DHCP Server, DHCP Cliente, Herramientas de RouterOS (email, netwatch, ping, traceroute, profiler, IP neighbors) Capítulo 6, Firewall
La función Firewall de RouterOS es sumamente poderosa y en esta sección se tratará de cubrir las opciones y acciones más importantes destinadas a proteger el router y la red, así como también las formas de proveer acceso a recursos de LAN a través de un dispositivo que da la cara a Internet o red externa. Existen decenas de parámetros y situaciones entre las que se revisarán: Flujo de paquetes, Connection Track, Chains, Actions, Filtros, NAT (src-nat, dst-nat), Mangle. Capítulo 7, Colas Simples y QoS
Si bien es cierto las Colas Simples (simple-queues) son “simples”, sin embargo, proporcionan una posibilidad casi ilimitada para realizar una verdadera implementación de calidad de servicio (QoS) de la mano con las reglas de Mangle. Colas sim ples Academy Xperts
vii
RouterOS v6.39.2.01 – Libro de Estudio
tiene sus limitaciones sobre la eficiencia de la asignación de ancho de banda, pero en los ejercicios que se desarrollen se podrá emular una estructura jerárquica que podrá ser mejorada en el curso de Control de Tráfico Avanzado. Capítulo 8, Túneles
Por qué son necesarios los túneles? Cómo entender las interfaces virtuales que se generan? Cómo interconectar dos o más redes remotas a través de internet? Viajan los datos en forma segura o están expuesto en la nube? Este capítulo enseña cómo crear los diferentes tipos de túneles PPP en RouterOS. Se revisarán los parámetros y esquema de configuración de túneles: PPPoE, PPTP, L2TP, SSTP y OVPN
Convenciones usadas en este libro En este libro se utilizarán las siguientes convenciones tipográficas: Itálicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso de términos técnicos Courier new
Indica direcciones IP y ejemplos de línea de comando Courier new en itálica
Indica texto que puede ser reemplazado Courier new en negrita
Indica datos de entrada del usuario Este icono significa un consejo, sugerencia, o una nota general. Este icono indica una advertencia o precaución.
Comentarios y preguntas Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección: Network Xperts S.A.
Av. Juan T. Marengo y J. Orrantia Edificio Professional Center, Piso 5, Ofic. 507 Guayaquil, ECUADOR +593-4-600-8590 +593-9-9535-2132 A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información adicional: http://cursos.abcxperts.com
Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
[email protected]
Para más información sobre libros, conferencias, c entros de recursos, y la red educativa de Academy Xperts, visite nuestros Websites y canal de YouTube http://www.abcxperts.com http://www.academyxperts.com http://www.youtube.com/abcxperts
Academy Xperts
viii
RouterOS v6.39.2.01 – Libro de Estudio
Partners de Academy Xperts en Latinoamérica Nuestro recorrido por América Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros estudiantes el mejor y más completo material de estudio & laboratorio, y lo que es muy importante… que el contenido siem pre esté actualizado. Nos encantaría estar presente en cada uno de los 14 países y las más de 40 ciudades que recorremos todos los años, pero el tiempo y la disponibilidad física nos es un obstáculo. Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en diferentes países que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido y el acceso a la suscripción anual de este libro (y todos sus recursos) por un cómodo valor.
Empresas Asociadas
Academy Xperts
ix
RouterOS v6.39.2.01 – Libro de Estudio
Universidades e Institutos Superiores
Deseas convertirte en Academia o ser Partner de Academy Xperts? •
•
•
Si eres Universidad o Instituto Superior que cuenta con el respectivo acuerdo ministerial de tu país, puedes optar por convertirte en una Academia MikroTik. Escríbenos a
[email protected] para darte más información. Si eres Trainer Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitación, te invitamos escribirnos a
[email protected] para proporcionarte los detalles. Si deseas que organicemos cursos en tu ciudad/país de residencia, escríbenos a
[email protected]
Academy Xperts
x
RouterOS v6.39.2.01 – Libro de Estudio
Un poco de Historia (Costa Rica) Cubriendo un País con MikroTik. En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing. Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2 Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps. En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas bajo la misma marca MikroTik y su sistema operativo RouterOS. Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A (REICO). Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de 80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para alcanzar una cobertura de más del 80% del territorio y a más del 90% de la población. La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales, turísticos, comerciales, etc. Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK. REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro, Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa Rica 2014.
Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico sobre los inicios de MikroTik en Latinoamérica.
Academy Xperts
xi
RouterOS v6.39.2.01 – Libro de Estudio
Academy Xperts
xii
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Capítulo 1: RouterOS MikroTik, RouterOS y RouterBOARD
Sobre MikroTik MikroTik es una compañía fundada en 1996 en Riga, capital de Latvia, creada para desarrollar routers y sistemas inalámbricos para Proveedores de Servicios de Internet (ISP – Internet Service Provider)
En 1997 MikroTik creó el sistema de software RouterOS que proporciona estabilidad, control y flexibilidad para todos los tipos de interfaces de datos y ruteo En el 2002 MikroTik decidió fabricar su propio hardware y de esta forma nace el RouterBOARD. MikroTik tiene distribuidores en muchas partes del mundo, y clientes probablemente en casi todos los países del planeta. Páginas de interés: www.mikrotik.com - Website oficial www.routerboard.com - Página oficial de los productos RouterBOARD wiki.mikrotik.com - Portal de documentación tiktube.com - Portal de videos mum.mikrotik.com - Eventos y conferencias del MikroTik User Meeting forum.mikrotik.com - Foro de soporte oficial
¿Qué es RouterOS? MikroTik RouterOS es el sistema operativo del hardware MikroTik RouterBOARD, que tiene las características necesarias para un ISP: Firewall, Router, MPLS, VPN, Wireless, HotSpot, Calidad de Servicio (QoS), etc. RouterOS es un sistema operativo independiente basado en el kernel de Linux v3.3.5 que proporciona todas las funciones en una instalación rápida y sencilla, con una interface fácil de usar. RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles con x86, como tarjetas embebidas y sistemas miniITX. RouterOS soporta computadores multi-core y multi CPU. Soporta tambien Multiprocesamiento Simétrico (SMP: Symmetric MultiProcessing). Se puede ejecutar en los motherboards Intel más recientes y aprovechar los nuevos CPUs multicore. Multiprocesamiento Simétrico
Es una arquitectura de Software y Hardware donde dos o más procesadores idénticos son conectados a una simple memoria compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son controlados por una simple instancia del OS (Sistema Operativo), en el cual todos los procesadores son tratados en forma igualitaria, sin que ninguno sea reservado para propósitos especiales. En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos, tratándolos como procesadores separados. El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo. Soporta una gran variedad de interfaces de red, incluyendo tarjetas Ethernet de 10 Gigabit, tarjetas wireless 802.11a/b/g/n/ac y módems 3G y 4G. Academy Xperts
1
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Fechas de liberación de las versiones de RouterOS • • • •
v6 - May 2013 v5 - Mar 2010 v4 - Oct 2009 v3 - Ene 2008
Característica de RouterOS Soporte de Hardware • • •
•
• •
•
Compatible con arquitectura i386 Compatible con SMP (multi-core y multi-CPU) Requiere un mínimo de 32MB de RAM (reconoce hasta máximo 2GB, excepto en los dispositivos Cloud Core, donde no existe un máximo) Soporta los medios de almacenamiento IDE, SATA, USB y flash, con un mínimo de 64MB de espacio. Incluye HDDs, tarjetas CF y SD, y discos SDD Tarjetas de red soportadas por el kernel de Linux v3.3.5 (PCI, PCI-X) Soporte de configuración de Chip de Switch: o
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
o
http://wiki.mikrotik.com/wiki/Supported_Hardware
Compatibilidad de diferentes tipos de interfaces y dispositivos. Existe una lista de compatibilidad que alimentada por los usuarios en el siguiente link:
Instalación •
Netinstall: Instalación basada en red desde una tarjeta de red habilitada con PXE o EtherBoot. o
• •
http://wiki.mikrotik.com/wiki/Manual:Netinstall
Netinstall: Instalación a un drive secundario montado en Windows Instalación basada en CD
Configuración • •
Acceso basado en MAC para configuración inicial. http://wiki.mikrotik.com/wiki/Manual:First_time_startup WinBox: herramientas de configuración gráfica (GUI) independiente para Windows. o
• •
WebFig: Interface de configuración avanzada basada en web Poderosa interface de configuración basada en Línea de Comandos (CLI: command line) con capacidades de scripting integrado, accesible a través de terminal local, consola serial, telnet y ssh. o
•
http://wiki.mikrotik.com/wiki/Manual:Winbox
http://wiki.mikrotik.com/wiki/Manual:Scripting
API: una forma de crear sus propias configuraciones y aplicaciones de monitoreo. o
http://wiki.mikrotik.com/wiki/Manual:API
Respaldo y Restauración (Backup/Restore) • •
Copia de seguridad se configuración binaria Exportar e Importar la Configuración en formato de texto legible
Firewall • •
•
• •
Filtrado basado en el estado del paquete (statefull filtering) Source NAT y Destination NAT. o
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
o
http://wiki.mikrotik.com/wiki/Manual:IP/Services#Service_Ports
NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp). Marcas internas: mark-connection, mark-routing y mark-packet Filtrado basado en dirección IP y rango de direcciones, puerto y rango de puertos, protocolo IP, DSCP y muchos más. o
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
•
Listas de direcciones (address lists).
•
Filtros de Capa 7 personalizados.
•
Soporte para IPv6.
•
PCC: clasificador basado en conexión, utilizado en configuraciones de balanceo de carga.
o
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list
o
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
o
http://wiki.mikrotik.com/wiki/Manual:IPv6_Overview
o
http://wiki.mikrotik.com/wiki/Manual:PCC
Ruteo (Routing) • •
Ruteo Estático Virtual Routing and Forwarding (VRF). o
http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding
Academy Xperts
2
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
• • • • • •
Ruteo basado en políticas (policy based routing) Interface de ruteo. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Routes_with_interface_as_a_gateway Ruteo ECMP. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Multipath_.28ECMP.29_routes Protocolos de ruteo dinámico IPv4: RIP v1/v2, OSPFv2, BGP v4 Protocolos de ruteo dinámico IPv6: RIPng, OSPFv3, BGP Bidirectional Forwarding Detection ( BFD). o
http://wiki.mikrotik.com/wiki/Manual:Routing/BFD
MPLS • •
•
• • •
Static Label Bindings para IPv4 Label Distribution protocol para IPv4. o
http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS
o
http://wiki.mikrotik.com/wiki/Manual:MPLS/TE_Tunnels
Túneles de Ingeniería de Tráfico RSVP. Autodescubrimiento y señalización basado en VPLS MP-BGP MP-BGP basado en MPLS IP VPN Es el siguiente link se puede revisar la lista completa de las características de MPLS
VPN •
• • • • •
•
IPsec: túnel y modo de transporte, certificado o PSK, protocolos de seguridad AH y ESP. Soporte de encriptación por hardware en RouterBOARD 1000. o
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
o
http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
Point to point Tunneling (OpenVPN, PPTP, PPPoE, L2TP, SSTP) Características avanzadas de PPP (MLPPP, BCP) Soporte para túneles simples ( IPIP, EoIP) IPv4 e IPv6 Soporte para túnel 6to4 (IPv6 sobre red IPv4) VLAN: soporte para IEEE802.1q Virtual LAN, Soporte de Q-in-Q. VPNs basadas en MPLS. o
http://wiki.mikrotik.com/wiki/Manual:RouterOS_features#MPLS
Wireless • • • • • • • • • • •
Cliente y Access Point inalámbrico IEEE802.11a/b/g Soporte completo para IEEE802.11n Protocolos propietarios Nstreme y Nstreme2 Protocolo NV2. http://wiki.mikrotik.com/wiki/Manual:Nv2 Wireless Distribution System (WDS) Virtual AP WEP, WPA, WPA2 Control por Lista de Acceso (Access List) Roaming de cliente Wireless WMM. http://wiki.mikrotik.com/wiki/Manual:WMM Protocolo HWMP+ Wireless MESH. o
•
http://wiki.mikrotik.com/wiki/Manual:Interface/HWMPplus
Protocolo de ruteo wireless MME. o
http://wiki.mikrotik.com/wiki/Manual:Routing/MME
DHCP • • • • • • •
DHCP server por interface DHCP client y relay Arrendamiento de direcciones IP (leases) DHCP estáticas y dinámicas Soporte RADIUS Opciones personalizadas de DHCP Delegación de prefijo DHCPv6 (DHCPv6-PD) Cliente DHCPv6
HotSpot • • • •
Acceso Plug-n-Play a la red Autenticación de clientes de red locales Contabilización de usuarios (Users Accounting) Soporte RADIUS para Autenticación y Contabilización
QoS •
Sistema Hierarchical Token Bucket (HTB) QoS con CIR, MIR, burst y soporte de prioridades. o
• •
http://wiki.mikrotik.com/wiki/Manual:HTB
Colas Simples (Simple Queues) para implementación de QoS básico para una solución rápida y simple Entrega equitativa de ancho de banda al cliente en forma dinámica (PCQ).
Academy Xperts
3
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
o
http://wiki.mikrotik.com/wiki/Manual:PCQ
Proxy •
Servidor proxy para almacenamiento en caché de HTTP
•
Proxy Transparente HTTP
•
Soporte de protocolo SOCKS. o
•
Entradas estáticas DNS. o
• • • •
http://wiki.mikrotik.com/wiki/Manual:IP/SOCKS http://wiki.mikrotik.com/wiki/Manual:IP/DNS
Soporte para almacenamiento en caché en un drive separado Soporte para Proxy Padre (parent proxy) Lista de Control de Acceso (access control list) Lista de almacenamiento en caché (caching list)
Herramientas
•
Ping, traceroute Test de ancho de Banda (bandwidth test), ping flood Packet sniffer, torch Telnet, ssh E-mail y herramientas de envío SMS Herramientas de ejecución de Scripts automatizados CALEA. http://wiki.mikrotik.com/wiki/CALEA Herramienta File Fetch.
•
Generador avanzado de tráfico
• • • • • • •
o
http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
Características adicionales •
Soporte para Samba. o
•
• • •
•
Soporte para OpenFlow. o
http://wiki.mikrotik.com/wiki/Manual:OpenFlow
o
http://wiki.mikrotik.com/wiki/Manual:System/Time#SNTP_client
Bridging: spanning tree protocol (STP, RSTP), bridge firewall y MAC natting. Herramienta de actualización de Dynamic DNS NTP client/server y sincronización con sistema GPS. Soporte para VRRP v2 y v3. o
• • • • • • • •
http://wiki.mikrotik.com/wiki/Manual:IP/SMB
http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP
SNMP M3P: MikroTik Packet Packer Protocol para enlaces Wireless y Ethernet MNDP: MikroTik neighbor discovery protocol, soporta CDP (Cisco discovery protocol) Autenticación y Contabilización RADIUS TFTP server. http://wiki.mikrotik.com/wiki/Manual:IP/TFTP Soporte para interface Sincrónica (farsync cards only) (Se removió en la versión v5.x) Asincrónico: serial PPP dial-in/dial-out, dial on demand ISDN: dial-in/dial-out, soporte para128K bundle, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial on demand
Qué hay de nuevo en la Versión 6 Novedades Generales • • •
Drivers y Kernel actualizados a linux-3.3.5 Soporte inicial para OpenFlow. http://wiki.mikrotik.com/wiki/Manual:OpenFlow Nuevas características para pantallas táctiles LCD. http://wiki.mikrotik.com/wiki/Manual:LCD_TouchScreen Método de login mac-cookie para el HotSpot (mayormente usado en teléfonos inteligentes). o http://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction#MAC_Cookie Opciones configurables del kernel en el menú /ip settings y /ipv6 settings (ip forward, filtros rp etc.) El timeout del ARP puede ser cambiado en /ip settings El Neighbor discovery puede ser deshabilitado por default en las interfaces dinámicas en el menú /ip neighbor discovery settings Para habilitar/deshabilitar el descubrimiento (discovery) en la interface se debe usar el comando /ip neighbor discovery set (interface number/name) discover=yes/no o
•
• • •
•
• • • • •
Muestra el last-logged-in en la lista de usuarios GRE soporta todos los protocolos de encapsulación, no solo IPv4 e IPv6 La etiqueta ‘Slave’ se muestra en las interfaces que están en bridge, bonding o grupo de switch El cliente SSH provee la nueva propiedad output-to-file, muy útil cuando se realiza scripting. Soporte para API sobre TLS (SSL). http://wiki.mikrotik.com/wiki/Manual:API
Academy Xperts
4
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
• • • • •
API se encuentra habilitado por default DNS reintenta las búsquedas con TCP si se reciben resultados truncados DNS rota los servidores únicamente en falla DNS cache guarda en bitácora los requerimientos de los tópicos "dns" y "packet"; WebFig ahora soporta autenticación RADIUS (vía MS-CHAPv2). o
• • • •
http://wiki.mikrotik.com/wiki/Manual:Webfig
Se agregó un nuevo parámetro en Web Proxy: max-cache-object-size Se incrementó el contador de conexiones Max client/server en el Web Proxy Si el cliente NTP está habilitado, el log muestra la hora y fecha correctas cuando el router ha realizado un reboot Trunking 802.1Q con el chip de switch Atheros. o
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
OpenFlow: Es la primera interface de comunicaciones estándar definida entre las capas de control y forward de una
arquitectura SDN. Permite el acceso directo y la manipulación del plano de forward de los dispositivos de red tales como switches y routers, tanto físicos como virtuales (basados en hypervisor) El OpenFlow basado en tecnologías SDN, permite direccionar el consumo de ancho de banda, adaptar la red a las necesidades cambiantes del negocio, y reducir la complejidad de las operaciones y de la administración. https://www.opennetworking.org/sdn-resources/openflow
SDN = Software-Defined Networking. Es la separación del
de la red del Un controla diferentes dispositivos. https://www.opennetworking.org/sdn-resources/sdn-definition
Mac-Cookie: es una nueva función HotSpot, diseñado para mejorar la accesibilidad de los teléfonos inteligentes,
computadoras portátiles y otros dispositivos móviles. Si tenemos activado esto podremos: Primer inicio de sesión correcto. MAC cookie mantiene un registro de nombre de usuario y la contraseña de la dirección MAC si solo hay un HotSpot con tales MAC. Aparece un nuevo Host. HotSpot chequea si hay un registro de cookies mac para la dirección y los registros. •
•
PPP • • • • •
SSTP puede forzar una encriptación AES en lugar del RC4 por default El profile de PPP provee ahora los parámetros bridge-path-cost y bridge-port-priority Secrets muestra la fecha y hora de last-logged-out HotSpot y PPP ahora soportan múltiples address-lists Únicamente se crean 2 reglas de mangle mss para todas las interfaces PPP
Firewall • • • •
Nuevos comparadores (matchers) de interfaces all-ether, all-wireless, all-vlan, all-ppp Comparador con prioridad Nuevas opciones en change-dscp: from-priority y from-priority-to-high-3-bits Nuevas acciones de mangle: snif-tzsp, snif-pc
Wireless •
Opciones de Canales Wireless: se puede crear una lista de canales personalizados. o
http://wiki.mikrotik.com/wiki/Manual:Wireless_Advanced_Channels
DHCP • • •
El cliente DHCP ahora soporta opciones personalizadas El cliente DHCP v4 ahora tiene la opción special-classless para el parámetro add-default-route Se puede agregar la opción (Option 82) de información del agente relay. o
• • • •
http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay
Soporte de la opción DHCPv6 DNS Soporte de DHCPv6 Relay Soporte de ruta enmarcada DHCP server RADIUS Opción de configuración por entrega de IP (lease) DHCP
IPsec • • • • •
• •
Se mejoró significativamente la configuración Road Warrior cuando se usa con el soporte Mode Configuration. Soporte Mode Conf (unity split include, address pools, DNS) IPsec peer puede ser configurado como pasivo: no iniciará una negociación ISAKMP SA Soporte Xauth ( xauth PSK e Hybrid RSA) Plantilla de políticas: permite generar una política solo si src/dst address, protocol y proposal coinciden con la plantilla Grupos de pares ( peer groups) Se pueden usar múltiples pares ( peers) con la misma dirección IP.
Academy Xperts
5
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
• • •
Para los peers con un sistema especificado de dirección IP completo se auto-iniciará una negociación ISAKMP SA. generate-policy puede ahora tener un valor port-strict que usará el puerto del proposal del peer La dirección origen ( source address) de la fase 1 se puede ahora configurar
Certificados •
•
• • •
Las claves CA ( CA keys) ya no son almacenados, cada operación CA ahora requiere un CA passphrase válido. Se usa el parámetro set-ca-passphrase para que el servidor SCEP almacene la clave CA ( CA key) en forma encriptada Para los certificados marcados como trusted=yes, CRL se actualizará automáticamente una vez por hora desde las fuentes HTTP IPsec y SSTP respetan los CRLs Soporte para server/cliente SCEP El administrador de certificados puede ahora emitir certificados firmados por sí mismo.
Ruteo (Routing) • •
•
Nuevo parámetro use-dn en OSPF. Obliga a ignorar el DN bit en los LSAs. Se cambió la lógica de propagación BGP MED. Ahora se descarta cuando se envía una ruta con non-empty AS_PATH a un par externo Las rutas conectadas se vuelven inactivas cuando la interface se cae. Esto significa que los protocolos de ruteo dinámico detendrán la distribución de las rutas conectadas que no tengan la etiqueta Active.
Colas (Queues) • •
•
• • •
• •
•
Se mejoró el desempeño del uso de las colas simpes ( simple queues) Se mejoró la administración de las colas (/queue simple y /queue tree), permitiendo el manejo de decenas de miles de colas Las entradas de /queue tree con parent=global se ejecutan en forma separada de las /queue simple y antes de las /queue simple Se crean por default los tipos de encolamiento ( queue types): pcq-download-default y pcq-upload-default Las colas simples ( simple queues) tienen configuraciones de prioridad separados para download/upload/total Los padres global-in, global-out, global-total en /queue tree se reemplazan con global que es el equivalente a global-total en la versión 5 Las colas simples se ejecutan en un lugar diferente: al final de los chains postrouting y local-in Los parámetros target-addresses e interface en colas simples se unen en un solo parámetro destino, ahora soporta múltiples interfaces para una sola cola El parámetro dst-address en las colas simples se cambia a dst y ahora soporta una interface como destino
Exportar una configuración compacta • •
Ahora por default la configuración se exporta en modo compacto Para realizar un export completo de la configuración se debe usar el parámetro verbose /export verbose file=myConfig
Herramientas • • •
• • •
Soporte FastPath. http://wiki.mikrotik.com/wiki/Manual:Fast_Path Se renombró en e-mail el tls a start-tls y se agregó como un parámetro configurable La herramienta Fetch ahora tiene soporte para HTTPS. o
http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
o
http://wiki.mikrotik.com/wiki/Manual:Partitions
Se agregó soporte de la cabecera IPv6 al generador de tráfico ( traffic generator) Reproducción de archivos pcap dentro de la red usando el nuevo comando trafficgen inject-pcap La NAND Flash puede ser particionada en los routerboards y se pueden instalar versiones separadas de RouterOS en cada una de las particiones.
Academy Xperts
6
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Detalle de cambios en las últimas versiones de RouterOS Para una revisión más amplia del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link: http://abcxperts.com/index.php/bitacora-de-cambios
6.39.2 (2017-Jun-06 08:01) 6to4 Se corrigió un problema de generación de dirección “link-local” IPv6 equivocada arp Se corrigió "make-static" bonding No se agrega la interface bonding si se recibe un error "could not set MTU" bridge Se corrigió un problema de conectividad entre bridges (puentes) cuando se activaba la característica "fast-forward" conntrack Se carga el connection tracking IPv6 independientemente de IPv4 console Se corrigieron las advertencias "No such file or directory" cuando se hacía un reboot luego de un upgrade export Se removió el valor "caller-id-type" del export compacto fetch Se corrigió un problema en el análisis de argumento “user” y “password” desde URL a FTP firewall Se corrigió el ajuste a la zona horaria en “creation-time” en la entrada “address-list” No se permite configurar el valor 0 para el parámetro “limit” Se corrigió la entrada “address-list” cambiando de IP a DNS y viceversa gps Se removió los logs duplicados ike1 Se corrigió un problema de caída en el mensaje xauth Se removió la limitación de longitud del login xauth ike2 Se corrigió un raro problema de Kernel en la dirección a adquirir Se corrigió una situación cuando el prefijo selector de tráfico se analizó incorrectamente ipsec Se corrigió un problema generado por la prioridad de una política Se corrigió un problema en peer "my-id" address reset Se renombró el parámetro "remote-dynamic-address" a "dynamic-address" ipv6 Se corrigió un problema en que una dirección se volvía inválida cuando la interface se removia del bridge/mesh led Se corrigió un problema en que el LED se apagaba cuando la interface se perdía lte Se mejoró el “polling” de background del canal de información Se mejoró la confiablidad en el SXT LTE Se reemplazó el comando "user-command" con "at-chat" ppp Se corrigió un problema en la funcionalidad "change-mss" (se introdujo en v6.39) Se corrigió u problema de MLPPP sobre múltiples canales/interfaces (se introdujo en v6.39); Se envía la dirección IP correcta en los mensajes de RADIUS "accounting-stop" (se introdujo en v6.39); •
•
•
•
•
•
•
•
• • •
•
• •
• •
• • •
•
•
• • •
• • •
Academy Xperts
7
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
pppoe Se corrigió una advertencia en el servidor PPPoE cuando se cambiaba la interface a una interface non-slave pppoe-client Se removió una falsa advertencia de la interface del cliente cuando empezaba a correr en una interface non-slave pppoe-server Se corrigió un problema de “una-sesión-por-host” ("one-session-per-host") donde 2 sesiones simultáneas eran posibles en el mismo host queue Se corrigió un problema de encolamiento cuando al menos una cola hijo tenía “default-small” y la(s) otra(s) eran diferente(s) (se introdujo en la v6.35); quickset Se corrigió un problema en los gráficos de la fuerza de señal (“signal-strength”) LTE sniffer Se corrigió un problema en los VLAN tags cuando se hacía un sniffig a todas las interfaces snmp Se corrigió el limited walk switch Se corrigió un problema que deshabilitaba el aprendizaje de la MAC en equipos CRS1xx/CRS2xx tile Se corrigió el EoIP Keepalive cuando el túnel estaba creado sobre una interface VLAN Se corrigió un raro problema de fallo de kernel en le encriptación cuando se procesaban paquetes pequeños traffic-flow Se corrigió el reporte de datos IPFIX IPv6 winbox No se permite abrir múltiples sub-menús al mismo tiempo Se corrigió un problema de selección de Puerto de firewall con Winbox v2 Se corrigió el botón LTE info Se removieron valores de la configuración “loop-protect” de los túneles EoIPv6 wireless Se redujo la carga en el CPU para enlaces Wireless de alta velocidad •
•
•
•
•
•
•
•
• •
•
• • • •
•
6.39.1 (2017-May-03 10:06) defconf Se descarta la consulta de inicio de configuración predeterminada con la actualización de RouterOS Se descarta la consulta de inicio de configuración predeterminada con el cambio de configuración de Webfig smb Se corrigió un problema en la compartición de la carpeta de la unidad externa cuando existía la carpeta " /flash" Se corrigió un problema en una compartición por default inválida después de hacer reboot cuando existía la carpeta "/flash" upnp Se corrigió una actualización en una regla de firewall nat cuando se cambiaba una dirección IP externa dns Se hace que la carga miles de entradas estáticas sea más rápida • •
• •
•
•
6.39 (2017-Abril-27 10:06) IMPORTANTE bridge Se agregó la configuración y contadores " fast-forward" (habilitado por default únicamente en los nuevos bridges) (sólo a nivel de CLI): Se agregó soporte para un caso especial y más rápido de fastpath que se lo llama " fast-forward" (disponible únicamente en bridges con 2 interfaces) Se revirtió el procesamiento BPDU del bridge regresando al comportamiento a pre-v6.38 (la v6.40 tendrá otra implementación bridge consciente de VLAN separada) filesystem Se corrigió una rara situación cuando el filesystem fallaba en leer toda la configuración al arranque Se corrigió una rara situación cuando el filesystem se iba a modo read-only (algunas configuraciones pudieron haberse perdido en el reboot) firewall •
•
•
• •
Academy Xperts
8
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
Se descontinúa el soporte para el matcher p2p (las reglas anteriores serán inválidas)
kernel •
Se corrigió un problema de manejo de checksum UDP en algunas raras situaciones de overflow
l2tp •
Se agregó el soporte fastpath cuando el MRRU está habilitado
ppp •
Se reescribió completamente el algoritmo de fragmentación interna (cuando se utiliza el MRRU), optimizado para multicore
ppp •
Se implementó un algoritmo interno para " change-mss", ya no se necesitan reglas de mangle
pppoe Se agregó soporte fastpath cuando el MRRU y MLPPP están habilitados quickset Los cambios de configuración ahora se aplican únicamente cuando se presiona " OK" y "Apply" (no en modo change) tile Se corrigió un problema de paquete fuera-de-orden en la aceleración por hardware IPsec, mejorando significativamente el desempeño winbox La versión mínima requerida es la v3.11 •
•
•
•
address Se corrigió un problema de caída cuando la dirección estaba asignada a otro puerto bridge api Se corrigió un problema de etiquetas dinámicas dobles en " /ip firewall address-list print"; capsman Se agregó los modos de auto matching " extension-channel" XX y XXXX Se agregó la configuración " keepalive-frames" Se agregó la configuración " skip-dfs-channels" Se agregó el soporte a la lista de descubrimiento de interface de CAP Se agregó soporte DFS Se agregó EAP identity a la tabla de registro Se agregó la habilidad de especificar múltiples canales en el campo frequency field Se agregó la opción save-channel para acelerar la selección de frecuencia en el reinicio de CAPsMAN Se agregó soporte para " background-scan" y channel " reselect-interval" Se agregó soporte para interfaces virtuales estáticas en CAP Se cambió el nombre de canal " width" a "control-channel-width" y se cambiaron los valores por default Se mejoró la búsqueda de estatus CAP Se mejoró el soporte de la prioridad del frame de comunicación entre CAP y CAPsMAN certificate El cliente SCEP ahora soporta FQDN URL y puerto Se permite que la dirección CRL se especifique como nombre DNS console Se corrigió un problema en el export "/ip neighbor discovery" Se corrigió un problema en el valor de distancia mínima DHCP/PPP add-default-route = 1 Se corrigió un problema de caída Se corrigió un problema de valor incorrecto ":put [/lcd get enabled]" ddns Se mejoró la validación de autenticación " dns-update" defconf Se corrigió un problema de configuración de banda ac en Groove 52 Se corrigió un problema de generación de configuración default cuando el paquete Wireless está deshabilitado •
•
• • • • • • • • • • • • •
• •
• • • •
•
• •
dhcp-client
Se agregó la opción " script" la cual ejecuta un script en cambios de estado dhcpv4 •
Academy Xperts
9
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Se corrigió un problema en el analizador de opción de string dhcpv4-server Se agregó el parámetro de script " lease-hostname" Por default se hace que el server sea “ authoritative” Se realizan algunos chequeos de lease únicamente en el objeto habilitado discovery Se corrigió un problema en el Discovery LLDP, en que la dirección IPv6 no fue analizada correctamente dude (los cambios se discuten en: http://forum.mikrotik.com/viewtopic.php?f=21&t=116471 ); email Se chequea errores durante el proceso de intercambio SMTP ethernet Se agregó el estatus " voltage-too-low" para dispositivos de un solo puerto power injector Se corrigió un problema " loop-protect" en "master-port"; Se corrigió un raro problema en que se congelaba el chip de switch (podría causar port flapping); Se corrigió el ciclo de poder innecesario del dispositivo alimentado cuando se cambiaba cualquier configuración relacionada con poe-out related en dispositivos con un puerto power injector Se renombró el campo " rx-lose" a "rx-loss" en estadísticas de ethernet Se reversó poe-priority en hEX PoE y OmniTIK 5 PoE para hacer " poe-priority" sea consistente a todas las otras prioridades de RouterOS fastpath Se corrigió un raro problema de caída en dispositivos con interfaces dinámicas fetch Se agregaron los parámetros " http-data" y "http-method" para permitir usar los métodos delete, get, post, put (content-type=application/x-www-form-urlencoded por default ); Se corrigió un problema de falla de autenticación Se corrigió un problema de descarga sobre HTTPS gps Se agregó los parámetros " fix-quality" y "horizontal-dilution" graphing Se corrigió un problema en que desaparecía el graph después de un corte de energía hotspot Se agregó el acceso a las cabeceras HTTP utilizando $(http-header-name) ike1 Se corrigió ph2 ID logging ike2 Se permite múltiples selectores de tráfico de hijo SA en re-key Siempre se reemplaza el TSi vacío con la Dirección configurada si está disponible Se chequea el estado de los hijos antes de permitir el rekey Se configura por default a /32 la máscara de dirección del peer Se corrigió el modo CTR Se corrigió la longitud del mensaje EAP Se corrigió la remoción del objeto que maneja ISA en SA delete Se corrigió la autenticación RSA sin EAP Se corrigió el modo ctr Se corrigió el DPD deshabilitado Se corrigió el ultimo EAP auth payload type Se corrigió es estado ph2 cuando se envía la notificación Se corrigió la liberación de política durante la negociación SA Se corrigió el estado cuando se envía el paquete eliminado Se mejoró el logging Mata únicamente los hijos SAs los cuales no están re-keyed por un peer remoto Se envía a log el mensaje RADIUS timeout en el tópico error Se remueve el viejo SA después de rekey Se envía la identidad EAP como atributo user-name RADIUS Se actualiza el atributo " calling_station_id" RADIUS •
• • •
•
•
•
• • • •
• •
•
•
• •
•
•
•
•
• • • • • • • • • • • • • • • • • • • •
Academy Xperts
10
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
Se actualiza la identificación del peer después de una autenticación EAP exitosa
ippool •
Se retorna el mensaje de error apropiado cuando se intenta crear un nombre duplicado
ipsec • • • • • • • • • • • •
Se agregó el parámetro " last-seen" a la lista de conexiones activas Se permite combinar los algoritmos aead en el proposal Mejor respuesta al cálculo de etiqueta en consola Se deshabilitan las políticas combinadas AH+ESP No se pierde el parámetro " use-ipsec=yes" después de hacer un downgrade Se habilita aes-ni en i386 y x64 para los modos cbc, ctr y gcm Se corrigió "/ip ipsec policy group export verbose" Se corrigió " mode-cfg" verbose export Se corrigió la etiqueta de autenticación SA Se renombró la etiqueta " hw-authenc" a "hw-aead" Se muestra los SAs autenticados acelerados por hardware Se actualiza el clasificador tilera de UDP encapsulado ESP
l2tp Se agregó soporte para múltiples túneles L2TP (no se debe confundir con sesiones) entre los mismos puntos finales (requerido en algunas configuraciones LNS) Se corrigió un atributo de decriptación oculto en las respuestas de CHAP para LNS l2tp-server Se agregó " caller-id-type" a la estación que llama al RADIUS en la autenticación Se agregó la opción " use-ipsec=required" Se corrigió la actualización para mantener " use-ipsec=yes" en el servidor L2TP leds Se agregó el disparador de tecnología de acceso de modem LTE Se cambió un mensaje de error en una tarjeta no soportada Se no se actualiza el estado de un LED cuando no es cambiado Se muestra una advertencia en print cuando " modem-signal-threshold" no está disponible log Se agregó el tópico " gps" Se agregó el tópico " tr069" Se agregó la entrada de log perdida " license limit exceeded" Se agregó una advertencia cuando las sesiones Winbox/Dude eran denegadas No se muestran los cambios en el paquete si NAT no ha sido utilizado Se hace que los logs SNMP sean más compactos lte Se agregó " session-uptime" en el comando info Se agregó la lectura de nivel de señal LTE para los modems Cinterion Se agregó el manejo de error cuando se ejecuta el AT remoto Se agregó el soporte inicial para el modem DWR-910 Se agregó el soporte inicial para Quectel ec25 Se agregó la inicialización para Cinterion Se agregó la entrada de log para el reporte de entrega SMS Se agregó el soporte para Vodafone R216 (Huawei); Eventos de buffer AT mientras el comando info está activo Se corrigió " /interface lte info X once"; Se corrigió el prefijo de Dirección IPv6 en la interface Se corrigió la selección del modo de red para me909u, mu609; Se corrigió el análisis del Viejo estándar CEREG Se corrigió el soporte para Huawei R216 Se corrigió user-command Se resetea las estadísticas de interface en " link-down" netinstall Se corrigió la tipografía ntp Se reincia el cliente NTP cuando se congela en un estado de error •
•
• • •
• • • •
• • • • • •
• • • • • • • • • • • • • • • •
•
•
Academy Xperts
11
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
ppp Se agregó la opción " bridge-horizon" en PPP/Profile Se agregó la opción la especificar " interface-list" en PPP/Profile Se corrigió una rara falla de kernel en la conexión PPP client Se corrigió una rara falla de kernel cuando se recibe la dirección IPv6 en la interface PPP Se incluyen los parámetros rates, limits y address-lists en los requerimientos de RADIUS ppp-client Se agregó soporte para Datacard 750UL, DWR-730 y K4607-Zr pppoe Se agregó una advertencia en PPPoE client/server, si está configurado en la interface esclava Se configura por default el keepalive 10s para los nuevos clientes PPPoE creados quickset Se agregó el modo de soporte inicial LTE AP rb1100ahx2 Se corrigió un reseteo de contador aleatorio de ether12,13 rb3011 Se agregó el soporte de particionamiento smb Se corrigió un problema de pérdida de memoria y de caídas Se corrigió un problema de share path en dispositivos con "/flash" directory smips Se redujo el tamaño del paquete principal RouterOS El mensaje de error " No Such Instance" se reemplaza con " No Such Object" Se agregó el OID de fan-speed en "/system health print oid" Se agregó la tabla óptica Se corrigió un raro problema de caída Se mejoró el getall filter Se mejoró la velocidad de respuesta cuando se recibían múltiples requerimientos dentro de un corto período de tiempo Se incrementó el valor de “ engineBoots” en el reboot Se optimizó el procesamiento de la tabla de bridge tile Se agregó el soporte inicial para los controladores de disco NVMe SSD Se corrigió una caída de IPSec (introducida en v6.39rc64) Se optimizó la encriptación por hardware tr069-client Se agregó el soporte "Device.Hosts.Host.{i}." Se agregó el soporte "Device.WiFi.NeighboringWiFiDiagnostic." Se agregó el parámetro "Ethernet.Interface.{i}.MACAddress" Se agregó el soporte DHCP server Se agregó el soporte Upload RPC "2 Vendor Log File" Se agregó el parámetro de nombre de arquitectura ( X_MIKROTIK_ArchName – específica del vendedor) Se agregó los parámetros de estadísticas básicas para algunos tipos de interface Se agregó el soporte básico "/ip firewall filters" Se agregó la autenticación de requerimiento de conexión Se agregó el soporte firewall NAT usando los Parámetros del fabricante Se agregó el soporte de parámetros para la administración del cliente DNS Se agregó el soporte del diagnóstico de ping Se agregó el soporte para las referencias de entidad de escape (& < > ' ") Se agregó el soporte para manejar el valor "/system/identity/" Se agregó el soporte para los Parámetros de memoria y carga de CPU Se agregó el soporte para el script de fábrica de uploading/downloading Se agregó el soporte para los diagnósticos de traceroute Se cierra la conexión si el CPE considera el XML como inválido Se corrigió el valor " AddObjectResponse" “InstanceNumber” Se corrigió la actualización del valor " Device.ManagementServer." Se corrigió en análisis del carácter especial XML • • • • •
•
• •
•
•
•
• •
• • • • • • •
• •
• • •
• • • • • • • • • • • • • • • • • • • • •
Academy Xperts
12
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
• • • • • • • • • • •
Se corrigió una caída en un caso especial de cambio de =acs-url Se corrigió los caracteres especiales en el envío de datos XML Se corrigió la escritura de " Device.ManagementServer.URL" Mejoras generales en la reducción del espacio de almacenamiento Se generan requerimientos de conexión aleatorios de target path Se oculta el valor " Device.PPP.Interface.{i}.Password" Se mejoró el proceso de monitoreo LTE Se incrementó el desempeño en GetParameterValues Se hace que cualquier Download RPC sobreescriba la configuración excepto ".alter" Se hace que más parámetros denieguen las notificaciones activas Se configura el ID de licencia CHR como un valor ".SerialNumber" para evitar un error " no serial number" en ACS
traceroute Pequeñas correcciones tunnels Se corrigió un bucle en el reboot en las configuraciones con túneles IPIP y EoIP (introducido en v6.39rc68) usb Se agregó el soporte para más dispositivos CP210X userman Se permite que " name-for-user" esté vacío Se selecciona automáticamente todos los nuevos usuarios creados para generar vouchers Se corrigió una rara caída cuando el User Manager requería archivos que no existían en el router Se corrigió una rara caída en la interface web mientras se usaba la sección Users wAP ac Se mejoró el desempeño del Wireless 2.4GHz webfig Se agregó en la barra del menú para seleccionar rápidamente entre Webfig, Quickset y Terminal Se permite bytes más cortos en k,M,G en firewall "connection-bytes" y "connection-rates" Se permite cambiar los contenidos de la variable global Se permite ingresar los rangos de frecuencia en el wireless scan list Se permite seleccionar el " default-encryption" profile en los túneles PPP Se especifica correctamente el prefijo del filtro de ruteo No se permite reordenar los ítems si la tabla si está ordenada por alguna columna Se corrigió el display de la propiedad bridge Se corrigió el retardo del key press en terminal Se corrigió el orden de pestaña en Google Chrome Se corrigió la información de tiempo en “ last-link-up” & “last-link-down” Se mejoró el diseño de campo Se hace que la ventana terminal trabaje dentro de la venta de Webfig Se muestra todas las opciones disponibles en “ Advanced Mode” de las interfaces Wireless Se muestran los mensajes de error apropiados para los campos de texto erróneo opcionales winbox Se agregó el botón " Flush" en el menú unicast-fdb Se agregó " group-key-update" para las configuraciones de seguridad CAPsMAN Se agregó el soporte de unidad " k" y "M" para los Parámetros PPP secret limit-bytes Se agregó los parámetros " memory-scroll", "filter-cpu", "filter-ipv6-address", "filter-operationbetween-entries" Se agregó la configuración " save-selected" en los canales CAPsMAN Se agregó " static-virtual" a wireless CAP Se agregó el menu GPS Se agregó los Parámetros de routerboard protegido en el menú de configuraciones routerboard Se permite bytes más cortos para k,M,G en firewall "connection-bytes" y "connection-rates" Se permite cambiar la contraseña del usuario por una contraseña vacía Se permite no especificar el certificado en las configuraciones IPSec peer Se permite especificar " route-distance" en "dhcp-client" si se selecciona el modo " special-classless" Se permite especificar el tipo de certificado cuando se lo exporta Se permite especificar las interfaces que CAPsMAN puede usar para administración Se permite mostrar ( unhide) las contraseñas SNMP •
•
•
• • • •
•
• • • • • • • • • • • • • • •
• • • •
• • • • • • • • • • •
Academy Xperts
13
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Se permite especificar static-dns como lista No se permite Packet Sniffer "memory-limit" y "file-limit" menor que 10KiB No se crea el campo field cuando se copia la entrada CAPsMAN access list No se muestra " dpd-max-failures" en IKEv2 No se muestra los campos vacíos LTE en el menú Info No se inicia el Traffic Generator automáticamente cuando se abre " Quick Start" No se intenta deshabilitar los ítems dinámicos de las tablas de firewall Se corrigió la tipografía " Montly" a "Monthly" en el menú Graphing Se corrigió la frecuencia de canales CAPsMAN (se permite especificar una lista de ellos) Se corrigió las configuraciones IPSec "mode-config" DNS Se corrigió un problema cuando las políticas IPsec que estaban trabajando se mostraban como inválidas Se corrigió un error engañoso cuando se intentaba exportar un certificado Se corrigió la tipografía en anuncios BGP en el menú Aggragator->Aggregator Se oculta "wps-mode" & "security-profile" en el modo wireless nv2 Se oculta el menú health en RB450 Se mejoró "/tool torch" Se incrementó el número máximo de sesiones Winbox 20->100 Se llama apropiadamente a las interfaces CAP en la creación de una nueva interface Se muestra apropiadamente las advertencias " dhcp-server" Se muestra apropiadamente IPSec " installed-sa" "enc-algorithm" cuando es aes-gcm Se muestra apropiadamente los contadores de estadísticas en la tabla de registro Wireless Se removió la configuración " sfp-rate-select" de la interface ethernet Se removió el innecesario menú "/system health" en "hAP ac lite" La configuración por default " dhcp-client" "default-route-distance" es igual a 1 Se muestra la etiqueta " A" para las políticas IPSec Se muestra la etiqueta " H" para IPSec instalado SAs Se muestra la corriente, voltaje y potencia PoE-OUT únicamente en dispositivos que pueden reportar estos valores wireless Se agregó la configuración de país Egypt 5.8 Se agregó el soporte de autenticación ara el modo estación en Wireless Se aplica bit de broadcast a los requerimientos DHCP cuando se utiliza el modo " station-pseudobridge" No se permite direcciones MAC iguales entre múltiples Virtual APs cuando se utiliza la misma " masterinterface" Se corrigió un problema en el soporte de canal pequeño RBSXT5HacD2nr2 Se corrigió un problema de caída cuando se ejecuta " spectral-scan” Se corrigió la remoción de la interface Wireless dinámica de los puertos del bridge cuando se cambiaba el modo • • • • • • • • • • • • • • • • • • • • • • • • • • •
• • • •
• • •
Wireless • • • • •
Se corrigió un problema de falso positive en la detección de radar DFS ocasionado por los dispositivos iPhone 6s Se corrigió un problema cuando las interfaces Wireless podrían no mostrarse en modo CAP Se corrigió una caída ocasional cuando se deshabilitaba la interface Se corrigió un raro problema de caída en configuraciones nv2 Se corrigió un raro problema en la interface Wireless ac
x86 •
Se agregó soporte para controladores de disco para NVMe SSD
Academy Xperts
14
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Qué es RouterBOARD? Es una familia de soluciones de hardware con circuitos diseñados por MikroTik para responder a las necesidades de los clientes a nivel mundial. Todas las placas RouterBOARD operan con el sistema operativo RouterOS. Esta división de hardware se caracteriza por incluir su sistema operativo RouterOS y actualizaciones de por vida. Estos dispositivos tienen la ventaja de tener una excelente relación costo/beneficio comparados con otras soluciones en el mercado.
Arquitecturas Soportadas:
Soluciones Integradas • • •
Estos productos se proporcionan completos con carcasas y adaptadores de corriente. Listo para usar y pre configurados con la funcionalidad más básica. Todo lo que necesitas hacer es conectarlo y conectarse a Internet o a una red corporativa.
RouterBOARD solamente
Son pequeñas placas madres que se venden "tal cual". Se debe elegir el modelo y solicitar adicionalmente, adaptador de corriente y las interfaces, todo esto por separado. Es ideal para el montaje de sistemas/implementaciones propietarias. Enclosures
Son cubiertas para interiores/exteriores, sirven para albergar los dispositivos RouterBOARD. La Selección se realiza en base a: Localización prevista El modelo del RouterBOARD El tipo de conexiones necesarias (USB, antenas, etc.). • • •
Interfaces •
•
Módulos Ethernet, fibra SFPs, o tarjetas de radio inalámbricas para ampliar la funcionalidad de los dispositivos RouterBOARD y PCs con RouterOS. Una vez más, la selección se basa según las necesidades.
Accesorios
Abarca toda la gama de dispositivos adicionales para los productos MikroTik, tales com o: adaptadores de corriente, soportes, antenas e inyectores PoE.
Programa Made For MikroTik (MFM) Este programa consta de dos partes: “Mikrotik Certified Integrators” y “Mikrotik Certified Accessories” http://www.mikrotik.com/mfm
Accesorios Certificados MikroTik (MikroTik Certified Accesories)
Son hechos por empresas homologadas de MikroTik, y que hacen los accesorios específicamente para productos MikroTik. Esto incluye productos compatibles con RouterBOARD, antenas externas y otros productos. Integrador Certificado MikroTik (MikroTik Certified Integrator)
Son empresas que hacen soluciones basados en un RouterBOARD MikroTik y RouterOS. Estos productos incluyen en el ensamblado de dispositivos CPE/AP, preinstalación de antenas integradas y soluciones para montaje en rack con RouterOS.
Por qué trabajar con un router integrado? Con este tipo de solución se puede atender muchas necesidades. Los routers integrados proveen poca o ninguna expansión, ya que vienen con una configuración de hardware fija (WiFi, puertos ethernet, memorias on-board, puertos USB) Esta es una solución simple, pero muy sólida para muchas necesidades. •
•
Academy Xperts
15
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Nomenclatura de los productos RouterBOARD Los nombres de los routers son elegidos según características, y basados en una nomenclatura establecida. La abreviatura para RouterBOARD es RB Para complementar información se puede ir al siguiente link http://wiki.mikrotik.com/wiki/Manual:Product_Naming Formato para la nomenclatura de los productos:
Nombre de la tarjeta (board name)
Actualmente existen 3 tipos de nombres de tarjetas: •
Número de 3 dígitos o El primer dígito representa la serie o El segundo dígito indica el número de interfaces cabeladas potenciales (Ethernet, SFP, SFP+) o El tercer dígito indica el número de interfaces wireless potenciales (tarjetas embebidas, y slots mPCI y
mPCIe) •
Usando una palabra (word).- Los nombres que actualmente se usan son: o OmniTIK o Groove o SXT o SEXTANT o METAL o Si la tarjeta (board) sufre un cambio fundamental en el hardware (como por ejemplo un CPU
completamente diferente) se agregará una revisión de versión al final
•
Nombres excepcionales.- Las tarjetas 600, 800, 1000, 1100, 1200, 2011 representan de forma independiente las
series, o tienen más de 9 interfaces cableadas, por lo que los nombres fueron simplificados a cientos totales o el año de desarrollo. Características de la Tarjeta
Las características de la tarjeta siguen a continuación de la sección Nombre de la Tarjeta (sin espacios o guiones), excepto cuando el nombre de la tarjeta es una palabra. Entonces las carácterísticas de la tarjeta se separan por un espacio. Las características que actualmente se usan son las siguientes. Están listadas en el orden en que son mayormente usadas U : USB P : Power Injection con Controlador i : Puerto simple Power Injector sin Controlador A : Más memoria (y usualmente el nivel de licencia más alto) H : Un CPU más potente G : Gigabit (puede incluir U, A, H si no se usa con L) L : Edición Light (ligera) S : Puerto SFP (uso legacy – dispositivos SwitchOS) e : Tarjeta de extensión PCIe x : Donde N es el número de núcleos (core) de CPU (x2, x9, x16, x36, x72, etc.) • • • • • • • • • •
Detalles de la tarjeta Wireless Embebida
Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
•
•
•
•
Banda (band) o 5 : 5 GHz o 2 : 2.4 GHz o 52 : Dual band. 5 GHz y 2.4 GHz Potencia por chain (power per chain ) o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g Protocolo (protocol) o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g o n : para tarjetas con soporte 802.11n o ac : para tarjetas con soporte 802.11ac Número de Chains (number_of_chains) o (not used) : single chain o D : dual chain o T : triple chain
Academy Xperts
16
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Tipo de Conector (connector type) • • •
(not used) : únicamente una opción de conector en ese modelo MMCX : conector de tipo MMCX u.FL : conector de tipo u.FL
Tipo de Enclosure (enclosure type) • •
• • • • • •
(not used) : Tipo de enclosure principal para un producto BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal ya viene en el case RM : enclosure para montar en rack (rack-mount enclosure) IN : enclosure para interiores (indoor enclosure) OUT : enclosure para exteriores (outdoor enclosure) SA : enclosure para antena sectorial (sector antenna enclosure) HG : enclosure para antena de alta ganancia (high gain antenna enclosure) EM : memoria extendida (extended memory)
Ejemplo: Decodificar la siguiente nomenclatura RB912UAG-5HPnD • • • •
RB : RouterBOARD 912 : Board de la serie 9na, con 1 interface cableada (Ethernet) y 2 interfaces wireless (embebida y miniPCIe) UAG : Tiene puerto USB, más memoria y puerto Gigabit Ethernet 5HPnD : Tiene una tarjeta embebida de 5GHz, de alta potencia, dual chain, con soporte 80211n.
Nomenclatura de los productos CloudCoreRouter El formato para la nomenclatura de estos productos es la siguiente:
Número de 4 dígitos • • •
El primer dígito representa la serie El segundo dígito es reservado El tercero y cuarto dígito indican el número total de núcleos por CPU en el dispositivo
Lista de Puertos • • •
G : número de puertos Gigabit Ethernet S : número de puertos SFP S+ : número de puertos SFP+
Tipo de Enclosure (enclosure type) • •
• • • • • •
(not used) : Tipo de enclosure principal para un producto BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal ya viene en el case RM : enclosure para montar en rack (rack-mount enclosure) IN : enclosure para interiores (indoor enclosure) OUT : enclosure para exteriores (outdoor enclosure) SA : enclosure para antena sectorial (sector antenna enclosure) HG : enclosure para antena de alta ganancia (high gain antenna enclosure) EM : memoria extendida (extended memory)
Nomenclatura de los productos CloudCoreSwitch El formato para la nomenclatura de estos productos es la siguiente:
Número de 3 dígitos • •
El primer dígito representa la serie El segundo y tercer dígito indican el número de interfaces cableadas (Ethernet, SFP, SFP+)
Lista de Puertos • • •
G : número de puertos Gigabit Ethernet S : número de puertos SFP S+ : número de puertos SFP+
Detalles de la tarjeta Wireless Embebida
Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
Academy Xperts
17
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
•
Banda (band) o 5 : 5 GHz o 2 : 2.4 GHz o 52 : Dual band. 5 GHz y 2.4 GHz Potencia por chain (power per chain ) o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g Protocolo (protocol) o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g o n : para tarjetas con soporte 802.11n o ac : para tarjetas con soporte 802.11ac Número de Chains (number_of_chains) o (not used) : single chain o D : dual chain o T : triple chain
Tipo de Enclosure (enclosure type) • •
• • • • • •
(not used) : Tipo de enclosure principal para un producto BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal ya viene en el case RM : enclosure para montar en rack (rack-mount enclosure) IN : enclosure para interiores (indoor enclosure) OUT : enclosure para exteriores (outdoor enclosure) SA : enclosure para antena sectorial (sector antenna enclosure) HG : enclosure para antena de alta ganancia (high gain antenna enclosure) EM : memoria extendida (extended memory)
Por qué construir su propio Router?
Puede ayudar a solucionar una gran variedad de necesidades específicas que desea cubrir. Dependiendo del board que use, puede tener muchas ranuras de Expansión muy útiles. Gran variedad de complementos. Configuración personalizable. • •
Ingresando al Router por Primera vez Dentro de las formas que tenemos para ingresar al router están las siguientes: WebFig (Web Browser) WinBox - http://www.mikrotik.com/download SSH Telnet Emulador de Terminal a través de conexión serial o puerto de consola (RS-232) • • • • •
WebFig - Ingreso por Web Browser Este método de ingreso puede ser usado cuando el router ya tiene algunos parámetros previamente configurados. Proporciona una manera intuitiva de conectarse a un router/dispositivo/PC (que tiene instalado RouterOS) únicamente colocando en el navegador web la dirección IP asignada al router. Por defecto se utiliza 192.168.88.1 WebFig es un utilitario de RouterOS basado en Web que permite monitorear, configurar y hacer labores de troubleshooting en el router. Está diseñado como una alternatica al WinBox ya que ambos tienen similares diseños de menú de acceso a las opciones de RouterOS. WebFig se puede acceder directamente desde el router, esto quiere decir que no es necesario instalar ningún software adicional, tan solo tener un Web Browser con soporte JavaScript. WebFig es una plataforma independiente, por lo que puede ser usado directamente desde varios dispositivos móviles sin la necesidad del desarrollo de software específico. Algunas de las tareas que se pueden ejecutar con WebFig son: Configuración – Ver y editar la configuración actual Monitoreo – Mostrar el estatus actual del router, información de ruteo, estadísticas de interface, registros (logs), etc. Troubleshooting – RouterOS provee muchas herramientas para realizar troubleshooting (como ping, traceroute, packet sniffers, traffic generators, y otras) y todas las que puede ser usadas con WebFig. • • •
Academy Xperts
18
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
El servicio http de RouterOS puede escuchar también en IPv6. Para acceso vía browser debe ingresar la dirección IPv6, por ejemplo 2001:db8:1::4 Si se requiere conectar a la dirección local, se debe recordar especificar el nombre de la interface o el ID de la interface en Windows. Por ejemplo, fe80::9f94:9396%ether1 Pasos para ingresar por Web browser:
Conecte al router con un cable Ethernet y posteriormente a su tarjeta de red. Abra un navegador (Mozilla, Chrome, Internet Explorer, etc.) Escriba en el browser la dirección IP por default: 192.168.88.1 Si se le solicita, inicie sesión. Nombre de usuario es admin y la contraseña está en blanco por defecto. Al momento de ingresar verá lo siguiente: • • • •
Skins Esta herramienta permite crear interfaces más amigables para el usuario. No puede ser considerado como una herramienta de seguridad total, ya que si el usuario posee los suficientes derechos de acceso, podrá acceder a los recursos ocultos. Diseño de Skins
Si el usuario tiene los permisos adecuados (es decir que el grupo tiene permisos de edición) entonces tiene acceso al botón de Design Skin (Diseño de Skin). Los posibles operadores son: Hide menu – Ocutará todos los items y sus sub menús Hide submenu – Ocultará únicamente ciertos sub menús Hide tabs – Si los detalles de sub menú tienen varias pestañas, es posible ocultarlas por esta vía Rename menus, items – Hacer que ciertas características sean más obvias, o traducirlas a algún lenguaje Add note to to item (in detail view) – Agregar comentarios Make item read-only (in detail view) – Para campos muy sensibles en seguridad para el usuario, los cuales pueden ser puestos en modo de “solo lectura” Hide flags (en modo de vista detallada) – Mientras es posible únicamente ocultar la etiqueta en modo detallado, esta etiqueta no será visible en la vista de lista y en modo detallado Add limits for field - (en modo de vista detallada) Donde está presente, muestra la lista de tiempos que están separados por coma o por newline, de valores permitidos: • • • • • •
•
•
Academy Xperts
19
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
!
number interval '..' por ejemplo: 1..10 mostrará los valores para los campos con números, por
ejemplo MTU size. field prefix (Text fields, MAC address, set fields, combo-boxes). Si se requiere limitar la longitud del prefijo, se debe agregar el símbolo “$” al final Add Tab – Se agregará una cinta gris con una etiqueta editable que separará los campos. La cinta se añadirá antes de campo Add Separator – Agregará un campo horizontal de baja altura antes del campo !
•
•
Quickset Es un menú especial de configuración que permite preparar el router a través de unos pocos clicks. Está disponible en WinBox y WebFig para: Dispositivos CPE (Licencia Nivel 3, una interface wireless, una interface ethernet) Dispositivos AP a partir de RouterOS v5.15 (Licencia Nivel 4, una interface wireless, más interfaces ethernet) • •
Academy Xperts
20
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
WinBox WinBox es un utilitario propietario de MikroTik que posee una rápida y simple interface GUI que permite el acceso a los
routers con RouterOS instalado. Es un programa binario Win32, pero también puede correr en Linux y Mac OSX usando wine Casi todas las funciones de RouterOS están disponibles en WinBox, sin embargo algunas funciones avanzadas y configuraciones críticas únicamente están disponibles desde consola. Por ejemplo los cambios de las direcciones MAC en una interface. El WinBox se puede descargar desde el sitio web de MikroTik o del router. o
http://www.mikrotik.com/download
Se puede para acceder al router a través de IP (capa 3 OSI) o MAC (capa 2 OSI). Utilizando Winbox • • • • •
Haga clic en el ícono de WinBox, para abrir la aplicación y darle click en refresh. Escriba la dirección IP 192.168.88.1 Haga clic en Conectar Esperar a que se cargue la interface completa: Haga clic en OK
También se puede ingresar el número del puerto después de la dirección IP, separándolo con “:”, como por ejemplo 192.168.88.1:9999
El puerto se puede cambiar en el menú de Servicios de RouterOS Importante: Se recomienda utilizar la dirección IP siempre que sea posible. Las sesiones MA C utilizan broadcast de red y no es 100% confiable. Se puede utilizar el “ discovery neighbor” para listar los routers disponibles. Debe hacer click en el botón “ Neighbor” Si se hace click en la dirección IP entonces se realiza la conexión por Capa 3 (Layer 3). Si se hace click en la dirección MAC entonces se realiza la conexión por Capa 2 (Layer 2). Importante: La opción Neighbor Discovery mostrará también los dispositivos que no son compatibles con WinBox, como por ejemplo los routers Cisco y cualquier otro dispositivo que utilice el protocolo CDP (Cisco Discovery Protocol).
RoMON RoMON son las siglas de Router Management Overlay Network. RoMON opera independientemente de que a configuración sea en Capa 2 o Capa 3 (L2 o L3).
Academy Xperts
21
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
A cada router en la red RoMON se le asigna su RoMON ID, el mismo que puede ser seleccionado desde el puerto de la dirección MAC o el especificado por el usuario. El protocolo RoMON no proporciona servicios de encriptación. La encriptación se provee a nivel de la Capa de Aplicación, por ejemplo, usando SSH o a través de WinBox Seguro (Secure WinBox). Configuración
Para que un dispositivo participe en una red RoMON, se debe habilitar la característica RoMON y se deben especificar los puertos que participan en la red RoMON. En RouterOS v6.28 la característica RoMON se configura en el menú /romon, después de RouterOS v6.28 se configura en /tool romon. Contiene las siguientes configuraciones: enabled (yes | no; Default: no) – Habilita o deshabilita la característica RoMON id (MAC address; Default: 00:00:00:00:00:00) – Dirección MAC que se utiliza como ID de este router • •
Cuando RoMON se habilita y el ID se selecciona automáticamente, el ID se reporta en menú info: En RouterOS v6.28: /romon print ;;; RoMON running, ID 00:33:00:00:00:02 enabled: yes id: 00:00:00:00:00:00
Después de RouterOS v6.28: /tool romon enabled: id: secrets: current-id:
print yes 00:00:00:00:00:00 00:33:00:00:00:02
Los puertos que participan en una red RoMON son configurados en el menú “ romon port”. La lista de puerto es una lista ordenada de entradas que coinciden ya sea con un puerto específico o con todos los puertos, y especifica si el puerto (s) que coincide está prohibido de participar en la red RoMON, y en caso de que el puerto esté permitido de participar en la red RoMON la entrada también especifica el costo del puerto. Es importante notar que todas las entradas de puerto específico deben ubicarse sobre la entrada “wildcard” con interface=all
Por ejemplo, la siguiente lista especifica que todos los puertos, excepto ether1, participan en la red RoMON con costo 100 En RouterOS v6.28: /romon port print Flags: X - disabled, D - dynamic # INTERFACE 0 ether1 1 all
FORBID yes no
COST 100 100
Después de RouterOS v6.28: /tool romon port print Flags: X - disabled, D - dynamic # INTERFACE 0 ether1 1 all
FORBID yes no
COST 100 100
Por default se crea una entrada wildcard (comodín) con forbid=no y cost=100
Academy Xperts
22
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Secrets Los secrets del protocolo RoMON se utilizan para la autenticación de mensajes, chequeo de integridad y prevención de respuesta por medio de mensaje hashing que contiene MD5. Para cada interface, si la lista de secret de la interface específica está vacía, se utiliza la lista de secret global. Cuando se hace el envío, se aplica hash a los mensajes con el primer secret en la lista si es que la lista no está vacía y el primero que no sea un secret vacío (empty secret, es decir que tenga un empty string = “”), de otra manera los mensajes se envían sin aplicar hash. Cuando se reciben, los mensajes que no se han aplicado hash simplemente se aceptan si la lista secret está vacía o si contiene “ empty secret”, los mensajes que se han aplicado hash se aceptan si es que se les ha aplicado hash con cualquier otro secret en lista. Este diseño permite una introducción incremental y/o cambio de secrets en la red sin interrupción del servicio RoMON y puede ocurrir sobre el propio RoMON. Por ejemplo: Inicialmente todos los routers están sin secrets Configurar cada router, uno por uno, con secrets=””, “mysecret” . Esto hará que todos los routers continúen enviando frames no protegidos, pero ellos estarán listos para aceptar los frames protegidos con el secret “mysecret” Configurar cada router, uno por uno, con secrets=“mysecret”, “” . Esto hará que todos los routers usen el secret “mysecret” pero también continuará aceptando los frames no protegidos (de routers que todavía no han sido cambiados) Configurar cada router con secrets=”mysecret” . Esto hará que todos los routers usen secret “mysecret” y también únicamente acepte frames protegidos con “mysecret” El cambio de secret en la red debería ser ejecutado en un esquema similar donde ambos secrets estén al mismo tiempo en la red. • •
•
•
Peer Discovery Para descubrir todos los routers en la red RoMON se debe usar el comando romon discover:
En RouterOS v6.28: /romon discover ADDRESS 00:22:00:00:00:02 00:02:03:04:05:06
COST 200 400
HOPS PATH 1 00:22:00:00:00:02 2 00:22:00:00:00:02 00:02:03:04:05:06
L2MTU 1500 1500
COST 200 400
HOPS PATH 1 00:22:00:00:00:02 2 00:22:00:00:00:02 00:02:03:04:05:06
L2MTU 1500 1500
Después de RouterOS v6.28: /tool romon discover ADDRESS 00:22:00:00:00:02 00:02:03:04:05:06
Aplicaciones Se pueden ejecutar múltiples aplicaciones sobre la red RoMON Ping
Para poder probar que se puede alcanzar a un router específico en una red RoMON, se puede usar el comando romon ping: En RouterOS v6.28: /romon ping 00:22:00:00:00:02 SEQ HOST TIME STATUS 0 00:22:00:00:00:02 0ms 1 00:22:00:00:00:02 1ms 2 00:22:00:00:00:02 1ms sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms
Academy Xperts
23
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Después de RouterOS v6.28: /tool romon ping 00:22:00:00:00:02 SEQ HOST TIME STATUS 0 00:22:00:00:00:02 0ms 1 00:22:00:00:00:02 1ms 2 00:22:00:00:00:02 1ms sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms
SSH
Para poder establecer una conexión de terminal seguro en una red RoMON, se puede usar el comando romon ssh, que se provee cuando se instala el paquete security: En RouterOS v6.28: /romon ssh 00:22:00:00:00:02
Después de RouterOS v6.28: /tool romon ssh 00:22:00:00:00:02
Otras formas de acceso: SSH y Telnet Entre las herramientas IP estándar para acceder al router tenemos: Telnet: La comunicación se realiza en texto plano, sin cifrar (puerto 23/TCP). Es un método INSEGURO. o Disponible en la mayoría de sistemas operativos, por terminal, línea de comandos, otros. SSH: Cifra la comunicación realizada entre el usuario y router (puerto 22/TCP). Es un método SEGURO. o Hay herramientas disponibles de código libre para el acceso por ssh, ejemplo: PuTTy. •
•
!
http://www.putty.org
Acceso por puerto serial (puerto de Consola) Los puertos seriales (también llamados RS-232) fueron las primeras interfaces que permitieron que los equipos intercambien información con el "mundo exterior". El término serial se refiere a los datos enviados mediante un solo hilo: los bits se envían uno detrás del otro. Para conectarse al router se requiere una conexión null-modem (puerto RS-232). Importante: La configuración por defecto es cuando se accede vía serial es la siguiente: 115200 bps de velocidad 8 bits de data 1 bit de parada (stop) Sin paridad (no parity) • • • •
Bootloader El bootloader o cargador de arranque, es un programa que se encarga de cargar y ejecutar el sistema operativo, este cargador de arranque va a configurar el dispositivo según las opciones que se muestran a continuación:
Consola Serial / Terminal Serial La interface de línea de comandos (CLI = Command Line Interface) es un m étodo que permite a los usuarios dar instrucciones a algún programa informático por medio de una línea de texto simple. Este método se usa normalmente cuando se ingresa por PUTTY, Telnet, SSH, Terminal u otros. /system console y /system serial-terminal son herramientas para comunicarse con otros sistemas que están interconectados a través del puerto serial. Terminal Serial
Nos sirve para monitorear y configurar muchos dispositivos: Academy Xperts
24
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
• • •
Módems Dispositivos de red (incluyendo routers MikroTik) Cualquier dispositivo que se pueda conectar a un puerto serial (asíncrono)
Consola Serial •
•
•
Configurar facilidades de acceso directo (monitor/teclado y puerto serial) que son mayormente usados para configuraciones de recuperación Si no se desea usar un puerto serial para acceder a otro dispositivo o para conexión de datos a través de un modem, se puede entonces configurarlo como una consola serial. Un puerto serial libre puede ser usado para acceder a otras consolas seriales de otros routers (u otros equipos como switches) desde un router MikroTik
Special Login
Puede ser usado para acceder a otro dispositivo (ejemplo: un s witch) que está conectado a través de un cable serial abriendo una sesión telnet/ssh que lo llevará directamente a ese dispositivo sin tener que hacer login al primer RouterOS. http://wiki.mikrotik.com/wiki/Manual:Special_Login
Configuración Básica o dejar el router en Blanco •
•
•
Usted puede o no tener una configuración básica cuando recién ha instalado el equipo, debido a que el equipo provee una configuración inicial, por defecto, para permitirle usar el equipo sin previa configuración definida por el usuario. Usted puede optar por no tomar la configuración básica por defecto, o dejar en blanco los equipos para poderlo configurar a gusto del cliente, usuario o administrador. Puede visitar el siguiente link para revisar cómo se comportará el dispositivo: o
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
Configuración Básica
Dependiendo del hardware, se tendrá una configuración por defecto que puede incluir: Puertos WAN Puertos LAN DHCP client (WAN) y servidor (LAN) Reglas básicas de Firewall Reglas NAT Direccionamiento LAN IP por defecto Al momento de tener acceso por medio de WinBox, podrá revisar la configuración por defecto por medio de una ventana emergente inicial, que consta de opciones de visualización de configuración o de borrar configuraciones y dejar en blanco. En cualquier momento usted puede observar la configuración por defecto, con el comando: • • • • • •
/system default-configuration print
Al conectar por primera vez con WinBox, haga clic en OK. Después se revisará la opción: remove-configuration El router tiene la configuración básica por defecto que la muestra en una ventana Cuando el equipo es nuevo viene con varias configuraciones por defecto, entre las que sobresalen las siguientes: Se crea un bridge (bridge1) por defecto entre wlan1 y ether2. A este bridge1 se le asigna la dirección IP 192.168.88.1/24 Se crea un dhcp-server en bridge1 y el rango del pool es de 192.168.88.2 a 192.168.88.254 Se configuran reglas de /ip firewall fitler y /ip firewall nat que impiden que se pueda acceder al router por ether1 Las interfaces ether2, ether3, ether4 y ether5 están configuradas en switch • •
• • • •
•
Academy Xperts
25
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Configuración en Blanco
Puede ser utilizado en situaciones en las que no se requiere la configuración básica por defecto. No hay necesidad de Reglas de firewall por defecto. No hay necesidad de Reglas de NAT por defecto Los pasos mínimos para configurar un acceso básico a Internet (si el router no tiene una configuración básica por defecto) Direcciones IP de LAN Puerta de enlace predeterminada y servidor DNS Dirección IP de la WAN Regla de NAT (enmascaramiento) Cliente SNTP y la zona horaria • •
• • • • •
Actualizando el router Cuando realizar una Actualización
Si el router MikroTik se encuentra desactualizado, podemos podem os realizar en cualquier momento la actualización s iempre y cuando intentemos mejorar o corregir lo siguiente: Corregir un error conocido. Cuando se necesita una nueva característica. Mejora del rendimiento. NOTA: Leer la lista de cambios antes de realizar un Upgrade, en especial si tiene una versión inferior a la v6. • • •
http://wiki.mikrotik.com/wiki/Manual:RouterOS6_news
El Procedimiento •
•
•
Se requiere una planificación. o Los pasos posiblemente tengan que hacerse en un orden preciso y con planificación previa. Se requiere pruebas ... o Antes de que ponga en acción la nueva actualización, es necesario realizar pruebas en ambientes controlados, o sino realizar un backup de la configuración anterior, como medida de contingencia en caso de que la nueva actualización no funcione como se espera. Recomendaciones: Si el dispositivo funciona correctamente no se recomienda realizar un upgrade, de preferencia mantenerse con la configuración anterior.
Antes de realizar una actualización
Es importante saber la arquitectura soportada (mipsbe, ppc, x86, mipsle, tile) en la cual se va a realizar la actualización. Winbox indica la arquitectura del equipo.
Debe conocer qué ficheros se necesitan: NPK: paquete de actualización de RouterOS (siempre que que se realiza un upgrade) ZIP: Paquetes adicionales (sobre la base de las necesidades) Verificar los Cambios: proceso de verificación post-actualización que valida el cambio efectuado en su s u dispositivo y el correcto funcionamiento (siempre que se realiza un upgrade) • • •
Academy Xperts
26
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Cómo hacer un Upgrade Existen tres maneras Descargar archivos y copiar en el router Buscar actualizaciones (System -> Packages) Actualizaciones automáticas (System -> Automatic Updates) Se sugiere mantener siempre actualizado su RouterOS para mejor funcionamiento ya que siempre los desarrolladores están añadiendo nuevas funciones y mejorando el rendimiento y la estabilidad mediante la liberación de actualizaciones. • • •
Requisitos y sugerencias
Cuando se utiliza un dispositivo RouterBOARD, siempre se sugiere actualizar el RouterBoot bootloader , después ya se podrá actualizar el RouterOS. Para hacer esto, ejecutar el comando /system routerboard upgrade
Descargando los archivos
Copiar los archivos en el router por medio de la ventana File. Por ejemplo: routeros-mipsbe-6-28.npk ntp-6.28-mipsbe.npk Reiniciar el equipo /system reboot Comprobar que se realizó la actualización Para realizar este proceso lo principal que debemos hacer es tener descargado los paquetes de actualización que necesitamos. Primer paso es visitar la web: http://www.mikrotik.com y y nos dirigiremos a la página de descarga (downloads). Una recomendación es descargar paquetes combinados en vez de solo la versión que desea, ya que, en estos paquetes combinados, vendrán con todas las funciones incluidas, tales como, paquetes adicionales para la actualización requerida. • • • •
• •
Academy Xperts
27
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Buscar actualizaciones • • • •
A través del menú System / Packages Presionar el botón Ckeck for Updates a continuación Download & Upgrade Luego el equipo se reiniciará automáticamente Verificamos la instalación de los paquetes y el estado del router
Desde el lanzamiento del RouterOS v5.21, se añadió la actualización automática. Para actualizar la versión de RouterOS, todo lo que se necesita hacer es hacer clic en un botón Check For Updates . Esta característica está disponible en la línea de comandos, Winbox GUI, Webfig GUI y QuickSet. La función de actualización automática se conecta a los servidores de descarga MikroTik, y comprueba si hay una nueva versión de RouterOS para su dispositivo. En caso afirmativo, se muestra una lista de cambios, y el botón de actualización se mostrará. Al hacer clic en el botón Actualizar, los paquetes de software se descargarán automáticamente, y el dispositivo se reiniciará. Incluso si usted tiene un sistema con paquetes personalizados instalados, solo los paquetes que usted desea tener en su equipo se descargarán. El proceso es fácil y rápido, con el uso de los servidores FTP.
Actualización automática Copie los archivos requeridos en uno de los routers para que sirva como fuente del archivo de actualización. Configurar todos los router para que apunten hacia el router interno • •
Objetivos • • • • • •
Hacer un router como punto central de la red con las actualizaciones, que actualizará el RouterOS en otros routers. Subir los paquetes RouterOS necesarios para este router. Mostrar los paquetes disponibles Se selecciona y se descarga los paquetes deseados Reiniciar y luego verificar el estado del router Comprobar la versión actual [admin@Mikrotik] > /system RouterBOARD print RouterBoard: yes Model: 951Ui-2HnD Serial-number: 458802555182 Current-firmware: 3.18 Upgrade-firmware: 3.18
RouterBoot firmware Upgrade Es una de las opciones más rápidas y seguras para realizar una actualización por medio de línea de comando utilizando el software de Winbox. Actualizar si es necesario (esto es un ejemplo):
Academy Xperts
28
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
/system RouterBoard Upgrade Do you really want to Upgrade firmware? [y/n]: Yes Echo: system, info, critical firmware Upgrade successfully, please reboot for changes to take effect! Reboot, yes? [y/N]:
Paquetes de RouterOS RouterOS soporta muchas y diferentes características, y desde su instalación requiere un conjunto específico de características soportadas, es posible agregar o remover ciertos grupos de características usando el sistema de paquetes. De esta forma el usuario puede controlar cuáles características estarán disponibles y el tamaño de la instalación. Los paquetes son provistos exclusivamente por MikroTik y no está permitido que terceros desarrollen paquetes. Los paquetes pueden descargarse de la sección DOWNLOAD en el Website de MikroTik ( www.mikrotik.com/download )
Si se trata de un router con configuración básica, entonces únicamente podría necesitarse que esté instalado el paquete system para que el equipo cumpla con operaciones básicas. Esto significa que los demás paquetes son opcionales. El siguiente paquete que podría ser importante es el dhcp si su proveedor de Internet (ISP/WISP) entrega direcciones IP usando este método. Si requiere trabajar con túneles (VPN) es posible que requiera el paquete ppp para conectividad pppoe y pptp. El resto de paquetes quizá no sean necesarios, por lo que debe instalar únicamente los que sean de utilidad.
Paquetes principales de RouterOS advanced-tools (mipsle, mipsbe, ppc, x86) – herramientas avanzadas de netwatch, ip-scan, sms tool, wake-onLAN dhcp (mipsle, mipsbe, ppc, x86) – client y server DHCP (Dynamic Host Control Protocol) hotspot (mipsle, mipsbe, ppc, x86) – servidor de portal cautivo HotSpot para administración de usuarios ipv6 (mipsle, mipsbe, ppc, x86) – soporte de direccionamiento IPv6 mpls (mipsle, mipsbe, ppc, x86) – soporte de MPLS (Multi Protocol Labels Switching) ppp (mipsle, mipsbe, ppc, x86) – cliente MlPPP, clientes y servers PPP, PPTP, L2TP, PPPoE, ISDN PPP routerboard (mipsle, mipsbe, ppc, x86) – acceso y manejo del RouterBOOT. Información específica del RouterBOARD. routing (mipsle, mipsbe, ppc, x86) – protocolos de ruteo dinámico como RIP, BGP, OSPF y utilitarios de ruteo como BFD, filtros para rutas. •
• • • • • •
•
Academy Xperts
29
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
• •
•
security (mipsle, mipsbe, ppc, x86) – IPSEC, SSH, Secure WinBox system (mipsle, mipsbe, ppc, x86) – características de ruteo básico como ruteo estático, direccionamiento IP, sNTP,
telnet, API, queues, firewall, web proxy, DNS cac he, TFTP, IP pool, SNMP, packet sniffer, e-mail send tool, graphing, bandwidth-test, torch, EoIP, IPIP, bridging, VLAN, VRRP etc.). También, para la plataforma RouterBOARD MetaROUTER | Virtualization wireless (mipsle, mipsbe, ppc, x86) – soporte para la interface Wireless. Algunas veces se liberan sub-tipos. Por ejemplo, wireless-fp se introdujo para soportar FastPath, wireless-cm2 se introdujo para soportar CAPsMAN v2 y wireless-rep se introdujo para soportar el modo repetidor. Ocasionalmente estos paquetes se liberan en forma separada, antes de que las nuevas características se puedan fusionar en un solo paquete principal de Wireless.
Paquetes extra de RouterOS calea (mipsle, mipsbe, ppc, x86) – herramienta de recolección de datos para usos específicos requeridos por la "Communications Assistance for Law Enforcement Act" en USA gps (mipsle, mipsbe, ppc, x86) – soporte a dispositivos GPS (Global Positioning System) lcd (x86) – soporte para el panel LCD para dispositivos de puerto serial/paralelo. No se requiere este paquete para los equipos RouterBOARD que tienen paneles LCD multicast (mipsle, mipsbe, ppc, x86) – PIM-SM (Protocol Independent Multicast - Sparse Mode); IGMP-Proxy (Internet Group Managing Protocol – Proxy) ntp (mipsle, mipsbe, ppc, x86) – NTP (Network Time Protocol server), también incluye un cliente NTP sencillo. El cliente NTP también está embebido en el system package y funciona sin que este paquete ( ntp) esté instalado. openflow (mipsle, mipsbe, ppc, x86) – habilita el soporte para OpenFlow ups (mipsle, mipsbe, ppc, x86) – interface de administración ups APC user-manager (mipsle, mipsbe, ppc, x86) – servidor MikroTik User Manager para controlar el Hotspot y otros servicios de usuario. •
• •
•
•
• • •
Trabajando con los paquetes /system package
Los comandos que se ejecutan en este menú tendrán efecto únicamente cuando se reinicie ( restart) el router. Mientras tanto, los usuarios pueden libremente planificar o revertir las acciones configuradas
•
disable – programa el paquete para que sea deshabilitado después del próximo reboot. Una vez que el paquete
entra en modo deshabilitado (después del reboot del router) ninguna característica de ese paquete estará disponible. downgrade – cuando se elige esta opción, se pedirá y confirmará hacer un reboot del router. Durante el proceso de reboot se intentará hacer un downgrade (degradar) del RouterOS a una versión anterior o más vieja, para lo cual se chequearán los paquetes que se hayan subido al router (al directorio principal de files). print – se muestra la información de los paquetes, tales como: versión, estado del paquete, cambios de estado planificados, etc. enable – programa el paquete para que sea habilitado después del próximo reboot. uninstall – programa el paquete para que sea removido del router. Esta remoción se ejecutará durante el reboot. unschedule – se remueve la tarea programada para dicho paquete. Ejemplo para desinstalar un paquete y luego hacer un reboot al router: •
•
• • •
/system package uninstall ppp /system reboot Reboot, yes? [y/N]:
Ejemplo para deshabilitar un paquete: /system package disable hotspot /system reboot Reboot, yes? [y/N]:
Ejemplo para hacer downgrade al RouterOS: /system package downgrade /system reboot Academy Xperts
30
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Reboot, yes? [y/N]:
Ejemplo para cancelar una desinstalación o deshabilitar una acción: /system package unschedule ipv6
Listado de paquetes RouterOS y las respectivas arquitecturas
*** MIPSLE descontinuado desde la v6.x
Administración de usuarios en un RouterOS La creación de diferentes usuarios para un sistema, o en este caso para el ingreso a un RouterBOARD, es algo fundam ental para mantener nuestro sistema seguro, ya que podremos crear usuarios con diferentes prioridades. No todos los usuarios necesariamente deben ingresar a todas las operaciones que se puedan realizar en un Router. Al momento de la creación de un usuario podremos darle los permisos necesarios como acceso total o que s ea un usuario para solo lectura, o si se desea ser más detallado se podrá configurar los tipos de servicios a los que el usuario puede acceder.
RouterOS provee la facilidad de que los usuarios puedan conectarse al router desde: la consola local vía terminal serial vía telnet / ssh Winbox / WebFig Los usuarios se autentican utilizando ya sea la base da datos local del router, o a través de un RADIUS Server designado. Cada usuario se asigna a un grupo de usuario ( user group), en el cual se definen los derechos/permisos que posee dicho usuario. Una política de grupo ( group policy) es una combinación de diferentes políticas individuales Cuando la autenticación del usuario se realiza a través de RADIUS, se debe configurar previamente el Cliente RADIUS. • • • •
Grupos de Usuario (User Group) /user group
A través de esta opción se pueden asignar los diferentes permisos y derechos de acceso a los diferentes tipos de usuarios.
Academy Xperts
31
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Propiedades • •
name (string; Default: ) – Permite definir el nombre del Grupo de Usuario ( user group) policy (local | telnet | ssh | ftp | reboot | read | write | policy | test | web | sniff | api | winbox | password | sensitive; Default: ) – Lista de todas las políticas permitidas: o local – Política que concede derechos para hacer log in localmente vía consola o telnet – Política que concede derechos para hacer log in remotamente vía telnet o ssh – Política que concede derechos para hacer log in remotamente vía secure shell protocol o ftp – Política que concede derechos para hacer log in remotamente vía FTP y para transferir archivos desde y hacia al router. Los usuarios con esta política pueden leer ( read), escribir ( write) y borrar ( erase) archivos, independientemente de los permisos de lectura/escritura ( read/write). o reboot – Política que permite hacer reboot al router o read – Política que concede accesos de lectura ( read) a la configuración del router. Se permiten todos los o o o o o o o o o
comando de consola que no alteran la configuración del router. No afecta al FTP write – Política que concede accesos de escritura ( write) a la configuración del router, excepto para la administración de usuario ( user management). Esta política no permite leer la configuración, por lo que debe asegurarse de también habilitar las política de lectura ( read) policy – Política que concede los derechos de administración de usuario ( management rights). Debería utilizarse junto con la política de escritura ( write). Permite también ver las variables globales creadas por otros usuarios (requiere también la política test). test – Política que concede los derechos para ejecutar ping, traceroute, bandwidth-test, wireless scan, sniffer, snooper y otros comandos de prueba ( test) web – Política que concede derechos para hacer log in remotamente vía WebBox winbox – Política que concede derechos para hacer log in remotamente vía WinBox password – Política que concede derechos para cambiar la contraseña ( password) sensitive – Concede los derechos para ver información sensitiva en el router. Ver después la lista de lo que se reconoce como información sensitiva. api – Concede derechos para accesar al router vía API. sniff - Política que concede derechos para usar la herramienta packet sniffer.
Información Sensitiva A partir de la versión v3.27 de RouterOS, la siguiente información es considerada sensitiva, y puede ser ocultada de ciertos Grupos de Usuario ( user groups) desmarcando la política sensitive. A partir de la versión v4.3 de RouterOS, los archivos de backup también son considerados sensitivos, y los usuarios que no tienen esta política no podrán descargarlo de ninguna manera. system package /radius: secret /snmp/community: authentication-password, encryption-password advanced-tools package /tool/sms: secret wireless package /interface/wireless/security-profiles: wpa-pre-shared-key, wpa2-pre-shared-key, static-key-0, static-key-1, static-key-2, static-key-3, static-sta-private-key /interface/wireless/access-list: private-key, private-pre-shared-key wireless-test package /interface/wireless/security-profiles: wpa-pre-shared-key, wpa2-pre-shared-key, static-key-0, static-key-1, static-key-2, static-key-3, static-sta-private-key, managementprotection-key /interface/wireless/access-list: private-key, private-pre-shared-key, management-protection-key user-manager package /tool/user-manager/user: password /tool/user-manager/customer: password hotspot package Academy Xperts
32
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
/ip/hotspot/user: password
ppp package /ppp/secret: password security package /ip/ipsec/installed-sa: auth-key, enc-key /ip/ipsec/manual-sa: ah-key, esp-auth-key, esp-enc-key /ip/ipsec/peer: secret routing package /routing/bgp/peer: tcp-md5-key /routing/rip/interface: authentication-key /routing/ospf/interface: authentication-key /routing/ospf/virtual-link: authentication-key routing-test package /routing/bgp/peer: tcp-md5-key /routing/rip/interface: authentication-key /routing/ospf/interface: authentication-key /routing/ospf/virtual-link: authentication-key Importante
Existen tres Grupos de Systema ( system group) que no pueden ser eliminados: read, write y full
/user group print 0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!ftp,!write,!policy 1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!policy 2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web
El signo de exclamación ( !) es la negación. Significa NO. Ejemplo
Agregar un grupo llamado reboot que tendrá permiso de hacer reboot al router tanto localmente o usando telnet. También deberá estar permitido de leer ( read) la configuración del router.
/user group add name=reboot policy=telnet,reboot,read,local /user group print 0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!ftp,!write,!policy 1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!policy 2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web 3 name="reboot" policy=local,telnet,reboot,read,!ssh,!ftp,!write,!policy,!test,!winbox,!password,!web
Usuarios del Router (router users) /user
Academy Xperts
33
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
La base de datos de usuario del router guarda información como: nombre de usuario ( username), contraseña ( password), diercciones de acceso permitidas ( allowed access addresses) y el grupo ( group) de administración personal del router. Propiedades •
• •
•
address (IP/mask | IPv6 prefix; Default: ) – Dirección de red o de computador desde la cual el usuario está permitido hacer log in group (string; Default: ) – Nombre del grupo al cual pertenece el usuario name (string; Default: ) – Nombre del usuario. Debe comenzar con un carácter alfanumérico. Puede contener los símbolos *, _, . y @ password (string; Default: ) – Contraseña del usuario. Si no especifica, se deja en blanco. Cumple con las características estándares de Unix sobre contraseñas y puede contener letras, dígitos, y los símbolos * y _
Importante
Existe únicamente un usuario predefinido con todos los rerechos de acceso: /user print Flags: X - disabled # NAME 0 ;;; system default user admin
GROUP ADDRESS full
0.0.0.0/0
Siempre debe existir por lo menos un usuario con todos los derechos de acceso. Si existe un único usuario con todos los derechos, no se puede eliminar.
Monitoreo de los usuarios activos /user active
El comando /user active print muestra el usuario activo actual junto con sus respectivas estadísticas Propiedades
Todas las propiedades son únicamente de lectura ( read only) address (IP/IPv6 address) – Dirección IP/IPv6 desde la cual el usuario está accediendo al router. La IP 0.0.0.0 significa que el usuario está haciendo log in localmente group (string) – Grupo al que pertenece el usuario name (string) – Nombre del Usuario radius (true | false) – Indica si el usuario está autenticado por RADIUS server via (console | telnet | ssh |winbox | api | web) – Indica el método del acceso del usuario when (time) – Indica la hora y fecha en que el usuario hizo log in •
• • • • •
Academy Xperts
34
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Otro ejemplo /user active print detail Flags: R - radius, M - by-romon 0 when=jun/26/2016 00:48:56 name="admin" 1 when=jun/26/2016 01:36:09 name="admin" 2 when=jun/26/2016 02:48:56 name="admin" 3 when=jun/26/2016 03:18:51 name="admin" 4 when=jun/26/2016 08:26:12 name="admin"
address=192.168.0.3 via=winbox group=full address=192.168.0.3 via=telnet group=full address=10.5.8.52 via=winbox address=10.5.101.38 via=telnet address=fe80::21a:4dff:fe5d:8e56 via=api
AAA Remoto /user aaa
Esta opción habilita al router para realizar autenticación y contabilización vía RADIUS server. La base de datos de usuario de RADIUS se consulta únicamente si el usuario requerido no se encuentra en la base de datos de usuarios locales (router).
Propiedades • •
•
• •
accounting (yes | no; Default: yes) exclude-groups (list of group names; Default: ) – Consiste de los grupos que no deberían estar permitidos a ser usados por los usuarios autenticados por RADIUS. Si el RADIUS server proporciona el grupo especificado en esta lista, el default-group se usará en su lugar. Esto se hace para proteger contra la escalada de privilegios cuando un usuario (sin políticas de permisos) puede cambiar la lista del RADIUS server, configurar su propio RADIUS server y hacer log in como admin default-group (string; Default: read) – Grupo de usuario utilizado por default por los usuarios autenticados vía RADIUS server. interim-update (time; Default: 0s) – Intervalo de tiempo del interim-update use-radius (yes |no; Default: no) – Habilita la autenticación de usuario vía RADIUS
Importante
Si se está usando RADIUS, se necesita tener habilitado el soporte para CHAP en el RADIUS server para que el Winbox trabaje.
SSH Keys /user ssh-keys
Este menú permite importar claves públicas utilizadas para la autenticación ssh Advertencia
El usuario no podrá hacer log in vía ssh por contraseña (password) si se ha agregado el ssh-keys para el usuario
Propiedades •
user (string; Default: ) – Usuario (username) al cual se ha asignado el ssh key
Propiedades de solo lectura (read-only) •
key-owner (string)
Academy Xperts
35
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Cuando se importa el ssh key utilizando el comando /user ssh-keys import se preguntará por dos parámetros: public-key-file – Nombre del archivo en el directorio raíz/principal ( root) en el router que contiene el key (clave) user – Nombre del usuario ( user) al cual se asignará el key (clave) • •
Private Keys /user ssh-keys private
Este menú se utiliza para importar y mostrar los private keys (claves privadas) importadas. Los private keys se utilizan para autenticar los intentos de log in remoto que usan certificados
Propiedades de solo lectura (read-only) • •
user (string) key-owner (string)
Cuando se importan las claves ssh ( ssh keys) desde este menú usando el comando /user ssh-keys private import se preguntará por tres parámetros: private-key-file – Nombre del archivo en el directorio raíz ( root) del router que contiene el private key. public-key-file – Nombre del archivo en el directorio raíz ( root) del router que contiene el public key. user – Nombre del usuario ( user) al cual se asignará el key (clave) • • •
Administración de servicios en un RouterOS (IP Services) En estas opciones encontraremos los protocolos y puertos usados por los RouterOS MikroTik. Ayuda a determinar a través de qué puertos escucha el router MikroTik, y lo que necesita para bloquear/permitir en caso de que se quiera controlar el acceso a los servicios determinados. Servicios IP (IP Services) •
• •
Administrar los servicios IP para: o Limitar el uso de recursos (CPU, Memoria) o Limitar las amenazas de seguridad (Puertos abiertos) o Cambiar el puertos TCP o Limitar las direcciones IP y subredes IP aceptadas Para controlar los servicios se debe ir al menú “IP -> Services” Desactivar o Activar los servicios requeridos
Acceso a los Servicios IP • • •
Hacer doble clic en un servicio Si es necesario, especificar que host o subredes pueden acceder a los servicios Es una muy buena práctica de seguridad el limitar ciertos servicios a los administradores de red.
Academy Xperts
36
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Administración de los respaldos (backup) de las configuraciones Los backup de configuración se pueden utilizar para realizar copias de seguridad de la configuración de un RouterOS MikroTik en un archivo binario, que puede ser almacenada en el router o descargado a través de FTP para su uso futuro. La opción restore (restauración) se puede utilizar para recuperar la configuración del router, tal y como era en el momento de la creación de la copia de seguridad, a partir de un archivo de backup. La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la pantalla de la consola o a un archivo de texto, que se puede descargar desde el router mediante el protocolo FTP. Tipos de Backups • •
Backup Binario Comando export
Backup Binario
Realiza un respaldo completo del sistema Incluye contraseñas y usuarios Los archivos de backup serán guardados por defecto en el mismo router. Se recomienda que el archivo backup se guarde en una PC o en una unidad externa ya que resultaría ilógico que se guarde en el mismo dispositivo. Se pueden generar “n” archivos de backup, y se guarda por defecto, con nombre del host, año, fecha, hora. • • •
Comando export Se puede visualizar la configuración completa o parcial Se usa el comando compact para mostrar la configuración no predeterminada La sentencia print permite visualizar la configuración parcial o total. Si se ingresa en la página principal únicamente el comando export, entonces se respalda toda la configuración del router • • •
/export file = nombre_del_archivo •
El comando export NO respalda los usuarios del router. /ip firewall filter export # oct/18/2016 21:58:17 by RouterOS 6.37.1 # software id = PEVF-794H # /ip firewall filter Add action=Accept chain=input comment=”default configuration” disabled=no \ Protocol=icmp Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=established Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=related Add action=drop chain=input comment=”default configuration” disabled=no \ Protocol=ethernet-gateway
Guardar archivos de Backup Una vez que se han generado los archivos de respaldo, se recomienda copiarlos en un servidor o Por medio de SFTP en la forma recomendada o FTP (Se lo habilita en el menú IP Services o Arrastrar y Soltar usando la ventana Files •
Academy Xperts
37
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
Dejar los archivos de respaldo en el router no es una buena práctica o al menos no es algo recomendado. Los routers no hacen respaldos en cintas o en CDs.
Licencias RouterOS Los dispositivos RouterBOARD vienen pre-instalados con una licencia RouterOS. Esto significa que si compra un dispositivo RouterBOARD no se debe hacer nada respecto a la licencia. En cambio, cuando se trabaja con sistemas X86 (por ejemplo, una PC), ahí si se necesita obtener una clave de licencia (license key). La clave de licencia ( license key) es un bloque de símbolos que necesitan copiarse desde su cuenta en mikrotik.com, o desde el email que usted recibe. Ejemplo de License Key recibido por email License key for your router, -----BEGIN MIKROTIK SOFTWARE KEY-----------LlCoU6wx6QFaGCbTieJCgAcloa4cPrF776F/9=Dxk+0+vZ39KBonqfyXrfBdrng3ajK/zFGr8KtgAcU gcwHLNA== -----END MIKROTIK SOFTWARE KEY-------------Ejemplo de License Key desde la cuenta en mikrotik.com
Se puede copiar la clave en cualquier lugar en la ventana terminal, o haciendo click en “ Paste key” en el menú de Licencias de Winbox. Es necesario/requerido hacer un reboot para que la clave (key) tenga efecto (se active).
El esquema de licenciamiento de RouterOS se basa en el número de SoftwareID que está asociado al medio de almacenamiento (HDD, NAND). La información también se puede leer desde la consola del CLI /system license print software-id: 5ATP-QYIX nlevel: 4 features:
Niveles de Licencias Tenemos 6 tipos de licencias cuyas principales diferencias se muestran en la tabla a continuación: Nivel 0 (L0) : Demo (24 Horas) Nivel 1 (L1) : Free (Muy limitada) Nivel 3 (L3) : Es una licencia solo para estaciones Wireless o WISP CPE (Cliente WiFi, cliente o CPE). Para arquitecturas x86 la licencia Nivel 3 no pude ser adquirida de forma individual. Si se desea ordenar más de 100 licencias L3, se debe escribir un correo a [email protected] Nivel 4 (L4) : WISP (Requeridos para un Access Point) Nivel 5 (L5) : WISP (Mas Capacidades) Nivel 6 (L6) : Controlador ( Capacidades ilimitadas) • • •
• • •
Academy Xperts
38
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Datos importantes sobre las Licencias: • •
• •
•
•
El nivel de licencia determina las capacidades permitidas en un Router RouterBOARD viene con una licencia pre-instalada, la misma que varía dependiendo del tipo de arquitectura del RouterBOARD. Para un sistema X86 deben adquirirse las licencias. Una licencia es válida solo para un equipo La licencia Nivel 2 (L2) fue una licencia transicional entre el formato de licencia old-legacy (pre v2.8). Estas licencias ya no están disponibles. Si usted posee este tipo de licencia L2, la misma trabajará, pero al hacer el upgrade usted tendrá que comprar una nueva licencia. El protocolo dinámico BGP está incluido en la Licencia Nivel 3 (L3) únicamente para los RouterBOARDs. Para activar BGP en otros dispositivos se necesitará una licencia L4 o superior. Todas las licencias: o Nunca expiran o Incluyen soporte gratis vía email por 15 a 30 días o Pueden usar un número ilimitado de interfaces o Las Licencias únicamente son válidas para una sola instalación o Las licencias vienen con una capacidad de upgrade de software ilimitado
Usos Típicos: • • • •
Nivel 3: CPE, Clientes Wireless Nivel 4: WISP Nivel 5: Amplio WISP Nivel 6: infraestructuras internas ISP (Cloud Core)
Cambio de Niveles de Licencias No se puede actualizar el nivel de licencia. Si se desea usar un nivel de Licencia diferente, entonces se debe comprar el nivel apropiado/requerido. Se debe tener mucho cuidado cuando se compre la licencia, ya que se debe elegir el nivel de licenciamiento adecuado. Por qué no se puede cambiar el nivel de licencia (hacer upgrade)? Un ejemplo práctico sería actualizar el motor de un vehículo de 2L a 4L, para lo cual se requiere pagar la diferencia. Por este motivo no se puede cambiar de niveles de licenciamiento fácilmente. Esta es una política usada por muchas compañías de software. •
•
Uso de las Licencias Se puede formatear o hacer un re-flash al drive?
Formatear, y hacer una re-imagen del drive con herramientas que no son MikroTik (por ejemplo, DD y Fdisk) destruirán su licencia. Se debe actuar con cautela y contactar al soporte de MikroTik antes de hacer esto. No se recomienda ya que el soporte de MikroTik podría negar su requerimiento para reemplazar una licencia. Por este motivo MikroTik provee las herramientas Netinstall o la instalación por CD. Con Cuántas computadoras se puede usar la licencia?
Al mismo tiempo, la licencia de RouterOS se puede usar únicamente en un solo sistema. La licencia está ligada al HDD (disco duro) en donde se instala. Sin embargo, se puede mover el HDD a otro sistema de cómputo. No se puede mover la licencia a otro HDD. Si se formatea o se sobre escribe el HDD con la licencia RouterOS, se borrará todo el contenido del drive, y se deberá adquirir una nueva licencia. Si de forma accidental se removió la licencia, debe contactar al equipo de soporte para ayuda.
Academy Xperts
39
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Se puede usar el HDD para algún a actividad diferente que RouterOS?
No se puede Se puede mover la licencia a otro HDD?
Si su HDD actual se destruye, o ya no puede ser usado, se puede transferir la licencia a otro HDD. Para ejecutar esta actividad, se deberá solicitar una clave (key) de reemplazo que costará 10 USD. Qué es la clave de reemplazo?
Es una clave especial que es emitida por el Equipo de Soporte MikroTik si es que usted accidentalmente perdió la licencia. El soporte de MikroTik decide si es o no su culpa de forma directa. Esta clave de reemplazo cuesta 10 USD y tiene las mismas características que la que perdió. Es posible que antes de que el equipo de soporte emita la clave, pueda pedirle prueba de que el viejo drive en verdad en verdad está dañado. En algunos casos esto puede implicar que deba enviar el drive muerto a MikroTik. Nota: Se puede emitir únicamente una clave de reemplazo por cada clave original. No se puede usar el procedimiento de reemplazo de clave dos veces para una sola clave. En estos casos se debe adquirir una nueva key. Para una revisión más detallada sobre Licenciamiento, le recomendamos visitar el siguiente link: http://wiki.mikrotik.com/wiki/Manual:License
NetInstall Es un programa que se ejecuta en el computador que corre el sistema operativo Windows y que permite instalar RouterOS MikroTik en una PC o en un RouterBOARD a través de una red Ethernet. El dispositivo debe ser compatible con el arranque desde Ethernet, y debe haber un enlace Ethernet directo desde el computador donde tenemos el Netinstall al dispositivo de destino. Uso de Netinstall • • •
Reinstalación del RouterOS para recuperación del sistema Reinstalación del RouterOS tras pérdida de contraseña Para descargar Netinstall: http://www.mikrotik.com/download
Procedimientos para usar Netinstall Para RouterBOARDs sin el puerto COM •
•
Nos conectamos a un computador por medio del puerto Ethernet1 o Configurar una dirección IP y máscara de subred estática al computador Iniciar Netinstall o Presionar el botón Net booting y escribir una dirección IP al azar pero que esté en la misma subred que el computador
Academy Xperts
40
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
•
•
•
•
•
•
•
•
En la sección Packages, debe hacer click en Browse y seleccionar un directorio que contenga un archivo NPK válido. Presionar el botón reset en el router hasta que el LED de actividad ( ACT) se quede apagado o El router aparecerá en la sección Routers/Drivers Seleccionamos la versión del RouterOS requerido desde la sección Packages o Presionar el botón install La barra de progreso se tornará azul mientras se transfiere los archivos NPK
Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de acceso a internet en el puerto Ethernet1 Usar el MAC-Winbox para conectare al equipo con configuración en blanco. Hacer una copia de seguridad de la configuración y reiniciar el sistema o Importante para la gestión de un acceso adecuado de los archivos. Si el problema era de una contraseña perdida, vuelva a realizar la configuración desde cero. o Importante para la gestión de un acceso adecuado de los archivos.
Para RouterBOARDs con el puerto COM
Comenzar igual que antes PC en la Ethernet1 con una direcciones estática o Conectar desde el puerto serial del PC al puerto COM del RouterBOARD o Iniciar Netinstall ( configurar parámetros de Net Booting) o Seleccionar directorio con archivos NPK válidos o Reiniciar el router o Presionar Enter, cuando se le solicite para entrar en la configuración o Podemos presionar “o” para reiniciar el dispositivo o Podemos presionar “e” para Ethernet o Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router) o El router aparecerá en la sección Routers/Drivers •
Academy Xperts
41
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Se selecciona la versión del RouterOS requerido desde la sección Packages Hacer click en Keep old configuration Presionar el botón install La barra de progreso se tornará azul mientras se transfiere los archivos NPK Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de acceso a internet en el puerto 1 Ahora usted puede usar Winbox para conectarse o Aquí se encontrará la opción Keep old configuration Reiniciar el router Presionar Enter, cuando se le solicite para entrar en la configuración Podemos presionar “o” para reiniciar el dispositivo Podemos presionar “e” para Ethernet Podemos presionar “n” para desconectar el puerto Ethernet o Si te olvidas de esto, siempre el router se iniciara desde la Ethernet Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router) • •
•
•
• • • • •
•
Recursos adicionales Wiki http://wiki.mikrotik.com/wiki/Manual:TOC • •
•
Aquí se encontrará información acerca del RouterOS Todos los comandos del RouterOS o Explicación o Sintaxis o Ejemplos Consejos y trucos adicionales
Tiktube http://www.tiktube.com/ • • • •
Recursos en videos sobre varios temas Presentados por Trainers, Partners, IPSs, etc. Se encontrará diversas presentaciones Los videos están en varios lenguajes
Foros de Discusión http://forum.mikrotik.com/ • • • •
Moderado por el personal de MikroTik Es un foro de discusiones sobre diversos temas Aquí se puede encontrar una gran cantidad de información Se puede encontrar una solución a su problema
Soporte MikroTik • • •
Mail: [email protected] Instrucciones para solicitar soporte: http://www.mikrotik.com/support.html El apoyo de Mikrotik si el router fue comprado a fábrica es de: o 15 días (nivel licencia 4) o 30 días (nivel 5 Licencia y el nivel 6)
Distribuidores/Soporte •
El distribuidor mayorista/reseller proporcionará soporte siempre y cuando el router haya sido comprado a él Se pueden contratar a Consultores Certificados para necesidades especiales
•
http://www.mikrotik.com/consultants
•
Academy Xperts
42
RouterOS v6.39.2.01 – Capítulo 1 – RouterOS
Preguntas de repaso del Capítulo 1 1.
Cuál es la cantidad mínima de memoria RAM, y de espacio en disco que se requiere para instalar RouterOS?
2.
Hasta qué capacidad de memoria RAM se reconoce en los dispositivos Cloud Core?
3.
Hasta qué capacidad de memoria RAM se reconoce en los dispositivos que no son Cloud Core?
4.
Cuáles son los diferentes medios de almacenamiento que soporta RouterOS?
5.
Cuál es la versión de Kernel de Linux en la que está basado el RouterOS 6.x?
6.
Cuáles son las arquitecturas soportadas por RouterOS?
7.
Cuál es la IP por defecto que usan los routers MikroTik cuando viene configurado de fábrica?
8.
Enumere las diferentes formas de accesar a un router MikroTik
9.
Cuáles son las formas de acceso en forma segura a un router MikroTik?
10. Cuáles son los parámetros para la configuración cuando se ingresa por puerto serial? 11. Cuáles son las maneras de realizar un Upgrade del RouterOS? 12. Qué hace la opción Check For Updates ? 13. Es importante realizar la actualización del RouterBoot? Por qué? 14. Cuál es la diferencia entre backup y export? 15. Cuáles son los usos típicos de los diferentes niveles de licencias RouterOS? 16. Para qué se usa el NetInstall? 17. A través de qué puerto funciona el NetInstall? Funciona a través de otros puertos? 18. Que función tiene la opción Keep Old Configuration en NetInstall?
Laboratorio – Capítulo 1
Academy Xperts
43
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
Capítulo 2: Ruteo Estático Conceptos de Ruteo El ruteo (routing) es un proceso en la capa 3 del modelo OSI. El ruteo define por donde va a ser enviado el tráfico. Es necesario para que puedan comunicarse entre sí diferentes subredes.
Routing o enrutamiento Es la función de buscar un camino entre todos los posibles en una red de paquetes cuyas topologías poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero será definir qué se entiende por mejor ruta y en consecuencia cuál es la métrica que se debe utilizar para medirla Los parámetros que se manejan son: Métrica de la red
Puede ser, por ejemplo, el número de saltos necesarios para ir de un nodo a otro. Aunque ésta no es una métrica óptima ya que supone el valor 1 para todos los enlaces, es sencilla y suele ofrecer buenos resultados. Otro tipo de métrica es la medición del retardo de tránsito entre nodos vecinos, en la que la métrica se expresa en unidades de tiempo y sus valores no son constantes sino que dependen del tráfico de la red. Mejor Ruta
Entendemos por mejor ruta aquella que cumple las siguientes condiciones: Consigue mantener acortado el retardo entre pares de nodos de la red. Consigue ofrecer altas cadencias efectivas independientemente del retardo medio de tránsito Permite ofrecer el menor costo. El criterio más sencillo es elegir el camino más corto, es decir la ruta que pasa por el menor número de nodos. Una generalización de este criterio es el de coste mínimo . En general el concepto de distancia (o coste de un canal) es una medida de la calidad del enlace basado en la métrica que se haya definido. En la práctica se utilizan varias métricas simultáneamente. • • •
Pregunta: Cuales son los motivos por los cuales estos dispositivos no se pueden comunicar entre si en el siguiente escenario? (Fig.M2-1)
Academy Xperts
44
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
Respuesta: No se comunicarán, porque cada computador o dispositivo, se encuentra en un segmento de red distinto. Para
que puedan verse entre sí, tienen estas opciones (Fig.M2-1): Tendrán que pertenecer a un mismo segmento de red todos los computadores Colocar un router configurado con los parámetros adecuados para que se comuniquen las subredes. • •
Etiquetas de Rutas Las rutas tienen varios estados los cuales son identificados por letras. En este curso, nosotros tendremos que familiarizarnos con estos términos, por ejemplo: X : Deshabilitada A : Activa D : Dinámica C : Conectada S : Static (estática) • • • • •
Significado de las etiquetas de rutas más comunes: En la sección de Router Flags del wiki de mikrotik, podremos apreciar más etiquetas: http://wiki.mikrotik.com/wiki/Manual:IP/Route
Academy Xperts
45
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
Rutas Estáticas •
•
•
Las tablas de enrutamiento de los nodos se configuran de forma manual y permanecen inalterables hasta que no se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a los cambios de las condiciones de la red es nula. Las rutas estáticas que existen sobre un router son creados y conocido por ese router. Pero, qué pasará si usted necesita llegar a una subred que existe en otro router? Cabe recalcar que una ruta estática es una forma manual de reenviar el tráfico a subredes desconocidas
Ejercicio 2.1 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.1
Ejercicio 2.2 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.254
Propiedades generales •
check-gateway (arp | ping; Default: "").- Periódicamente (cada 10 segundos) se c hequea el gateway enviando ya sea un ICMP echo request (ping) o un ARP request (arp). Si no se recibe respuesta del gateway en 10 segundos, se solicita un tiempo de espera ( request times out). Después de dos timeouts el gateway se considera inalcanzable ( unreachable ). Después de recibir una respuesta del gateway se considera alcanzable (reachable) y el contador de timeout se resetea.
Academy Xperts
46
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
• •
•
•
•
•
•
•
•
•
•
comment (string; Default: "").- Es la descripción de una ruta particular distance (integer[1..255]; Default: "1").- Valor usado en la selección
de ruta. Las rutas con valores de distancia más pequeños tendrán preferencia. Si no se especifica el valor de esta propiedad, entonces el valor default depende del protocolo de ruteo: connected routes: 0 (rutas conectadas) ! static routes: 1 (rutas estáticas) ! eBGP: 20 ! OSPF: 110 ! RIP: 120 ! MME: 130 ! iBGP: 200 ! dst-address (IP prefix; Default: 0.0.0.0/0).- Prefijo IP de la ruta, especifica las direcciones destino para la que esta ruta puede ser utilizada. La parte netmask de esta propiedad especifica cuántos de los bits más significantes en la dirección del paquete destino deben coincidir con este valor. Si existen varias rutas activas que coinciden con la dirección destino del paquete, entonces se utilizará la más específica (el que tenga el valor de netmask más grande). gateway (IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "").- Arreglo de direcciones IP o nombres de interface. Específica a cuál host o interface deberían ser enviados los paquetes. Las rutas conectadas y las rutas con tipo blackhole, unreachable o prohibit no tienen esta propiedad. Usualmente el valor de esta propiedad es una dirección IP sencilla de un gateway que puede ser alcanzado directamente a través de una de las interfaces del router. Las rutas ECMP tienen más de un valor de gateway. El valor puede ser repetido varias veces. pref-src (IP; Default: "").- Cuál de las direcciones IP locales se utilizará para los paquetes originados localmente que son enviados a través de esta ruta. El valor de esta propiedad no tiene efecto en los paquetes reenviados. Si el valor de esta propiedad se configura con una dirección IP que no es la dirección local de este router, entonces la ruta se volverá inactiva. Si no se configura el valor pref-src, entonces para los paquetes originados localmente que son enviados usando esta ruta, el router elegirá una dirección local anexada a la interface de salida que coincida con el prefijo destino de la ruta. route-tag (integer; Default: "").- Valor del atributo de la etiqueta de ruta para RIP u OSPF. Para RIP los únicos valores válidos son 0..4294967295 routing-mark (string; Default: "").- Nombre de la tabla de ruteo que contiene esta ruta. No se configura por default porque es el mismo que la tabla principal de ruteo. Los paquetes que son marcados por el firewall con este valor de routing-mark serán ruteados usando las rutas de esta tabla, a menos que sean anulados por las reglas de políticas de ruteo. No se puede usar más de 250 routing-mark por router. scope (integer[0..255]; Default: "30").- Usado en la resolución del nexthop. La ruta puede resolver el nexthop únicamente a través de las rutas que tienen scope menor o igual al target-scope de esta ruta. El valor por default depende del protocolo de ruteo: connected routes: 10 (si la interface está corriendo) ! OSPF, RIP, MME routes: 20 ! static routes: 30 ! BGP routes: 40 ! connected routes: 200 (si la interface NO está corriendo) ! target-scope (integer[0..255]; Default: "10").- Utilizado en la resolución del nexthop. Este es el valor máximo de scope para una ruta a través del cual un nexthop de esta ruta puede ser resuelto. Para iBGP el valor se configura por default en 30. type (unicast | blackhole | prohibit | unreachable; Default: unicast).- Rutas que no especifican nexthop para los paquetes, pero que el cambio desarrollan alguna otra acción en los paquetes que tienen un tipo diferente del usual unicast. ! blackhole – esta ruta descarta silenciosamente los paquetes ! unreachable – envía el mensaje ICMP Destination Unreachable (código 1) a la dirección origen del paquete ! prohibit – envía el mensaje ICMP Destination Unreachable (código 13) a la dirección origen del paquete vrf-interface (string; Default: "10").- Nombre de la interface VRF
Propiedades de solo-lectura
•
de gateways, estados de los gateway y cuál interface es usada para reenvío. Sintaxis del estado IP de la interface, por ejemplo 10.5.101.1 reachable bypass-bridge . El estado puede ser unreachable, reachable o recursive. ospf-metric (integer).- Usado para la métrica OSPF para una ruta en particular.
•
ospf-type (string)
•
gateway-status (array).- Arreglo
Ventajas del Enrutamiento Estático • •
Hace más sencilla la configuración en redes pequeñas que lo más probable es que no crezca. Limita el uso de recursos del router (memoria, CPU)
Academy Xperts
47
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
•
El administrador podrá entender fácilmente la configuración cuando la red no es compleja.
Limitantes del Enrutamiento Estático • • • •
•
La configuración y el mantenimiento son prolongados. Requiere configuraciones manuales para poder alcanzar nuevas sub redes. La configuración es propensa a errores, especialmente en redes extensas. No se adapta bien con las redes en crecimiento, el mantenimiento se torna cada vez más complicado, en lo que respecta al tema de escalabilidad. Requiere un conocimiento completo de toda la red para una correcta implementación.
Cómo crear rutas estáticas
Para agregar rutas estáticas: Menu: IP " Routes + (Add) Especificar subred y mascara de subred Especificar Gateway (el siguiente salto) • • • •
Ejercicio 2.3 (Fig.M2-5): Ejemplo de Enrutamiento Estático
Cómo llego desde la Red A hasta la Red C?
Solución Ejercicio 2.3
Router 1 /ip route add distance=1 dst-address=172.31.4.0/24 gateway=10.1.1.2
Router 2 /ip route add distance=1 dst-address=172.31.4.0/24 gateway=10.2.2.6
Configurando la Ruta por Defecto La ruta 0.0.0.0/0 es conocida como la ruta por defecto. Es el destino a donde se enviará todo el tráfico a subredes desconocidas. También es una ruta estática, y puede ser creada por el administrador o creada automáticamente por el router. /ip route add gateway=a.b.c.d
Gestión de Rutas Dinámicas Como se mencionó antes, las rutas dinámicas son agregadas automáticamente por el proceso de enrutamiento, no por el administrador. No se puede gestionar las rutas dinámicas, debido a que es un proceso automatizado realizado por el router.
Academy Xperts
48
RouterOS v6.39.2.01 – Capítulo 2 – Ruteo Estático
En algunos casos la ruta puede llegar a ser " inalcanzable " si la interface física está apagada o caida (down). Esto puede ocurrir cuando la interface esta deshabilitada o la PC se encuentra desconectada de la red. Ejercicio 2.4 (Fig.M2-6): Implementación de Enrutamiento E stático
En el siguiente caso de estudio se desea implementar una solución de enrutamiento estático. Se desea que la RED-A (192.168.0.0/24), pueda llegar a la RED-C ( 192.168.2.0/24). Asuma que los enlaces inalámbricos ya están previamente configurados.
Solución Ejercicio 2.4 Router 1 /ip route add distance=1 dst-address=192.168.2.0/24 distance=1 gateway=10.10.0.2 /ip route add distance=1 dst-address=192.168.2.0/24 distance=2 gateway=10.10.0.3 Router 2 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.2.2 Router 3 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.1.2
Preguntas de repaso del Capítulo 2 1.
Cuáles son las diferentes etiquetas de rutas en RouterOS? Qué significa cada una?
2.
Cuando existen varias rutas activas que coinciden con una dirección destino, que ruta se utilizará?
3.
Cuáles son los valores por default de distancia de los diferentes protocolos de ruteo?
4.
Es posible gestionar las rutas dinámicas? Por qué?
Laboratorio – Capítulo 2
Academy Xperts
49
RouterOS v6.39.2.01 – Capítulo 3 – Bridge
Capítulo 3: Bridge Conceptos de Bridging El bridge trabaja en la capa 2 del modelo OSI. El bridge Ethernet trabaja con el protocolo CSMA/CD, el cual le permite sensar y escuchar la red antes de transmitir. Cuando algunos equipos al mismo tiempo transmiten, se generan colisiones que hacen que la red colapse.
Un puente de red o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Este interconecta segmentos de red (o divide una red en segmentos) haciendo la transferencia de datos de una red hacia otra con base en la dirección física de destino de cada paquete. El término bridge, formalmente, responde a un dispositivo que se comporta de acuerdo al estándar IEEE 802.1D En definitiva, un bridge conecta segmentos de red formando una sola subred (permitir conexión entre equipos s in necesidad de routers). Funciona a través de una tabla de direcciones MAC detectadas en cada segmento al que está conectado. Cuando detecta que un nodo de un segmento está intentando transmitir datos a un nodo del otro segmento, el bridge copia la trama hacia la otra subred, teniendo la capacidad de desechar la trama (filtrado) en caso de no tener dicha subred con destino. Para conocer por donde enviar cada trama que le llega (encaminamiento) incluye un mecanismo de aprendizaje automático (autoaprendizaje) por lo que no necesitan configuración manual. Los bridge usan una tabla de reenvío para enviar tramas a lo largo de los segmentos de la red. Si una dirección de destino no se encuentra en la tabla, la trama es enviada por medio de inundación (flooding) a todos los puertos del bridge excepto por el que llegó. Por medio de este envío masivo de tramas, el dispositivo de destino recibirá el paquete y responderá, quedando así registrada la dirección destino como una entrada de la tabla. Dicha tabla incluye tres campos: dirección MAC, interface a la que está conectada y la hora a la que llegó la trama (a partir de este campo y la hora actual se puede saber si la entrada está vigente en el tiempo). El bridge utilizará esta tabla para determinar qué hacer con las tramas que le llegan.
Ejemplo 1
Todos los ordenadores pueden comunicarse entre sí (Fig.M3-3). Todos tienen que esperar a que el resto de equipos dejen de transmitir para así poder transmitir los datos.
Academy Xperts
50
RouterOS v6.39.2.01 – Capítulo 3 – Bridge
Ejemplo 2 (Fig.M3-4). • • •
Todos los equipos todavía se comunican entre sí. Todos los equipos ahora solo comparten la mitad del cable Todavía tienen que esperar a que el resto de equipos terminen de transmitir, pero el grupo es la mitad del tamaño ahora.
Usando Bridges Por defecto, en los routers MikroTik, los puertos Ethernet están asociados (esclavos) a un puerto maestro ( master port). Ventajas: • •
No necesita configuración previa. Conmutación rápida (a través de chip switch, no en software)
Desventajas:
No hay visibilidad del tráfico de los puertos de esclavos. No conviene si se utiliza SNMP para monitorear el uso de puertos. No se limita el número de reenvíos mediante broadcast Difícilmente escalable para redes muy grandes El procesado y almacenamiento de datos introduce retardos Mediante la eliminación de configuración maestro ( master) y esclavo ( slave), se debe utilizar una interface bridge para vincular a los puertos requeridos en una sola LAN. •
• • •
Ventajas: •
Completa visibilidad de todas las estadísticas de puerto de los puerto involucrados
Desventajas: •
La función de switch se hace a través de software, por lo que provee una velocidad de transferencia de paquetes menos óptima
Academy Xperts
51
RouterOS v6.39.2.01 – Capítulo 3 – Bridge
Creando un Bridge
Agregando puertos al bridge • •
La adición de puertos definirá cuales puertos van a pertenecer a la misma subred Se puede agregar diferentes tecnologías, tales como una interface WiFi
Haciendo Bridge con redes Wireless • •
Lo mismo se puede hacer con interfaces Wireless Veremos acerca de este tema en el siguiente módulo.
Preguntas de repaso del Capítulo 3 1.
En qué capa del modelo OSI trabaja el bridge?
2.
Cuáles son las ventajas de usar bridge?
3.
Cuáles son las desventajas de usar bridge?
Laboratorio – Capítulo 3 Academy Xperts
52
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Capítulo 4: IEEE 802.11 (Wireless) Teoría de Wireless dBi: Unidad de medida expresada en decibelios, expresa la ganancia de energía de una antena en relación a una antena
isotrópica, la cual irradia con igual intensidad en todas direcciones. dBm: También dBmW, es una unidad de medida de potencia expresada en decibelios con relación a un mili vatio (mW). Se utiliza en redes de radio, microondas y fibra óptica como una medida conveniente de la potencia absoluta a causa de su capacidad para expresar tanto valores muy grandes como muy pequeñas en forma corta. Es distinta de dBW, la cual hace referencia a un vatio (1.000 mW) y nos indica la energía o potencia d un transmisor.
Regla de los 3dB: Un incremento de 3dB significa que la potencia se duplica, una disminución de 3dB significa que la
potencia se reduce a la mitad. !"#$% "&' ( )*&"!+,
Regla de los 10 dB: Un incremento de 10 dB significa que la potencia aumenta 10 veces y una disminución de 10 dB
significa que la potencia se reduce en un factor de 1/10. !"#$% ! !" ( )!"+,
Free-space path loss (FSPL) Perdida de camino en el espacio vacío. PATH LOSS (Pérdida de camino) La pérdida de camino entre un par de antenas es la relación entre la potencia trasmitida y la potencia recibida, usualmente expresada en decibeles. Esto incluye todos los elementos de perdidas asociados con interacciones entre la onda propagada y cualquier objeto entre las antenas de transmisión y recepción. Para definir apropiadamente la perdida de camino, las pérdidas y ganancias en el sistema deben ser consideradas.
La potencia que aparece en los terminales de entrada del receptor, P R, puede ser expresada como: -. (
Academy Xperts
-/ 0/ 0. 1 / 12 1.
53
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Aplicando logaritmo base 10 a la formula anterior nos da un resultado más simple en decibelios: P(dB)=10log(P(W)). -. +, ( -/ +, ) 1 / +, 3 0/ +,4 ) 12 +, 3 0. +,4 ) 1. +, 3 -. +,
Donde las ganancias G y las perdidas L son expresadas como relaciones de potencias y las potencias P en watts. La ganancia de la antena expresada con referencia a una antena isotrópica (dBi). Los valores usados son todos aquellos correspondientes a la dirección de la otra antena y puede no ser necesariamente el valor máximo. La potencia isotrópica efectiva radiada (EIRP) viene dada por: -/ 0/
567- (
( -/8
1/
Donde PTI es la potencia isotrópica efectiva de transmisión. De igual forma la potencia isotrópica efectiva de recepción es 2 : PRI: -.8 ( 9 9 ; 9
La ventaja de expresar la potencia en términos de EIRP es que la perdida de camino Lp puede ser expresada independientemente de los parámetros del sistema definiéndola como la relación entre el EIRP de transmisión y de recepción. Usualmente se expresa la perdida de camino en decibelios: -/8
1< ( !"#
%$-.8
-. +, ( -/ +, 3 0/ +, 3 0. +, ) 1 / +, ) 12 +, ) 1. +,
FREE SPACE PATH LOSS (FSPL) Perdida de camino en el espacio vacío La pérdida de camino en el espacio vacío, también conocido como FSPL es la perdida de intensidad de señal que ocurre cuando una onda electromagnética viaja en una trayectoria con línea de vista en el espacio vacío. En estas circunstancias no hay obstáculos que causen que la señal sea reflejada o refractada, o que causen atenuación adicional. Para entender las razones por la que existe la perdida de camino en el espacio vacío, es posible imaginar una señal extendiéndose desde la antena transmisora. Al alejarse de la fuente se extenderá en forma de una esfera constantemente incrementando su tamaño. Como toda fuente de energía esta sigue la ley de la conservación de la energía, al mismo tiempo que el área de la superficie de la esfera se incrementa la potencia de la señal debe disminuir para que se cumpla la ley. Como resultado tenemos que la señal se atenúa de forma inversamente proporcional al cuadrado de la distancia desde la fuente en el espacio vacía. !
=>?@# A
+B
En consecuencia de la fórmula de transmisión de Friis: -/ -.
(
CD+
B
EB
CDF+
(
B
GB
Donde: EH Longitud de onda de la señal (metros) FH Frecuencia de la señal (Hertz) +H Distancia desde el transmisor (metros) GH Velocidad de la luz en el vacío, 3x10^8 m/s
De donde se obtiene la fórmula de las pérdidas de trayecto en el espacio vacío: I=-1 (
CD+
B
E
Generalmente se utiliza la formula en decibelios: I=-1 ( J"#
%$CD+ E
( J"#
%$CDF+ G
O de forma más simple: I=-1 ( *J&CC 3 J"#$% F 3 J"#$% +
Donde: FH Frecuencia de la señal (MHz)
Academy Xperts
54
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
+H Distancia desde el transmisor (Km)
Como se puede apreciar la perdida de trayecto en el espacio vacío aumenta si aumenta la distancia o la frecuencia de la señal. Distancia
2.4 GHz FSPL
5 GHz FSPL
10 m 50 m 100 m 200 m 500 m 1000 m 10 Km 100 Km
60.044 dB 74.023 dB 80.044 dB 80.064 dB 94.023 dB 100.04 dB 120.04 dB 140.04 dB
66.419 dB 80.398 dB 86.419 dB 92.440 dB 100.39 dB 106.41 dB 126.41 dB 146.41 dB
Como se puede observar a simple vista en la tabla anterior el valor del FSPL es mayor para la banda de 5 GHz.
Línea de Vista Cuando las ondas electromagnéticas se propagan en una trayectoria directa desde la fuente hacia el receptor se denomina propagación con línea de vista (LOS: Line-of-sight). Cuando se diseña una enlace inalámbrico en exteriores, lo primero que debemos tener en cuenta es: ¿Qué hay en entre el transmisor y el receptor? Existen 3 categorías principales de Línea de vista, la primera cuando se tiene el camino de propagación totalmente libre de obstáculos, el siguiente es llamado Near Line-of-sight (nLOS) que incluye obstrucciones parciales como copas de árboles entre las dos antenas y por último Non Line of Sight (NLOS) cuando existe total obstrucción entre las dos antenas. Determinando las condiciones específicas de línea de vista se puede determinar el correcto sistema inalámbrico a instalar. Cuando se considera propagación con línea de vista, puede ser necesario considerar la curvatura de la tierra. La curvatura de la tierra es el límite geométrico fundamental en la propagación LOS.
Radio LOS y Optical LOS. En particular si la distancia entre el transmisor y el receptor es muy grande comparada con la altura de las antenas, entonces la propagación con LOS puede no existir. El modelo más simple es tratar la tierra como una esfera con un radio equivalente al radio en el ecuador. Radio LOS y Optical LOS son diferentes. Incluso si la tierra fuera totalmente lisa y sin obstrucciones. La línea de vista está limitada por la curvatura de la tierra. Sin obstáculos que intervengan, la línea de vista óptica (optical Line-of-sight) puede ser expresada como: + ( *&'K *&'K L
Donde d es la distancia entre la antena y el horizonte óptico en kilómetros y h es la altura de la antena en metros. La línea de vista efectiva o el radio de línea de vista (Radio Line-of-sight) hacia el horizonte es expresado como: + ( *&'K *&'K ML
Donde K es un factor de ajuste para tener en cuenta el fenómeno de refracción. Una buena regla de oro es usar K=4/3. Entonces, la distancia máxima entre dos antenas para asegurar la propagación con Línea de vista es: + ( *&'K &'K
MLN 3
ML B
Donde h1 y h2 son las alturas de las dos antenas. Ejemplo:
La distancia máxima entre dos antenas para propagación LOS si una antena es de 100 m de altura y la otra antena está a nivel del suelo es: + ( *&'K *&'K ML ( *&'K *&'K !** ( C!OP C!OP
Ahora suponga que la antena receptora tiene 10 m de altura. Para asegurar la misma distancia máxima, cuál debe ser la altura mínima de la antena transmisora. C! ( *&'K *&'K
Academy Xperts
MLN 3 !*&*
55
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
MLN (
C! *&'K
LN (
) !*&* !*&* ( K&QC K&QC
K&QCB ( CR&JP !&**
Lo que supone un ahorro alrededor de 50 m en la altura de la antena transmisora. transmi sora. Este ejemplo ilustra el beneficio de elevar las antenas receptoras para reducir la altura necesaria del transmisor.
Pérdida en cables y conectores Como se vio anteriormente si existe una diferencia de impedancia entre los elementos de un si stema de telecomunicaciones existirá un factor de perdida debido al desacople de las impedancias. Estas pérdidas de la señal de RF sucederán en los cables y conectores que conectan el transmisor y el receptor a las antenas. Las pérdidas dependerán de la forma física del cable y de la frecuencia a la que se encuentre operando el sistema. Generalmente se miden en dB/m para aplicaciones en interiores y para aplicaciones en exteriores en dB/km. Las pérdidas en los cables aumentan conforme aumenta la frecuencia. Por lo general esto viene incluido en las características de las hojas de datos de los fabricantes pero de ser posible se debe verificar tomando sus propias mediciones. Para el diseño de un sistema o un presupuesto de enlace se considerar al menos 0.25 dB de perdida por cada conector en el sistema de cableado. Así mismo estas características se deben revisar en las hojas de especificaciones de los fabricantes.
Zonas de Fresnel En un enlace inalámbrico, poder ver el receptor desde donde se encuentra el transmisor (Línea de vista), no significa que el enlace funcionará de forma correcta. Si el trayecto no tiene obstrucciones las ondas de radio podrían viajar en línea recta desde el transmisor hacia el receptor. Pero si hay obstáculos cercanos a la trayectoria, las ondas de radio se reflejaran en estos objetos y llegaran al transmisor con una diferencia de fase con respecto a las que siguen el trayecto directo y esto reduce la potencia de la señal recibida. Por otro lado la reflexión puede aumentar la potencia de la señal recibida si la señal reflejada y la que sigue el trayecto directo llegan al receptor con la misma fase. El físico y matemático francés Monsieur Fresnel diseñó un medio para calcular donde están las zonas donde mayormente los obstáculos pueden causar reflexiones en fase y reflexiones fuera de fase entre el transmisor y el receptor. Los obstáculos en la primera zona de Fresnel pueden crear señales que pueden estar de 0 a 90 grados fuera de fase, en la segunda zona estas señales pueden tener de 90 a 270 grados fuera de fase, en la tercera zona, podrían tener de 270 a 450 grados fuera de fase y así. Las zonas con numeración impar son constructivas y las zonas pares son destructivas. Es decir en las zonas pares se reducirá la potencia de la señal recibida. El concepto de despeje de la zona de Fresnel (Fresnel zone clearance) puede ser usado para analizar interferencia por obstáculos cercanos a la trayectoria del haz de radio. La primera zona debe mantenerse en gran medida libre de obstrucciones para evitar interferencia en la recepción de radio. Sin embargo, a menudo puedo ser tolerada la obstrucción en la zona de Fresnel, como regla de oro la máxima obstrucción permitida es 40% en la primera zona de Fresnel, pero la obstrucción recomendada es de 20% o menos. Para establecer las zonas de Fresnel, primero determinamos la línea de vista (LOS). La zona alrededor de LOS es llamada la primera zona de Fresnel. Gráfico zonas de Fresnel
La fórmula general para calcular el radio de las Zonas de Fresnel en cualquier punto P en un enlace inalámbrico es la siguiente: IS (
TE+N +B +N 3 +B
Donde: IS H Radio de la n-esima zona de Fresnel en metros. +N H Distancia desde P hacia una de las antenas en metros. +B H Distancia desde P hacia la otra antena en metros. EH Longitud de onda de la señal transmitida en metros. Ejemplo 1. Se desea calcular el tamaño máximo de una obstrucción en la primera zona de Fresnel que asegure el correcto funcionamiento de un enlace inalámbrico de 500m a una frecuencia f=800 MHz. Si las antenas transmisora y receptora se encuentran a 20m sobre el nivel del suelo. Considere tierra plana. E(
Academy Xperts
G F
(
*U!"V P W Q""U!"X YZ
( "&*K'P
56
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
E+N +B
IS (
+N 3 +B
"&*K' [ J'" [ J'"
IS (
'""
( R&QCRP
Para asegurar el 60% de la primera zona de Fresnel (40% de obstrucción máxima) debemos restar el 60% del radio de la 1ra zona de Fresnel a la altura de la línea de vista: Y\]^ ( J" ) "&"RUR&QCR ( !_&'Q_P
Por lo tanto un escenario ideal para este enlace sería con obstrucciones con tamaño menores a 19 m. Con lo que se asegura por lo menos el 60% de claridad de la primera zona de Fresnel. Ejemplo 2. Considere un escenario con terreno plano absolutamente libre de obstrucciones, árboles o edificios entre el emisor y el receptor. Cierto fabricante dice que el alcance máximo de uno de sus equipos son X metros. ¿Cuál es la distancia respecto al suelo a la que se deben colocar las antenas para que se asegure el 60% de la primera zona de Fresnel y conseguir el máximo alcance?
IS (
E+N +B +N 3 +B
(
E + J
B
(
J + J
G F
U
+ C
Asegurando el 60% se tiene: IS (
E+N +B +N 3 +B
(
E + J
B
J + J
(
G F
U
+ C
Que sería la distancia mínima respecto al suelo donde se asegura la primera zona de Fresnel. Ejemplo para varias frecuencias y distancias. Distancia (m) 100 500 1000 10000
2.4 GHz
5 GHz
11 GHz
1.06 m 2.37 m 3.35 m 10.61 m
0.73 m 1.64 m 2.32 m 7.34 m
0.49 m 1.11 m 1.57 m 4.95 m
En la práctica es muy probable que las antenas deban ser ubicadas a mayor altura debido a que existen obstrucciones de cualquier tipo y debido a que el terreno no es totalmente plano.
Cálculo de Presupuesto de Enlace Inalámbrico El cálculo de potencias de una señal, potencias de ruido y/o de relación señal a ruido (SNR) para un enlace completo es un presupuesto de enlace, que es un enfoque muy útil para el diseño básico de un sistema completo de comunicación. Estos cálculos suelen ser bastante simples, pero pueden brindarnos información muy reveladora como el rendimiento del sistema siempre y cuando se hagan las suposiciones adecuadas en el cálculo de los elementos individuales del presupuesto de enlace. Los parámetros esenciales son: la intensidad de la señal recibida, el ruido y cualquier otro deterioro de la señal tales como interferencias o desvanecimiento. Esencialmente el margen de enlace es una simple aplicación de los principios explicados anteriormente. El valor máximo aceptable de pérdida de camino usualmente gira en torno a dos componentes, una que está dada dependiendo de la distancia y el modelo de pérdida de camino (Ej. Free Space model) más el margen de desvanecimiento (Fade margin), que está incluido para permitir al sistema cierta resistencia frente a los efectos prácticos del desvanecimiento de la señal más allá del valor predicho por el modelo. -ab+4+@+>cb$c@%@G4dT -ab+4+@ i@b%>T+> ( 3 cb>+>G4+@ Pef4P@@G>cg@h#> +>Wj@T>G4P4>Tg$
Cuanto mayor será el margen de desvanecimiento, mayor será la fiabilidad y calidad del sistema, pero esto limitará el rango máximo del sistema.
Academy Xperts
57
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Enlaces con márgenes relativamente pequeños no son muy robustos a menos que todas las ganancias y pérdidas sean perfectamente comprendidas y modeladas. Por lo tanto la potencia mínima o sensibilidad que debe tener el receptor será: =. ( 567- )
i@f4PkT@GG>cg@h#> I@+> -@gL 3 0. ( 567- ) 3 i@b%4T c@gL#$WW 1$WW
=. ( 567- )
I@+> -@gL 3 i@b%4T 1$WW
3 0.
=. ( 567- ) 12 ) Ii 3 0. Ii ( 567- ) 12 3 0. ) =.
Donde12 es la pérdida de camino del modelo de propagación utilizado, normalm ente pérdida en el espacio vacío (FSPL), 0. es la ganancia de la antena de recepción y =. es la potencia mínima que acepta el receptor también llamada sensibilidad del receptor o potencia de umbral del receptor. Con esto se asegura que la potencia en el receptor sea: -. ( =. 3 iI Es decir tendremos un margen de pérdida por desvanecimiento de valor MF para que el receptor tenga los niveles de señal adecuados. Ejemplo 1: Considere un enlace punto a punto de 1 km que opera en el espacio vacío a una frecuencia de 2.4 GHz. Asuma que la potencia de transmisión es 0.1 W y que ambas antenas transmisora y receptora tienen una ganancia de 5 dBi. Si la sensibilidad del receptor es de -85 dBm. ¿Cuál es el margen de desvanecimiento de este enlace?
Primero calculamos la EIRP en el lado del transmisor: 567567- +, ( -/ +, ) 1 / lkPc>bmc4%g@4 lkPc>bmc4%g@4#m #m >gG 3 0/ +,4 567567- +, ( !"#$ !"#$% % "&! ) J 3 ' ( )K+, )K+,
Ahora calculamos el FSPL (free space path loss): 12 ( I=-1 I=-1 ( J"#$% J"#$% + 3 J"#$% J"#$% F 3 *J&CC *J&CC 12 ( J"#$% J"#$% ! 3 J"#$% JC"" 3 *J&CC ( !""&"C+ !""&"C+, ,
Calculamos el margen de desvanecimiento de este enlace: Ii ( 567- ) 12 3 0. ) 1 . ) =.
=11 dB Por lo tanto este enlace tiene un margen de desvanecimiento de 11 dB. Note que en condiciones ideales la potencia en el receptor será de -104 dB. Y ya que el receptor tiene una sensibilidad de hasta -115 dB (-85dBm) se tiene potencia suficiente en el receptor. Se agregó una pérdida de 2 dB en el lado del transmisor y en el lado del receptor, el cual es un valor normal de pérdida por conectores y cables. Ya que norm almente la potencia de recepción o la sensibilidad s ensibilidad de un equipo están dadas en dBm es necesario pasar ese valor a unidades de dB. Ii ( )K ) !"" 3 ' ) J ) )Q' ) *"
+, ( +,P ) *"
Ejemplo 2: Considere que cierto cliente necesita un radio enlace a una de las sucursales de su negocio que está ubicada a 30 Km de la central. La frecuencia de operación del enlace es de 5Ghz, sensibilidad sensibilidad del receptor de -85 dBm, ganancia de las antenas transmisoras y receptoras de 35 dBi. Considere perdidas en el espacio vacío. Se debe realizar el diseño del radio enlace cumpliendo los requerimientos y su correspondiente presupuesto de enlace.
Necesitamos calcular que valor de potencia debe tener el transmisor para tener un buen margen de desvanecimiento. Asumimos un margen de desvanecimiento de 15 dB. =. ( 567- ) 1 2 3 0. ) 1. 3 Ii 567- ( -/ +, ) 1 / c4%g@4 c4%g@4#m #m nkPc>bm nkPc>bm >gG 3 0/ +,4 567- ( -/ ) J+, 3 *' ( - / 3 *J
Calculando la pérdida de trayecto: 12 ( J"#$% J"#$% + 3 J"#$% J"#$% F 3 *J&CC *J&CC ( J"#$ J"#$% % *" 3 J"#$% J"#$% '""" 3 *J&CC *J&CC Academy Xperts
58
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
12 ( !*'&_R+,
Por lo tanto: )Q' ) *" ( -/ 3 *J ) !*'&_R 3 *' ) J 3 !' )!!' ( -/ ) ''&_R -/ ( )!!' 3 ''&_R ( )'_&"C+,
Por lo tanto para cumplir con el requerimiento de 15 dB de margen el transmisor debe tener una potencia de por lo menos 59.04 dB o lo que es lo mismo -29.04 dBm. Aproximadamente 1 uW. Lo que significa que con una potencia de transmisión de 15 dB se tendrá por mucho un mayor margen de desvanecimiento. En este cas o se podrían cambiar las antenas por unas de menor ganancia. La comunicación inalámbrica (sin cables) es aquella en la que el emisor y el receptor no se encuentran unidos por un medio de propagación físico, sino que se utiliza la modulación de ondas electromagnéticas a través del espacio. En este sentido, los dispositivos físicos sólo están presentes en los emisores y receptores de la señal, entre los cuales encontramos: antenas, computadoras portátiles, PDA, teléfonos móviles, etc. La funcionabilidad Wireless de RouterOS cumple con los estándares IEEE 802.1, y provee un soporte completo para 802.11a, 802.11b, 802.11g, 802.11n y 802.11ac. También provee características adicionales como WPA, WEP, encriptación AES, Wireless Distribution System (WDS), Dynamic Frequency Selection (DFS), Virtual Access Point, y protocolos propietarios (de MikroTik) como Nstreme and NV2 (Nstreme Version 2).
Academy Xperts
59
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Tablas de compatibilidad de características para los diferentes protocolos La siguiente matriz de características wireless especifica las diferentes características que se pueden utilizar dependiendo del tipo de protocolo. La columna que se llama 802.11 especifica la disponibilidad de opciones para redes 802.11 puras, es decir, cuando se conectan a cualquier proveedor/fabricante inalámbrico. La columna ROS 802.11 especifica las características cuando se conecta a un AP RouterOS y que permite implementar las características propietarias necesarias para trabajar.
Matriz de Características Wireless
* El protocolo NV2 utiliza una diferente configuración de seguridad
Matriz de Configuraciones WDS Esta matriz especifica las posibles configuraciones de red WDS para cada protocolo wireless. La primera columna especifica la estructura de red WDS
* mode=ap-bridge aplica también a mode=bridge
Matriz de Modos Estación (station) Esta matriz especifica los modos disponibles de estación (station) para cada protocolo wireless.
La funcionalidad Wireless de RouterOS puede operar en diferentes modos: Academy Xperts
60
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
client (station) access point wireless bridge etc. La funcionabilidad client/station también puede operar en diferentes modos: station station-wds station-pseudobridge station-pseudobridge-clone station-bridge • • •
• • • • •
IEEE 802.11 El estándar IEEE 802.11 define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. Los protocolos de la rama 802.x definen la tecnología de redes de área local y redes de área metropolitana. Recuerde: MikroTik RouterOS opera en 5GHz (802.11a/n/ac) y 2.4GHz (802.11b/g/n)
Estándares Wireless
Fuente: http://en.wikipedia.org/wiki/IEEE_802.11
Wireless Bands (RouterOS) Los estándares 802.11b/g/n (en 2.4GHz) utilizan el espectro de 2.400 a 2.500 GHz. Los estándares 802.11a/n/ac (en 5GHz) utilizan el espectro de 4.915 a 5.825 GHz, el cual es fuertemente regulado en diferentes países. Estos rangos se los conoce generalmente como las bandas de 2.4 GHz y 5 GHz. Cada espectro a su vez se subdivide en canales, y poseen una frecuencia central y un ancho de banda específico. RouterOS trabaja en las bandas 2.4 GHz y 5 GHz. En cada una de estas bandas se aplican la utilización de los diferentes estándares según la siguiente tabla
Configuración de banda en 2.4 GHz
Academy Xperts
61
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Configuración de banda en 5 GHz
En la banda de 2.4 GHz la frecuencia central inicia en 2.412 GHz, y el estándar IEEE 802.11 establece que cada 5 MHz se asigne un nuevo número de canal que tiene un ancho de 22 MHz. El mismo estándar IEEE 802.11 también establece lo que se conoce como una máscara espectral (máscara de canal o máscara de transmisión) cuyo objetivo es reducir la interferencia de los canales adyacentes limitando la radiación excesiva en frecuencias que van más allá del ancho de banda necesario: Es sumamente necesario asegurarse que una transmisión permanece dentro de su canal, por lo que se requiere que para 2.4 GHz la señal deba ser atenuada a un mínimo de 20 dB desde su pico de amplitud en +/- 11 MHz desde el centro de la frecuencia, lo que da como resultado un ancho de canal de 22 MHz.
El término Interferencia del Canal Adyacente s e refiere a la degradación del desempeño como resultado de la sobre posición (overlapping) del espacio de frecuencia que ocurre debido a un diseño inapropiado de reuso de canal. Se considera un canal
Academy Xperts
62
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
adyacente al canal próximo o previo al canal en el cual se está trabajando. En el caso de la gráfica anterior, el canal 3 es adyacente al canal 2. El estándar IEEE 802.11-2012 requiere una separación de 25 MHz entre las frecuencias centrales de los canales 802.11b/g para poder asegurar que no existirá overlapping. Por este motivo, únicamente los canales 1, 6 y 11 cumplen este requerimiento en caso de que se necesite disponibilidad de 3 canales. En caso de que se requiera disponibilidad únicamente de 2 canales, se podría utilizar los canales 2 y 7, así como los canales 3 y 8, los canales 4 y 9, o los canales 5 y 10. Lo que es importante entonces recordar es que en el estándar IEEE 802.11b/g/n se requiere 5 canales de separación en las celdas de cobertura adyacentes.
802.11a El estándar 802.11a utiliza el mismo juego de protocolos de base que el estándar original, opera en la banda de 5 GHz y utiliza la multiplexacion por división de frecuencias (OFDM) con una velocidad máxima de 54 Mbit/s (Mbps), lo que lo hace un estándar práctico para redes inalámbricas con velocidades reales de aproximadamente 20 Mbps. La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbps. El estándar 802.11a tiene 12 canales que no se sobreponen, 8 para red inalámbrica y 4 para conexiones punto a punto. No puede interoperar con equipos del estándar 802.11b, excepto si se dispone de equipos que implementen ambos estándares. Cuando se trabaja en la banda de 5 GHz U-NII existe 25 canales que son considerados como no-overlapping ya que su existe una separación de 20 MHz entre las frecuencias centrales. En la práctica siempre existirá un pequeño overlapping entre las frecuencias de cada canal OFDM, pero la ventaja es que en la banda 5 GHz no se está limitado a solo 3 canales como en la banda 2.4 GHz.
Academy Xperts
63
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Channel Width (RouterOS) Channel Width en banda 2.4 GHz
Channel Width en banda 5 GHz
5Ghz • • • • • • • • •
5 MHz 10 MHz 20/40/80 MHz Ceee 20/40/80 MHz eCee 20/40/80 MHz eeCe 20/40/80 MHz eeeC 20/40 MHz Ce 20/40 MHz eC 20 MHz
Parámetro channel-width (20/40/80mhz-Ceee | 20/40/80mhz-eCee | 20/40/80mhz-eeCe | 20/40/80mhz-eeeC | 20/40mhz-Ce | 20/40mhz-eC | 40mhz-turbo | 20mhz | 10mhz | 5mhz; Default: 20mhz) •
Este uso de canales de extensión (por ejemplo, Ce, eC, etc) permite el uso de canales de extensión adicionales de 20 MHz y debería ser ubicado abajo (below) o arriba (aboce) del canal principal de control. El canal de extensión permite a los dispositivos 802.11n utilizar hasta 40 MHz (802.11ac permite hasta 80 MHz) de espectro total, pudiendo obtener un incremento en el throughput máximo.
Frecuencias Soportadas Las tarjetas Atheros A/B/G/N/AC usualmente soportan frecuencias en los siguientes rangos: 2 GHz band: 2192-2539 MHz 5 GHz band: 4920-6100 MHz • •
Frecuencias en banda 2.4 GHz
Academy Xperts
64
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Frecuencias en banda 5 GHz
Parámetro frequency (integer [0..4294967295]; Default: ) • •
•
•
Valor de frecuencia de canal en MHz en la cual operará el AP (Access Point) Los valores permitidos dependen de la banda seleccionada, y están restringidos por o Las configuraciones de país, y o La capacidad de la tarjeta inalámbrica (wireless) Esta configuración no tiene efecto si la interface está en cualquier modo de estación (station mode), o en modo wds-slave, o si el DFS está activo (DFS ya no se configura a partir de v6.37.0) NOTA: Si se está usando el modo superchannel, se aceptará cualquier frecuencia soportada por la tarjeta, pero en el cliente RouterOS cualquier frecuencia no-estándar debe ser configurada en el scan-list, caso contrario dicha frecuencia no será escaneada en un rango no-estándar. En Winbox, las frecuencias de scan-list aparecen en negrillas ( bold), lo que significa que cualquier otra frecuencia (que no esté en negrilla) deberá configurarse en el scan-list
Scan List En Winbox las frecuencias por “default” se muestran resaltadas en negrilla. El valor por omisión del scan-list se muestra como “default” El rango de frecuencias se especifica con el signo menos ( - ) o 5500-5700 Hasta la versión 5.x las frecuencias individuales se especificaban con “coma” ( , ) o 5500,5520,5540 Hasta la versión 5.x se podía realizar la siguiente mezcla de frecuencias: o default,5520,5540,5600-5700 •
•
•
Academy Xperts
65
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Parámetro scan-list !"#$%& () *+),-).,#&$ $)/&+&(&$ /0+ ,01&$ 2 +&.30 () *+),-).,#&$ 4 ()*&-5%6 7 /&+%#+ () 5& 896:; !<#+)5)$$=+)/> %&1?#@. $0/0+%& +&.3)A$%)/ 0/%#0.B C)*&-5%A ()*&-5%> •
•
•
•
•
El valor por default está dado por todos los canales de la banda seleccionada que son soportadas por la tarjeta y permitidos por las configuraciones de país y frequency-mode. Por default el scan-list en la banda de 5 GHz los canales se toman con un paso de 20 MHz, en la banda 5ghzturbo con un paso de 40 MHz, y para todas las otras bandas con un paso de 5 MHz. Si el scan-list se especifica manualmente, entonces se toman todos los canales que coinciden. (Por ejemplo, scan-list=default,5200-5245,2412-2427 – Esta configuración usará el valor por default del scan-list de la banda actual, y se agregará las frecuencias soportadas del rango 5200-5245 o del rango 2412-2427) A partir de RouterOS v6.0 con Winbox o Webfig, para ingresar múltiples frecuencias, se debe agregar cada frecuencia o rango de frecuencias en múltiples y separados scan-lists. A partir de v6.0 ya no se soporta el uso de frecuencias separadas por coma en Winbox/Webfig A partir de RouterOS v6.35 (wireless-rep) el scan-list soporta el parámetro step, donde es posible especificar manualmente el paso ( step) de escaneo. Por ejemplo, scan-list=5500-5600:20 generará los siguientes valores de scan-list: 5500,5520,5540,5560,5580,5600
Problema del Nodo Oculto El problema del nodo oculto (también llamado problema de terminal oculto) se produce cuando un nodo es visible desde un punto de acceso inalámbrico (AP), pero no es visible desde otros nodos que se comunican con ese mism o AP. Esto conduce a dificultades en la subcapa de control de acceso al medio. Cada nodo está dentro del rango de comunicación del AP, pero los nodos no se pueden comunicar uno con otro ya que no tienen una conexión física entre ellos. La tecnología de transmisión wireless trabaja en un esquema en que si más de un usuario remoto transmite datos al AP al mismo tiempo, es difícil para el punto de acceso distinguir entre los dos transmisores. Cuando se creó el estándar 802.11 los protocolos que se diseñaron para prevenir este problema asumieron que todos los usuarios y nodos deberían estar en las proximidades del AP y podrían escuchar la transmisión de cada uno de los otros nodos. Por ejemplo, supongamos que los nodos A y B son laptops inalámbricas que se conectan a un AP (Access Point) y que el nodo A empieza a enviar datos al AP al mismo tiempo que el nodo B. El nodo A es lo suficientemente inteligente como para escuchar en el momento exacto que está enviando los datos con el fin de garantizar que cuenta con las ondas de radio claras y libres. Si se oye algún otro transmisor al mismo tiempo, puede detener el envío de datos, o, en otros casos, el nodo B puede ser el que detenga su envío de datos. El mecanismo exacto utilizado para determinar el orden de detención de envío de datos es similar a la regla de parada de cuatro vías (four-way stop). Estas reglas son necesarias para evitar una colisión y permitir que cada nodo pueda enviar sus datos sin obstáculos. Se puede decir entonces, que el estándar 802.11 está diseñado de tal forma que si un nodo escucha que otro nodo está hablando, detiene su envío de datos para evitar que se produzca un caos cuando múltiples nodos están transmitiendo al mismo tiempo. Esto debería cumplirse para cada nodo en la red. Todo este esquema funciona bien si los nodos remotos se encuentran relativamente cercanos al AP y pueden “verse” entre si. El problema aparece cuando los nodos se alejan bastante del AP y l a distancia (mayor a 50 metros) impide que los nodos (por ejemplo A y B) que ahora debn usar antenas direccionales (debido a la distancia), puedan escuchar uno al otro. El resultado es que dichos nodos no pueden llegar a conocer al otro y por lo tanto no pueden detener el envío de datos cuando ambos transmiten simultáneamente. En términos técnicos, los nodos A y B están fuera de rango uno de otro y no pueden detectar una colisión mientras transmiten. Es decir, en este caso el protocolo CSMA/CD (carrier sense multiple access with collision detection) no trabaja y ocurren colisiones lo que ocasiona que los datos que se reciben en el AP estén corruptos.
Academy Xperts
66
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Para resolver este problema del “nodo oculto” se implementa una solución basada en el handshaking IEEE 802.11 RTS/CTS en conjunto con el esquema CSMA/CA (carrier sense multiple access with collision avoidance). Sin embargo RTS/CTS no presenta una solución completa e incluso puede afectar el throughput considerablemete, aunque se puede hacer uso de ACKs (acknowledgments) desde las estaciones para ayudar. Otros métodos que se pueden emplear para resolver el problema del nodo oculto son los siguientes: Incrementar la potencia de transmisión de los nodos Mover el nodo Utilizar un software que mejore el protocolo Usar diversidad espacial • • • •
Incrementar la potencia de transmisión de los nodos
Esta opción puede ayudar a resolver el problema del nodo oculto haciendo que aumente la cobertura alrededor de cada nodo, abarcando todos los otros nodos. Esta configuración permite que los nodos no-ocultos puedan detectar o escuchar al nodo oculto. Si los nodos no-ocultos pueden escuchar el nodo oculto, entonces el nodo oculto ya no lo estará. Las redes WLAN (Wireless LAN) utilizan el protocolo CSMA/CA, y esto hace que los nodos esperen su turno antes de comunicarse con el AP. Esta solución sólo funciona si se aumenta la potencia de transmisión en los nodos que están ocultos. Si se aumenta la potencia de transmisión únicamente en el AP, no se va a resolver todo el problema, ya que normalmente los nodos ocultos son los clientes (laptops, dispositivos móviles), y no el propio AP, por lo que los clientes aún no serán capaces de escuchar a los demás. Incluso, aumentar la potencia de transmisión del AP puede empeorar el problema, porque va a poner nuevos clientes dentro del rango del AP y por lo tanto agregar nuevos nodos a la red que están ocultos de otros clientes. Mover el nodo
Al mover el nodo los nodos-ocultos podrían verse entre si. El objetivo es proveer la cobertura adecuada que cubra el área oculta. Es posible que reqiuera puntos de acceso (AP) adicionales. Software que mejore el protocolo
Existen varias implementaciones de protocolos que básicamente lo que hacen es implementar una estrategia de polling o token-passing. En este caso, un equipo master (generalmente el AP) hace un polling dinámicamente a los clientes para obtener la data. Los clientes no están permitidos de enviar datos sin la invitación del master. Esta estrategia elimina el problema del nodo oculto pero incrementa la latencia y puede disminuir el throughput.
Diversidad Espacial También conocido como Diversidad de Antena es uno de los varios esquemas Wireless que usa dos o más antenas para mejorar la calidad y confiabilidad de un enlace wireless. En ambientes indoor (oficinas, restaurantes, edificios) y ambientes urbanos no existe una línea de vista (LOS= line-of-sight) claramente definida y lo que sucede es que la señal se refleja entre múltiples rutas antes de que sea recibida. Cada uno de estos rebotes puede introducir cambios de fase, retardos de tiempo (delay), atenuaciones y distorsiones que puede interferir en la antena de recepción. La diversidad de antena es especialmetne efectiva para mitigar estas situaciones de múltiples rutas. Esto se debe a que las múltiples antenas ofrecen varios receptores para la misma señal. Cada antena experimentará un ambiente de interferencia distinto. De esta manera, si una antena experimenta un desvanecimiento de la señal (deep fade), es muy probable que la otra antena reciba suficiente señal, pudiendo proveer un enlace robusto. El esquema de diversidad de antena requiere una integración y hardware adicional en comparación con sistemas que manejan una sola antena. Esto también requiere una mayor demanda de procesamiento en el receptor.
Academy Xperts
67
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
La confiablidad del enlace es mayor (usando diversidad espacial) y disminuye en forma efectiva los abandonos (drop-out) y las pérdidas de desconexión.
basic-rates / supported-rates Las tasas soportadas (supported rates) corresponden a la tasa de datos de clientes basic-rates : son las tasas de velocidad mínima que un cliente debería soportar al momento de conectarse a un AP. Para que haya comunicación entre el AP y el Cliente, ambos deberán tener el mismo basic-rate. Las tasas básicas (basic rates) especifican las tasas de datos para la administración del enlace supported-rates : estas son las tasas de velocidad que un cliente puede llegar a soportar. Si el router no puede enviar o recibir datos en la tasa básica, entonces el enlace se declara caído •
•
Tasas Básicas (802.11b) basic-rates-b (11Mbps | 1Mbps | 2Mbps | 5.5Mbps; Default: 1Mbps ) • • • •
Especifica la lista de tasas básicas (basic rates) usadas por las bandas 2.4ghz-b, 2.4ghz-b/g y 2.4ghz-onlyg El Cliente se conectará con el AP únicamente si soporta todas las básicas anunciadas por el AP. El AP podrá establecer un enlace WDS únicamente si soporta todas las tasas básicas del otro AP Esta propiedad tiene efecto únicamente en los modos AP, y cuando se configura un valor en el parámetro rateset
Tasas Básicas (802.11a/g) basic-rates-a/g (12Mbps|18Mbps|24Mbps|36Mbps|48Mbps|54Mbps|6Mbps|9Mbps; Default:6Mbps) •
Similar a las propiedades de las tasas básicas b (basic-rates-b), pero utilizadas para las bandas 5ghz, 5ghz-10mhz, 5ghz-5mhz, 5ghz-turbo, 2.4ghz-b/g, 2.4ghz-onlyg, 2ghz-10mhz, 2ghz-5mhz y 2.4ghz-g-turbo
Tasas Básicas (802.11n) ht-basic-mcs (list of (mcs-0|mcs-1|mcs-2|mcs-3|mcs-4|mcs-5|mcs-6|mcs-7|mcs-8|mcs-9|mcs-10|mcs-11| mcs-12|mcs-13|mcs-14|mcs-15|mcs-16|mcs-17|mcs-18|mcs-19|mcs-20|mcs-21|mcs-22|mcs-23); Default: mcs-0; mcs-1; mcs-2; mcs-3; mcs-4; mcs-5; mcs-6; mcs-7 ) • •
Esquemas de codificación y modulación que debe soportar cada cliente que se conecta. Se refiere a la especificación MCS de 802.11n
Academy Xperts
68
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Tasas Básicas (802.11ac) vht-basic-mcs (none | MCS 0-7 | MCS 0-8 | MCS 0-9; Default: MCS 0-7 ) • • •
Esquemas de codificación y modulación que debe soportar cada cliente que se conecta. Se refiere a la especificación MCS de 802.11ac Se puede configurar el intervalo MCS para cada Stream Espacial (spatial stream) o none – No se utilizará el Stream Espacial seleccionado o MCS 0-7 – El cliente debe soportar MCS-0 a MCS-7 o MCS 0-8 – El cliente debe soportar MCS-0 a MCS-8 o MCS 0-9 – El cliente debe soportar MCS-0 a MCS-9
Tasas Soportadas (802.11b) supported-rates-b (list of rates [11Mbps | 1Mbps | 2Mbps | 5.5Mbps]; Default: 1Mbps; 2Mbps; 5.5Mbps; 11Mbps ) • • •
Lista de las tasas soportadas usadas por las bandas 2ghz-b, 2ghz-b/g y 2ghz-b/g/n. Dos dispositivos se comunicarán únicamente si las tasas son soportadas en ambos dispositivos. Esta propiedad tiene efecto solo cuando se configura un valor en el parámetro rate-set
Academy Xperts
69
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Tasas Soportadas (802.11a/g) supported-rates-a/g (list of rates [12Mbps | 18Mbps | 24Mbps | 36Mbps | 48Mbps | 54Mbps | 6Mbps | 9Mbps]; Default: 6Mbps; 9Mbps; 12Mbps; 18Mbps; 24Mbps; 36Mbps; 48Mbps; 54Mbps ) •
Lista de tasas soportadas, usadas por todas las bandas excepto por la banda 2ghz-b
Tasas Soportadas (802.11n) ht-basic-mcs (list of (mcs-0|mcs-1|mcs-2|mcs-3|mcs-4|mcs-5|mcs-6|mcs-7|mcs-8|mcs-9|mcs-10|mcs-11| mcs-12|mcs-13|mcs-14|mcs-15|mcs-16|mcs-17|mcs-18|mcs-19|mcs-20|mcs-21|mcs-22|mcs-23); Default: mcs-0; mcs-1; mcs-2; mcs-3; mcs-4; mcs-5; mcs-6; mcs-7 ; mcs-8; mcs-9; mcs-10; mcs-11; mcs-12; mcs13; mcs-14; mcs-15; mcs-16; mcs-17; mcs-18; mcs-19; mcs-20; mcs-21; mcs-22; mcs-23 ) • •
Esquemas de codificación y modulación que este dispositivo puede soportar. Se refiere a la especificación MCS de 802.11n
Tasas Soportadas (802.11ac) vht-basic-mcs (none | MCS 0-7 | MCS 0-8 | MCS 0-9; Default: MCS 0-9 ) • • •
Esquemas de codificación y modulación que debe este dispositivo puede soportar. Se refiere a la especificación MCS de 802.11ac Se puede configurar el intervalo MCS para cada Stream Espacial (spatial stream) o none – No se utilizará el Stream Espacial seleccionado
Academy Xperts
70
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
o o o
MCS 0-7 – El cliente debe soportar MCS-0 a MCS-7 MCS 0-8 – El cliente debe soportar MCS-0 a MCS-8 MCS 0-9 – El cliente debe soportar MCS-0 a MCS-9
HT chains • •
Hace referencia a una antena de radio Son usados para el protocolo 802.11n y es un factor de rendimiento configurable.
802.11n - Data Rates Protocolo en el cual la velocidad real de transmisión podría llegar a los 300 Mbps (lo que significa que las velocidades teóricas de transmisión serían aún mayores), y debería ser hasta 10 veces más rápida que una red bajo los estándares 802.11a y 802.11g, y unas 40 veces más rápida que una red bajo el estándar 802.11b
Academy Xperts
71
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
802.11ac - Data Rates
Academy Xperts
72
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Tipos de Modulación Las técnicas de modulación digital fundamentales están basadas en Keying. Keying es una familia de formas de modulación donde la señal de modulación toma un número específico (predeterminado) de los valores en todo momento. El objetivo de la modulación es transmitir una señal digital a través de un canal analógico. El nombre deriva de la clave de código Morse utilizado para la señalización telegráfica. La modulación es la técnica general de convertir una señal para transmitir información. Cuando un mensaje digital tiene que ser representado como una forma de onda analógica, se utiliza la técnica el término “keying” (o modulación digital). El “keying” se caracteriza por el hecho de que la señal de modulación tendrá un número limitado de estados (o valores) en todo momento, para representar los estados digitales correspondientes (comúnmente cero y uno, aunque esto puede depender del número de símbolos utilizados). https://en.wikipedia.org/wiki/Keying_(telecommunications)
PSK (phase-shift keying) – se utiliza un número finito de fases o BPSK (Binary PSK), utiliza M=2 símbolos o QPSK (Quadrature PSK), utiliza M=4 símbolos FSK (frequency-shift keying) – se utiliza un número finito de frecuencias ASK (amplitude-shift keying) – se utiliza un número finito de amplitudes QAM (quadrature amplitude modulation) – se utiliza un número finito de al menos 2 fases y al menos 2 amplitudes En QAM, una señal “inphase” (“I”) y una señal de fase de cuadratura (“Q”) son modulados en amplitud, con un número finito de amplitudes, y luego son sumados. Puede visualizarse como un sistema de dos canales, donde cada canal utiliza ASK. La señal resultante es equivalente a una combinación de PSK y ASK. •
• • •
Academy Xperts
73
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Modo de Frecuencia (frequency-mode) Esta opción nos permitirá elegir el modo en el cual nuestro router va a trabajar, respetando las siguientes limitaciones: regulatory-domain : Esta sección limita los canales usados y la potencia de TX, basado en las regulaciones de cada país o del estándar. manual-txpower : Igual que el anterior pero sin la restricción de potencia de TX. superchannel : Ignorará todas las restricciones. country: Frecuencias y potencias de TX, limitados y regulados por cada país. Usando el parámetro no-countryset, se podría configurar los parámetros de frecuencia y potencia según canales aprobados por la FCC. •
• • •
Rate Flapping Se conoce como Rate Flapping a la variación muy notable (o inestabilidad) en las velocidades alcanzadas, con respecto al tiempo. Si esta variación se produce en períodos cortos de tiempo, afecta al desempeño del enlace ya que cada cambio de velocidad ( data rate) implica el uso de un esquema de modulación diferente y por lo tanto los paquetes deben ser retransmitidos. Se puede resolver este tipo de problemas disminuyendo las tasas soportadas ( supported-rates). La estrategia que se debe aplicar es analizar el data-rate más bajo (entre los valores en que está fluctuando en enlace) y adoptarlo como el máximo data-rate (en tasas soportadas). Asumiendo que los data-rate varían entre 36 Mbps y 54 Mbps (según el siguiente gráfico)
La solución es reducir las tasas soportadas haciendo que el máximo valor sea 36 Mbps (según la siguiente imagen):
Configuración básica de un Access Point (AP) Para configura un AP debemos conocer los siguientes parámetros mode : AP bridge band : Esta opción se seleccionará basada en la capacidad de los AP y clientes. Si el AP soporta múltiples bandas (ej. B/G/N) se debe seleccionar la que ofrece mejores características. frequency : Cualquiera que defina el instructor o habilitada para usarse (De este tema se hablará más adelante) ssid : El nombre del identificador de la red inalámbrica generada. wireless-protocol : Basado en los equipos (AP y clientes) usados. En este caso usaremos 802.11 • •
• • •
Academy Xperts
74
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Perfil de Seguridad (Security profile) POR FAVOR no olvidar configurar el security-profile. Ayudará a fomentar una mayor seguridad en nuestros equipos. No se recomienda usar por ningún motivo una conexión inalámbrica sin security-profile ya que deja la red propensa a un ataque o infiltración. Para crear un security-profile o Menu: Wireless " Security Profile o Click en Add (+) o Name : nombre del profile o Mode : Tipo de autenticación usada. o Authentication types : Método de autenticación usada en la conexión o Ciphers : Métodos de cifrado. •
•
Ahora ya se puede usar el security-profile creado. Se debe regresar a la ventana de Wireless y se selecciona el security-profile creado. NOTA: Se pueden crear hasta 128 AP Virtuales por interface inalámbrica. •
Ahora vamos a revisar la red inalámbrica a la cual nos vamos a conectar, con herramientas que las encontraremos en la sección principal de Interface Wlan1> Wireless. Una de estas herramientas es Snooper: o Click en “ Snooper” o Procederemos con la inspección.
Academy Xperts
75
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Debe tener cuidado porque desconectará la interface WLAN y clientes asociados Al momento de ingresar en snooper lo que observaremos es lo siguiente o Click en Start o Debe tener cuidado ya que todos los clientes asociados a su red se desconectarán de la red inalámbrica. o Se tendrá una vista completa de frecuencias y otros parámetros para analizarlos. o Seleccionamos un canal de frecuencia libre para nuestra red inalámbrica o
•
Configuración básica de una Estación (client/station) • • •
• • •
mode : station band : la misma usada en el AP. frequency : no es un parámetro
importante para el cliente.
ssid : El SSID al cual el equipo STATION se va a conectar wireless-protocol : Se coloca el mismo usado en el AP, en este caso usamos 802.11 Crearemos un security-profile igual al creado en el AP, para que al momento que se inicie la negociación de
autenticación, el AP acepte al router en modo STATION.
Filtrado por MAC address Es un mecanismo adicional para limitar las conexiones inalámbricas de los clientes. Para agregar y poder realizar esta limitación, nos dirigimos a nuestro AP, y en “ registration” (que es la lista de los usuarios registrados) seleccionamos a los clientes deseados, abrimos los detalles con doble click al cliente y dam os click en la sección de “copy to access list”
Academy Xperts
76
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
•
Ya podemos ver una nueva entrada en la sección « access-list»
Access-list Las listas de acceso se usan en los AP para restringir las conexiones a clientes específicos y controlar sus parámetros de conexión. Hay que tener en cuenta lo siguiente: Las reglas se comprobarán secuencialmente Sólo se aplicará la primera regla que coincida con todos los parámetros. Si la opción " default authenticate" (en la pestaña " Wireless " en "Interface - > WLAN" de pantalla) no se encuentra habilitada, los dispositivos que no corresponden a una regla de la lista de acceso serán rechazados. Parámetros adicionales: Authentication Option este ítem le dirá al router que compruebe el " security- profile" para determinar si la conexión se debe permitir. Si no coinciden en la autenticación, siempre fallará el acceso. Forwarding u opción de reenvío le dirá al router que permita a los clientes del AP llegar a la otra estación/cliente sin la ayuda de otros APs (evitando así las reglas del firewall que pueda tener). Para mayor seguridad, deje sin marcar • • •
•
•
Academy Xperts
77
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
•
AP Tx limitantes y restricción de data rate desde el AP hacia el cliente o Si se establece muy bajo, esto ocasionara problemas de conexión. Siempre se deben realizar pruebas
antes de ponerlas en producción
•
Client TX límites y restricciones de data rate desde el cliente hacia el AP o Las extensiones propietarias son soportadas únicamente por clientes RouterOS o También siempre se deben realizar pruebas antes de ponerlas en producción
Connect-list: Esta opción es para clientes. Asigna propiedades, basado en potencia de señal y configuraciones de seguridad, que cada AP tiene sobre los clientes. Tomar en cuenta que: Las Reglas son revisadas secuencialmente. Se aplica solamente cuando se tiene coincidencia en los parámetros. Si la opción “ default authenticate” (“Wireless” -> “Interface -> wlan”) está habilitada en los connect-list, entonces los clientes se conectarán o serán aceptados con respecto a parámetros basados en potencia de la señal o configuraciones de seguridad Nota de Interés: si en el campo SSID (en la sección station connect rule) está vacío, el cliente podría conectarse a cualquier SSID únicamente realizando una coincidencia En la Interface Wlan el campo SSID también deberá estar vacío • • •
•
•
Default-authentication Si el AP no tiene ninguna lista de acceso, y default-authenticate no está marcada, los clientes nunca se conectarán. Si la estación no tiene ningún connect list, y default-authenticate no está marcado, entonces nunca se conectará a un AP. • •
Academy Xperts
78
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Default-forwarding Especifica el comportamiento del re-envío de paquetes de clientes que ya han sido verificados en la access-list. o Si esta opción está habilitada, se permitirán comunicaciones en capa 2 entre clientes. o Si esta deshabilitada la comunicación se realizara en capa 3 y serán influenciados bajos las reglas del firewall. •
WPA, WPA2 WiFi Protected Access, llamado también WPA (en español «Acceso WiFi protegido») es un sistema para proteger las redes inalámbricas (WiFi), que se creó para corregir las deficiencias del sistema previo llamado WEP (Wired Equivalent Privacy). Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). WiFi Protected Access (1 y 2) Estos protocolos fueron creados después de la creación de WEP debido a que se encontraron debilidades en el mismo. Es apropiado configurar WPA, ya que es muy seguro, pero lo recomendable es WPA2 debido que ofrece mayor seguridad WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante una clave compartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red. Se usa en remplazo de WEP (WEP es muy inseguro) Usa TKIP como protocolo de cifrado o Este protocolo genera una nueva Key por cada paquete enviado. Actualmente ya se está dejando de usar la versión 1 debido a que también se han encontrado debilidades. Un inconveniente encontrado en la característica agregada al Wi-Fi llamada Wi-Fi Protected Setup (también bajo el nombre de QSS) permite eludir la seguridad e infiltrarse en las redes que usan los protocolos WPA y WPA2. MikroTik no USA WPS porque lo considera demasiado inseguro. En la actualizad se han encontrado debilidades en WPS, como por ejemplo ataques de fuerza bruta. • •
• •
•
• •
WPA2 •
• •
Usa CCMP para reemplazarlo como un protocolo de cifrado. o Basado en AES o Más robusto que TKIP Es reglamentario que todos los dispositivos WiFi sean certificados. Esta orden está desde 2006 Se debe utilizar para lograr mayores tasas de bits, en redes que se circunscriben a 54Mbps.
Protocolos Wireless propietarios de MikroTik NV2 (Nstreme Version 2) Protocolo propietario de MikroTik Funciona únicamente con chips inalámbricos Atheros 802.11. Este protocolo está basado en TDMA (Time Division Multiple Access) lo que le permite abarcar más estaciones en lugar de CSMA (Carrier Sense Multiple Access) Se utiliza para mejorar el rendimiento a través de largas distancias TDMA es un método de acceso al canal por medio compartido de redes. Permite que varios usuarios/estaciones compartan la misma frecuencia del canal dividiendo la señal en diferentes intervalos de tiempo. Los usuarios transmiten en una rápida sucesión, uno tras otro, cada uno con su propio espacio de tiempo. Esto permite que varias estaciones compartan el mismo medio de transmisión (ej: canal de radio frecuencia) mientras que se utiliza sólo una parte de la capacidad del canal. Los beneficios más importantes de NV2 son los siguientes: Aumento de la velocidad Baja latencia No hay limitaciones de distancia Más conexiones de los clientes en entornos de PTM. Acepta más clientes en ambientes punto a multi-punto (soporta hasta 511 clientes ) Mayor control en latencia, logrando parámetros muy bajos. Reduce el retardo en Propagación. Reduce el polling overhead. No hay penalización por largas distancias. A partir de RouterOS v5.0beta5 se puede configurar NV2 en el menú Wireless. Soporte de anchos de canal de 5/10/20/40 MHz Para realizar la conexión usando NV2 en el lado de AP se necesita seleccionar wireless-protocol=nv2, e igualmente en el equipo cliente. En la actualidad, con 802.11n y NV2 puede obtener aproximadamente 97Mbps de tráfico UDP y TCP 94Mbs tráfico a través de RB711 en una dirección usando un solo chain. • • •
•
• • • •
• • • •
•
Academy Xperts
79
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Enlace más largo del mundo sin usar amplificador
El enlace WiFi más largo sin usar amplificador es un enlace de 304 kilómetros alcanzado por CISAR (Centro Italiano de Actividades de radio). 2007-06-16, Monte Amiata (Toscana) a Monte Limbara (Cerdeña) Frecuencia: 5765 MHz IEEE 802.11a (WiFi), ancho de canal de 5 MHz Radio: Ubiquiti Networks XR5 Equipo inalámbrico: MikroTik RouterOS con RouterBOARD, optimizado con Nstreme Longitud: 304 kilómetros (189 millas). Antena de 120 cm. 35 dBi estimado • • • • • • •
https://en.wikipedia.org/wiki/Long-range_Wi-Fi
Herramientas de monitoreo Hay varias herramientas que le ayudarán en el análisis de lo que está en el aire para que pueda elegir la frecuencia con la menor interferencia.
Wireless scan Esta es una herramienta muy útil, ya que nos muestra de manera simple las redes inalámbricas vecinas: Frecuencia usada, Banda, SSID, Señal y otros. Iniciamos Scan dándole clic en start. Esta herramienta detecta conexiones inalámbricas vecinas. Las conexiones clientes son descartadas. • • •
Snooper El uso del Snooper fue diseñado para ser una herramienta eficiente que le ayudará a supervisar con un detalle mejorado los router vecinos. Proporciona un detalle mejorado de los router vecinos
Registration table Muestra inmediatamente todos los clientes que se lograron registrar a la red inalámbrica: Entrega información de los clientes conectados en modo Station. Se utiliza en los puntos de accesos (AP). Se puede ver el estado de conexiones realizadas. NOTA: Los comentarios que aparecen por encima de las estaciones son para dar mayor información de su función y son definidas por el usuario o administrador, por lo general se basan en información del “ access-list”. • • • •
Academy Xperts
80
RouterOS v6.39.2.01 – Capítulo 4 – Wireless
Redes inalámbricas en Modo Bridge •
• • •
El AP en RouterOS acepta a los routers MikroTik en modo station-bridge para que trabajen en Capa 2 de manera segura. Se puede utilizar para ampliar una subred inalámbrica a muchos clientes. Este modo es propietario de MikroTik y no se puede utilizar para conectar otros dispositivos de marca. Es importante mencionar que este modo es un método seguro para usar bridge de L2 y se deberá utilizar siempre que existan razones suficientes para no utilizar el modo de estación-WDS
Preguntas de repaso del Capítulo 4 1.
Cuáles son las bandas/frecuencias en la que trabaja el MikroTik RouterOS?
2.
Cuáles son los canales que no se sobreponen en 802.11b/g?
3.
Cuál es el ancho de canal estándar para 802.11b/g y para 802.11a?
4.
Cuál es la diferencia entre basic-rates y supported-rates?
5.
Cuáles son los parámetros que se requieren conocer para configurar un equipo como AP?
6.
Cuáles son los parámetros que se requieren conocer para configurar un equipo como Station?
7.
Para que se usa el Access List?
8.
Para que se usa el Connect List?
9.
Cuál tipo de autenticación es mejor?
10. Cuál tipo de encriptación es mejor? 11. Cuáles son los protocolos propietarios de MikroTik? 12. Cuáles son los beneficios de Nstreme y NV2?
Laboratorio – Capítulo 4
Academy Xperts
81
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
Capítulo 5: Network Management ARP / RARP http://www.protocols.com/pbook/tcpip3/#ARP https://en.wikipedia.org/wiki/Address_Resolution_Protocol
TCP/IP utiliza el ARP (Addres Resolution Protocol) y el RARP (Reverse Address Resolution Protocol) para inciar el uso de del direccionamiento de internet en una red Ethernet (u otra) que usa su propio Control de Acceso al Medio (MAC: Medium Access Control). ARP permite que un host se comunique con otros hosts cuando únicamente se conoce la dirección de internet de sus vecinos. ARP dentro del mapa de Protocolos TCP/IP
Estructura de la cabecera ARP/RARP
Es un protocolo de la capa de enlace de datos responsable de encontrar la dirección de hardware (MAC Ethernet) que corresponde a una dirección IP determinada. Para ello se envía un paquete ARP-request a la dirección de broadcast (difusión) de la red (broadcast MAC=FF FF FF FF FF FF) que contiene la dirección IP por la que se pregunta, y se espera a que ese dispositivo (u otro) responda (con un ARP-reply) con la dirección MAC Ethernet que le corresponde. Cada máquina mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la dirección de internet ser independiente de la dirección Ethernet, pero esto solo funciona si todas los dispositivos lo soportan. ARP se lo conoce como Protocolo de resolución de direcciones Es un mecanismo que relaciona las direcciones IP (Capa 3) con las direcciones MAC (Capa 2) Se utiliza normalmente como un proceso dinámico, pero se puede configurar de forma estática en ciertas situaciones donde la seguridad lo requiere • • •
Academy Xperts
82
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
ARP se utiliza en 4 casos referentes a la comunicación entre 2 hosts: 1. Cuando 2 hosts están en la misma red y uno quiero enviar un paquete a otro. 2. Cuando 2 host están sobre redes diferentes y deben usar un Gateway/router para alcanzar otro host. 3. Cuando un router necesita enviar un paquete a un host a través de otro router. 4. Cuando un router necesita enviar un paquete a un host de la misma red.
Modos ARP Se pueden configurar varios modos de ARP en la interface: 1. disabled : Si esta característica está como arp=disabled, los ARP requests de los clientes no serán respondidos por el router. Por lo tanto, una entrada estática de ARP debe ser agregada a los clientes también. Por ejemplo, las direcciones IP y MAC del router, deben añadirse a los host. 2. enabled : Este modo se activa de forma predeterminada en todas las interfaces. El protocolo ARP descubrirá automáticamente y las nuevas entradas dinámicas se añadirán a la tabla ARP. 3. proxy-arp : Este funcionamiento puede ser muy útil, por ejemplo, si desea asignar direcciones IP a un dial-in (PPP, PPPoE, PPTP) y que sean desde el mismo espacio de direcciones tal como se utiliza para conectarnos a una LAN. 4. reply-only : El router solo responderá a solicitudes ARP (ARP requests) que se han ingresado manualmente o que se hayan declarado como estáticas. Una tabla ARP muestra todas las entradas ARP y la interface desde la cual se aprendió la dirección Ventajas de usar ARP
La principal ventaja del uso de la técnica ARP Proxy es que se puede agregar a un solo enrutador en la red, esto permite que no se distorsione las tablas de encaminamiento de los otros enrutadores de la red. Es recomendable que el ARP Proxy sea utilizado en redes donde los hosts IP no se encuentran configurados con ninguna puerta de enlace predeterminada. Desventajas de usar ARP
Los anfitriones no tienen ni idea de los detalles físicos de la red y suponen que es una red plana la cual llega a cualquier destino con tan solo hacer una solicitud ARP. Pero como todo le ARP tiene sus desventajas, las cuales son: Aumenta la cantidad de tráfico ARP en su segmento Posee grandes tablas ARP para manejar la asignación de direcciones IP a MAC La seguridad puede ser expuesta. Un host puede simular ser otro host con el fin de interceptar los paquetes, eso es llamado “ spoofing” No funciona para redes que no utilicen el protocolo ARP para la resolución de direcciones. • • •
•
Academy Xperts
83
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
Tabla ARP La tabla ARP muestra todas las entradas ARP y las interfaces desde la cual ellos lo aprendieron. La tabla ARP provee: o La dirección IP de los dispositivos conocidos o Las direcciones MAC asociadas a los dispositivos conocidos o Las interfaces de donde fueron aprendidas las direcciones Se puede agregar entradas estáticas en la tabla ARP para proporcionar una mayor seguridad en la red o Se pueden evitar ataques de ARP poisoning/ARP spoofing o Requiere mucho trabajo y planificación • •
•
Sintaxis ARP
1. Ver la tabla ARP /ip arp print Flags: X – disabled, I – invalid, H – DHCP, D – Dynamic, P – published # ADDRESS MAC-ADDRESS INTERFACE 0 172.16.2.222 11:22:33:44:55:66 LAN
Etiquetas en la tabla ARP: X = Deshabilitado, R = Corriendo, S = Esclavo 2. Agregar una entrada estática /ip arp add address=172.16.2.222 mac-address=11:22:33:44:55:66 interface=LAN
3. Configuración de un modo ARP: /interface ethernet set ether4 arp=proxy-arp /interface ethernet print Flags: X – disabled. R – running, S – Slave # NAME MTU MAC-ADDRESS ARP 0 S ether1 1500 D4:CA:6D:5C:E2:F2 enabled 1 RS ether2 1500 D4:CA:6D:5C:E2:F3 enabled 2 RS ether3 1500 D4:CA:6D:5C:E2:F4 enabled 3 RS ether4 1500 D4:CA:6D:5C:E2:F5 proxy-arp 4 S ether5 1500 D4:CA:6D:5C:E2:F6 enabled
MASTER-PORT
SWITCH
none none none none
switch1 switch1 switch1 switch1
Servidor / Cliente DHCP El protocolo DHCP (protocolo de configuración dinám ica de host) se utiliza para la fácil distribución de direcciones IP en una red. El RouterOS MikroTik incluye ambas partes: Servidor / Cliente. El router soporta un servidor DHCP individual por cada interface Ethernet. El servidor MikroTik cumple con las funciones principales que es la de brindar a un cliente asignaciones de una dirección IP con su respectiva máscara IP, como también la dirección de la puerta de enlace (gateway) y la del servidor DNS. La interface que aloja el servidor DHCP debe tener su propia dirección IP y que a la vez no debe estar incluida en el pool de direcciones que los clientes van a recibir cuando lo soliciten.
Academy Xperts
84
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
El proceso para de asignaciones de una dirección IP para un cliente es el siguiente: 1. El cliente envía un broadcast DHCP-DISCOVER 2. El server envía un broadcast DHCP-OFFER 3. El cliente envía un broadcast DHCP-REQUEST 4. El server envía un broadcast DHCP-ACK DHCP dentro del mapa de Protocolos TCP/IP
DHCP Server Setup La interface que va ser configurada como DHCP-Server debe tener su propia dirección y al mismo tiempo esa dirección no debe ser incluida en el pool de dirección. Un pool es un rango de direcciones que estarán disponibles para los clientes
Academy Xperts
85
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
En la ventana de DHCP-Server, se presiona el botón DHCP Setup y luego se sigue con los requisitos que se piden: 1. Interface a la que va ser asignado el servidor DHCP
2.
Dirección de red:
3.
Puerta de enlace:
4.
Pool de direcciones para los clientes DHCP
5.
DNS servers (se puede configurar más de uno)
Academy Xperts
86
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
6.
Tiempo de asignaciones
7.
Luego de que se ha definido el tiempo de asignaciones presionamos next y de esta forma se termina el proceso. En la ventana se puede ver el DHCP server Creado.
En esta configuración automática (ejecutando el DHCP Setup) se generan los siguientes parámetros: Se crea un pool de direcciones: un grupo de direcciones para asignar a los clientes Se crea el servidor DHCP: su nombre y parámetros (como la interface que aceptará solicitudes de los clientes) Se crea el espacio de direcciones: la dirección IP de red y varios parámetros DHCP puede ser usado para configurar opciones tales como: 42: NTP Servers 70: POP3-Servers • • •
• • •
http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml
Nota importante: si usted tiene un ambiente en bridge, el servidor DHCP debe estar configurado en la interface del bridge. Si se configura el DHCP Server en un puerto que forma parte del bridge, el servidor DHCP no funcionará. Configuraciones por línea de comando /ip dhcp-server setup Select interface to run DHCP server on Dhcp server interface: ether4 Select network for DHCP address Dhcp address space: 192.168.20.0/24 Select gateway for given network Gateway for dhcp network: 192.168.20.1 Select pool of ip addresses given out by DHCP server Addresses to give out: 192.168.20.2-192.168.20.254 Select DNS servers Dns server: 8.8.8.8 Select lease time Lease time: 3d
Para agregar configuraciones opcionales de DHCP /ip dhcp-server Option add name=46-node-type code=46 value=0x0008
Para ver por línea de comandos los Servidores DHCP que hay en un router /ip dhcp-server print Flags: X – disabled, I – invalid # NAME INTERFACE RALAY 0 dhcp1 ether3 0.0.0.1 1 dhcp2 ether4
ADDRESS-POOL dhcp_pool2 dhcp_pool3
LEASE-TIME ADD-ARP 3d 3d
/ip dhcp-server network set dhcp-option=46-node-type numbers=1
Para asignar un servidor WINS para la red se haría de la siguiente manera /ip dhcp-server network set wins-server=172.16.2.100 numbers=1
Para ver las opciones anteriormente configuradas /ip dhcp-server network print # ADDRESS GATEWAY 0 192.168.10.0/24 192.168.10.1 1 192.168.20.0/24 192.168.20.1
Academy Xperts
DNS-SERVER 8.8.8.8 8.8.8.8
WIN-SERVER 8.8.4.4 172.16.2.100
DOMAIN
87
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
/ip dhcp-server option print # NAME CODE VALUE 0 46-node-type 46 0x008
RAW-VALUE 008
DHCP Client Permite que una interface Ethernet pueda solicitar una dirección IP Un DHCP Server remoto entregará o Dirección IP o Mascara y Gateway o Direcciones de DNS server El DHCP Client proveerá estas opciones o Hostname o ID de cliente (en este caso, la dirección MAC) Para configurar un DHCP client en una interface por línea de comando •
•
/ip dhcp-client add interface=ether2 dhcp-options=clientid, hostname
Para configurar un DHCP client en una interface por medio de la venta DHCP Client
Sintaxis DHCP Client
Para configurar una interface como DHCP-Client /ip dhcp-client add interface=ether5 dhcp-options=clientid, hostname
Para ver y activar un DHCP client /ip dhcp-client print /ip dhcp-client enable numbers=1
Para ver las direcciones IP asignadas /ip address print
Gestión de Asignaciones El comando /ip dhcp-server lease provee información acerca de los DHCP Client y asignaciones. /ip dhcp-server lease print Flags: X – disabled, R – Radius, D – Dynamic, B – blocked # ADDRESS MAC-ADDRESS HO 0 D 192.168.3.254 78:84:3C:9E:BE:4A Da
SER.. dhcp1
RA
Mostrará las gestiones estáticas y dinámicas Se puede convertir una IP asignada dinámicamente en estática o Puede ser muy útil para cuando un dispositivo necesita mantener la misma dirección IP o Si se cambia la tarjeta de red, se asignará una nueva dirección IP Un servidor DHCP podría ser obligado a correr únicamente con direcciones estáticas Los clientes solo recibirán las direcciones IP pre configurados o Evalúe su situación y la necesidad de hacer esto. Requerirá mucho trabajo para grandes redes. Para ver asignaciones de DHCP • •
• •
/ip dhcp-server lease print Flags: X – disabled, R – Radius, D – Dynamic, B – blocked 0 address=192.168.3.254 mac-address=78:84:3C:9E:BE:4A client-id=”1:78:84:3C:9e:4A” server=dhcp1 dhcp-option”” status=bound expires-after=2d23h59m38s last-seen=22s active-address=192.168.3.254 active-mac-address=78:84:3C:9E:BE:4ª active-client-id=”1:78:84:3C:9e:4A” active-server=dhcp1 hostname=”Darwin”
Academy Xperts
88
RouterOS v6.39.2.01 – Capítulo 5 – Network Management
Preguntas de repaso del Capítulo 5 1.
Para qué sirve el protocolo ARP?
2.
Cuáles son los modos ARP que se pueden configurar en las interfaces de un MikroTik?
3.
Cuáles son las ventajas y desventajas de usar ARP?
4.
Cuál es el proceso de que siguen el cliente y server en la negociación DHCP?
5.
Qué parámetros se requieren cuando se ejecuta el DHCP Setup?
6.
Qué información le provee el DHCP Server al Cliente?
7.
Qué información le provee el DHCP Cliente al DHCP Server?
8.
De qué forma se pueden convertir las asignaciones dinámicas de DHCP en estáticas?
9.
Cuáles son las herramientas de administración más importantes que provee el RouterOS
10. Cuáles son los diferentes tipos de acciones que se pueden crear en /system logging?
Laboratorio – Capítulo 5
Academy Xperts
89
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Capítulo 6: Firewall Conceptos básicos de Firewall Un firewall es un dispositivo o sistema de seguridad de red que permite (en base a un conjunto de reglas) controlar el tráfico que ingresa y sale a la red. Generalmente un firewall crea una barrera entre una red que se considera segura (usualmente la red interna o LAN) y otra red que se asume no es segura (comúnmente red externa, y/o Internet). El firewall filtra el tráfico entre dos o más redes. Los routers que gestionan el tráfico entre redes contienen componentes de firewall, y de igual manera algunos firewalls pueden desempeñar ciertas funciones de ruteo, pudiendo incluso proveer servicios de túneles (VPN), asignación de direcciones pro DHCP, y otros.
•
•
•
•
•
•
•
•
En la actualidad, un firewall es una herramienta indispensable para proteger nuestra conexión a Internet. El hecho de hacer uso de una conexión a Internet puede ser causa de múltiples ataques a nuestro equipo de cómputo desde el exterior, cuanto más tiempo estemos en línea, mayor es la probabilidad de que la seguridad de nuestro sistema se vea comprometida por un intruso desconocido. Por lo tanto, ya no solamente es necesario tener instalado y actualizado un software antivirus y un software antispyware sino también es totalmente recomendable mantener instalado y actualizado un software de firewall. Un firewall es un sistema diseñado para im pedir el acceso no autorizado o el acceso desde una red privada. Pueden implementarse firewalls en hardware, software o en ambos. Los firewalls se utilizan con frecuencia para impedir que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet. El firewall MikroTik protege al equipo frente a ataques de Internet, contenidos Web peligrosos, análisis de puertos y otros comportamientos de naturaleza sospechosa. El Firewall implementa filtrado de paquetes y de este modo provee funciones de seguridad, que son usadas para administrar los datos que fluyen hacia, desde, y a través del router: Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes conectadas directamente y al router en sí mismo. Y también sirve como un filtro para el tráfico de salida. RouterOS funciona como un Stateful Firewall, lo cual significa que desarrolla una inspección del estado de los paquetes, y realiza el seguimiento del estado de las conexiones de red que viajan a través del router RouterOS MikroTik RouterOS soporta Source NAT y Destination NAT o NAT o Helpers para las aplicaciones populares o UPnP El firewall provee marcado interno de conexiones, routing y paquetes.
¿Cómo funciona un firewall? El Firewall opera usando reglas. Esta tiene 2 opciones: The matcher : Todas las condiciones tienen que ser verificadas y deben coincidir, para poder aplicar la acción The Action : Una vez que todos los parámetros coinciden y pasa la primera verificación, se procede con la acción. El matcher analiza y compara estos siguientes parámetros: Source MAC address (dirección MAC origen) IP addresses ( network o list) y address types (broadcast, local, multicast, unicast) Port (puerto) o port range (rango de puertos) Protocol Protocol options ( ICMP type y code fields, TCP flags, IP options) Interface por donde el paquete llega o sale DSCP byte Y muchos más… • •
• • • • • • • •
Academy Xperts
90
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Listado de Puertos más Conocidos https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Well-known_ports
Academy Xperts
91
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Academy Xperts
92
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Academy Xperts
93
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Academy Xperts
94
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
RouterOS puede filtrar por: Dirección IP, rango de direcciones, puerto, rango de puertos Protocolo IP, DSCP y otros parámetros Soporta Listas de Direcciones estáticas y Dinámicas Puede hacer match de paquetes por patrón en su contenido, especificado en Expresiones Regulares, conocido como Layer 7 matching El Firewall de RouterOS también soporta IPv6 Un firewall constituye una especie de barrera delante de nuestro equipo, esta barrera examina todos y cada uno de los paquetes de información que tratan de atravesarlo. En función de reglas previamente establecidas, el firewall decide qué paquetes deben pasar y cuáles deben ser bloqueados. Muchos tipos de firewalls son capaces de filtrar el tráfico de datos que intenta salir de nuestra red al exterior, evitando así que los diferentes tipos de código malicioso como caballos de Troya, virus y gusanos, entre otros, sean efectivos. El firewall actúa de intermediario entre nuestro equipo (o nuestra red local) e Internet, filtrando el tráfico que pasa por él. Un firewall, como ya se ha descrito, intercepta todos y cada uno de los paquetes destinados a nuestro equipo y los procedentes de él, realizando este trabajo antes de que algún otro servicio los pueda recibir. De lo anterior podemos concluir que un firewall puede controlar todas las comunicaciones de un sistema a través de Internet. Se dice que un puerto de comunicaciones está abierto si el sistema devuelve una respuesta al llegar un paquete de petición de establecimiento de conexión. En caso contrario el puerto se considera cerrado y nadie puede conectarse a él. El punto fuerte de un firewall reside en que al analizar cada paquete que fluye a través del mismo, puede decidir si lo deja pasar en uno u otro sentido, y puede decidir si las peticiones de conexión a determinados puertos deben responderse o no. Los firewalls también se caracterizan por su capacidad para mantener un registro detallado de todo el tráfico e intentos de conexión que se producen (lo que se conoce com o un log). Estudiando los registros o logs es posible determinar los orígenes de posibles ataques y descubrir patrones de comunicación que identifican ciertos programas maliciosos. Sólo los usuarios con privilegios administrativos pueden acceder a estos registros, pero es una característica que se le puede exigir a estas aplicaciones. • • • •
http://wiki.mikrotik.com/wiki/Firewall
Academy Xperts
95
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Mapa de Protocolos
Flujo de Paquetes Todas las comunicaciones de Internet se realizan mediante el intercambio o flujo de paquetes o datos, que son la unidad mínima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino, independientemente de donde se encuentren las máquinas que se comunican, debe llevar anexada la información referente a la dirección IP de cada máquina en comunicación, así como el puerto a través del que se comunican. La dirección IP de un dispositivo lo identifica de manera única dentro de una red. Los puertos de comunicación también son una parte muy importante que el Firewall deberá verificar y controlar, debido a que la mayoría de comunicaciones se realizan bajo protocolos que realizan el envío de paquetes mediante puertos tales como TCP y UDP: TCP es el protocolo de comunicación que garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron. TCP usa el concepto de número de puerto para identificar a las aplicaciones emisoras y receptoras. Cada lado de la conexión TCP tiene asociado un número de puerto (de 16 bits sin signo, con lo que existen 65536 puertos posibles) asignado por la aplicación emisora o receptora. Los puertos son clasificados en tres categorías: puertos bien conocidos, puertos registrados y puertos dinámicos/privados. Los puertos bien conocidos son asignados por la Internet Assigned Numbers Authority (IANA), van del 0 al 1023 y son usados normalmente por el sistema o por procesos con privilegios. Las aplicaciones que usan este tipo de puertos son ejecutadas como servidores y se quedan a la escucha de conexiones. Algunos ejemplos son: FTP (21), SSH (22), Telnet (23), SMTP (25) y HTTP (80). Los puertos registrados son normalmente empleados por las aplicaciones de usuario de forma temporal cuando conectan con los servidores, pero también pueden representar servicios que hayan sido registrados por un tercero (rango de puertos registrados: 1024 al 49151). Los puertos dinámicos/privados también pueden ser usados por las aplicaciones de usuario, pero este caso es menos común. Los puertos dinámicos/privados no tienen significado fuera de la conexión TCP en la que fueron usados (rango de puertos dinámicos/privados: 49152 al 65535, recordemos que el rango total de 2 elevado a la potencia 16, cubre 65536 números, del 0 al 65535) User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas (Encapsulado de capa 4 Modelo OSI), este protocolo no garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron. UDP utiliza puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud de 16 bits, por lo que el rango de valores válidos va de 0 a 65535. El puerto 0 está reservado, pero es un valor permitido como puerto origen si el proceso emisor no espera recibir mensajes como respuesta. Los puertos 1 a 1023 se llaman puertos bien conocidos y en sistemas operativos tipo Unix para enlazar con uno de estos puertos se requiere acceso como súper usuario. Los puertos 1024 a 49.151 son puertos registrados . Los puertos 49.152 a 65.535 son puertos efímeros y son utilizados como puertos temporales, sobre todo por los clientes al comunicarse con los servidores. •
• •
Academy Xperts
96
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Para facilitarnos el entendimiento MikroTik ha creado diagramas para ayudarnos a la configuración avanzada en el flujo de paquetes. Es bueno estar familiarizado con ellos para saber qué está pasando con los paquetes y en qué orden irán. En este libro, se analizará superficialmente y de manera simple los gráficos. • • •
http://wiki.mikrotik.com/wiki/Packet_Flow
Diagrama de flujo para Capa 2 (Bridging) en RouterOS v5 En este diagrama la parte de ruteo está simplificado en un solo cuadro (Layer-3)
Diagrama de flujo para Capa 3 (Routing) en RouterOS v5 En este diagrama la parte de bridge está simplificado en un solo cuadro (Layer-2)
Diagrama de flujo para Capa 3 (Routing) en RouterOS v6 Los cambios realizados en el Flujo de Paquetes de la versión 6 de RouterOS se muestran en los elementos marcados en un círculo/óvalo en la siguiente imagen: Academy Xperts
97
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Diferencias principales en diagrama de flujo entre v5 y v6
Academy Xperts
98
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Detalle de facilidades
INPUT INTERFACE - Punto de entrada de los paquetes en su camino a través de las facilidades del router. No importa en
qué interface (física o virtual) se recibe el paquete, simplemente es el punto de entrada y desde aquí inicia su camino.
OUTPUT INTERFACE – Último punto en el camino de los paquetes a través de las facilidades del router. Justo antes de que
el paquete sea enviado fuera del router
LOCAL PROCESS IN – Último punto en el camino de los paquetes hacia el mismo router
LOCAL PROCESS OUT – Punto de inicio de los paquetes generado por el mismo router
Procesos y decisiones automáticas
IN INTERFACE BRIDGE – Verifica si la interface de entrada actual es un puerto de bridge, o verifica si la interface de entrada
es un bridge
HOTSPOT IN – Permite capturar el tráfico que de otra forma sería descartado por el connection-tracking. De esta forma la
característica de HotSpot estará habilitada para proveer conectividad incluso si las configuraciones de red están en completo desastre
BRIDGE DECISION – El bridge pasa en orden a través de la tabla de direcciones MAC (MAC address table) para encontrar
una coincidencia con la dirección MAC de destino del paquete. Cuando se encuentra una coincidencia, el paquete se enviará a través del puerto bridge correspondiente. En caso de que no se encuentre una coincidencia, se crearán múltiples copias del paquete y dichos paquetes se enviarán a través de todos los puertos bridge
BRIDGE DECISION – Esta es una solución alternativa, que permite utilizar el puerto bridge de salida (out-bridge-port) antes
de la decisión actual de bridge
ROUTING DECISION – El router pasa a través de la ruta en orden para encontrar una coincidencia con la dirección IP
destino. Cuando se encuentra una coincidencia, el paquete se enviará a través del puerto correspondiente o hacia el mismo router. En caso de que no se encuentre una coincidencia, se descartará el paquete
ROUTING ADJUSTMENT – Esta es una decisión alternativa que permite configurar las políticas de enrutamiento en el chain output de mangle
TTL – Indica el lugar exacto donde el TTL (Time To Live) del paquete se reduce en 1. Si el paquete es 0 (cero) entonces
será descartado
OUT-INTERFACE BRIDGE – Verifica si la interface actual de salida es un puerto de bridge, o verifica si la interface de salida
es un bridge
HOTSPOT OUT – Deshace todo lo que se hizo en el HOTSPOT IN para los paquetes que están regresando al cliente
Academy Xperts
99
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Diagrama de mangle incluyendo RAW
La tabla RAW en /ip firewall permite hacer un bypass de forma selectiva, o dropear los paquetes antes del connectiontracking. De esta forma se reduce significativamente la carga del CPU. Esta herramienta es sumamente útil en la mitigación de ataques DDoS. La tabla RAW no tiene matchers que dependan del connection-tracking, como por ejemplo connection-state, layer7, etc. Si en la tabla RAW el paquete se ha marcado para que sea hecho bypass en el connection-tracking, entonces no ocurrirá la defragmentación del paquete Ejemplo de flujo de paquetes •
El siguiente ejemplo ayudará a ilustrar mejor el flujo de paquetes: Realice un Ping hacia un nodo no existente sobre la interface de su router LAN a través de su WAN interface o IP no asignada a ningún equipo: 172.16.x.x o IP asignada a un cliente: 192.168.x.x o IP asignada para WAN (ether1 o wlan1): 172.16.x.x
Configuración previa al análisis de flujo de paquetes /ip firewall filter add action=log chain=input log-prefix=Filter-input protocol=icmp add action=log chain=output log-prefix=Filter-output protocol=icmp add action=log chain=forward log-prefix=Filter-forward protocol=icmp /ip add add add add add
firewall mangle action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp action=log chain=output log-prefix=Mangle-output protocol=icmp action=log chain=input log-prefix=Mangle-input protocol=icmp action=log chain=forward log-prefix=Mangle-forward protocol=icmp action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp
/ip firewall nat add action=log chain=srcnat log-prefix=srcnat protocol=icmp add action=log chain=dstnat log-prefix=dstnat protocol=icmp
Ejecutar el PING
Realizamos la ejecución del ping hacia las redes definidas al comienzo de la práctica en clases: Ejemplo: ping 192.168.3.2 De ahí procedemos con la revisión de los LOGs para verificar qué información podemos obtener. •
Ping entrante. ===PREROUTING=== Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 ===FORWARD=== Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 Academy Xperts
100
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 ===OUTPUT=== Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 ===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3>172.16.2.100, len 88
Connection Tracking y sus Estados /ip firewall connection
El Connection Tracking administra la información de las conexiones activas. Antes de crear filtros o reglas en el firewall, es importante conocer qué tipo de tráfico está pasando a través del router.
Ubicación del connection tracking
Academy Xperts
101
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
El Connection Tracking mostrará una información como la que se presenta a continuación:
•
•
• •
El uso de connection-tracking permite el seguimiento de las conexiones UDP, aunque UDP sea stateless. Como tal, el firewall de MikroTik puede filtrar sobre los “estados” UDP. Si se deshabilita el conntrack system se perderá la funcionabilidad del NAT y también la mayoría de los filtros y de las conexiones de mangle Cada entrada en la tabla conntrack representa un intercambio bidireccional de datos Conntrack hace uso de gran cantidad de recursos de CPU. Solo debe ser deshabilitado si no se usa el firewall
Recuerde:
En caso de que se deshabilite el connection-tracking por cualquier motivo, las siguientes funciones dejarán de funcionar: NAT Firewall • •
o o o o o
connection-bytes, connection-mark connection-type, connection-state connection-limit, connection-rate layer7-protocol, p2p new-connection-mark, tarpit
p2p matching en cola simple (hasta la v5) Entonces podemos definir que sin el connection-tracking el servidor de seguridad sólo utilizará criterios básicos, tales como (pero no limitados a): Direcciones de origen y de destino Protocolos Los puertos de origen y de destino o Dentro y fuera de las interfaces •
• • •
Academy Xperts
102
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
TCP-States Los TCP-States son (asumiendo que hay una conexión desde un punto A hacia B): established : Se establece una sesión TCP con el host remoto, proporcionando una conexión abierta donde se pueden intercambiar datos time-wait : Tiempo de espera para asegurar que el host remoto ha recibido un acuse de recibo (ACK) de su solicitud de finalización de conexión (después se "cierra") close: Representa a la espera de una solicitud de finalización de conexión del host remoto. syn-sent : Cuando un Cliente-A se encuentra en espera de una coincidencia (match) connection request, después de haber enviado la solicitud. syn-received : Cuando un Cliente-B se encuentra en la espera de una confirmación de un connection request acknowledgement cuando ambos puntos ya recibieron un connection request. •
•
• •
•
Nota importante: connection state
≠ TCP
state
Estados de las Conexiones (connection-state) El primer paquete será "nuevo“en la conexión, el resto de paquetes se puede aceptar como establecido si no se alcanza el valor UDP-timeout. new – es el primer paquete UDP, TCP que pasa en la sincronización de paquetes. o Es el primer paquete que puede establecer una entrada en el conection tracking. o Es el primer paquete en sincronizar en TCP. o Es el primer paquete UDP. established – Cuando pasa el resto de paquetes UDP o TCP o Los paquetes de conexiones ya conocidos o El resto de la comunicación UDP, si la tasa de paquetes puede mantenerse antes de un UDP timeout related – Cuando se crea una conexión basada en una ya existente. o Conexión que se crea por otra conexión ya establecida. o Por ejemplo: la conexión de datos de la TFP que son creados por primera instancia por una conexión FTP. o Es esencial para una conexión relacionada primero ser establecida. invalid – paquete TCP inválido o no relacionado con el conection-traking. o Cualquier paquete con estado desconocido o Es buena idea dejarlos o realizarle un DROP. •
•
•
•
Estructura: chains y acciones •
•
•
•
Un chain: es una agrupación de reglas basado en los mismos criterios. Existen tres chains predeterminados en función de criterios predefinidos. o input: El tráfico que va al router : El tráfico que va a través del router o forward o output: El tráfico procedente del router Por ejemplo, se puede implementar un chain pasado en: o Basado en el criterio: todo el tráfico icmp. o Basado en tráficos provenientes de puertos Ethernet, por ejemplo: Ether2 hacia una red LAN remota o una red bridge. Los usuarios definen los chains, y estos mismos son creados dependiendo de los parámetros que se puedan comparar, y si desean pueden realizar un « jump» para una vez que se ha confirmado la coincidencia, se realizará un salto hacia otra regla en el firewall, esto se los define en « jump target» Una acción dicta lo que va a realizar el filtro o regla cuando los paquetes aplican con todas las condiciones para ser filtrado.
Academy Xperts
103
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
•
Los paquetes se comprueban secuencialmente contra de las reglas existentes en la cadena de firewall actual hasta que se produce una coincidencia. (Cuando se tenga el # significa que respetará un orden: primero uno si coinciden, se aplica la acción, y de ahí pasará a la siguiente si se encuentra habilitada esa opción, en caso contrario hasta ahí llegará el análisis)
Filtrado Firewall en acción Se puede aprovechar la seguridad de un firewall de diferentes maneras tales como: Confiar en la seguridad de nuestra LAN, ya que lo proveniente de la WAN es lo inseguro. Bloquear todor y permitir únicamente en lo que se está de acuerdo. Permitir todo y bloquear únicamente lo que causa problemas. • • •
Consejos Básicos y trucos Antes de realizar cambios en el firewall ingresemos en “modo seguro” Después de realizar configuraciones y cambios en las reglas firewall, se aconseja probar las debilidades: una herramienta recomendada: ShieldsUP Antes de comenzar se recomienda escribir en texto plano o en papel una descripción sencilla de las políticas que se quiere aplicar. o Una vez que las entiende y está de acuerdo con ellos, se procede con ingreso al router. o Añadir las siguientes reglas progresivamente, una vez que esté satisfecho con las reglas básicas ingresadas. o Si es nuevo en el área de seguridad, lo recomendable es que no ingrese reglas que apunten en todas direcciones, suficiente con hacer lo básico, pero hay que hacerlo bien. Es una buena idea poner fin a sus chains con las reglas " catch-all" y ver lo que se puede haber perdido. Usted necesitará dos reglas "catch-all", uno de " log" y uno de " drop" para todo tráfico sin precedentes. Ambos deben basarse en los mismos parámetros comparados para que sea útil para usted. Una vez que vea lo que llega a las reglas "catch-all", puede agregar nuevas reglas basadas en el comportamiento deseado por el firewall. • •
•
• •
•
Filtrado por Parámetros Antes de decidir en tomar una acción en el firewall, primero hay que identificarlo. Nosotros tenemos muchos parámetros por el cual podemos comparar. • •
Filter actions Una vez realizada la concidencia (match) con todos los parámetros de una regla, entonces se realizará una acción ( action). El firewall de MikroTik tiene las siguientes acciones: 1. accept: Acepta el paquete. El Paquete ya no pasará a la siguiente regla de firewall. 2. add-dst-to-address-list : Dirección destino, después de hacer match el paquete pasa a la siguiente regla. 3. add-src-to-address-list : Dirección origen. Después de hacer match el paquete pasa a la siguiente regla. 4. drop: el paquete es desechado. Después de hacer match el paquete pasa a la siguiente regla. 5. jump: Es definido por el usuario y sirve para saltar a una regla en específico, definido por el jump-target. Después de hacer match el paquete pasa a la siguiente regla definida en jump-target. 6. log: añade un mensaje en los logs con la siguiente información: in-interface, out-interface, src-mac, protocol, src-ip:port->dst-ip:port y length of the packet . Después de hacer match el paquete pasa a la siguiente regla. 7. passthrough : Si esta opción está marcada, habilitará la opción de ignorar resta regla y pasar a la siguiente (muy útil para estadísticas de red). 8. reject: Desecha los paquetes icmp y envía un mensaje definido por el usuario el paquete no pasa a la siguiente regla. 9. return: Pasa el control del filtro de nuevo, en donde se originó el filtro anterior. Después de hacer match el paquete pasa a la siguiente regla (únicamente si la regla anterior no ocasiona que se deseche el paquete y pare el match). 10. tarpit: Captura y retiene los paquetes TCP (replicas con SYN/ACK para paquetes entrantes TCP SYN). Después de hacer match el paquete pasa a la siguiente regla.
Protegiendo tu router (input)
• •
El chain=input analiza todo el tráfico entrante al router. Al aplicar una regla chain=input, se controla el ingreso de información al router
Academy Xperts
104
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
MikroTik da las siguientes sugerencias para el Input
Asumiendo que la interface ether1 está conectada a una WAN insegura. Aceptar el tráfico de icmp-echo-reply (si se desea tener réplica de ping sobre internet, esto es útil cuando manejamos servidores) Desechar todo el tráfico icmp-echo-request (Cuando no deseamos que nos hagan ping otro dispositivo. Con esto evitamos estar en la mira de ataques como smurf attack u otros) Aceptar todo el tráfico entrante establecido y relacionado. Desechar todo el tráfico inválido. Realizar un Log de todo el resto del tráfico Desechar todo el resto de tráfico. •
•
• • • •
Protegiendo a todos los clientes (forward) •
El trafico forward es el tráfico que pasa a través del router.
MikroTik da las siguientes sugerencias para el Forward
Asumiendo que la interface ether1 está conectada a una WAN insegura. Aceptar todo el tráfico forward establecido y relacionado. Desechar todo el tráfico inválido. Hacer Log de todo el resto del tráfico (para verificar si es que algún paquete importante ha sido bloqueado) Desechar todo el resto de tráfico. • • • •
Address-list conceptos básicos address-list se usa para agrupar direcciones IP. Ayuda a simplificar la cantidad de reglas creadas en el router.
¿Qué es mejor? Aplicar 10 reglas aplicadas a 10 IPs o aplicar 1 sola regla a un solo grupo de IPs. Los grupos de address-list pueden representar: Grupo de administradores, departamentos, Hackers Lo que sea que se dese clasificar Pueden ser usados por Filter, Mangle, y NAT. La creación puede realizarse de manera automática con la acción de firewall: add-src-to-address-list o add-dst-to-address-list. Con esto se facilita aplicar acciones en grupo en Firewall Filter, Mangle o NAT. Esta puede ser una gran vía para poder facilitar el bloqueo de IP. •
• • •
•
add action=add-src-to-address-list address-list=blacklist chain=input comment=nombre_lista in-interface=interface
Para visualizar listas existentes: /ip firewall address-list print
Academy Xperts
105
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Para crear listas permanentes /ip firewall address-list add address=1.2.3.4 list=hackers
Crear listas a través de reglas firewall creadas: /ip firewall filter add action=add-dst-to-address-list address-list=temp-list address-listtimeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24 /ip firewall nat add action=add-src-to-address-list address-list=NAT-AL chain=srcnat /ip firewall mangle add action=add-dst-to-address-list address-list=DST-AL address-listtimeout=10m chain=prerouting protocol=tcp
Source NAT
El Network Address Translation (NAT) permite a los hosts de una red LAN, comunicarse con redes externas Source NAT (srcnat) traduce las direcciones IP (de una LAN) a direcciones IP públicas cuando se accede al Internet. También realiza la traducción de IP pública a privada cuando el tráfico se genera desde la WAN hacia una LAN. Las direcciones IP que no son Públicamente Ruteables, son direcciones IP que no pueden ser usados en Internet. o Estas direcciones privadas son: •
•
! ! !
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
masquerade & src-nat El primer chain para NAT es srcnat. Es usado para aplicar acciones a los datos salientes del router. Al igual que los filtros de firewall, las reglas de NAT tienen algunas propiedades y acciones. La primera y más básica acción de NAT es action=masquerade. masquerade reemplaza la dirección IP origen en paquetes por otra IP determinada (ejemplo una privada a publica) para facilitar el enrutamiento. Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por la dirección de la interface externa (WAN) chain=src-nat permite realizar cambios en dirección IP y puerto origen de los paquetes a unos especificados por el administrador de la red •
Ejemplo de uso:
Dos empresas (alfa y beta) se han fusionado, pero hay un problema en sus redes locales ya que ambas redes utilizan el mismo espacio de direcciones (por ejemplo, 172.16.0.0/16). Ellos no desean cambiar sus segmentos de red, ya que todos los dispositivos en la empresa (impresoras, proyectores, copiadoras, etc.) tienen direcciones asignadas e implicaría pérdida de tiempo. Solución: Orientándonos al concepto de NAT, lo único que se requerirá son reglas básicas de NAT con src-nat y posiblemente reglas de dst-nat, independientemente que las redes locales de cada una sean iguales.
Academy Xperts
106
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
Destination NAT
•
•
action=dst-nat es una acción usada en chain=dstnat para re direccionar el tráfico entrante hacia una
diferente IP o puerto. Ejemplo de aplicación: Se tiene una granja de servidores (Web, Mail y SSH) y solo una dirección IP pública en el router de borde. Se desea acceder desde del exterior hacia cada servidor en forma independiente.
Academy Xperts
107
RouterOS v6.39.2.01 – Capítulo 6 – Firewall
dst-nat & redirect • •
•
action=redirect cambia el puerto destino del tráfico hacia un puerto del propio router. Ejemplo de aplicación: Todo tráfico http (TCP, puerto 80) va a ser reenviado al web proxy del router por TCP puerto 8080. Este concepto en otros dispositivos se lo conoce como port-forwarding
Sintaxis NAT
Agregar regla masquerade /ip firewall nat add action=masquerade chain=srcnat
Cambiar el source IP address add chain=srcnat src-address=192.168.0.109 action=src-nat to-addresses=10.5.8.200
Destination NAT. Redirecciona todo el tráfico WEB (TCP, port 80) hacia el web proxy del router sobre el puerto 8080 add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
scripts •
• •
Es un archivo de órdenes, o archivo de procesamiento por lotes. Es un programa usualmente simple, que por lo regular se almacena en un archivo de texto plano. Usualmente es usado en MikroTik para automatizar tareas. Se puede realizar la automatización con scheduler.
Ejemplo de scripts
------------ PORT SCAN ------------:global portscannerip; :if ([:len [/ip firewall address-list find list=port_scanners]]>0) do= { :log error "------IP's dectada como ATAQUE PORTSCANNER------"; :foreach i in [/ip firewall address-list find list=port_scanners] do={ :set portscannerip [/ip firewall address-list get $i address]; :log error $portscannerip }; }
--------------- cpu LOAD ------------":if \(\[ /system resource get cpu-load \] \ >= 90 \) do={ /system reboot; }"
Preguntas de repaso del Capítulo 6 1.
Cómo funciona un firewall (matcher y action)?
2.
Cuál es el número total de puertos disponibles para TCP/UDP?
3.
Cómo se clasifican estos puertos?
4.
Para qué sirve el Connection Tracking?
5.
Qué funcionalidades dejan de trabajar si se deshabita el Connection Tracking?
6.
Cuáles son los diferentes TCP-States que se presentan en el Connection Tracking?
7.
Cuáles son los 4 connection-states en firewall?
8.
Cuales son las principales acciones el /ip firewall filter?
9.
Cuándo se usa chain=input?
10. Cuándo se usa chain=forward? 11. Que tipos de direcciones se puede definir en el Address List? 12. Explique la diferencia entre los chain SRCNAT y DSTNAT
Laboratorio – Capítulo 6
Academy Xperts
108
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Capítulo 7: Colas Simples y QoS Principales cambios en la v6 de RouterOS • •
•
•
•
• •
•
El Sistema de QoS fue reformulado Debido al ambiente multi-threading en los router CCR (Cloud Core Router) el problema principal era si se encolaban todos los paquetes de la misma cola, estos deberían estar en control del mismo thread, es decir, bajo el control del mismo CPU. Por lo tanto, teniendo colas ( queues) en 2 diferentes lugares durante el tiempo de vida del paquete, se imposibilitaba la posibilidad de ejecutar multi-threading Era necesario asegurarse de que todo el proceso de queueing suceda en el mismo lugar, y preferiblemente al final de la vida del paquete. o Los padres “ global-in”, “global-out”, y “global-total” se reemplazaron por “ global” “global” (en v6) es similar a “ global-total” (en v5) ! El tipo de encolamiento ( queue type) PCQ está ligado al connection-tracking y, puesto que todo el encolamiento (queueing) ahora ocurre después de SRC-NAT, el tipo de cola ( queue type) PCQ se actualizó y ahora es consciente del NAT (como el “ /queue simple” y “/ip traffic-flow”) o Puesto que el encolamiento ocurre al final de la vida del paquete, esto significa que el encolamiento se produce después del SRC-NAT. Esto quiere decir que si se hace enmascaramiento ( masquerade) todas las direcciones privadas ! nateadas ( src-nat) y, como el PCQ está ligado al connection-track, no hay problema en lugar donde se ejecute el PCQ o Se puede trabajar con las direcciones locales o A partir de v6 ya no debe preocupar en qué lugar se configura el PCQ Las Colas Simples se desarrollan en un diferente lugar: al final de las secciones “ postrouting” e “input” Las colas simples están separadas completamente de los Queue Trees. o Esto significa que el mismo paquete puede ser capturado en HTB “ global” y en Colas Simples. En v5 las Colas Simples compartían los HTBs “ globales” o Esto significa que se puede tener una limitación doble: Primero se puede marcar el tráfico en mangle ! Luego priorizar por tipo de tráfico en HTB “ global” ! Y luego poner límites de usuario en Colas Simples ! Se pueden especificar múltiples marcas de paquetes ( packet-marks) por cola simple. Esto permite flexibilidad para realizar QoS en Colas Simples
Academy Xperts
109
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Por qué estos cambios? Mucha gente prefiere utilizar Colas Simples con miles y miles de reglas, en lugar de tener unas pocas reglas de •
Queue Trees •
• • • •
•
Los cambios en HTB fueron desarrollados para que las Colas Simples se ejecuten en diferentes lugares y en diferente forma Las Colas Simples se desarrollan mucho más rápido que antes En v6 hay muy poco overhead para los paquetes en Colas Simples En v6 las Colas Simples pueden manejar decenas de miles de reglas de colas En v6 se mejora el rendimiento general del router cuando se utilizan Colas Simples. Se obtiene hasta una mejora del 600% Hasta la v5 las Colas Simples se desarrollaban en orden secuencial, es decir, para que se ejecute la cola 1,000 se tenían que ejecutar primero las 999 reglas anteriores. En la v6 ya no. Las colas ya no se ejecutan paso a paso.
Características de las Colas Simples en v6 Básicamente las colas simples en v6 trabajan en el mismo principio que en v5, es decir: o Si se crea una regla que captura un tipo de tráfico, y se la ubica en la primera posición o Luego se crea una segunda regla que captura el mismo tipo de tráfico y se la pone en la segunda posición, entonces: o El tráfico será capturado por la regla de la primera posición UNICAMENTE o Esta regla NO CAMBIA Lo que se hizo fue OPTIMIZAR el algoritmo de matching (coincidencia). Es decir: o No importa si la regla de cola está en la primera posición o en la posición mil. o Todas las configuraciones de las reglas de Colas Simples son pasadas por un algoritmo de Hashing con lo cual se busca de una manera mucho más rápida a donde pertenece el paquete. No importa si hay 100, 1000 o 5000 reglas de colas simples, siempre funcionará de la misma ! manera. La única diferencia se notará por ejemplo en un router con 5000 reglas de colas simples, donde ! la actualización de estadísticas del Winbox será más lenta. Sin embargo, esto no afectará en el resultado final para el cliente. o Se mejoró el overhead que existía cuando el paquete coincidía con reglas que no existen. o El algoritmo de hashing permite saltarse las reglas de colas simples que no coinciden (match) y hace que el thread salte hacia la cola que coincide. La Colas Simples de nivel superior (top level) se balancean entre los núcleos de CPU o Si se utiliza ambientes multi-thread, es importante que esté alerta de que Colas Simples soportan multithreading pero únicamente en el nivel superior (top-level). Por ejemplo, asumiendo un CCR1036 Si en el top level de la cola se tiene una sola cola para una red /24, y adicionalmente se tienen ! 32 colas atendiendo a los mismos usuarios de esa red, entonces las 32 colas tendrán un desempeño hasta 10 veces mejor que la única cola. Esto se debe a que cada Cola Simple puede ser multi-threaded, es decir, que cada una de las ! 32 colas puede ser asignada a cada uno de los 32 núcleos. Por este motivo no se provecharía el multi-threading si se asignan miles de colas a una sola ! cola principal, ya que se estaría limitando a 1 solo CPU por cola principal ! En este caso se debería balancear los miles de colas basadas en un múltiplo de 32 Los parámetros “ target-address” e “interface” se juntan en un solo parámetro “ target” El parámetro “ target” soporta la coincidencia (match) de múltiples interfaces para una cola. Se pueden configurar múltiples subredes o direcciones IP, y también múltiples interfaces. El parámetro “ target” sigue siendo el parámetro principal de una Cola Simple, por lo que siempre debe especificarse para que la Cola Simple trabaje apropiadamente. El parámetro “ dst-address” se cambia por el parámetro “ dst” y ahora soporta la coincidencia (match) de la interface de destino. Se puede especificar redes o interfaces de destino. El parámetro “ priority” ahora es separado para download y upload •
•
•
• •
•
•
•
Academy Xperts
110
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Conceptos generales Las colas se utilizan para limitar y priorizar el tráfico: Limitar la velocidad para ciertas direcciones IP, subredes, protocolos, puertos y otros parámetros Limitar el tráfico peer-to-peer Priorizar el flujo de algunos paquetes sobre otros Configurar el tráfico Burst para una navegación (browsing) más rápida Aplicar diferentes límites basados en tiempo Compartir el tráfico disponible de manera equitativa entre usuarios, o dependiendo de la carga del canal La implementación de colas en RouterOS se basa en HTB (Hierarchical Token Bucket). HTB permite crear una estructura de cola jerárquica y determina las relaciones entre las colas. En RouterOS, hasta la v5.x, estas estructuras jerárquicas se las puede encontrar en 4 lugares diferentes: global-in – Representa a todas las interfaces de entrada en general (INGRESS queue). Las colas unidas a globalin aplican al tráfico que es recibido por el router antes del filtrado de paquetes. global-out – Representa a todas las interfaces de salida en general (EGRESS queue). global-total – Representa a todas las interfaces juntas de entrada y de salida (en otras palabras, es la agregación de global-in y global-out). Se utiliza en los casos en que los clientes tienen un límite único para ambas, subida y bajada (upload y download). – Representa una interface de salida en particular. Únicamente el tráfico que se designa para salir a través de esta interface pasará esta cola HTB. Existen dos formas diferentes de configurar colas en RouterOS: /queue simple (colas simples) – Diseñado para facilitar la configuración de las tareas de gestión de colas simples y cotidianas (tales como la limitación de un solo cliente de upload/download, limitación de tráfico p2p, etc.). /queue tree (árbol de colas) – Para implementar tareas de encolamiento avanzadas (tales como políticas de priorización global, limitaciones de grupos de usuarios). Se requiere el flujo de paquetes marcados en /ip firewall mangle. • • • • • •
•
• •
•
•
•
Principios de limitación de velocidad La limitación de velocidad se utiliza para controlar la velocidad de flujo de tráfico enviado o recibido en una interface de red. El tráfico en el que la tasa es menor o igual a la tasa especificada se envía, mientras que el tráfico que supera la tasa se descarta o se retrasa. La limitación de velocidad se puede realizar en dos formas: Descartar todos los paquetes que exceden el límite de velocidad – Limitación de velocidad ( dropper o shaper) (Limitador de velocidad al 100% cuando el tamaño de la cola = 0) Retardo de los paquetes que exceden el límite de velocidad específico en la cola y transmiten cuando es posible – Igualar la velocidad ( scheduler) (Igualación tasa al 100% cuando el tamaño de la cola=ilimitado) La siguiente figura explica la diferencia entre la limitación de velocidad y la ecualización de tasa: •
•
Como se puede ver en el primer caso todo el tráfico es superior a la tasa específica y es descartado. En el otro caso el tráfico excede tasa específica y se retrasa en la cola y se transmite más tarde, cuando sea posible, pero tenga en cuenta que el paquete sólo puede ser retrasado hasta que la cola no esté llena. Si no hay más espacio en el tope de la cola, los paquetes se descartan. Para cada cola se pueden definir dos límites de tasa:
Academy Xperts
111
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
•
•
CIR (Committed Information Rate = Velocidad de Información Comprometida) – (limit-at en RouterOS) En el peor
escenario, el flujo recibirá esta cantidad de tasa de tráfico, independientemente de otros flujos de tráfico. En cualquier momento dado, el ancho de banda no debe caer por debajo de esta tasa comprometida. MIR (Maximum Information Rate = Máxima Velocidad de Información) – (max-limit en RouterOS) En el mejor escenario, velocidad máxima de datos disponible para el flujo, si está libre cualquier parte del ancho de banda.
Simple Queues (Colas Simples) Sub-menu: /queue simple La forma más sencilla de limitar la velocidad de datos para direcciones y / o subredes IP específicas, es usar colas simples. También puede utilizar las colas simples para crear aplicaciones avanzadas de QoS. Tienen características integradas útiles: Colas de tráfico peer-to-peer Aplicación de reglas de colas en intervalos de tiempo elegidos Prioridades Uso de múltiples marcas de paquetes de /firewall ip mangle Shaping (programación) de tráfico bidireccional (un límite para el total de subida + bajada) Hasta la v5.x de RouterOS, un elemento de configuración en /queue simple puede crear de 0 a 3 colas separadas (una cola en global-in, una cola en global-out y una cola en global-total). Si todas las propiedades de una cola tienen valores por defecto (no hay límites establecidos, tipo de cola es por defecto), y la cola no tiene hijos, entonces no se crea realmente. De esta manera, por ejemplo, la creación de colas global-total se puede evitar si únicamente se utiliza limitación basada en upload/download. A partir de la v6.x únicamente existe global Las colas simples se ejecutan en un orden secuencial. cada paquete debe pasar por cada cola hasta que cumpla las condiciones. Esto quiere decir que en el caso de que se tengan 1,000 reglas de colas simples ( queue simple), para que un paquete pueda alcanzar el final de cola (la cola número 1,000) tendrá que pasar a través de las 999 colas previas antes de que llegue a su destino. • • • • •
Ejemplo de configuración
Asumamos que tenemos topología como la de la red como en la Figura siguiente y queremos limitar la bajada y la subida para la red privada ( upload = 256kbps, download = 512kbps). Agregue una regla de cola simple, la cual limitará el tráfico de bajada a 512kbps y subida a 256kbps para la red 10.1.1.0/24, configurada en la interface Ether2: /queue simple add name=private target=10.1.1.0/24 max-limit=256K/512K interface=ether2
En este caso la declaración funciona bien incluso si indicamos solamente uno de los parámetros: target= o interface=, porque ambos definen dónde y para cuál tráfico se implementará esta cola. Para chequear la configuración: /queue simple print Flags: X - disabled, I - invalid, D - dynamic 0 name="private" target=10.1.1.0/24 dst-address=0.0.0.0/0 interface=ether2 parent=none direction=both priority=8 queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s total-queue=default-small
El parámetro max-limit reduce el ancho de banda máximo disponible. E l valor max-limit=256k/512k significa que los clientes de la red privada recibirán máximo 512kbps para descarga y 256 kbps para subida. El target permite definir la fuente de direcciones IP a la que se aplicará la regla de colas.
Academy Xperts
112
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Si se desea excluir el servidor de que tenga límite, se debe agregar una cola sin ninguna limitación ( max-limit = 0/0, significa que no hay limitación). Se debe mover esta regla al principio de la lista, ya que los elementos de las colas simples se ejecutan en orden uno por uno. Si el router encuentra una regla que satisface ciertos paquetes, las siguientes reglas ya no se comparan: /queue simple add name=server target=10.1.1.1/32 max-limit=0/0 interface=ether2
Identificadores de Flujo • •
target (multiple choice: IP address/netmask) : Lista de rangos de direcciones IP que serán limitadas por esta cola. interface (Name of the interface, or all) : Parámetro válido hasta v5.x. Identifica la interface en el que el objetivo (target) está conectado. Esta opción es útil cuando no es posible especificar las direcciones objetivo ( target).
Nota Importante : A partir de RouterOS v6 estos valores se combinan en la opción target donde se puede especificar cualquiera de los anteriores. target es para ser visto desde la perspectiva del objetivo. Si desea limitar la capacidad de carga de sus usuarios, debe configurar target-upload.
Cada una de estas dos propiedades se puede utilizar para determinar en cual dirección es subida ( upload) y cual de bajada (download). Debe tener cuidado al configurar ambas opciones para la misma cola. En caso de que se apuntan a direcciones opuestas la cola no funcionará. Si no se especifica ni el valor del objetivo ni de la interface, la cola no será capaz de hacer diferencia entre carga y descarga, y limitará todo el tráfico en dos veces. Otras Propiedades • •
• • • •
•
•
name (Text) : Identificador de cola único que puede ser usado valor de opción padre para otras colas direction (One of both, upload, download, none; default: both) : (solo hasta V5.x) Permite habilitar la limitación uni-
direccional de colas simples (deshabilita la otra dirección) both – Limita el tráfico de la descarga y la subida upload – Limita únicamente el tráfico hacia el objetivo (target) download - Limita únicamente el tráfico desde el objetivo (target) time (TIME-TIME,sun,mon,tue,wed,thu,fri,sat - TIME es el tiempo local, todos los nombres de días son opcionales; default: not set) : permitirá especificar el momento en que la cola determinada estará activa. El router debe tener
las configuraciones de tiempo correctas. dst-address (IP address/netmask) : Permite seleccionar únicamente streams específicos (desde target address a este destination address) para limitar lo que es target y lo que es dst, y lo que es upload y lo que no es. p2p (one of all-p2p, bit-torrent, blubster, direct-connect, edonkey, fasttrack, gnutella, soulseek, winmx; default: not set) : (solo hasta V5.x ) Permite seleccionar los paquetes NO encriptados de un particular p2p para limitar el ancho
de banda •
packet-marks (Comma separated list of packet mark names) : Permite usar los paquetes marcados en /ip firewall mangle. Revisar el diagrama de flujo de paquete de RouterOS. Es necesario marcar los paquetes antes de las colas (antes de la cola global-in HTB) o la limitación de la descarga (download) del target no funcionará. El único chain de mangle antes de global-in es prerouting.
Nota Importante: En RouterOS v6 se eliminan las opciones direction y p2p, pero se puede usar mangle para sustituirlas. Adicionalmente dst-address se une en la nueva opción target
Academy Xperts
113
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Propiedades HTB : Asignan esta cola como una cola hijo para el target seleccionado cualquier otra cola simple creada. Con la finalidad de que el tráfico alcance a las colas hijos, la cola padre debe capturar todo el tráfico necesario. priority (1..8) : Prioriza una cola hijo sobre otra cola. Este parámetro no trabaja en colas padres (si la cola tiene por lo menos un hijo). Uno (1) es la prioridad más alta, y ocho (8) es la prioridad más. La cola hijo con la prioridad más alta tendrá oportunidad de alcanzar su max-limit antes que una cola hijo con prioridad más. La prioridad no tiene nada que ver con los bursts. queue (SOMETHING/SOMETHING) : Elige el tipo de cola upload/download. Los tipos de colas pueden ser creados en /queue type. limit-at (NUMBER/NUMBER) : Representa la tasa de datos normal de upload/download que se garantiza al target max-limit (NUMBER/NUMBER) : Tasa de datos máxima de upload/download que es permitida que un target pueda alcanzar burst-limit (NUMBER/NUMBER) : Tasa de datos máxima de upload/download que se puede alcanzar mientras el burst está activo burst-time (TIME/TIME) : Período de tiempo, en segundos, sobre el cual se calcula la tasa de datos promedio de datos upload/download. (Este parámetro NO ES el tiempo actual del burst) burst-threshold (NUMBER/NUMBER) : Cuando la tasa de datos promedio está por debajo de este valor, se permite el burst, tan pronto como la tasa promedio de datos alcanza este valor el burst se niega. (básicamente este es un switch burst on/off). Para un comportamiento óptimo de burst, este valor debe estar sobre el valor del limit-at y bajo el valor de max-limit A continuación, las opciones correspondientes a la cola global-total HTB: total-queue (SOMETHING/SOMETHING) : Corresponde a la cola total-limit-at (NUMBER/NUMBER) : Corresponde al limit-at total-max-limit (NUMBER/NUMBER) : Corresponde al max-limit total-burst-limit (NUMBER/NUMBER) : Sorresponde al burst-limit total-burst-time (TIME/TIME) : Corresponde al burst-time total-burst-threshold (NUMBER/NUMBER) : Corresponde al burst-threshold •
parent (Name of parent simple queue, or none) {{{...}}}. La cola target puede ser la cola HTB o
•
•
• •
•
•
•
• • • • • •
Academy Xperts
114
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Las buenas prácticas sugieren que: La suma de los valores de los limit-at de los hijos debe ser menor o igual que el max-limit del padre. El max-limit de cada hijo debe ser menor que el max-limit del padre. De esta manera se dejará algo de tráfico para las otras colas hijos, y será capaz de conseguir tráfico sin luchar por ella con otras colas hijos. • •
Estadísticas • • • • • • • •
rate (read-only/read-only) : Promedio de la tasa de datos de la cola en bytes por segundo packet-rate (read-only/read-only) : Promedio de la tasa de datos de la cola en paquetes por segundo bytes (read-only/read-only) : Número de bytes procesados por esta cola packets (read-only/read-only) : Número de paquetes procesados por esta cola queued-bytes (read-only/read-only) : Número de bytes esperando en la cola queued-packets (read-only/read-only) : Número de paquetes esperando en la cola dropped (read-only/read-only) : Número de paquetes perdidos borrows (read-only/read-only) : Paquetes que sobrepasaron su valor limit-at (y que estaban sin usar y se quitaron
de otras colas) •
•
lends (read-only/read-only) :
Paquetes que pasaron el valor bajo el limit-at, o si la cola es un padre, la suma de todos los paquetes prestados al hijo pcq-queues (read-only/read-only) : Número de substreams PCQ, si el tipo de cola ( queue type) es PCQ
A continuación, las opciones correspondientes a la cola global-total HTB: total-rate (read-only) : Corresponde a la velocidad ( rate) total-packet-rate (read-only) : Corresponde al packet-rate total-bytes (read-only): Corresponde a bytes total-packets (read-only) : Corresponde a packets total-queued-bytes (read-only) : Corresponde a queued-bytes total-queued-packets (read-only) : Corresponde a queued-packets total-dropped (read-only) : Corresponde a dropped total-lends (read-only): Corresponde a lends total-borrows (read-only) : Corresponde a borrows total-pcq-queues (read-only) : Corresponde a pcq-queues • • • • • • • • • •
Tipos de Colas (Queue Types) Sub-menu: /queue type En este sub-menú se listan los tipos de colas creados por default y permite añadir nuevos tipos creados por el usuario
Academy Xperts
115
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Por default RouterOS crea los siguientes tipos de colas pre-definidos: /queue type print 0 name="default" kind=pfifo pfifo-limit=50 1 name="ethernet-default" kind=pfifo pfifo-limit=50 2 name="wireless-default" kind=sfq sfq-perturb=5 sfq-allot=1514 3 name="synchronous-default" kind=red red-limit=60 red-min-threshold=10 red-max-threshold=50 redburst=20 red-avg-packet=1000 4 name="hotspot-default" kind=sfq sfq-perturb=5 sfq-allot=1514 5 name="only-hardware-queue" kind=none 6 name="multi-queue-ethernet-default" kind=mq-pfifo mq-pfifo-limit=50 7 name="default-small" kind=pfifo pfifo-limit=10
Nota importante: A partir de la versión v5.8 existe una nueva cola por default: only-hardware-queue. Todos los
RouterBOARDs tendrán este nuevo tipo de encolamiento configurado como la cola de interface por default. only-hardware-queue deja la interface únicamente con un buffer de anillo descriptor transmisor de hardware que actúa como una cola por sí mismo. Usualmente al menos 100 paquetes pueden ser encolados para transmitir en el “ transmit descriptor ring buffer”. El tamaño del “ transmit descriptor ring buffer” y la cantidad de paquetes que pueden ser encolados en él, varía para diferentes tipos de MACs ethernet. Al no tener cola de software es especialmente beneficioso en sistemas SMP, ya que elimina el requisito para sincronizar el acceso a la misma desde diferentes CPUs/núcleos que son costosos. multi-queue-ethernet-default puede ser beneficioso en sistemas SMP con interfaces Ethernet que tienen soporte para múltiples colas de transmisión y tienen una compatibilidad de controladores Linux para múltiples colas de transmisión. Al tener la cola de un software para cada cola de hardware podría haber menos tiempo gastado para sincronizar el acceso a ellos. Nota Importante: Al tener la posibilidad de configurar only-hardware-queue se requiere apoyo en el driver de Ethernet por lo que sólo está disponible para algunas interfaces de Ethernet en su mayoría que aparecen en los RouterBOARDs. Nota Importante: La mejora only-hardware-queue y multi-queue-ethernet-default está presente únicamente cuando no hay una entrada /queue tree con una interface particular como padre. Tipos de colas
Los tipos de cola o encolamiento (scheduling) describen cuál paquete será transmitido en la siguiente línea. RouterOS soporta varios algoritmos de encolamiento: BFIFO, PFIFO, MQ PFIFO RED SFQ PCQ • • • •
PFIFO, BFIFO y MQ PFIFO Estas disciplinas de encolamiento están basada el algoritmo FIFO (First-In F irst-Out, Primero que entra primero que sale).La diferencia PFIFO y BFIFO es que el primero está medido en paquetes y el segundo en bytes. Cada paquete que no puede ser encolado (si es que la cola está llena), es descartado. Los tamaños de colas grandes pueden incrementar la latencia, pero utilizan mejor el canal. Estas colas usan los parámetros pfifo-limit y bfifo-limit. mq-pfifo es PFIFO con soporte para múltiples colas de transmisión. Esta cola es beneficiosa en sistemas SMP con interfaces Ethernet que tienen soporte para múltiples colas de transmisión y tienen una compatibilidad de controladores Linux para múltiples colas de transmisión. mq-pfifo usa el parámetro mq-pfifo-limit.
Academy Xperts
116
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
RED Random Early Drop es un mecanismo de encolamiento que trata de evitar la congestión de la red controlando el tamaño
promedio de la cola. El tamaño promedio de la cola se compara con dos umbrales: un umbral mínimo ( minth) y un umbral máximo ( maxth). Si el tamaño promedio de la cola ( avgq) es menor que el umbral mínimo, ningún paquete es descartado. Cuando el tamaño promedio de la cola es mayor que el umbral máximo, todos los paquetes entrantes se descartan. Pero si el tamaño promedio de la cola está entre los umbrales mínimos y máximos los paquetes se descartaron al azar con probabilidad Pd, donde la probabilidad es exacta en función del tamaño promedio de la cola: Pd = Pmax(avgq – minth)/ (maxth - minth)
Si la cola promedio crece, la probabilidad de abandonar los paquetes entrantes también crece. Pmax es el radio, que puede ajustar la probabilidad de descarte de paquetes abruptamente, (en el caso más simple Pmax puede ser igual a uno. El siguiente diagrama muestra la probabilidad de descarte de paquetes en el algoritmo RED.
Academy Xperts
117
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
SFQ Stochastic Fairness Queuing (SFQ) está asegurada por algoritmos de hashing y round-robin. Un flujo de tráfico puede ser identificado por 4 opciones ( src-address, dst-address, src-port y dst-port), por lo que estos paquetes son usados por el algoritmo de hashing SFQ para clasificar los paquetes en uno de los 1024 posibles sub-streams.
El algoritmo de round-robin empezará a distribuir el ancho de banda disponible a todos los sub-streams, en cada ronda se entrega sfq-allot bytes de tráfico. La cola completa SFQ puede contener 128 paquetes y hay 1024 sub-streams disponibles.
Academy Xperts
118
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
SFQ es conocido como Estocástico (Stochastic) porque en realidad no se asigna una cola para cada flujo, tiene un algoritmo que divide el tráfico sobre un número limitado de colas (1024) utilizando un algoritmo de hashing.
PCQ Per Connection Queuing (PCQ) es similar a SFQ, pero tiene características adicionales.
Es posible elegir identificadores de flujo (desde dst-address | dst-port | src-address | src-port). Por ejemplo, si se clasifica el flujo por src-address en la interface local (interface con los clientes), cada sub-stream PCQ será una subida de un cliente particular. Se puede asignar una limitación de velocidad a los sub-streams con la opción pcq-rate. Si pcq-rate=0 los sub-streams dividirán equitativamente el tráfico disponible.
Propiedades
Las propiedades que inician con un nombre de tipo de encolamiento particular, se aplican únicamente a un tipo particular. Por ejemplo, todas las propiedades que inician con PCQ, aplican únicamente al tipo de cola PCQ. bfifo-limit (integer [1000..4294967295]; Default: 15000) – Máximo número de bytes que la cola FIFO puede mantener. Se aplica si el tipo es BFIFO. kind (bfifo | mq-pfifo | none | pcq | pfifo | red | sfq; Default: ) – Clase especial de tipo de cola. mq-pfifo-limit (integer [1..4294967295]; Default: 50) – Límite multi-queue PFIFO. name (string; Default: ) – Nombre descriptivo del tipo de cola pcq-burst-rate (integer [0..4294967295]; Default: 0) – Máxima tasa de datos de upload/download que puede ser alcanzada mientras el burst para el substream es permitido pcq-burst-threshold (integer [0..4294967295]; Default: 0) – Este es el valor del switch burst on/off pcq-burst-time (time; Default: 10s) – Período de tiempo, en segundos, sobre el cual se calcula la tasa de datos promedio. (Este NO es el tiempo real del burst) pcq-classifier (lista de src-address|dst-address|src-port|dst-port; Default: "") – Selección de identificadores de sub-stream pcq-dst-address-mask (integer [0..32] | IPNetmask; Default: 32) – Tamaño de la red IPv4 que será usada como un identificador dst-address sub-stream pcq-dst-address6-mask (integer [0..128]; Default: 128) - Tamaño de la red IPv6 que será usada como un identificador dst-address sub-stream pcq-limit (integer [1..4294967295]; Default: 50) – Tamaño de cola de un simple sub-stream (en kilobytes) pcq-rate (integer [ 0..4294967295]; Default: 0) – Máxima tasa de datos disponible de cada substream pcq-src-address-mask (integer [0..32] | IPNetmask; Default: 32) - Tamaño de la red IPv4 que será usada como un identificador src-address sub-stream •
• • • •
• •
•
•
•
• • •
Academy Xperts
119
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
•
•
pcq-src-address6-mask (integer [0..128]; Default: 128) - Tamaño de la red IPv6 que será usada como un identificador src-address sub-stream pcq-total-limit (integer [1..4294967295]; Default: 2000) – Tamaño total de la cola de todos los sub-streams
(en
kilobytes) •
pfifo-limit (integer [ 1..4294967295]; Default: 50) –
Máximo número de paquetes que la cola PFIFO puede
mantener. Aplica si el tipo es PFIFO. •
red-avg-packet (integer [ 1..65535]; Default: 1000) –
Usado por RED para el cálculo del tamaño promedio de la
cola (para la traducción de packet a byte) •
red-burst (integer [0..4294967295 ]; Default: 20) – Número de paquetes permitidos para bursts de paquetes
cuando no hay paquetes en la cola • •
red-limit (integer [0..4294967295 ]; Default: 60) – Límite de cola RED en paquetes red-max-threshold (integer [0..4294967295 ]; Default: 50) – El tamaño de cola promedio
en el cual la probabilidad
de marcar el paquete es la más alta. • •
red-min-threshold (integer [0..4294967295 ]; Default: 10) – Tamaño promedio de la cola en bytes. sfq-allot (integer [0..32767]; Default: 1514) – Cantidad de datos en bytes que pueden ser enviados en una ronda
round-robin •
sfq-perturb (integer [0..4294967295 ]; Default: 5) – Cuan frecuente debe ser refrescada la función hash
PCQ se introdujo para optimizar los sistemas de calidad de servicio masivos, donde la mayoría de las colas son exactam ente las mismas para los diferentes sub-streams. Por ejemplo, un sub-stream puede ser de descarga (download) o de subida (upload) para un cliente en particular (IP) o para una conexión con un servidor. El algoritmo PCQ es muy simple, en un primer momento se utiliza clasificadores seleccionados para distinguir un sub-stream de otro, entonces se aplica un tamaño de la cola FIFO individual y limitación en todos los sub-streams, luego se agrupa todos los sub-streams y se aplica una limitación y tamaño de cola global. Parámetros de PCQ: •
pcq-classifier (dst-address | dst-port | src-address | src-port; default: "")
– Selección de identificadores de sub-
stream • • •
pcq-rate (number) – Máxima tasa de datos disponible de cada substream pcq-limit (number) – Tamaño de cola de un simple sub-stream (en KB) pcq-total-limit (number) – Cantidad máxima de data encolada en todos los
sub-streams (en KB)
Por lo tanto, en vez de tener 100 colas con limitación de 1,000 Kbps para descarga (download), podemos tener una sola cola PCQ con 100 sub-streams. Ejemplos de clasificación
Para entender mejor la clasificación tomaremos una lista de 18 streams de paquetes con una dirección y puerto específico, hacia una dirección y puerto específico. Entonces vamos a elegir un clasificador y dividir los 18 streams de paquetes en substreams PCQ
Academy Xperts
120
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Ejemplos de PCQ Rate
Aquí es posible ver qué sucede si se especifica o no el PCQ-rate. Es importante notar que si ambos límites ( pcq-rate y max-limit) no se especifican, el comportamiento de la cola puede ser impreciso. Por lo tanto, se sugiere fuertemente tener por lo menos una de estas opciones configuradas.
Academy Xperts
121
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Nueva implementación de PCQ (a partir de la v5.0RC5) PCQ fue reescrito en la v5.0RC4 para optimizarlo con alto rendimiento tanto en Mbps y PPS (paquetes por segundo). Esta implementación utiliza adecuadamente todas las nuevas características de Linux Kernel, esto hace que PCQ sea m ás rápido y que demande menos recursos. Tan pronto como se activa un nuevo stream se obtendrá ! de la tasa con más alta prioridad. Si el rate=0 el sub-stream no tendrá esta característica (ya que ! de 0 es 0) Es necesario conocer esto por una buena razón: Asumamos que la tasa del sub-stream es 10Mbps, por lo que en el momento en que el nuevo sub-stream solicite tráfico obtendrá primero 2500k de tráfico sin limitación. Esto puede resultar en una mayor velocidad que lo que se espera como resultado en programas como Speedtest.net. Para evitar asegurarse que Speedtest.net no es el primer programa que utiliza el ancho de banda que se ejecuta en el PC. También a partir de la v5.0RC5, PCQ tiene las siguientes características: PCQ Burst para sub-streams. PCQ tiene una implementación de burst idéntica a Simple Queues y Queue Tree Parámetros PCQ: pcq-burst-rate (number) – Máxima tasa de datos de upload/download que se alcanzará mientras el burst para el sub-stream es permitido pcq-burst-threshold (number) – Este es el valor de burst en el switch on/off pcq-burst-time (time) – Período de tiempo, en segundos, sobre el cual se calcula la tasa de datos promedio. (Este NO es el tiempo actual de burst) PCQ también permite utilizar diferentes tamaños de redes IPv4 e IPv6 como identificadores de sub-stream. Antes estaba cerrada a una dirección IP única. Esto se hace principalmente para IPv6 como clientes desde el punto de vista ISP estarán representados por red /64, pero los dispositivos en la red de los clientes serán /128. PCQ se puede utilizar para ambos de estos escenarios y mucho más. Parámetros PCQ: pcq-dst-address-mask (number) – Tamaño de la red IPv4 que se usará como identificador del sub-stream dst•
•
• •
•
•
•
•
address pcq-src-address-mask (number) – Tamaño de la red IPv4 que se usará como identificador del sub-stream srcaddress pcq-dst-address6-mask (number) – Tamaño de la red IPv6 que se usará como identificador del sub-stream dstaddress pcq-src-address6-mask (number) – Tamaño de la red IPv6 que se usará como identificador del sub-stream srcaddress
Interface Queue Sub-menu: /queue interface Antes de enviar datos a través de una interface, ésta es procesada por la cola. Este submenú lista todas las interfaces disponibles en RouterOS y permite cambiar el tipo de cola para determinada interface. Nota Importante: No se puede agregar nuevas interfaces a este menú. La lista es generada automáticamente.
Propiedades • •
interface (string) – Nombre de la interface a la cual se aplica la cola. Es un parámetro queue (string; Default:) – Tipo de cola asignado a una interface en particular.
Academy Xperts
de solo-lectura.
122
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Burst Burst es una característica que permite satisfacer los requerimientos de cola para ancho de banda adicional, incluso si la tasa requerida es más grande que el MIR ( max-limit) durante un periodo de tiempo limitado El burst puede ocurrir sólo si el consumo promedio ( average-rate) de la cola, de los últimos segundos del burst-time es más pequeño que el burst-threshold. El burst se detendrá si el consumo promedio ( average-rate) de la cola de los últimos segundos del burst-time es más grande o igual al burst-threshold
El mecanismo del burst es simple: si el burst es permitido, el valor del max-limit se reemplaza por el valor del burst-limit. Cuando el burst está deshabilitado el valor del max-limit permanece sin cambio. burst-limit (NUMBER) – Máxima tasa de datos upload/download que se puede alcanzar mientras el burst es permitido burst-time (TIME) – Período de tiempo, en segundos, sobre el cual se calcula la tasa promedio (Este NO es el tiempo de burst actual) burst-threshold (NUMBER) – Este es el valor del switch on/off del burst average-rate (read-only) – Cada 1/n partes del burst-time, el router calcula la tasa de datos promedio de cada clase sobre los últimos segundos burst-time actual-rate (read-only) – Tasa de transferencia de tráfico actual de la cola El burst es una de las mejores formas de incrementar el desempeño HTTP Los Bursts son usados para permitir altas tasas de datos por un período corto de tiempo Si una tasa de datos promedio es menor que el burst-threshold, el burst puede ser usado (la tasa de datos actual puede alcanzar el burst-limit) La tasa de datos promedio se calcula de los últimos segundos de burst-time La tasa de datos promedio (average data rate) se calcula de la siguiente forma: El burst-time se divide en N períodos El router calcula la tasa de datos promedio de cada clase sobre esos pequeños períodos Note que el actual burst-period no es igual al burst-time. Puede ser varias veces más corto que el burst-time dependiendo del histórico de los parámetros max-limit, burst-limit, burst-threshold, y actual data rate •
•
• •
•
•
•
• •
•
longest-burst-time = burst-threshold * burst-time / burst-limit
Burst (primeros 16 segundos)
Academy Xperts
123
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Burst (siguientes 16 segundos)
Bursting - Como trabaja • • •
El bursting está permitido mientras el average-rate este abajo el burst-threshold El bursting será limitado a la velocidad especificada por burst-limit El average-rate es calculado con un promedio de 16 muestras (actual-rate) sobre varios segundos del burst-time o Si burst-time está en 16 segundos, se toma una muestra cada segundo o Si burst-time está en 8 segundos, se toma una muestra cada medio segundo.
Cuando el burst-time está definido con 16 segundos
Cuando el burst-time está definido con 8 segundos
Academy Xperts
124
RouterOS v6.39.2.01 – Capítulo 7 – Colas Simples y QoS
Sintaxis
Agregar una simple Queue (cola simple) /queue simple add max-limit=2M/2M name=queue1 target=192.168.3.0/24
Agregar una simple Queue con Bursting /queue simple add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s limit-at=1M/1M max-limit=2M/2M name=queue2 target=192.168.3.0/24
Tip
Usted puede haber notado que los iconos de cola cambian de color de acuerdo al uso. El color tiene un significado. Verde: 0 – 50% de ancho de banda disponible Amarillo: 51 – 75% de ancho de banda disponible Red: 76 – 100% de ancho de banda disponible • • •
Preguntas de repaso del Capítulo 7 1.
Cuáles pueden ser los principales problemas en las redes de datos?
2.
Por qué son útiles las colas?
3.
En qué se basa la implementación del QoS en MikroTik RouterOS?
4.
Cuáles son las principales diferencias entre Queue Simple y Queue Tree?
5.
Que tipo de servicio de red es recomendado para aplicar el burst?
6.
Cómo trabaja el burst?
7.
Cuáles son las características más importantes del PCQ?
8.
Cuáles son las principales herramientas de monitoreo que encontramos en RouterOS?
Laboratorio – Capítulo 7
Academy Xperts
125
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Capítulo 8: Túneles PPP Introducción Los túneles son una forma de ampliar una red privada a través de una red pública (como Internet). A los Túneles también se les conoce como VPNs (redes privadas virtuales). El concepto de seguridad se asocia con VPN. Es recomendable ya que no se desea que el tráfico de los usuarios vaya a través de redes que no son seguras Se conoce como túnel o tunneling a la técnica que consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel de información dentro de una red de computadoras. El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la redirección de tráfico, etc. La técnica de tunelizar se suele utilizar para trasportar un protocolo determinado a través de una red que, en condiciones normales, no lo aceptaría. Otro uso de la tunelización de protocolos es la creación de diversos tipos de redes privadas virtuales. El establecimiento de dicho túnel se implementa incluyendo una PDU (unidad de datos de protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH. Así, el protocolo A es encapsulado dentro del protocolo B, de forma que el primero considera al segundo como si estuviera en el nivel de enlace de datos. Ejemplos de protocolos tunelizados L2TP (Layer 2 Tunneling Protocol) MPLS (Multiprotocol Label Switching) PPTP (Point-to-Point Tunneling Protocol) PPPoE (point-to-point protocol over Ethernet) PPPoA (point-to-point protocol over ATM) IPSec (Internet Protocol security) IEEE 802.1Q (Ethernet VLANs) 6to4 (IPv6 over IPv4 as protocol 41) •
• • • • • • • •
Túneles PPP dentro del mapa de Protocolos TCP/IP
Academy Xperts
126
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
RouterOS y Túneles
MikroTik RouterOS provee funcionalidad escalable de Autenticación, Autorización y Contabilización AAA = Authentication Authorization Accounting (Contabilización) La autenticación local se logra usando una Base de Datos de Usuario y una Base de Datos de Perfil ( profile). La configuración del usuario está compuesta por el registro del respectivo usuario (tomado de la Base de Datos de Usuario), el ítem asociado de la Base de Datos de Perfil (profile) y el ítem en la base de datos de Perfil en cual está configurado como default para un servicio dado al que el usuario está autenticando. Las configuraciones del Perfil por default de la base de Datos del Perfil, tienen la prioridad más baja, mientras que las configuraciones de los registros de acceso de usuario de la Base de Datos de Usuario tiene la más alta prioridad con la única excepción de que siendo una dirección IP particular toma precedencia sobre los Pools de direcciones IP en las configuraciones local-address y remote-address. El soporte para la autenticación RADIUS le proporciona al ISP o al administrador de red la habilidad para manejar el acceso y la contabilidad de usuarios PPP desde un solo servidor a través de una gran red. MikroTik RouterOS tiene un Cliente RADIUS que puede autenticar conexiones PPP, PPPoE, PPTP, L2TP e ISDN. Los atributos recibidos del servidor RADIUS invalidan las configuraciones del Perfil (profile) por default, pero si algunos parámetros no son recibidos, entonces son tomados del Perfil por default respectivo •
/ppp profile (perfiles de usuario) Los perfiles PPP se utilizan para definir los valores por default de los registros de usuario que se almacenan en el submenu /ppp secret. Las configuraciones /ppp secret de la Base de Datos de Usuario invalidan las configuraciones /ppp profile correspondientes, excepto que las direcciones IP simples siempre tienen precedencia sobre los Pool de direcciones IP cuando se especifican como parámetros en local-addres o remote-address.
Los PPP profiles representan los parámetros de configuración para ser utilizado por los clientes PPP, pero no limitados a: Dirección IP o Pool de direcciones (remotas o locales) Compresión Cifrado • • •
/ppp profile (example from a client) add change-tcp-mss=yes name=Profile-external\ use-compression=yes use-encryption=yes use-vj-compression=no /ppp profile (example from a server) add change-tcp-mss=yes local-address=192.168.222.1\ name=Profile-external remote-address=192.168.222.2 use-compression=yes\ use-encryption=yes use-vj-compression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=Profile-internal\ remote-address=Pool-VPN use-compression=yes use-encryption=yes use-vj-compression=no
Parámetros •
address-list (string; Default: ) .-
Especifica el nombre del address-list a donde se agregarán las direcciones
asignadas PPP
Academy Xperts
127
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
•
•
• •
• •
•
•
• •
•
•
bridge (string; Default: ) .-
Nombre de la interface bridge a la que se agregará la interface ppp como un puerto esclavo. Ambos puntos finales del tunel (server y cliente) deben estar en un bridge para que esto funcione. change-tcp-mss (yes | no | default; Default: default) .- Permite cambiar la configuración de la conexión MSS o yes : ajusta el valor de la conexión MSS o no : no ajusta el valor de la conexión MSS o default : obtiene este valor del perfil por default de la interface comment (string; Default: ) .- Campo para escribir un comentario dhcpv6-pd-pool (string; Default: ) .- Nombre del Pool Ipv6 que se usará para el servidor DHCPv6-PD creado dinámicamente cuando los clientes se conectan. dns-server (IP; Default: ) .- Dirección IP del server DNS que se suministra a los clientes PPP idle-timeout (time; Default: ) .- Especifica la cantidad de tiempo luego del cual el enlace se terminará si es que no hay actividad presente. incoming-filter (string; Default: ) .- Nombre del chain de firewall para paquetes entrantes. El c hain especificado obtiene el control para cada paquete que viene del cliente. El chain PPP debería ser agregado manualmente, y también deberían agregarse las reglas con action=jump jump-target=ppp a otros chains relevantes para que esta característica funcione. local-address (IP address | pool; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se asigna la dirección a la interface PPP local name (string; Default: ) .- Nombre del Perfil PPP only-one (yes | no | default; Default: default) .- Define si es que un usuario está permitido tener más de una conexión a la vez. o yes – Un usuario NO está permitido tener más de una conexión al mismo tiempo o no – El usuario está permitido a tener más de una conexión a la vez o default – Obtiene este valor del Perfil por default de la Interface outgoing-filter (string; Default: ) .- Nombre del chain de firewall para paquetes salientes. El chain especificado obtiene el control para cada paquete que va hacia el cliente. El chain PPP debería ser agregado manualmente, y también deberían agregarse las reglas con action=jump jump-target=ppp a otros chains relevantes para que esta característica funcione. rate-limit (string; Default: ) .- La limitación de velocidad desde el punto de vista del router se presenta en la siguiente forma ( rx es el tráfico de subida del cliente, y tx es el tráfico de bajada del cliente): o
rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/tx burst-threshold] [rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/txrate-min]]]]
Todas las velocidades están medidas en bits-por-segundo (bps), a menos que le siga el sufijo k (kilobits por segundo) o el sufijo M (megabits por segundo) o Si no se especifica el tx-rate, entonces el rx-rate sirve también como tx-rate o Lo mismo aplica para tx-burst-rate, tx-burst-threshold y tx-burst-time. Si rx-burstthreshold y tx-burst-threshold no se especifican ( but burst-rate está especificado), rx-rate y tx-rate se utilizan como burst thresholds. o Si rx-burst-time y tx-burst-time no se especifican, se utiliza 1s como default. La prioridad toma los valores 1..8, donde 1 representa a la prioridad más alta, y 8 la prioridad más baja. o Si rx-rate-min y tx-rate-min no se especifican, entonces se utilizan los valores rx-rate y tx-rate o Los valores de rx-rate-min y tx-rate-min no pueden exceder a los valores rx-rate y tx-rate. remote-address (IP; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se asigna la dirección a la interface PPP remota remote-ipv6-prefix-pool (string | none; Default: none) .- Asigna el prefijo del Pool IPv6 al cliente e instala la correspondiente ruta IPv6. session-timeout (time; Default: ) .- Especifica el máximo tiempo de conexión que se puede establecer. Por default no se configura límite de tiempo. use-compression (yes | no | default; Default: default) .- Especifica si se usa compresión o no. Esta configuración no afecta los túneles OVPN o yes – Habilita la compresión de datos o no – Deshabilita la compresión de datos o default – Obtiene este valor del Perfil por default de la Interface use-encryption (yes | no | default | require; Default: default) .- Especifica si se usa encriptación o no. Esta configuración no afecta los túneles OVPN o yes – Habilita la encriptación de datos o no – Deshabilita la encriptación de datos o default – Obtiene este valor del Perfil por default de la Interface use-ipv6 (yes | no | default | require; Default: default) .- Especifica si se permite IPv6. Por default se habilita si es que el paquete IPv6 está instalado. o yes – Habilita el soporte IPv6 o no – Deshabilita el soporte IPv6 o
•
•
•
•
•
•
Academy Xperts
128
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
•
•
•
o default – Obtiene este valor del Perfil por default de la Interface o require – Requiere explícitamente soporte IPv6 use-mpls (yes | no | default | require; Default: default) .- Especifica si es que se permite MPLS sobre PPP o yes – Habilita el soporte MPLS o no – Deshabilita el soporte MPLS o default – Obtiene este valor del Perfil por default de la Interface o require – Requiere explícitamente soporte MPLS use-vj-compression (yes | no | default; Default: default) .- Especifica si es que se usa el algoritmo de compresión
de cabecera Van Jacobson o yes – Habilita la compresión de cabecera Van Jacobson o no – Deshabilita la compresión de cabecera Van Jacobson o default – Obtiene este valor del Perfil por default de la Interface wins-server (IP address; Default: ) .- Permite especificar la dirección IP del servidor WINs para suministrar a los clientes
Notas Importantes •
Existen dos Perfiles por Default que no pueden ser removidos:
/ppp profile print Flags: * - default 0 * name="default" use-compression=no use-vj-compression=no use-encryption=no only-one=no change-tcp-mss=yes 1 * name="default-encryption" use-compression=default use-vj-compression=default use-encryption=yes only-one=default change-tcp-mss=default •
•
• •
Se debe usar el algoritmo de compresión Van Jacobson únicamente si es necesario, ya que se reducen las comunicaciones en canales malos o congestionados. Los argumentos incoming-filter y outgoing-filter agregan reglas de jump dinámicas al chain PPP, donde el argumento jump-target será igual al argumento incoming-filter o outgoing-filter en /ppp profile. Por lo tanto, el chain PPP debe ser agregado manualmente antes de que se cambien estos argumentos. El parámetro only-one se ignora si se usa la autenticación RADIUS Si hay más de 10 conexiones PPP simultáneas, se recomienda apagar (off) la propiedad change-mss, y usar una regla general de cambio MSS en la tabla de mangle, para reducir la utilización del CPU.
/ppp secret (base de datos de usuario) La Base de Datos de Usuario PPP almacena los registros de acceso de usuario PPP con el perfil de usuario PPP asignado a cada usuario. Los PPP secrets se encuentran en PPP servers y también podemos especificar los parámetros básicos y necesarios para autenticar a un cliente, tales como: Nombre: Identificación del usuario Contraseña: contraseña del usuario Servicio: el protocolo que está dando servicio (si de dejan en “any” el PPP secret autenticara al usuario a través de algunos de estos servicios (PPPoE, L2TP, PPTP, etc.)) Perfil: el subconjunto de configuración que utilizara este usuario. Los perfiles permiten parámetros a ser utilizados por muchos usuarios sin tener que volver a escribir todo cada vez. Los clientes no utilizan PPP secrets como credenciales de autenticación. Se especifican en la interface del cliente PPP bajo los parámetros de “Usuario” y “Contraseña” • • •
•
/ppp secret add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal
Academy Xperts
129
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Parámetros •
• • •
•
• • • • • •
•
•
caller-id (string; Default: ) .- Para PPTP y L2TP, este parámetro es la dirección IP desde la cual un cliente debe
conectarse. Para PPPoE es la dirección MAC (escrito en letras mayúsculas) desde la cual un cliente debe conectarse. Para ISDN es el número del caller (que puede o no puede ser provisto por el operador) desde el cual el cliente debe llamar. comment (string; Default: ) . - Una corta descrición del usuario disabled (yes | no; Default: no) .- Permite especificar si se usará un secret limit-bytes-in (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede subir (upload) en una sesión limit-bytes-out (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede descargar (download) local-address (IP address; Default: ) .- Dirección IP que será configurada localmente en la interface PPP name (string; Default: ) .- Nombre usado para la autenticación password (string; Default: ) .- Contraseña (password) usada para la autenticación profile (string; Default: default) .- Especifica qué perfil se utilizará remote-address (IP; Default: ) .- Especifica la dirección IP que se asignará a la interface PPP remota remote-ipv6-prefix (IPv6 prefix; Default: ) .- Prefijo IPv6 asignado al cliente PPP. El prefijo se agrega a la lista de prefijo ND que permite la configuración automática de direcciones sin estado en una interface PPP. Esta opción está disponible desde la v5.0 routes (string; Default: ) .- Especifica las rutas que aparecen en el server cuando el cliente se conecta. El formato de la ruta es dst-address gateway metric (por ejemplo 10.1.0.0/24 10.0.0.1 1 ). Se peude especificar varias rutas separando con comas. Este parámetro será ignorado por OpenVPN service (any | async | isdn | l2tp | pppoe | pptp | ovpn | sstp; Default: any) .- Especifica el tipo de servicio que un usuario específico podrá utilizar.
/ppp active (usuarios activos) Este submenú permite minitorear los usuarios activos o usuarios conectados. Representa el estado actual de las conexiones.
Útil para depurar y verificar el funcionamiento correcto de sus túneles. /ppp active print mostrará todos los usuarios conectados actualmente /ppp active print stats mostrará los bytes y paquetes recibidos • •
/ppp active print detail Flags: R - radius 0 name=”alain” service=pppoe caller-id=”28:D2:44:2C:06:EE”\ address=192.168.5.100 uptime=3m56s encoding=”MPPE128 statefull” session-id=0x81B00044\ limit-bytes-in=0 limit-bytes-out=0 1 name=”Pod4-external” service=pppoe caller-id=”D4:CA:6D:8E:1ª:97”\ address=192.168.222.2 uptime=37s encoding=”MPPE128 stateless” session-id=0x81B00045\ Academy Xperts
130
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
limit-bytes-in=0 limit-bytes-out=0 /ppp active print Flags: R – radius # NAME 0 alainpppoe 1 Pod4-exte... pppoe
SERVICE CALLER-ID 28:D2:44:2C:06:EE D4:CA:6D:8E:1ª:97
ADDRESS 192.168.5.100 192.168.222.2
UPTIME 4m12s 53s
ENCODING MPPE128 statefull MPPE128 stateless
Parámetros • •
•
•
• • • •
• • •
address (IP address) .- La dfirección IP que el cliente obtiene del server bytes (integer) .- Cantidad de bytes transferidos a través de esta conexión.
La primera representa la cantidad de tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de tráfico recibido. caller-id (string) .- Para PPTP y L2TP es la dirección IP desde la que el cliente está conectado. Para PPPoE es la dirección MAC desde la que el cliente está conectado. encoding (string) .- Muestra la encriptación y codificación (separado con “/” si es asimétrico) que está siendo usado en esta conexión. limit-bytes-in (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al router limit-bytes-out (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al cliente name (string) .- Nombre de usuario proporcionado en la fase de autenticación packets (integer/integer) .- Cantidad de paquetes transferidos a través de esta conexión. La primera representa la cantidad de tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de tráfico recibido. service (async | isdn | l2tp | pppoe | pptp | ovpn | sstp) .- Tipo de servicio que el usuario está usando session-id (string) .- Muestra el identificador de cliente único uptime (time) .- Tiempo de actividad del usuario
/ppp aaa (AAA remoto) Las configuraciones en este menú permiten configurar la contabilización ( accounting) y autenticación ( authentication) RADIUS. La base de datos de usuario RADIUS se consulta únicamente si el nombre usuario ( username) requerido no se encuentra en la base de datos de usuario local
Parámetros • • •
accounting (yes | no; Default: yes) .- Habilita la contabilización ( accounting) RADIUS interim-update (time; Default: 0s) .- Intervalo de tiempo de actualización interino use-radius (yes | no; Default: no) .- Habilita la autenticación de usuario vía RADIUS. Si no se
encuentra le entrada
en la base de datos Secret Local, entonces el cliente será autenticado vía RADIUS.
/ppp client (cliente PPP)
Parámetros •
add-default-route (yes | no; Default: no) .-
Especifica si se agrega la ruta por default para encaminar todo el
tráfico sobre el túnel.
Academy Xperts
131
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
•
• • • •
•
• •
• • •
•
• •
• •
• • • • • • • •
.- Especifica los protocolos permitidos a usar para la autenticación apn (string; Default: ) .- Nombre del Access Point (APN = Access Point Name) del Proveedor de Servicio comment (string; Default: ) .- Nombre que describe el item data-channel (integer; Default: 0) .- Especifica cuál de los canales de puertos es usado para transferir datos. default-route-distance (integer; Default: 1) .- A partir de la v6.2, configura el valor distancia aplicado para la ruta por default creada automáticamente, si es que también se ha seleccionado add-default-route dial-command (string; Default: "ATDT") .- Comando dial que se va a usar. Por default se configura el modo del tono de marcado dial-on- demand (yes | no; Default: no) .- Habilita/deshabilita dial on demand disabled (yes | no; Default: yes) .- Especifica si es que la interface esta deshabilitada o no. Por default está deshabilitada info-channel (integer; Default: 0) .- Especifica cuál de los canales de puerto (por channels) se utiliza para info keepalive-timeout (integer [0..4294967295]; Default: 30s) .- Keepalive timeout PPP en segundos max-mru (integer; Default: 1500) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface PPP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1500) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface PPP estará habilitada para enviar sin fragmentación de paquetes modem-init (string; Default: "") .- String de inicialización del modem mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel. name (string; Default: ) .- Nombre descriptivo de la interface null-modem (yes | no; Default: no) .- Habilita/deshabilita el modo null-modem (cuando está habilitado, no se envían cadenas de inicialización al modem) password (string; Default: "") .- Contraseña (password) usada para autenticación phone (string; Default: "") .- Número de teléfono para marcar (dial-out) pin (string; Default: "") .- Código de Pin de las Tarjetas SIM port (string; Default: "") .- Nombre del puerto Serial o USB donde está conectado el modem profile (name; Default: default) .- Perfil PPP que se utiliza remote-address (IP Address; Default: ) .- Dirección IP remota use-peer-dns (yes | no; Default: yes) .- Usa las configuraciones DNS server del servidor remoto user (string; Default: ) .- Nombre de usuario usado para autenticación allow (pap | chap | mschap1 | mschap2; Default: pap,chap,mschap1,mschap2)
/ip pool El Pool IP define un rango de direcciones IP que es utlizado por el Server DHCP y también por los Servers Point-to-Point. Es decir que no sólo es utilizado para DHCP, sino que también se puede utilizar para los clientes PPP y Hotspot. Útil cuando una interface puede dar servicio a muchos clientes. Las direcciones se asignan a partir del Pool de forma automática. Rangos de IPs son listas de direcciones IP que no se repiten entre si y que se pueden asignar a los clientes a través de servicios (DHCP, PPP, Hotspot).
Parámetros • •
•
name (name) .- El nombre del Pool next-pool (name) .- Cuando la dirección se adquiere de un pool que no tiene direcciones libres, y la propiedad next-pool está configurada a otro pool, entonces la siguiente dirección se obtendrá del next-pool ranges (IP address) .- La lista de dirección IP de los rangos de dirección IP en la forma: desde1-hasta1, desde2-hasta2, …, desdeN-hastaN . Por ejemplo, 10.0.0.1-10.0.0.27,10.0.0.32-10.0.0.47
Vamos a demostrar con un ejemplo. Usted tiene 50 ordenadores de la LAN corporativa y 50 que vienen desde VPN. /ip pool add name=Pool-PC ranges=192.168.5.50-192.168.5.99 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
Supongamos ahora que usted necesita agregar 50 equipos en el Pool de la LAN /ip pool print
Academy Xperts
132
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
# NAME RANGES 0 Pool-PC 192.168.5.50-192.168.5.99 1 Pool-VPN 192.168.5.100-192.168.5.149 /ip pool set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199 /ip pool> print # NAME RANGES 0 Pool-PC 192.168.5.50-192.168.5.99 192.168.5.150-192.168.5.199 1 Pool-VPN 192.168.5.100-192.168.5.149
Asignaciones para un servicio • •
Un Pool puede ser asignado para diferentes servicios tales como DHCP, PPP y HotSpot. Veremos la sintaxis más adelante
Pregunta: Cómo comunicamos las redes A y B?
PPPoE El protocolo PPPoE (Point to Point Protocolo ver Ethernet) proporciona una amplia administración de usuario, adm inistración de red y beneficios de contabilización (accounting) a los ISPs y administradores de red. En muchos sitios el PPP oE se utiliza principalmente en los ISPs para controlar las conexiones de clientes por xDSL y Cable Modem, así como también por redes Ethernet planas (plain networks). PPPoE es una extensión del estándar PPP. La diferencia entre ambos esta en el medio de transporte, ya que PPPoE utiliza Ethernet en lugar de conexiones de modem serial. Generalmente PPPoE se utiliza para manejar las direcciones IP a clientes basados en autenticación por nombre de usuario (incluso si se requiere también por estación de trabajo) en lugar de la autenticación únicamente por estación de trabajo donde se utiliza direccionamiento estático o DHCP. Se recomienda no utilizar direccionamiento estático o DHCP en las mismas interfaces como PPPoE por razones de seguridad. El cliente y server PPPoE trabajan sobre: Cualquier interface Ethernet Capa 2 Wireless 802.11 (Aironet, Cisco, WaveLan, Prism, Atheros) Ethernet 10/100/1000 Mbit/s • • •
Academy Xperts
133
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
• •
RadioLan EoIP (túnel Ethernet sobre IP)
Características principales de PPPoE
Soporte para cliente y server PPPoE Multilink PPP (MLPPP) MLPPP sobre un enlace simple (habilidad para transmitir frames de tamaño completo) Soporte para BCP (Bridge Control Protocol). Permite el envío de frames Ethernet sobre enlaces PPP Encriptación MPPE 40bits Encriptación MPPE 128 RSA Autenticación pap, chap, mschap v1, mschap v2 Soporte RADIUS para autenticación y contabilización de clientes Nótese que cuando el servidor RADIUS está autenticando un usuario con CHAP, MS-CAHPv1 o MS-CHAPv2, el protocolo RADIUS no usa una clave compartida ( shared secret), ya que esta calve compartida se utiliza únicamente en la respuesta a la autenticación. Esto significa que, si se tiene una clave compartida errónea, el servidor RADIUS aceptará el requerimiento. Se puede entonces utilizar el comando /radius monitor para visualizar el parámetro bad-replies. Este valor debería incrementar cada vez que un cliente intenta conectarse. • • • • • • • •
Conexiones soportadas • •
El Cliente PPPoE MikroTik RouterOS se puede conectar con cualquier servidor PPPoE (concentrador de acceso) El Servidor PPPoE MikroTik RouterOS (concentrador de acceso) se puede conectar con múltiples clientes PPPoE (los clientes pueden provenir de casi todos los sistemas operativos y la mayoría de routers)
Operación PPPoE Estados
PPPoE tiene 2 estados 1) Descubrimiento (Discovery) .- Un cliente descubre todos los concentradores de acceso disponible, y selecciona uno de ellos para establecer la sesión PPPoE. Este estado tiene cuatro pasos: a. Inicialización (initialization) b. Oferta (offer) c. Request (requerimiento) d. Confirmación de sesión (sesión confirmation) PPPoE Discovery utiliza frames Ethernet especiales con su propio tipo de frame Ethernet ( 0x8863) Para iniciar el descubrimiento, el cliente PPPoE envía un frame PADI a la dirección Ethernet broadcast FF:FF:FF:FF:FF:FF, y opcionalmente puede especificar un nombre de servicio ( service name) Cuando el server recibe el frame PADI, el server responde con un frame PADO a la dirección Ethernet unicast del Cliente. Puede haber más de un servidor en el rango broadcast del cliente. En tal caso el Cliente colecciona los frames PADO y elige uno para iniciar la sesión. En la mayoría de los casos elige el servidor que responde primero. El Cliente envía un frame PADR a la dirección Ethernet unicast del Server que elige. Si el Server está de acuerdo en configurar una sesión con este Cliente, entonces asigna recursos para configurar una sesión PPP y asigna un número de Identificación de Sesión ( Session ID). Este número se envía de retorno al Cliente en un frame PADS. Cuando el Cliente recibe el frame PADS, conoce la dirección MAC de los servidores y el Session ID, asigna los recursos y la sesión puede comenzar. • •
•
•
2) Sesión (Session) .- Cuando se completa el estado Discovery, ambas partes conocen el PPPoE Session ID y la dirección MAC Ethernet de cada uno, con lo cual juntos definen la sesión PPPoE. Los frames PPPoE son encapsulados en frames de sesión PPPoE, los mismos que tienen un tipo de frame Ethernet 0x8864 Academy Xperts
134
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Cuando el Server envía la confirmación y el Cliente la recibe, se inicia el estado de Sesión PPP que consiste de los siguientes pasos: a. Negociación LCP b. Autenticación c. Negociación IPCP, donde se le asigna una dirección IP al Cliente El Server PPPoE envía paquetes Echo-Request al Cliente para determinar el estado de la sesión, de otra forma el Server no podrá determinar que la sesión está terminada en los casos en que el Cliente termina la sesión sin enviar el paquete Terminate-Request
Tipos de paquetes utilizados PADI – PPPoE Active Discovery Initialization
El Cliente PPPoE envía un paquete PADI a la dirección broadcast. Este paquete también puede poblar el campo service-name si un nombre de servicio ha sido ingresado en las propiedades de networking dial-up del cliente PPPoE. Si no se ha ingresado un service-name, este campo nos será poblado PADO – PPPoE Active Discovery Offer
El Server PPPoE (Concentrador de Acceso) debe responder al PADI con un PADO si el Concentrador de Acceso está habilitado para servir el campo service-name que ha sido listada en el paquete PADI. Si ningún campo service-name ha sido listado, el Concentrador de Acceso responderá con un paquete PADO que tiene el campo service-name poblado con los nombres de servicio que el Concentrador de Acceso puede servir. El paquete PADO se envía a la dirección unicast del cliente PPPoE PADR – PPPoE Active Discovery Request
Cuando se recibe un paquete PADO, el Cliente PPPoE responde con un paquete PADR. Este paquete se envía a la dirección unicast del Concentrador de Acceso. El cliente puede recibir múltiples paquetes PADO, pero el cliente responde al primer PADO válido que el cliente recibió. Si el paquete inicial PADI tiene un campo service-name en blanco, el cliente puebla el campo service-name del paquete PADR con el nombre del primer servicio que retorna en el paquete PADO. PADS – PPPoE Active Discovery Session confirmation
Cuando se recibe el PADR, el Concentrador de Acceso genera una identificación de sesión única ( ID) para la sesión PPP y regresa este ID al Cliente PPPoE en el paquete PADS. Este paquete es enviado a la dirección unicast del Cliente. PADT – PPPoE Active Discovery Terminate
Puede ser enviado en cualquier momento después de que se establece una sesión para indicar una sesión PPPoE terminada. Puede ser enviada por el Server como por el Cliente.
MTU Típicamente el frame Ethernet más grande que se puede transmitir sin fragmentación es 1500 bytes. El protocolo PPPoE agrega 6 bytes de overhead y el campo PPP agrega 2 bytes más, dejando 1492 bytes para el datagrama IP. Por lo tanto, los valores máximos de MTU y MRU para PPPoE no deben ser mayores a 1492. Las pilas TCP tratan de evitar la fragmentación, por lo que usan un MSS (Maximum Segment Size). Por default el MSS es elegido como el MTU de la interface saliente menos el tamaño usual de las cabeceras IP y TCP (40 bytes), lo cual resulta en 1460 bytes para una interface Ethernet. Desafortunadamente puede haber enlaces intermedios con un MTU más bajo el cual puede ocasionar fragmentación. En tal caso, la pila TCP ejecuta un path MTU discovery. Los routers que no pueden pasar el datagrama sin fragmentación se supone que abandonarán/rechazarán (drop) el paquete y enviarán un mensaje ICMP-Fragmentation-Required al host origen. Cuando el host recibe este paquete ICMP, intenta disminuir el MTU. Esto debería funcionar en un esquema ideal, sin embargo, en el mundo real muchos routers no generan los datagramas fragmentation-requiered, y también muchos firewalls abandonan/rechazan (drop) todos los datagramas ICMP. La solución para este problema es ajustar el MS S si es que es demasiado grande. Por default el RouterOS agrega reglas de mangle para interceptar los paquetes TCP SYN y silenciosamente ajusta cualquier opción MSS anunciando la que será apropiada para el enlace PPPoE.
Academy Xperts
135
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
pppoe client (Cliente PPPoE)
Propiedades •
•
•
•
•
• • • • •
•
• •
•
• •
ac-name (string; Default: "") .-
Nombre del Concentrador de Acceso. Este campo puede ser dejado en blanco y el cliente se conectará a cualquier Concentrador de Acceso en el dominio de broadcast. add-default-route (yes|no; Default: no) .- Habilita/Deshabilita si es que se agregará automáticamente la ruta por default. allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de autenticación permitidos. Por default todos los métodos están permitidos. default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route dial-on-demand (yes | no; Default: no) .- Se conecta al Concentrador de Acceso únicamente cuando se genera tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada mientras la conexión no está establecida interface (string; Default: ) .- Nombre de la interface en la cual correrá el cliente keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit mrru (disabled | integer 512..65535; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel name (string; Default: ) .- Nombre de la interface PPPoE. Se genera automáticamente por el RouterOS si es que no se especifica. password (string; Default: "") .- Contraseña (password) usado para la autenticación profile (name; Default: default-encryption) .- Especifica el perfil por default para la conexión definida en /ppp profiles service-name (string; Default: "") .- Especifica el nombre de servicio configurado en el Concentrador de Acceso. Puede ser dejado en blanco para conectarse a cualquier Server PPPoE use-peer-dns (yes|no; Default: no) .- Habilita/Deshabilita la obtención de las configuraciones DNS desde su peer user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPPoE service-name •
•
El service-name puede ser visto como el SSID de 802.11, lo que significa que es el nombre de red que el cliente este buscando. A diferencia del SSID, si el cliente no especifica uno, el concentrador de acceso (servidor PPPoE) enviara todos los service-names que administre. El cliente responderá al primero que llegue.
Status El comando /interface pppoe-client monitor mostrará el estatus PPPoE actual Propiedades • • • •
ac-mac (MAC address) .- La dirección MAC del Concentrador de Acceso al que el Cliente está conectado ac-name (string) .- Nombre del Concentrador de Acceso active-links (integer) .- Número de las conexiones MLPPP unidas (‘1’ si no se está usando MLPPP) encoding (string) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado
en esta
conexión. • •
local-address (IP Address) .- Dirección IP asignada al cliente remote-address (IP Address) .- Dirección IP remota asignada al
Academy Xperts
Server (por ejemplo la dirección del Gateway) 136
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
• • • •
mru (integer) .- MRU efectivo del enlace mtu (integer) .- MTU efectivo del enlace service-name (string) .- Nombre del servicio utilizado status (string) .- Estatus actual del enlace. Los valores
disponibles son: dialing (marcando) verifying password... (verificando contraseña) connected (conectado) disconnected (desconectado) uptime (time) .- Tiempo de conexión mostrado en días, horas, minutos y segundos. • • • •
•
Scanner A partir de la v3.21 RouterOS agregó la herramienta PPPoE Scanner. Esta herramienta permite escanear todos los servidores PPPoE activos en el dominio de broadcast. /interface pppoe-client scan
Propiedades • • •
service (string) .- Nombre del servicio configurado en el Server mac-address (MAC) .- Dirección MAC del Server detectado ac-name (string) .- Nombre del Concentrador de Acceso
Academy Xperts
137
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Notas importantes
En Windows, algunas instrucciones de conexión pueden usar la forma donde el phone number, por ejemplo, MikroTik_AC\mt1, se especifica para indicar que MikroTik_AC es el nombre del Concentrador de Acceso (AC), y mt1 es el nombre del servicio. La especificación del MRRU significa que se habilita MP (Multilink PPP) sobre un enlace simple. Este protocolo se utiliza para dividir los paquetes grandes en paquetes más pequeños. En Windows esto se puede habilitar en la pestaña Networking, botón Configuración, opción “Negociar multi-link para conexiones de enlace simple”. El MRRU en Windows está codificado en 1614. Esta configuración es útil para resolver fallas de PathMTU Discovery. La configuración MP debe estar habilitada en ambas partes.
Configuración del Server PPPoE (Concentrador de Acceso) /interface pppoe-server server
El Server PPPoE (Concentrador de Acceso) soporta múltiples servers para cada interface, con diferentes nom bres de servicio (service-name). El Throughput del Server PPPoE ha sido probado a 160 Mbps en un CPU Celeron 600. El uso de CPUs de mayor velocidad debería incrementar proporcionalmente el Throughput. El nombre del Concentrador de Acceso y el nombre del servicio PPPoE son usados por los clientes para identificar el concentrador de acceso al cual se quieren registrar. El nombre del concentrador de acceso es el mismo que la identidad del router que se muestra antes del command prompt. La identidad se puede configurar en /system identity Es importante recordar que, si no se especifica un nombre de servicio en Windows XP, únicamente usará un servicio sin nombre. Por lo tanto, si se desea atender clientes Windows XP, se debe dejar el nombre de servicio vacío. Propiedades •
authentication (mschap2 | mschap1 | chap | pap; Default: "mschap2, mschap1, chap, pap")
.- Algoritmo de
autenticación. • • •
default-profile (string; Default: "default") .- Perfil de usuario por default que se va a utilizar interface (string; Default: "") .- Interface a la que los clientes se conectan keepalive-timeout (time; Default: "10") .- Define el período de tiempo (en segundos) después del cual el router inicia el envío de paquetes keepalive cada segundo. Si es que no existe tráfico y no arriban respuestas keepalive en ese período de tiempo (por ejemplo, 2*keepalive-timeout), el cliente que no responde se
proclama como desconectado. •
•
•
•
•
•
.- Maximum Receive Unit. El valor óptimo es el MTU de la interface en la que el túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe configurar el MTU en 1480 para evitar la fragmentación de paquetes. max-mtu (integer; Default: "1480") .- Maximum Transmission Unit. El valor óptimo es el MTU de la interface en la que el túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe configurar el MTU en 1480 para evitar la fragmentación de paquetes. max-sessions (integer; Default: "0") .- Número máximo de clientes que el Concentrador de Acceso puede atender. 0 (cero) significa que no hay limitantes. mrru (integer: 512..65535 | disabled; Default: "disabled") .- Tamaño máximo del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el túnel MTU, será divido en múltiples paquetes, permitiendo el tamaño completo de los paquetes IP o Ethernet que serán enviados a través del túnel. one-session-per-host (yes | no; Default: "no") .- Se permite únicamente una sesión por host (determinado por la dirección MAC). Si un host intenta establecer una nueva sesión, la anterior será cerrada. service-name (string; Default: "") .- El nombre de servicio PPPoE. El servidor aceptará clientes a los cuales envía el mensaje PADI con service-names que concuerden con esta configuración o si el campo de service-name en el mensaje PADI no está configurado. max-mru (integer; Default: "1480")
Academy Xperts
138
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Notas importantes
El valor por default de 10 segundos del parámetro keepalive-timeout es adecuado en la mayoría de los casos. Si se configura este parámetro como 0 (cero), el router no desconectará a los clientes hasta que ellos explícitamente hagan logout o hasta que el router reinicie. Para resolver este problema, se puede utilizar la propiedad one-session-per-host. Como punto importante de seguridad recuerde que no debe asignar una dirección IP a la interface en l a cual se recibirán los requerimientos PPPoE. La especificación del MRRU significa que se habilita MP (Multilink PPP) sobre un enlace simple. Este protocolo se utiliza para dividir los paquetes grandes en paquetes más pequeños. En Windows esto se puede habilitar en la pestaña Networking, botón Configuración, opción “Negociar multi-link para conexiones de enlace simple”. El MRRU en Windows está codificado en 1614. Esta configuración es útil para resolver fallas de PathMTU Discovery. La configuración MP debe estar habilitada en ambas partes. PPPoE Server (Servidor PPPoE) /interface pppoe-server
Una interface se crea por cada túnel establecido al servidor dado. Las interfaces estáticas se agregan administrativamente si es que existe la necesidad de referenciar el nombre de la interface en particular (en reglas en firewall u otro lugar) creada para el usuario en particular. Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP Server Las interfaces estáticas se agregan administrativamente si es que existe una necesidad para referenciar el nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en particular. Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre. Si existe problema se debe configurar el valor one-session-per-host. Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así que si se necesitan reglas persistentes para ese usuario, se debe c rear una entrada estática para ese usuario. De lo contrario es seguro usar la configuración dinámica. Es importante notar que en ambos casos los usuarios PPP deben ser configurados apropiadamente. Las entradas estáticas no reemplazan la configuración PPP. •
•
Propiedades •
encoding (read-only: text)
.- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado
en esta conexión. • • • • • • •
mru (integer) .- MRU del cliente mtu (integer) .- MTU del cliente name (name) .- Nombre de la interface remote-address (read only: MAC address) .- Dirección MAC del cliente conectado service (string) .- Nombre del servicio al que el usuario está conectado uptime (time) .- Tiempo que el cliente ha estado conectado user (name) .- Nombre del usuario conectado (debe estar presente en la base de datos de usuario)
Creando un PPPoE server • • •
•
•
Un PPPoE server es el dispositivo que ofrece el servicio de tunelización Permite a los clientes obtener un servicio de VPN seguro a la capa 3 a través de la infraestructura de la capa 2. Usted no puede llegar a un servidor PPPoE a través de routers. Ya que es un protocolo de capa 2, el servidor solo se puede llegar a través del mismo dominio de difusión Ethernet a la que los clientes pertenecen. Antes de crear el servidor, creamos los parámetros de configuración que usted requiere tales como: o IP Pool o PPP profiles PPP secrets Crear la interface de servidor de la interface física frente a los clientes Ejemplo:
/ip pool add name=Pool-PC ranges=192.168.5.50-192.168.5.99, 192.168.5.150-192.168.5.199 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149 /ppp profile add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \ remote-address=192.168.222.2 use-compression=yes use-encryption=yes \ use-vj-compression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1\ name=Profile-internal remote-address=Pool-VPN use-compression=yes\ use-encryption=yes use-vj-compression=no /ppp secret
Academy Xperts
139
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal /interface pppoe-server server add authentication=mschap2 default-profile=Profile-external disabled=no \ interface=ether1 mrru=1600 service-name=PPPoE-external add authentication=mschap2 default-profile=Profile-internal disabled=no \ interface=ether5 mrru=1600 service-name=PPPoE-internal
Tip: Usted puede dejar un puerto Ethernet sin un puerto maestro, un bridge o una dirección IP y el cliente que está conectado
a este puerto pueden conseguir todavía el acceso a Internet si el servidor PPPoE (y el cliente PPPoE) está configurado correctamente. Direcciones Point-to-Point • • •
Direcciones desde /ppp secret tienen prioridad sobre /ppp profile, y ellos tienen prioridad sobre /ip pool. Tanto las direcciones locales y remotas pueden ser únicas o de un Pool Direcciones estáticas o direcciones por medio de DHCP no se deben utilizar en interfaces de clientes PPPoE.
Creando Clientes PPPoE en un RouterOS • •
Si desea utilizar un perfil diferente que el de por defecto, crearlo primero. Crear la interface de cliente en la interface de cara al ISP
Ejemplo /ppp profile add change-tcp-mss=yes name=Profile-external use-compression=yes \ use-encryption=yes use-vj-compression=no /interface pppoe-client add ac-name=" " add-default-route=yes allow=mschap2 default-route-distance=1\ dial-on-demand=no disabled=no interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=disabled name=Client-PPPoE password=pod4-123 profile=Profile-external service-name=" " usepeer-dns=no user=Pod4-external
Habilite la interface del cliente. Tip
El router no tendría que ser configurado con un cliente DHCP en la interface WAN y esto aún funcionará si el servidor P PPoE está en la misma infraestructura de capa 2 como puerto WAN.
PPTP PPTP es un túnel seguro para transportar tráfico IP usando PPP. PPTP encapsula PPP en líneas virtuales que corren sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP. Los clientes PPTP están disponibles en casi todos los sistemas operativos, incluso en Windows. RouterOS soporta Multilink PPP (también conocido como MP, MLPPP, MPPP, MLP, o Multilink) con lo cual se provee un método para esparcir el tráfico a través de múltiples conexiones PPP distintas. En una simple línea PPP los frames no pueden arribar fuera de orden, pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP. Por este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. MP es un ejemplo de tecnología de agregación de enlace. MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP. MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño. o MRRU = Maximum Received Reconstructed Unit o El MRRU es similar al MTU (Maximum Transmission Unit), pero solo se aplica a los paquetes Multilink. o El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar. o Por default el MRRU es 1500 bytes, pero se puede configurar un diferente de MRRU si el equipo con el que va a conversar permite/acepta ese nuevo valor. La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar frames Ethernet a través de enlaces PPP. De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. Para esto se necesita que el Bridge tenga una dirección MAC o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC. PPTP incluye contabilización (accounting) y autenticación (authentication) PPP para cada conexión PPTP. La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local RouterOS soporta los tipos de encriptación MPPE 40bit RC4 MPPE 128bit RC4 El tráfico PPTP utiliza TCP puerto 1723 IP protocol GRE o GRE = Generic Routing Encapsulation •
•
• •
• •
Academy Xperts
140
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
GRE = IP protocol ID 47 PPTP puede ser usado con la mayoría de firewalls y routers habilitando TCP 1723 y GRE (protocolo 47). De esta manera el tráfico puede ser ruteado a través del firewall o router. Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura a través de una conexión enmascarada (NATeada). PPTP es un protocolo de túnel que utiliza la información y direccionamiento del enrutamiento IP, para ligar a los clientes a los servidores PPTP. La definición del servidor PPTP es casi lo mismo que para PPPoE, excepto que ninguna interface tiene que ser especificada. El cliente se define casi de la misma manera como un cliente PPPoE, excepto que una dirección IP tiene que ser especificada para el servidor. Consejo: Se debe desbloquear el puerto 1723 en el firewall del router (el servidor PPTP) para que pueda llegar con su túnel. Es un túnel seguro para el transporte de trafico IP mediante PPP. La encapsulación de PPTP en líneas virtuales que corren sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point-to-Point Encryption) para hacer enlaces cifrados. El objetivo de este protocolo es hacer conexiones seguras bien administradas entre los routers, así como entre los router clientes PPTP. Clientes están disponibles para y/o incluido en casi todos los sistemas operativos incluyendo Windows). Se crea una interface para cada túnel establecido con el servidor dado. Hay dos tipos de interfaces en la configuración de PPTP. Las interfaces estáticas se añaden administrativamente si hay una necesidad de hacer referencia al nombre de la interface en particular (en las reglas de firewall) creados por el usuario en particular. Las interfaces dinámicas se añaden a esta lista de forma automática cada vez que se conecta un usuario y su nombre de usuario no coincide con ninguna entrada estática existente. Interfaces dinámicas aparecen cuando un usuario se conecta y desaparecen una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en el servidor de seguridad), así que si necesitas reglas persistentes para ese usuario, crear una entrada estática para el usuario, de lo contrario es seguro usar configuración dinámica. El siguiente ejemplo muestra como conectar un ordenar a un red de oficina remota a través de una túnel PPTP encriptado, dando ese equipo una dirección IP de la misma red que la oficina remota tiene (sin necesidad de tender un bridge sobre túneles EoIP) o
•
•
•
•
El router de la oficina está conectado a internet a través de ether1. Las estaciones de trabajo están conectados a ether2. Las portátiles están conectadas a internet, y puede alcanzar IP publica del router de la oficina (en nuestro ejemplo es 192.168.80.1) Primer paso es crear un usuario /ppp secret add name=Laptop service=pptp password=123 local-address=10.1.101.1\ remote-address=10.1.101.100 /ppp secret print detail Flags: X – disabled 0 name=”Laptop” service=pptp caller-id=” ” password=”123” profile=default local-address=10.1.101.1 remote-address=10.1.101.100 routes==” “
Observe que la dirección local PPTP es la misma que la dirección del router en la interface local y la dirección remota es del mismo rango que la red local (10.1.101.0/24). El siguiente paso es habilitar el servidor PPTP y el cliente PPTP en la computadora portátil. /interface pptp-server server set enabled=yes /interface pptp-server server print Enabled: yes max-mtu: 1460 Academy Xperts
141
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
max-mru: mrru: authentication: keepalive-timeout: default-profiles:
1460 disabled mschap2 30 default
El cliente PPTP de la computadora portátil debe conectarse a routers IP publica que en nuestro ejemplo es 192.168.80.1 (consulte el manual respectivo sobre como configurar un cliente PPTP con el software del sistema operativo que esté utilizando). En este punto (cuando el cliente PPTP está conectado con éxito) si intenta hacer ping a cualquier estación de trabajo que forma parte de la red del ordenador portátil, el ping será el tiempo de espera debido a que el ordenador portátil está en condiciones de obtener aplicaciones de estaciones de trabajo. La solución es la creación de proxy arp en la interface local. /interface ethernet set Office arp=proxy-arp /interface ethernet print Flags: X – disabled, R – running # Name MTU MAC-ADDRESS 0 R ether1 1500 00:30:4F:0B:7B:C1 1 R ether2 1500 00:30:4F:06:62:12
ARP enabled proxy-arp
Luego que el proxy-arp este activado, el cliente remoto puede alcanzar con éxito todas las estaciones de trabajo en la red local detrás del router.
PPTP Client (cliente pptp)
•
add-default-route (yes | no; Default: no) .-
Especifica si es que se agrega una dirección remota PPTP como
una ruta por default •
allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .-
Especifica los métodos de
autenticación permitidos • •
•
• • •
•
•
• • • •
connect- to (IP; Default: ) .- Dirección remota del servidor PPTP default-route-distance (byte [0..255]; Default: 1) .- Configura
el valor de distancia aplicado para la ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route dial-on-demand (yes | no; Default: no) .- Se conecta al servidor PPTP únicamente cuando se genera tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada mientras la conexión no está establecida disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está deshabilitada. keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel name (string; Default: ) .- Nombre descriptivo de la interface password (string; Default: "") .- Contraseña (password) usado para la autenticación profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPTP Server (servidor pptp) Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP Server
Academy Xperts
142
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Las interfaces estáticas son administrativamente agregadas si es que existe una necesidad para referenciar el nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en particular. Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre) Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario es seguro usar la configuración dinámica. •
•
Nota Importante
En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la configuración PPP Parámetros •
authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2)
.- Especifica los métodos de
autenticación que el servidor aceptará • • •
•
•
•
default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará enabled (yes | no; Default: no) .- Define si es que el servidor PPTP está habilitado o no keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive no recibe
ningún paquete, se enviará paquetes keepalive cada segundo por cinco veces. Si el server no recibe respuesta del cl iente, entonces se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los mensajes “LCP missed echo reply” y luego se desconectará. max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel
L2TP L2TP es un protocolo de túnel seguro para transportar tráfico IP usando PPP. L2TP encapsula PPP en líneas virtuales que corren sobre IP, frame Relay y otros protocolos (que no son soportados actualmente por MikroTik RouterOS) L2TP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. El propósito de este protocolo es permitir que los extremos PPP y Capa 2 residan en diferentes dispositivos interconectados por una red conmutada de paquetes (packet-switched network) Con L2TP, un usuario tiene una conexión en Capa 2 a un concentrador de acceso – LAC (ejemplo: manco de módems, ADSL DSLAM, etc.), y el concentrador entonces hace túneles de frames PPP individuales al Servidor de Acceso de Red (NAS = Network Access Server). Esto permite que el procesamiento real de paquetes PPP sea separado de la terminación del circuito de Capa 2. Desde la perspectiva del usuario, no existe diferencia funcional entre tener que el circuito en Capa 2 termine en un NAS directamente o usando L2TP. Puede ser útil usar L2TP únicamente como cualquier otro protocolo de túnel con o sin encriptación. El estándar L2TP establece que la forma más segura de encriptar datos es usar L2TP sobre IPsec (este es el modo por default para cliente Microsoft L2TP) ya que todos los paquetes de control y datos de L2TP de un túnel aparecen como paquetes de datos UDP/IP homogéneos para el sistema IPsec. Se soporta Multilink PPP (MP) para poder proveer MRRU (la habilidad para transmitir paquetes de 1500 y más grandes) y Bridging sobre enlaces PPP (usando BCP=Bridge Control Protocol, el cual permite enviar frames Ethernet sobre enlaces PPP). De esta forma es posible configurar Bridging sin E oIP. El bridge debería tener ya sea una dirección MAC administrativa o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC.
Academy Xperts
143
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
L2TP incluye autenticación (authentication) y contabilización (accounting) PPP para cada conexión L2TP. Una completa autenticación y contabilización de cada conexión puede ser realizada a través de un cliente RADIUS o localmente. Métodos de encriptación soportados MPPE 40bit RC4 MPPE 128bit RC4 El protocolo L2TP utiliza el protocolo UDP para los paquetes de control y de datos. El puerto UDP 1701 se utiliza únicamente para establecer el enlace, el tráfico adicional puede utilizar cualquier puerto UDP (que puede o no ser el 1701). Esto significa que L2TP puede ser usado con la mayoría de firewalls y routers (incluso con NAT) tan solo habilitando que el tráfico UDP sea ruteado a través del firewall o del router. • •
L2TP Client (cliente l2tp)
•
add-default-route (yes | no; Default: no) .-
Especifica si es que se agrega una dirección remota L2TP como
una ruta por default •
allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .-
Especifica los métodos de
autenticación permitidos • • •
•
• •
•
•
•
• • • •
connect-to (IP; Default: ) .- Dirección remota del servidor L2TP coment (string; Default: ) .- Breve descripción del túnel default-route-distance (byte; Default:) .- Desde la v6.2 se
configura el valor de distancia aplicado para la ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route dial-on-demand (yes | no; Default: no) .- Se conecta únicamente cuando se genera tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada mientras la conexión no está establecida disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está deshabilitada. keepalive-timeout (integer [1..4294967295]; Default: 60s) .- Desde la v6.0rc13, el keepalive timeout se representa en segundos max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel name (string; Default: ) .- Nombre descriptivo de la interface password (string; Default: "") .- Contraseña (password) usado para la autenticación profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
L2TP Server (servidor l2tp) Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración L2TP Server Las interfaces estáticas son agregadas administrativamente si es que existe una necesidad para referenciar el nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en particular. •
Academy Xperts
144
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre) Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario es seguro usar la configuración dinámica. •
Nota Importante
En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la configuración PPP Parámetros •
authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2)
.- Especifica los métodos de
autenticación que el servidor aceptará • • •
•
•
•
default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará enabled (yes | no; Default: no) .- Define si es que el servidor L2TP está habilitado o no keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive-timeout no
recibe ningún paquete, se enviará paquetes keepalive cada segundo, por cinco veces. Si el server no recibe respuesta del cliente, entonces se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los mensajes “LCP missed echo reply” y luego se desconectará. Este parámetro está disponible a partir de las versiones v5.22 y v6rc3 max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel
Clientes y servidores SSTP VPN SSTP es un tipo de VPN de acceso remoto que permite una conexión VPN por SSL de HTTPS, o lo que es lo mismo encapsula trafico PPP sobre un canal SSL. Esto le permite atravesar Firewalls donde las conexiones VPN por PPTP o L2TP estén prohibidas. SSTP utilizara el puerto 443 para atravesar los firewalls y a través de SSL tenemos cifrado, autenticación y negociación de claves. Definición del servidor SSTP es casi lo mismo que para PPTP, salvo que se especifique un puerto TCP para conectarse (443 por defecto). Se usa con certificados digitales para crear Túneles sobre internet. El cliente se define casi la misma forma que un cliente PPTP, salvo que se especifique un puerto TCP a utilizar para establecer una conexión (443 por defecto). Consejo: Debe permitir el puerto 443 para que su túnel pueda llegar sin problemas. Además, dejar el puerto en 443 para asegurarlo con SSL y poderlo utilizar para sus comunicaciones. •
• •
•
Academy Xperts
145
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Configuración en línea de comando: /interface sstp-server server set authentication=mschap2 enabled=yes
/interface sstp-client add add-default-route=no authentication=mschap2 certificate=none connect-to=\ 192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \ keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \ password=pod4-123 profile=Profile-external user=Pod4-external \ verify-server-address-from-certificate=no verify-server-certificate=n
Academy Xperts
146
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
Clientes y Servidores OpenVPN Es una solución de conectividad basada en software libre: SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente. Sigue el mismo patrón de configuraciones anteriores, similar a SSTP. Con la única diferencia, que con esta herramienta (OPVN) nos permites crear nuestros propios certificados digitales públicos, para poder usarlos, sin tener que pagar por ellos. Una muy buena herramienta a la hora de pensar en el factor COSTO. • •
•
Configuración de Rutas entre redes Es necesaria la configuración de rutas estáticas para que exista comunicación, tomar en cuenta: Una vez que el túnel está configurado y operativo, usted necesita rutas para mover los paquetes de un lado a otro. La primera forma, es usar la ruta que se crea automáticamente en el router del cliente para ese túnel. • •
/ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.0.254 0 1 ADC 192.168.0.0/24 192.168.0.5 ether1 0 2 ADC 192.168.5.0/24 192.168.5.1 Bridge-PC 0 3 ADC 192.168.5.101/32 192.168.5.1 0 •
La segunda opción es especificar una o múltiples rutas con PPP secret para cada cliente:
/ppp secret export add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal /ppp secret print Flags: X - disabled # NAME 0 Pod4-external Academy Xperts
SERVICE CALLER-ID any
PASSWORD pod4-123
PROFILE Profile-external
REMOTE-ADDRESS
147
RouterOS v6.39.2.01 – Capítulo 8 – Túneles PPP
1
alain
any
alain!!
Profile-internal
/ppp secret set 0 routes=192.168.4.0/24,10.10.2.0/24 /ppp secret export add name=Pod4-external password=pod4-123 routes=192.168.4.0/24,10.10.2.0/24 add name=alain password=alain!! profile=Profile-internal • •
profile=Profile-external
\
La tercera forma es agregar rutas estáticas a una o varias redes a través de un túnel. Este método es útil si ambos routers tienen su propia ruta por defecto, pero implica más mantenimiento y parámetros.
/ip route add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24 gateway=192.168.254.10 add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21 gateway=192.168.254.10
Preguntas de repaso del Capítulo 8 1.
Qué protocolos pueden ser tunelizados?
2.
Qué es el SECRET y qué es el PROFILE?
3.
Cuál es la principal característica del túnel PPPoE?
4.
Cuál es el puerto y el protocolo que se debe tener en cuenta para habilitar una regla en Firewall para permitir túneles PPTP?
Laboratorio – Capítulo 8
Academy Xperts
148
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Capítulo 9: Herramientas RouterOS E-mail Es una herramienta que te permite enviar un mail desde el router. Se puede utilizar, junto con otras herramientas, para enviar copias de seguridad de configuración regulares y exportar al administrador de red. La herramiena E-mail utiliza únicamente autenticación plana y encriptación TLS. No se soportan otros métodos.
Por medio de línea de comando lo podemos ver como: /tool e-mail Address: Port: Start-tls: From: User: Password:
print 0.0.0.0 25 no <>
Propiedades /tool e-mail
Este sub menú permite configurar el servidor SMTP que se utilizará from (string; Default: <>) – Nombre o dirección email que se mostrará coom receptor password (string; Default: "") – Contraseña que se utiliza para autenticar al servidor SMTP address (IP/IPv6 address; Default: 0.0.0.0) – Dirección IP del servidor SMTP port (integer[0..65535]; Default: 25) – Puerto del servidor SMTP username (string; Default: "") – Nombre de usuario (username) utilizado para autenticar en el servidor SMTP Importante: Si se especifican las configuraciones del server, las mismas pueden ser reemplazadas cuando se utilice el comando send. • • • • •
Send Email /tool e-mail send
Este sub menú permite configurar el servidor SMTP que se utilizará body (string; Default: ) – Cuerpo (contenido) del mensaje de correo cc (string; Default: ) – Permite especificar las direcciones de correo a las que se hará una copia del mail file (string; Default: ) – Nombre del archivo que se adjuntará al mail. Únicamente se puede adjuntar un archivo • • •
Academy Xperts
149
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
•
• • • •
from (string; Default: ) – Nombre o dirección de correo que aparecerá como remitente. Si no se especifica este
parámetro entonces se utilizará el valor de la configuración del server password (string; Default: ) – Contraseña que se utilizará para autenticar al servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server port (integer[0..65535]; Default: ) – Puerto del servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server server (IP/IPv6 address; Default: ) – Dirección IP o IPv6 del servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server subject (string; Default: ) – Asunto del mensaje tls (yes|no; Default: yes) – Permite especificar si se utiliza encriptación TLS o no to (string; Default: ) – Dirección de correo de destino user (string; Default: ) – Nombre usuario (username) que se utiliza para autenticar al servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server
Ejemplo básico #1
El siguiente ejemplo muestra cómo enviar un mail con el export de la configuración cada 24 horas 1. Configurar el servidor SMTP /tool e-mail> set server=10.1.1.1 port=25 from="[email protected]"
2.
Agregar un nuevo script llamado “export-send”
/export file=export /tool e-mail send to="[email protected]" subject="$[/system identity get name] export) \ body="$[/system clock get date] configuration file" file=export.rsc
3.
Agregar un scheduler para ejecutar el script
/system scheduler add on-event="export-send" start-time=00:00:00 interval=24h
Ejemplo básico #2
Enviar un email al servidor usando encriptación TLS/SSL. Por ejemplo, el mail de Google requiere esta configuración: 1. Configurar el cliente para conectarse al server correcto /tool e-mail set address=173.194.77.108 set port=587 set [email protected] set user=myuser set password=mypassword
2.
Enviar el email usando el comando send con el parámetro tls=yes
send [email protected] subject="email test" body="email test" tls=yes
Netwatch Netwatch monitorea el estado de los host de la red. Lo hace mediante el envío de pings ICMP a la lista de direcciones IP especificadas. La principal ventaja de netwatch es su capacidad arbitraria de emitir comandos ante los cambios de estado del host que monitorea. Importante: netwatch ejecuta los scripts como un usuario *sys, por lo que cualquier variable global que se defina en este script de netwatch, no podrá ser leida por el scheduler u otros usuarios. Para cada entrada se puede especificar Dirección IP Intervalo del Ping Scripts Up / Down Es muy útil para: Ser conscientes de los fallos de red Automatizar un cambio de puerta de enlace predeterminada, por ejemplo, si el router principal falla. Solo para tener una vista rápida de lo que está pasando Cualquier otra cosa que usted puede llegar a simplificar y acelerar es su trabajo • • •
• • • •
Propiedades /tool netwatch •
•
down-script (string; Default: ) – script de consola que se ejecuta una vez cuando el estado de un host cambia a down host (IP; Default: 0.0.0.0) – Dirección IP de un host que debe ser monitoreado
Academy Xperts
150
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
interval (time; Default: 1m) – Intervalo de tiempo entre pings. Si se disminuye este valor se hará que los cambios
•
de estado más sensibles, pero puede crear tráfico innecesario y consumir recursos del sistema. timeout (time; Default: 1s) – Tiempo en segundos luego del cual el host se considera caído ( down) up-script (string; Default: ) – script de consola que se ejecuta una vez cuando el estado de un host cambia a
•
up
Ejemplo de Netwatch con estatus “UP”
Ejemplo de Netwatch con estatus “DOWN”
Ejemplo básico #1
El siguiente ejemplo ejecutará los scripts gw_1 o gw_2 que cambiará el default gateway dependiendo del estatus de uno de los gateways: /system script add name=gw_1 source={/ip route set {... [/ip route find dst 0.0.0.0] gateway 10.0.0.1} /system script add name=gw_2 source={/ip route set {.. [/ip route find dst 0.0.0.0] gateway 10.0.0.217} /system script tool netwatch add host=10.0.0.217 interval=10s timeout=998ms \ \... up-script=gw_2 down-script=gw_1 /tool netwatch print Flags: X - disabled # HOST TIMEOUT 0 10.0.0.217 997ms
Academy Xperts
INTERVAL 10s
STATUS up
151
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
/tool netwatch print detail Flags: X - disabled 0 host=10.0.0.217 timeout=997ms interval=10s since=feb/27/2003 14:01:03 status=up up-script=gw_2 down-script=gw_1
Sin los scripts, el netwach se puede utilizar como una herramienta de información para ver cuáles enlaces están operativos (up), o cuáles hosts específicos están corriendo en ese momento. En el ejemplo anterior, se cambia la ruta por default si el gateway se vuelve inalcanzable. Para esto hay 2 scripts. El script “gw_2” se ejecuta una vez cuando el estatus de host cambia a “ up”. En este caso, el siguiente es el equivalente a ingresar el comando por consola: /ip route set [find dst-address="0.0.0.0/0"] gateway=10.0.0.217
El comando find retorna una lista de todas las rutas cuyo valor de dst-adress es 0.0.0.0/0 Esta es usualmente la ruta por default. Se substituye como primer argumento por el comando /ip route set, el cual cambia el gateway de esta ruta a 10.0.0.217 El script “gw_1” se ejecuta una vez cuando el estatus del host se vuelve “ down”. Hace lo siguiente: /ip route set [find dst-address="0.0.0.0/0"] gateway=10.0.0.1
Cambia el default gateway si la dirección 10.0.0.217 se vuelve inalcanzable Ejemplo básico #2
Envía una notificacion email si el host 10.0.0.215 se vuelve down: /system script add name=e-down source={/tool e-mail send {... from="[email protected]" server="159.148.147.198" body="Router down" {... subject="Router at second floor is down" to="[email protected]"} /system script add name=e-up source={/tool e-mail send {... from="[email protected]" server="159.148.147.198" body="Router up" {.. subject="Router at second floor is up" to="[email protected]"} /system script tool netwatch add host=10.0.0.215 timeout=999ms \ \... interval=20s up-script=e-up down-script=e-down /tool netwatch print detail Flags: X - disabled 0 host=10.0.0.215 timeout=998ms interval=20s since=feb/27/2003 14:15:36 status=up up-script=e-up down-script=e-down
Ping Es una herramienta de conectividad básica que utiliza mensajes de ICMP E cho para determinar si un host remoto está activo o inactivo, y también para determinar el retardo de ida y vuelta cuando se comunica con dicho host remoto La herramienta ping envía un mensaje ICMP ( type 8) al host remoto y espera por el mensaje ICMP echo-reply ( type 0) de retorno. El intervalo entre estos eventos se conoce como “round trip”. Si la respuesta (que se conoce como “pong”) no llega hasta que finaliza el intervalo de tiempo de espera, se asume que el tiempo se ha agotado ( timed-out). Otro parámetro significativo que se reporta en la herramienta ping es ttl (Time To Live), el cual disminuye en cada máquina en que el paquete es procesado. El paquete alcanzara su destino únicamente cuando el ttl sea mayor que el número de routers entre el origen y el destino. Cabecera (header) ICMP
La cabecera ICMP comienza después de la cabecera IPv4 y se identifica con el número de protocolo IP '1'. Todos los paquetes ICMP tienen una cabecera de 8 bytes y la sección de datos de tamaño variable. Los primeros 4 bytes de la cabecera tienen formato fijo, mientras que los últimos 4 bytes dependen del type/code de ese paquete ICMP.
Formato de la cabecera (header) ICMP
Academy Xperts
152
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Mensajes de Control ICMP
Propiedades /ping [address] [properties]
La herramienta ping puede usarse para para hacer ping a direcciones IP y a direcciones MAC. MAC ping funciona únicamente a dispositivos que tienen configurado el MAC ping server • •
•
• •
arp-ping (yes | no; Default: ) count (integer [0..4294967295]; Default: 0) – Número total de paquetes a enviar (por default se envía eternamente
hasta que se interrumpe el comando). do-not-fragment (; Default: ) – Si la etiqueta do-not-fragment está configurada, los paquetes no serán fragmentados si el tamaño excede el MTU de la interface. interface (string; Default: ) – Especifica cuál interface se debe usar (requerido cuando se ping a direcciones IPv6) interval (time [10ms..5s]; Default: 1s) – Especifica cuánto tiempo se debe esperar por la respuesta. Si no se recibe respuesta dentro de 1,000 mseg, el ping m ostrará el mensaje “timed-out”. Si se recibe una respuesta después de 3 ms, el programa ping esperará el resto de los 997 ms hasta que se envíe el próximo ping.
Academy Xperts
153
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
routing-table (string; Default: main) – Especifica la tabla de ruteo que se debe usar para resolver el destino. Se
utiliza en configuraciones VRF size (integer; Default: 64) – Tamaño del paquete que se va a usar. Se mide en bytes (incluye el payload y la cabecera IP) src-address (IPv4,IPv6; Default: ) – Direcciones IPv4 / IPv6 que serán utilizadas como origen de los paquetes. Sumamente útil si la respuesta se debe enviar a una dirección específica ttl (integer [1..255]; Default: ) – Permite el ajuste del parámetro TTL Importante: Si el DNS está configurado, entonces se puede utilizar en nombre DNS como destino del ping •
•
•
Como usar un Ping
En la ventana de Terminal del WinBox, lo podemos usar para realizar algún ping /ping www.mikrotik.com HOST SIZE TTL TIME STATUS 159.148.147.196 56 50 163ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 160ms Sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
Otros Ejemplos de ping /ping 10.1.101.3 HOST SIZE TTL TIME STATUS 10.1.101.3 56 64 3ms 10.1.101.3 56 64 10ms 10.1.101.3 56 64 7ms sent=3 received=3 packet-loss=0% min-rtt=3ms avg-rtt=6ms max-rtt=10ms /ping 10.1.101.9 HOST
sent=3 received=0 packet-loss=100%
SIZE
TTL TIME
STATUS timeout timeout timeout
También se puede hacer ping a una dirección multicast para descubrir todos los hosts que pertenecen al grupo multicast: /ping ff02::1 HOST fe80::20c:42ff:fe49:fceb fe80::20c:42ff:fe72:a1b0 fe80::20c:42ff:fe28:7945 fe80::21a:4dff:fe5d:8e56 sent=1 received=4 packet-loss=-300%
SIZE TTL TIME STATUS 56 64 1ms echo reply 56 64 1ms echo reply 56 64 1ms echo reply 56 64 3ms echo reply min-rtt=1ms avg-rtt=1ms max-rtt=3ms
ping de paquetes grandes /ping 10.1.101.3 size=1600 do-not-fragment HOST SIZE TTL TIME STATUS 576 64 3ms fragmentation needed and DF set 576 64 6ms fragmentation needed and DF set sent=2 received=2 packet-loss=0% min-rtt=3ms avg-rtt=4ms max-rtt=6ms
Academy Xperts
154
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
ping por nombre DNS /ping www.google.lv HOST SIZE TTL 74.125.77.99 56 47 74.125.77.99 56 47 sent=2 received=2 packet-loss=0% min-rtt=59ms
TIME STATUS 59ms 85ms avg-rtt=72ms max-rtt=85ms
ping a dirección MAC /ping 00:0C:42:72:A1:B0 HOST SIZE TTL TIME STATUS 00:0C:42:72:A1:B0 56 0ms 00:0C:42:72:A1:B0 56 0ms sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms
MAC ping /mac-server ping /tool mac-server ping set enabled=yes
Este sub menú permite habilitar el MAC ping server Cuando se habilita el MAC ping, otros hosts en el mismo dominio de broadcast pueden usar la herramienta ping para hacer ping a la dirección MAC.
Traceroute Traceroute es una herramienta de diagnóstico de red que muestra la ruta (path) y mide el retardo del tránsito de los paquetes a través de una red IP. El histórico de la ruta se registra como el tiempo de ida y vuelta (round-trip) de los paquetes recibidos desde cada host sucesivo (nodo remoto) en la ruta (path). La suma de los tiempos medios en cada salto indica el tiempo total empleado para establecer la conexión. Traceroute procede a menos que todos los paquetes (3 paquetes) que se envían, se pierdan más de dos veces, entonces se pierde la conexión y la ruta ya no puede evaluada. Por otro lado, el ping sólo calcula los tiempos finales de ida y vuelta desde el punto de destino. Traceroute envía una secuencia de paquetes UDP (User Datagram Protocol) direccionados al host destino. También puede usar paquetes ICMP Echo Request, o paquetes TCP SYN. El valor del TTL se utiliza para determinar los routers intermedios por los cuales se está atravesando hasta llegar al destino. Los routers disminuyen en uno los valores TTL de los paquetes y descartan los paquetes cuyos valores de TTL son cero. Cuando un router recibe un paquete con ttl=0, envía de retorno un mensaje de error ICMP que indica ICMP Time Exceeded. Los valores de fecha y hora de retorno de cada router a lo largo del camino son los valores de la demora (latencia). Este valor generalmente se mide en milisegundos para cada paquete.
Academy Xperts
155
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
/tool traceroute www.mikrotik.com # ADDRESS LOSS SENT LAST 100% 3 timeout 216.113.124.190 0% 3 13.9ms 12.2
AVG
BEST
WORST
11.1
13.9
1.2
STD-DEV
STATUS
El emisor espera una respuesta dentro de un número especificado de segundos. Si un paquete no es reconocido dentro del intervalo esperado, se muestra un asterisco (*). El protocolo IP no requiere que los paquetes tomen la misma ruta hacia un destino en particular, por lo tanto, los hosts que se muestran podría ser hosts que otros paquetes han atravesado. Si el host en el salto #N no contesta, el salto se omite en la salida. Más información es: https://en.wikipedia.org/wiki/Traceroute
Profiler (Carga del CPU) /tools profile
Esta herramienta muestra el uso del CPU para cada proceso que se ejecuta en el RouterOS. Ayuda a identificar cuál proceso es el que utiliza más recursos de CPU. /tool profile NAME sstp ppp ethernet queue-mgmt console dns winbox logging management ospf idle profiling queuing routing Academy Xperts
USAGE 9% 0.5% 0% 0% 0.5% 0% 0% 0% 1.5% 0% 87.5% 0.5% 0% 0%
156
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
bridging unclassified
0% 0.5%
Utilización del CPU en sistemas multi-core
En sistemas multi-core la herramienta permite especificar la utilización por núcleo de CPU. Por ejemplo, para ver la utilización del CPU en un segundo núcleo se debe utilizar el siguiente comando: /tool profile cpu=2 NAME CPU ethernet 1 kvm 1 management 1 idle 1 profiling 1 unclassified 1
USAGE 0% 2.5% 0.5% 96.5% 0% 0.5%
El parámetro cpu permite especificar el número entero el cual representa el número de core (núcleo) total – Este valor configura la suma del uso de todos los núcleos all – Este valor muestra los usos de cpu separadamente para cada núcleo (core) activo Ejemplo con ambos parámetros en un sistema de dos núcleos: • •
/tool profile cpu=all NAME CPU ethernet 1 kvm 0 kvm 1 management 0 management 1 idle 0 idle 1 profiling 0 profiling 1
USAGE 0% 0% 4.5% 0% 0.5% 100% 93% 0% 2%
/tool profile cpu=total NAME CPU ethernet all console all kvm all management all idle all profiling all bridging all
USAGE 0% 0% 2.7% 0% 97.2% 0% 0%
Clasificadores
Profile clasifica los procesos. La mayoría de ellos se explican por si solos y no requieren una explicación detallada. idle – Muestra el tiempo NO usado del CPU. Es decir, idle=100% - (suma de todos los procesos de uso de cpu) • • • • • • • • • • • • • • • • • • • • • • • • • •
ppp pppoe ppp-compression ppp-mppe ethernet – CPU usado por las interfaces ethernet cuando envían/reciben paquetes bridging encrypting – CPU utilizado por la encriptación de paquetes ipsec – IP security queuing – packet queuing firewall – Procesamiento de los paquetes en /ip firewall l7-matcher – CPU utilizado por el matcher Layer7 p2p-matcher – Tráfico peer-to-peer en /ip firewall gre – Túneles GRE eoip – Túneles EoIP m3p – MikroTik Packet Packer Protocol radius ip-pool routing sniffing traffic-accounting traffic-flow console telnet ssh ftp
Academy Xperts
157
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
tfpt www dns snmp socks web-proxy winbox metarouter-fs metarouter-net kvm profiling – CPU utilizado por la propia herramienta profiler btest – Herramienta bandwidth test logging flash – CPU utilizado cuando se escribe a la NAND disk – CPU utilizado cuando se escribe en Disk networking – Procesamiento de paquetes en el core serial usb firewall-mgmt queue-mgmt e-mail fetcher backup graphing health isdn dhcp hotspot radv - IPv6 route advertisement ntp - NTP server/client ldp mpls pim - Multicast routing protocol igmp-proxy bgp ospf rip mme synchronous – CPU utilizado por las tarjetas síncronas gps user-manager wireless dude supout.rif – CPU utilizado por el creador del archivo supout.rif management – Procesos de administración de RouterOS que no caen en los otros clasificadores. Por ejemplo,
•
cuando se agregan rutas al kernel, mensajes internos de intercambio entre aplicaciones RouterOS, etc. unclassified – Cualquier otro proceso que no ha podido ser clasificado.
• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
Torch El Torch es una herramienta de monitorización de tráfico en tiempo real que se puede utilizar para monitorear el tráfico a través de una interface. Se puede monitorear el tráfico clasificado por nombre de protocolo, dirección origen, dirección destino, puerto. La herramienta torch muestra el protocolo que se ha elegido y la tasa de datos tx/rx de cada uno de ellos.
Academy Xperts
158
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
El siguiente ejemplo monitorea el tráfico generado por el protocolo telnet, el cual pasa a través de la interface ether1: /tool torch ether1 port=telnet SRC-PORT DST-PORT 1439 23 (telnet)
TX 1.7kbps
RX 368bps
Para ver qué protocolos se envían a través de ether1: /tool torch PRO.. tcp udp icmp ospf
ether1 protocol=any-ip TX RX 1.06kbps 608bps 896bps 3.7kbps 480bps 480bps 0bps 192bps
Para ver qué protocolos están enlazados al host 10.0.0.144/32 conectado a la interface ether1: /tool torch ether1 src-address=10.0.0.144/32 protocol=any PRO.. SRC-ADDRESS TX RX tcp 10.0.0.144 1.01kbps 608bps icmp 10.0.0.144 480bps 480bps
Graphing (Gráficos) Es una herramienta para monitorear en el tiempo varios parámetros RouterOS y pone los datos recogidos en gráficos. Esta herramienta puede mostrar gráficos de: Estado de salud del RouterBOARD (voltaje y temperatura) Utilización de recursos (CPU, memoria y utilización de disco) Tráfico que pasa através de las interfaces Tráfico que pasa através de las colas simples ( simple queue) • • • •
Graphing consiste de dos partes: La primera parte recoge información La segunda parte muestra los datos en una página web Para acceder a los gráficos, debe escribir en el web browser http://[Direccion_IP_Router]/graphs/ y luego elegir el gráfico que se desea visualizar. • •
Academy Xperts
159
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
/tool graphing •
store-every (24hours | 5min | hour; Default: 5min) – Cuán frecuente se escriben los datos recolectados al drive
del sistema •
page-refresh (integer | never; Default: 300) – Cuán frecuente se refresca la página de gráficos
Academy Xperts
160
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Interface Graphing /tool graphing interface
Esta opción permite configurar en cuál interface las gráficas recogerán los datos de uso de ancho de banda.
Propiedades •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos • • •
comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado interface (all | interface name; Default: all) – Define qué interfaces serán monitoreadas. all significa que se van
a monitorear todas las interfaces. •
store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Queue Graphing /tool graphing queue
Esta opción permite configurar en cuál cola simple (simple queue) las gráficas recogerán los datos de uso de ancho de banda.
Propiedades •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos •
allow-target (yes | no; Default: yes) – Define si se permite el acceso a los gráficos desde la dirección objetivo de
la cola • • •
comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado simple-queue (all | queue name; Default: all) – Define qué colas serán monitoreadas. all significa que se van a
monitorear todas las colas. •
store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Importante: Si la cola simple ( simple queue) tiene un target-address=0.0.0.0/0 entonces todos estarán habilitados para acceder a los gráficos de las colas incluso si la dirección permitida se configura con una dirección específica. Esto ocurre porque los gráficos de la cola por default son accesibles también desde la dirección objetivo ( target-address).
Resource Graphing /tool graphing resource
Esta opción permite habilitar los gráficos de los recursos del sistema.
Graphing recolecta los datos de: Academy Xperts
161
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
• • •
Uso de CPU Uso de Memoria Uso de Disco
Propiedades •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos • • •
comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Graphics en WinBox WinBox permite visualizar la misma data r ecolectada como en el web page. Debe abrir la ventana en Tools/Graphing. Luego debe hacer doble-click de lo que desea ver las gráficas
SNMP Simple Network Management Protocol (SNMP) es un protocolo de Internet estándar que se utiliza para la gestión de dispositivos en las redes IP. Puede utilizarse para graficar la información con herramientas com o CACTI, MRTG o The Dude.
El soporte para la escritura en SNMP (SNMP write) está únicamente disponible para algunos OIDs. El soporte para write está disponible en los OIDs de SNMP v1, v2 o v3. Importante: SNMP responderá a la consulta en la interface SNMP que fue recibia de forzar las respuestas a tener la misma dirección que el destino de consulta enviado al router. Importante: A partir de SNMP 6.18 se implementa el OID blacklisting. El tiempo de espera del OID es 30 segundos cuando está en lista negra por 600 segundos. Configuración rápida
Para habilitar SNMP en RouterOS usando CLI /snmp print enabled: no contact: location: engine-id: trap-community: (unknown) trap-version: 1 /snmp set enabled yes
En la configuración previa también se puede especificar la información del contacto administrativo. Toda la data SNMP estará disponible a las comunidades configuradas en el menú community Para habilitar SNMP en RouterOS usando WinBox
Academy Xperts
162
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Propiedades generales
/snmp • • •
• •
•
• •
•
contact (string; Default: "") – Información de contacto enabled (yes | no; Default: no) – Permite habilitar/deshabilitar el servicio SNMP engine-id (string; Default: "") – Para SNMP v3. Se puede configurar parte del sufijo del engine-id usando este argumento. Si el cliente SNMP no es capaz de detectar el valor configurado de engine-id, entonces se debe usar el siguiente prefijo hexadecimal 0x80003a8c04 location (string; Default: "") – Información de la ubicación trap-community (string; Default: public) – Especifica las comunidades configuradas en el menú community que se usarán cuando se envíe el trap trap-generators (interfaces | start-trap; Default: ) – Especifica la acción que generarán los traps: ! interfaces – Cambia la interface ! start-trap – Inicia el server SNMP en el router trap-interfaces (string | all; Default: ) – Lista de las interfaces que los traps van a enviar trap-target (list of IP/IPv6; Default: 0.0.0.0) – Direcciones IPv4 o IPv6 de colectores de datos SNMP que tienen que recibir el trap trap-version (1|2|3; Default: 1) – Versión del protocolo SNMP para usar el trap
Importante: El campo engine-id mantiene el valor sufijo de engine-id, usualmente los clientes SNMP deberían estar habilitados para detectar el valor, como valores SNMP, como se lee desde el router. Sin embargo, existe una posibilidad de que este no sea el caso. En cuyo caso el valor engine-id tiene que ser seleccionado de acuerdo a la siguiente regla: + ,
Por ejemplo, si se tiene configurado 1234 como valor sufijo entonces se debe proveer 80003a8c04 + 31323334, siendo el resultado del valor hexadecimal combinado: 80003a8c0431323334
Academy Xperts
163
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
SNMP dentro del mapa de Protocolos TCP/IP
Community (Comunidad) /snmp community
Esta opción permite configurar los derechos de acceso a la data SNMP. Existe poca seguridad en las versiones v1 y v2c, únicamente la cadena de texto de comunidad (username) y la habilidad para limitar el acceso por dirección IP.
A partir de SNMP v3 se han introducido mejores opciones: Authorisation (User + Pass) con MD5/SHA1 Encryption con DES (y a partir de la versión v6.16 se introdujo AES) • •
/snmp community print value-list name: public address: 0.0.0.0/0 security: none read-access: yes write-access: no authentication-protocol: MD5 encryption-protocol: DES authentication-password: ***** encryption-password: *****
Academy Xperts
164
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Advertencia: Las configuraciones por default únicamente tienen una comunidad llamada public sin configuraciones de seguridad adicionales. Estas configuraciones deben ser consideradas inseguras y deberían ser ajustadas de acuerdo al perfil de seguridad requerido. Propiedades •
address (IP/IPv6 address; Default: 0.0.0.0/0) – Direcciones desde las cuales las conexiones al servidor SNMP está
permitido •
authentication-password (string; Default: "") – Contraseña usada para autenticar la conexión al servidor
(SNMPv3) • • •
authentication-protocol (MD5 | SHA1; Default: MD5) – Protocolo que se usa para autenticación (SNMPv3) encryption-password (string; Default: "") – Contraseña usada para encriptación (SNMPv3) encryption-protocol (DES | AES; Default: DES) – Protocolo de encriptación utilizado para encriptar la
comunicación (SNMPv3). AES (de acuerdo al RFC-3826) está disponible desde v6.16. • • • •
name (string; Default: ) read-access (yes | no; Default: yes) – Especifica si el acceso de lectura está habilitado para esta comunidad security (authorized | none | private; Default: none) write-access (yes | no; Default: no) – Especifica si el acceso escritura está habilitado para esta comunidad
Management information base (MIB) MIB es la base de datos de información mantenida por el agente que el administrador puede consultar. Se puede descargar la versión actualizada del MIB de MikroTik RouterOS. MIBs usados en RouterOS v5.x: MIKROTIK-MIB MIB-2 HOST-RESOURCES-MIB IF-MIB IP-MIB IP-FORWARD-MIB IPV6-MIB BRIDGE-MIB DHCP-SERVER-MIB CISCO-AAA-SESSION-MIB ENTITY-MIB UPS-MIB SQUID-MIB • • • • • • • • • • • • •
Identificadores de Objetos (OID - Object identifiers) Cada OID identifica una variable que puede ser leída vía SNMP. Aunque el archivo MIB contiene todos los valores OID necesitados, se puede visualizar la información OID individual en la consola: /interface print oid Flags: D - dynamic, X - disabled, R - running, S - slave 0 R name=.1.3.6.1.2.1.2.2.1.2.1 mtu=.1.3.6.1.2.1.2.2.1.4.1 mac-address=.1.3.6.1.2.1.2.2.1.6.1 admin-status=.1.3.6.1.2.1.2.2.1.7.1 oper-status=.1.3.6.1.2.1.2.2.1.8.1 bytes-in=.1.3.6.1.2.1.2.2.1.10.1 packets-in=.1.3.6.1.2.1.2.2.1.11.1 discards-in=.1.3.6.1.2.1.2.2.1.13.1 errors-in=.1.3.6.1.2.1.2.2.1.14.1 bytes-out=.1.3.6.1.2.1.2.2.1.16.1 packets-out=.1.3.6.1.2.1.2.2.1.17.1 discards-out=.1.3.6.1.2.1.2.2.1.19.1 errors-out=.1.3.6.1.2.1.2.2.1.20.1
Traps Los traps SNMP habilitan el router para notificar al colector de data de los cambios de interface y los cambios de estatus de servicio SNMP cuando se envían los traps. Es posible enviar traps con características de seguridad para soportar SNMPv1 (sin seguridad). SNMPv2 y variantes y SNMPv3 con encriptación y autorización. Para SNMPv2 y v3 se debe configurar una com unidad apropiada como un trap-community para habilitar las características requeridas (contraseña o encriptación/autorización). SNMP write A partir de RouterOS v3, se soporta SNMP write para algunas funciones. SNMP write permite cambiar la configuración del router con requerimientos SNMP. Se debe considerar asegurar el acceso al router o al SNMP de los routers, cuando el SNMP y write-access están habilitados.
Academy Xperts
165
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Para cambiar las configuraciones de requerimientos SNMP, se debe usar el comando especificado a continuación, para permitir SNMP write para la comunidad seleccionada. La opción write-access para SNMP está disponible desde v3.14 /snmp community set write-access=yes
System Identity
Se puede cambiar la identidad de sistema del router configurando el comando SNMP snmpset -c public -v 1 192.168.0.0 1.3.6.1.2.1.1.5.0 s New_Identity •
snmpset – Aplicación SNMP usada para los requerimientos SNMP SET para configurar la información en una
entidad de red public – Nombre de la comunidad del router 192.168.0.0 – Dirección IP del router 1.3.6.1.2.1.1.5.0 – Valor SNMP de la identidad del router El comando SNMPset es igual al comando RouterOS • • •
/system identity set identity=New_Identity
Reboot
Se puede hacer un reboot al router con el comando SNMP set. Para esto se necesita configurar el valor de reboot para la configuración SNMP, el cual no es igual a 0 snmpset -c public -v 1 192.168.0.0 1.3.6.1.4.1.14988.1.1.7.1.0 s 1 • •
1.3.6.1.4.1.14988.1.1.7.1.0 – Valor SNMP para el reboot del router s 1 – Comando snmpset para configurar el valor. El valor no debería ser igual a 0
El comando snmpset es igual al comando RouterOS /system reboot
Run Script SNMP write permite ejecutar scripts en el router desde el menú script del sistema. snmpset -c public -v 1 192.168.0.0 1.3.6.1.4.1.14988.1.1.8.1.1.3.X s 1 • •
X – Número del script. La numeración empieza desde 1 s 1 – Comando snmpset command para configurar el valor. El valor no debería ser igual a 0
El mismo comando en RouterOS /system script print Flags: I - invalid 0 name="kaka" owner="admin" policy=ftp,reboot,read,write,policy, test,winbox,password,sniff last-started=jan/01/1970 01:31:57 run-count=23 source=:beep /system script run 0
System identity A pesar de que no es una herramienta, es importante para establecer la identidad del sistema No se puede establecer a 100 router y que todos tengan el mismo nombre “Mikrotik”. Esto hace casi imposible la resolución de problemas. Una vez establecido, se hará la identificación del router con el cual se está trabajando y hará mucho más simple la identificación Sintaxis •
•
•
/system identity print Name: Mikrotik /system identity set name=my-router /system identity print Name: my-router
Academy Xperts
166
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
IP Neighbor El protocolo MNDP (MikroTik Neighbor Discovery Protocol) permite encontrar/descubrir otros protocolos compatibles con MNDP o CDP (Cisco Discovery Protocol) que estén en el mismo dominio de broadcast en Capa 2 (Layer 2). /ip neighbor
Este sub-menú enumera todos los vecinos descubiertos en el mismo dom inio de broadcast (Capa 2). Muestra a cual interface está conectado el vecino, muestra su dirección IP, su dirección MAC, y varios parámetros relacionados con MikroTik. Las listas son solo de lectura.
En este ejemplo, se pueden ver varios RouterBoard y dos routers de cisco. /ip Neighbor > print # INTERFACE ADDRESS 0 ether13 192.168.33.2 1 ether11 1.1.1.4 2 local 10.0.11.203 3 local 10.1.11.47 4 local 10.0.11.254 5 local 10.0.11.202
MAC-ADDRESS 00:0C:42:00:38:9F 00:0C:42:40:94:25 00:02:B9:3E:AD:E0 00:0C:42:84:25:BA 00:0C:42:70:04:83 00:17:5A:90:66:08
IDENTITY MikroTik test-host c2611-r1 11.47-750 tsys-sw1 c7200
VERSION 5.99 5.8 cisco 5.7 5.8 Cisco
BOARD RB1100AHx RB1000 I... RB750 RB750G I...
Propiedades • • • • • • •
• • • •
address (IP) – Muestra la dirección IP más alta configurada en un dispositivo descubierto address6 (IPv6) – Muestra la dirección IPv6 más alta configurada en un dispositivo descubierto age (time) – Intervalo de tiempo desde el último paquete de descubrimiento board (string) – Modelo del RouterBOARD. Muestra únicamente los dispositivos que tienen instalado RouterOS identity (string) – Muestra la identidad de sistema interface (string) – Nombre de la interface a la cual está conectado el dispositivo que se ha descubierto interface-name (string) – Nombre de la interface en el dispositivo vecino que está conectado al mismo dominio
de broadcast en Capa 2. Aplica también para equipos que corren CDP ipv6 (yes | no) – Indica si el dispositivo tiene habilitado IPv6 mac-address (MAC) – Dirección MAC del dispositivo remoto. Puede ser utilizado para conectar con mac-telnet platform (string) – Nombre de la plataforma. Por ejemplo, MikroTik, Cisco, etc. software-id (string) – Software ID del RouterOS en un dispositivo remoto. Aplica únicamente a dispositivos que tienen instalado RouterOS
Academy Xperts
167
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
unpack (none|simple|uncompressed-headers|uncompressed-all) – Muestra el tipo de compresión del paquete de
descubrimiento uptime (time) – Tiempo de actividad del dispositivo remoto. Muestra únicamente a los dispositivos con RouterOS instalado. version (string) – Número de versión del software instalado en un dispositivo remoto
IP Neighbor discovery /ip neighbor discovery
En este menú se puede cambiar el estado de la interface para especificar si participa o no en el proceso del descubrimiento de vecino (neighbor discovery). Si se decide que la interface participe, se enviará información básica sobre el sistema y procesa los paquetes descubiertos recibidos por medio de broadcast en una red Capa 2. Se muestran las interfaces que son administradas automáticamente por el RouterOS. Los ítems no pueden ser removidos ni agregados. Las configuraciones por default dependen del tipo de interface y el estado actual. Propiedades • •
•
comment (string; Default: ) – Muestra una descripción corta disabled (yes | no; Default: ) – Especifica si el ítem se deshabilita y no participa en el proceso de enviar/recibir del
descubrimiento de información. Esta opción se agregó en la versión v5.x discover (yes | no; Default: ) - Especifica si el ítem se deshabilita y no participa en el proceso de enviar/recibir del descubrimiento de información. Esta opción se agregó en la versión v5.x para mantener la compatibilidad con scripts viejos.
/ip neighbor discovery settings
Propiedades default (yes | no; Default: yes) – Especifica si se va a permitir el envío/recepción de información de descubrimiento en las
interfaces dinámicas. Esta opción se agregó en la versión 6.x /ip neighbor discovery settings print default: yes default-for-dynamic: no
Academy Xperts
168
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Ponerse en contacto con Soporte MikroTik Supout.rif El archivo de soporte se utiliza para depurar MikroTik RouterOS y para resolver las preguntas de soporte más rápido. Toda la información del Router MikroTik se guarda en un archivo binario, que se almacena en el router y puede ser descargado desde el router mediante ftp. Se puede revisar el contenido de este archivo en su cuenta de MikroTik, simplemente debe ir a la sección Supout.rif y cargar el archivo. Este archivo ( supout.rif) contiene la configuración del router, los registros ( logs) y otros detalles que ayudarán al grupo de soporte de MikroTik para resolver su problema.
Sintaxis
Lo hacemos con el siguiente comando en “ Terminal” /system sup-output Created: 14% --[Q quit|D dump|C-z pause] /system sup-output Created: 100% --[Q quit|D dump|C-z pause]
Una vez que se complete la carga al 100% podremos ver el archivo en “ Files”
Supout.rif Viewer Para acceder al Supout.rif Viewer solo tienes que acceder a tu cuenta MikroTik. Usted debe tener una cuenta (es una buena idea tener una de todos modos)
El primer paso es localizar y cargar el archivo que ha generado
Academy Xperts
169
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Autosupout.rif Un archivo se puede generar de forma automática en caso de fallo de software (ejemplo Kernel Panic o el sistema deja de responder durante un minuto.) Hecho a través del organismo de control (sistema) •
•
Registros (logging) del sistema y registros de depuración RouterOS es capaz de registrar ( log) diversos eventos del sistema y la información del estatus. Los registros ( log) se pueden guardar en la memoria RAM de los routers, en un disco, en un archivo, pueden ser enviados por correo electrónico o incluso enviarse a un servidor remoto de registro del sistema. Este último se conoce como syslog y está acorde con el RFC 3164. Syslog corre sobre UDP 514 /log
Todos los mensajes almacenados en la memoria local del router se pueden imprimir desde el menú /log. Cada entrada contiene la fecha y hora cuando se produjo el evento, los temas que pertenecen a este mensaje, y el mensaje en sí mismo. Si los registros se muestran en la misma fecha en que se agrega la entrada de registro, entonces únicamente se mostrará el tiempo.
En el siguiente ejemplo el comando mostrará todos los mensajes donde uno de los tópicos es info y detectará nuevas entradas hasta que se presiona Ctrl+C /log print follow where topics~".info" 12:52:24 script,info hello from script -- Ctrl-C to quit.
Cuando se usa print se puede utilizar el modo follow. Esto ocasionará que cada vez que cada vez que se presione la barra espaciadora en el teclado, se insertará un separador /log print follow where topics~".info" 12:52:24 script,info hello from script = = =
= = =
= = =
= = =
= = =
= = =
= = =
= = =
= = =
-- Ctrl-C to quit.
Configuración del Logging /system logging •
• •
action (name; Default: memory) – Especifica una de las acciones por default del sistema, o las acciones especificadas por el usuario en el menú actions prefix (string; Default: ) – Prefijo que se puede agregar al inicio de los mensajes de registro topics (account, async, backup, bgp, calc, critical, ddns, debug, dhcp, e-mail, error, event, firewall, gsm, hotspot, igmp-proxy, info, ipsec, iscsi, isdn, l2tp, ldp, manager, mme, mpls, ntp, ospf, ovpn, packet, pim, ppp, pppoe, pptp,
Academy Xperts
170
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
radius, radvd, raw, read, rip, route, rsvp, script, sertcp, state, store, system, telephony, tftp, timer, ups, warning, watchdog, web-proxy, wireless, write; Default: info) – Registra todos los mensajes que caen en el tópico especificado
o en la lista de tópicos. Se puede utilizar el carácter “!” antes del tópico para excluir los mensajes que caen ese tópico. El signo “!” es la negación lógica. Por ejemplo, si se desea registrar los eventos NTP pero sin mucho detalles se puede escribir /system logging add topics=ntp,debug,!packet
Actions /system logging action • •
•
•
•
•
•
•
• •
•
•
bsd-syslog (yes|no; Default: ) – Especifica si se usa el bsd-syslog según se define en RFC-3164 disk-file-count (integer [1..65535]; Default: 2) – Especifica el número de archivos que se utilizarán para guardar los mensajes de registro (log). Se aplica únicamente si action=disk disk-file-name (string; Default: log) – Nombre del archivo que se usará para guardar los mensajes de registro (log). Se aplica únicamente si action=disk disk-lines-per-file (integer [1..65535]; Default: 100) – Especifica el tamaño máximo del archivo en número de líneas. Se aplica únicamente si action=disk disk-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log) en disco luego de que se han alcanzado los valores especificados en disk-lines-per-file y disk-file-count. Se aplica únicamente si action=disk email-to (string; Default: ) – Dirección email hacia donde se enviarán los registros. Se aplica únicamente si action=email memory-lines (integer [1..65535]; Default: 100) – Especifica el número de registros en el buffer de memoria local. Se aplica únicamente si action=memory memory-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log) en memoria luego de que se han alcanzado los valores especificados en memory-lines. Se aplica únicamente si action=memory name (string; Default: ) – Nombre de la acción (action) remember (yes|no; Default: ) – Especifica si se debe mantener los mensajes de registro que aún no se han mostrado en consola. Se aplica únicamente si action=echo remote (IP/IPv6 Address[:Port]; Default: 0.0.0.0:514) – Especifica la dirección IP/IPv6 del servidor de registro remoto (syslog server) y el número de puerto UDP. Se aplica únicamente si action=remote src-address (IP address; Default: 0.0.0.0) – Dirección origen que se utiliza cuando se envían paquetes al servidor
remoto •
•
•
syslog-facility (auth, authpriv, cron, daemon, ftp, kern, local0, local1, local2, local3, local4, l ocal5, local6, local7, lpr, mail, news, ntp, syslog, user, uucp; Default: daemon) syslog-severity (alert, auto, critical, debug, emergency, error, info, notice, warning; Default: auto) – Nivel de
indicador de severidad definido en RFC-3164: ! Emergency: Es sistema es inutilizable ! Alert: Se debe tomar una acción inmediatamente ! Critical: Condiciones Críticas ! Error: Condiciones de Error ! Warning: Condiciones de Advertencia ! Notice: Condición normal pero significativa ! Informational: Mensajes Informativos ! Debug: Mensajes de nivel de depuración target (disk, echo, email, memory, remote; Default: memory) – Facilidad de almacenamiento o destino de los mensajes de registro (log) ! disk – Los registros (logs) se graban en el disco duro ! echo – Los registros (logs) se muestran en la pantalla de la consola ! email - Los registros (logs) se envía por email ! memory - Los registros (logs) se almacenan en un buffer de memoria local
Academy Xperts
171
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
!
remote - Los registros (logs) se envían a un host remoto
Importante: Las acciones por default no se pueden eliminar ni cambiar de nombre
Tópicos Cada entrada de registro (log) tiene un tópico que describe el origen del mensaje de registro. Por lo tanto, puede haber más de un tópico asignado a dicho mensaje de registro. Por ejemplo, OSPF depura los registros que tienen 4 diferentes tópicos: route, ospf, debug y raw. 11:11:43 11:11:43 11:11:43 11:11:43 11:11:43
route,ospf,debug SEND: Hello Packet 10.255.255.1 route,ospf,debug,raw PACKET: route,ospf,debug,raw 02 01 00 2C 0A FF FF 03 route,ospf,debug,raw 00 00 00 00 00 00 00 00 route,ospf,debug,raw 00 00 00 28 0A FF FF 01
-> 224.0.0.5 on lo0 00 00 00 00 E7 9B 00 00 FF FF FF FF 00 0A 02 01 00 00 00 00
Lista de opciones independiente de los tópicos: critical – Las entradas de registro marcadas como críticas. Estas entradas de registro se muestran en consola cada vez que el usuario hace log in debug – Depura las entradas de registro error – Mensajes de error info – Entrada de registro informativa packet – Entrada de registro que muestra el contenido de los paquetes enviados/recibidos raw – Entrada de registro que muestra el contenido crudo (raw) de los paquetes enviados/recibidos warning – Mensaje de Advertencia. Tópicos usados por varias facilidades de RouterOS account – Registra los mensajes generados por la opción accounting async – Registra los mensajes generados por los dispositivos asíncronos backup – Registra los mensajes generados por la opción de creación de backup bfd – Registra los mensajes generados por el protocolo Routing/BFD bgp – Registra los mensajes generados por el protocolo Routing/BGP calc – Registra los mensajes del cálculo de rutas ddns – Registra los mensajes generados por la herramienta Tools/Dynamic DNS dhcp – Registra los mensajes generados por el cliente DHCP, server y relay e-mail – Registra los mensajes generados por la herramienta Tools/email event - Registra los mensajes generados por el evento de routing. Por ejemplo, cuando una nueva ruta se ha instalado en la tabla de ruteo. Firewall - Registra los mensajes generados por el firewall cuando se configura action=log Gsm – Registra los mensajes generados por los dispositivos GSM Hotspot – Registra los mensajes relacionados con HotSpot igmp-proxy – Registra los mensajes generados con IGMP Proxy ipsec – Entradas de registro IPsec •
• • • • • •
• • • • • • • • • •
• • • • • • • • • • • • • • • •
iscsi isdn l2tp – Registra los mensajes generados por Interface/L2TP cliente y servidor ldp – Registra los mensajes generados por el protocolo MPLS/LDP manager – Registra los mensajes generados por User Manager mme – Mensajes de protocolo de ruteo MME mpls – Mensajes MPLS ntp – Registra los mensajes generados por el cliente sNTP ospf – Registra los mensajes generados por el protocolo de ruteo Routing/OSPF ovpn – Registra los mensajes generados por el túnel OpenVPN pim – Registra los mensajes generados por Multicast PIM-SM
Academy Xperts
172
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
• • • • • • • • • • • • • • • • • •
• • • • •
ppp ppp – Registra los mensajes generados por la opción ppp pppoe – Registra los mensajes generados por PPPoE server/client pptp – Registra los mensajes generados por PPTP server/client radius – Registra los mensajes generados por RADIUS Client radvd – Registra los mensajes generados por el IPv6 radv deamon read – Mensajes de la herramienta SMS rip rip – Mensajes del protocolo de ruteo RIP route – Registra los mensajes generados por la opción de ruteo rsvp – Mensajes generados por el Protocolo de Reservación de Recurso (Resource Reservation Protocol) script - Registra los mensajes generados por los scripts sertcp – Registra los mensajes relacionados por la opción responsable de /ports remote-access simulator state – Mensajes de estado de routing y del cliente DHCP store – Registra los mensajes generados por la opción store system – Mensajes genéricos del sistema telephony tftp – Mensajes generados por el servidor TFTP timer – Registra los mensajes relacionados a los timers usados en RouterOS. Por ejemplo, los registros (log) keepalive bgp 12:41:40 route,bgp,debug,timer KeepaliveTimer expired 12:41:40 route,bgp,debug,timer RemoteAddress=2001:470:1f09:131::1 ups ups – Mensajes generados por las herramientas de monitoreo UPS watchdog – Registra los mensajes generados por watchdog web-proxy – Registra los mensajes generados por web proxy wireless – Registra los mensajes generados por Interface/Wireless write – Mensajes de la herramienta SMS
Bandwidth Test Es una herramienta que nos permite medir el throughput de otro router MikroTik (cable o wireless) ayudando asi a descubrir redes con cuello de botella. Trabaja con los protocolos TCP y UDP para hacer los test. Nota: bandwidth test usa bastantes recursos del router. Si queremos hacer un test real con lo que respecta al throughput de un router, deberíamos ejecutar el bandwidth test a través del router y no probarlo en el origen y destino.
Bandwidth Test Server /tool bandwidth-server
Configuracion Bandwidth Server /tool bandwidth-server print enabled: yes authenticate: yes allocate-udp-ports-from: 2000 max-sessions: 100
Activar sesiones /tool bandwidth-server session print # CLIENT PROTOCOL DIRECTION 0 35.35.35.1 udp send 1 25.25.25.1 udp send 2 36.36.36.1 udp send
USER admin admin admin
Para habilitar bandwidth test sin ningún cliente /tool bandwidth-server set enabled=yes authenticate=no /tool bandwidth-server print enabled: yes authenticate: no allocate-udp-ports-from: 2000 max-sessions: 100
Bandwidth Test Client /tool bandwidth-test
Academy Xperts
173
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Propiedades • • • • • • • • •
• • • •
address (IP address | IPv6 prefix[%interface]; Defaul t:): Dirección IP del host direction (both | receive | transmit; Default: receive): Dirección de datos flotantes Duración del test duration (time; Default: ): Duración interval (time: 20ms..5s; Default: 1s): Retardo entre reportes (en segundos) local-tx-speed (integer 0..4294967295; Default: ): Transferencia máxima de velocidad del test (bits por segundo) local-udp-tx-size (integer: 28..64000): Tamaño de transmisión de paquetes locales en bytes password (string; Default: ""): Contraseña del usuario remoto protocol (udp | tcp; Default: udp): Protocolo a usar Si los datos aleatorios se ponen “yes”, la carga útil de los paquetes del test del random-data (yes | no; Default: no): Si
ancho de banda tendrá datos del stream aleatorios que serán incomprensibles, de modo que estos enlaces que utilizan la compresión de datos no distorsionaran los resultados. remote-tx-speed (integer 0..4294967295; Default: ): Recibe la velocidad máxima del test (bits por segundo) Tamaño de transmisión del paquete en bytes. remote-udp-tx-size (integer: 28..64000): Tamaño tcp-connection-count (integer 1..100; Default: 20): Número de conexiones TCP usadas. Usuario remoto user (string; Default: ""): Usuario
Ejemplo
Ejecutar el bandwidth test por 15 segundos al host 10.0.0.32 enviando y recibiendo paquetes UDP de 1000 byte y con nombre de usuario admin para conectarse: /tool bandwidth-test 10.0.0.32 duration=15s \ \... direction=both local-udp-tx-size=1000 protocol=udp \ \... remote-udp-tx-size=1000 user=admin status: done testing duration: 15s tx-current: 272.8Mbps tx-10-second-average: 200.3Mbps tx-total-average: 139.5Mbps rx-current: 169.6Mbps rx-10-second-average: 164.8Mbps rx-total-average: 117.0Mbps lost-packets: 373 random-data: no direction: both tx-size: 1000 rx-size: 1000
Ping Speed El ping speed usa dos estandares de echo-request por Segundo. El tiempo entre los pings puede cambiar. La variación del tamaño del paquete ping hace posible aproxim adamente evaluar los parámetros de conexión y la velocidad con diferente tamaño del paquete. Características
Puede ser usado aproximadamente para evaluar el troughput de cualquier computador remoto, además nos ayuda a descubrir redes con cuello de botella. Academy Xperts
174
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Permite evaluar los parámetros de conexión y la velocidad con diferentes tamaños de paquetes.
Propiedades • • • •
• •
do (name) Asignación del nombre del escribir para empezar first-ping-size (integer: 32..64000; default: 32) Primer tamaño del paquete ICMP second-ping-size (integer: 32..64000; default: 1500) segundo tamaño del paquete ICMP time-between-pings (integer) El tiempo entre el primer y segundo ICMP echo-requests en segundos. Un nuevo
par de paquetes ICMP nunca serán enviados antes de que el par anterior este completamente enviado y el algoritmo nunca se enviara más de dos solicitudes en un segundo Once: Especifica cual será el desempeño del ping solo una vez Intervalo de tiempo entre dos repeticiones de ping. interval (time: 20ms..5s): Intervalo
SMS Permite conectarse a través de un modem GSM a un dispositivo RouterOS para así recibir y enviar mensajes sms.
Propiedades para enviar un mensaje • •
• •
• •
port (string) - Nombre del puerto/lista de puerto del modem GSM esta conectado. phone-number (string) - Numero de teléfono del destinatario. Los caracteres permitidos son "0123456789*#abc".
Si el primer caracter es "+" luego el tipo de numero de teléfono permitido es internacional, de lo contrario se establece como desconocido. channel (integer) - Cual canal del modem usar para luego enviar. message (string) - Contenido del mensaje. Este es codificado usando GSM 7 de codificación (UCS2 no se admite actualmente), por lo que la longitud del mensaje está limitado a 160 caracteres (caracteres ^ {} \ [] ~ smsc (string) type (string) - Si se permite la class-0, luego envía un SMS class 0. Esta es desplegada y no se almacena
inmediatamente en el teléfono. Propiedades para recibir un mensaje
Antes de que un router pueda recibir SMS, es necesaria la configuración correspondiente en el menú /tool sms. perm itirá ejecutar comandos, debe especificar allowed-number (string; Default: "") - Número del remitente que se le permitirá el código del país, es decir. + 371XXXXXXX channel (integer; Default: 0) - Cual canal del modem usar para luego recibir. keep-max-sms (integer; Default: 0) - Numero máximo de mensajes que serán guardados. Si se permite un tamaño mas grande de lo que soporta la SIM, no se recibirán nuevos mensajes. port (string; Default: (unknown)) - Puerto del modem (el modem puede ser usado solo por un proceso /port print) receive-enabled (yes | no; Default: no) - Debe habilitarse para recibir los mensajes. secret (string; Default: "") - La contraseña secreta es obligatoria. Ejemplo de enviar un mensaje •
• •
•
• •
/tool sms send usb3 "20000000" \ message="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz!@#\$%^&*(){}[]\"'~"
Academy Xperts
175
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Packet Sniffer Captura el tráfico y analiza los paquetes que van a salir y pasar a través del router. Propiedades •
file-limit (integer 10..4294967295[KiB]; Default: 1000KiB) - Tamaño limite del archivo. Sniffer parara solo
cuando el limite es alcanzado. • •
file-name (string; Default: ) - Nombre del archivo como el paquete será sniffeado. filter-ip-address (ip/mask[,ip/mask] (max 16 items); Default: ) - Máximo de 16 direcciones ip se utilizan como
filtro. •
filter-mac-address (mac/mask[,mac/mask] (max 16 items); Default: ) - Máximo 16 direcciones MAC y mascaras
•
filter-port ([!]port[,port] (max 16 items); Default: ) - Máximo 16 entradas separadas por coma se utilizan como
de direcciones MAC se utilizan como filtro. filtro. •
•
•
• •
•
•
•
•
filter-ip-protocol ([!]protocol[,protocol] (max 16 items); Default: ) - Máximo 16 entradas separadas por coma
se utilizan como filtros de protocolos Ip (en vez de nombres de protocolos, puede usarse el numero del protocolo). ! ipsec-ah - IPsec AH protocol ! ipsec-esp - IPsec ESP protocol ! ddp ddp - datagram delivery protocol ! egp egp - exterior gateway protocol ! ggp ggp - gateway-gateway protocol ! gre gre - general routing encapsulation ! hmp hmp - host monitoring protocol ! idpr-cmtp - idpr control message transport ! icmp - internet control message protocol ! icmpv6 - internet control message protocol v6 ! igmp - internet group management protocol ! ipencap - ip encapsulated in ip ! ipip - ip encapsulation ! encap - ip encapsulation ! iso-tp4 - iso transport protocol class 4 ! ospf - open shortest path first ! pup pup - parc universal packet protocol ! pim pim - protocol independent multicast ! rspf - radio shortest path first ! rdp rdp - reliable datagram protocol ! st - st datagram mode ! tcp tcp - transmission control protocol ! udp udp - user datagram protocol ! vmtp - versatile message transport ! vrrp - virtual router redundancy protocol ! xns-idp - xerox xns idp ! xtp xtp - xpress transfer protocol filter-mac-protocol ([!]protocol[,protocol] (max 16 items); Default: ) - Máximo de 16 entradas separadas por comas se utilizan como filtro. Protocolos Mac pueden también ser especificados por números. ! arp arp - Address Resolution Protocol ! ip - Internet Protocol ! ipv6 - Internet Protocol next generation ! ipx ipx - Internetwork Packet Exchange ! rarp - Reverse Address Resolution Protocol filter-stream (yes | no; Default: yes) - Los paquetes sniffeados que son creados por el servidor sniffer serán ignorados. filter-direction (any | rx | tx; Default: ) - Especificar en que filtrado de dirección será aplicado interface (all | name; Default: all) Nombre de la interface en el cual estará ejecutándose el sniffer. all indica que sniffer, será el encargado de sniffear los paquetes en todas las interfaces. memory-limit (integer 10..4294967295[KiB]; Default: 100KiB) - Cantidad de memoria usada para almacenar los datos sniffeados. memory-scroll (yes | no; Default: yes) - Si desea reescribir mayores datos sniffeados cuando se alcanza el límite de memoria. only-headers (yes | no; Default: no) - Guardar en la memoria solo las cabeceras de los paquetes, no todo el paquete. streaming-enabled (yes | no; Default: no) - Definir si desea enviar paquetes sniffeados mediante streaming al servidor.
Academy Xperts
176
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
streaming-server (IP; Default: 0.0.0.0) - Tazmen Sniffer Protocol (TZSP) stream de destino.
Packet Sniffer Settings (General)
Packets
IP-Scan Permite al usuario escanear las redes basándose en los prefijos de las redes o ya sea por las configuraciones de las interfaces escucha (listen). Propiedades • • • • • •
address (string; Default: ) - Dirección Ip del dispositivo de red. mac-address (string; Default: ) - Dirección MAC del dispositivo de red. time (integer in ms; Default: ) - Tiempo de respuesta del dispositivo de red cuando es encontrado DNS (string; Default: ) - Nombre de DNS del dispositivo de red. SNMP (string; Default: ) - Nombre SNMP del dispositivo. NET-BIOS (string; Default: ) - Nombre de NET-BIOS del dispositivo, si es anunciado por el dispositivo.
Como usarlo: Cuando se usa el Ip-scan se debe de escoger que es lo que se desea escanear: Prefijo IPv4 Interface del router • •
Academy Xperts
177
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Telnet Telnet permite conectarse remotamente a otra máquina para poder manejarla en modo terminal, pero de una manera no segura ya que la información viaja en texto plano. Propiedades •
address (string) : Dirección IP del dispositivo a conectarse
SSH Ssh también se conecta remotamente a otra máquina para manejarla, la diferencia es que se conecta mediante un interprete de comandos y la información viaja cifrada. Propiedades • •
address (string) - Dirección IP del dispositivo a conectarse user (string) - Usuario del dispositivo a conectarse
MAC Telnet Mac Telnet provee acceso a un router que no tiene permitida una dirección Ip y solamente es posible realizarlo entre dos routers MikroTik RouterOS. Propiedades •
mac-address (string) - Dirección Mac del dispositivo a conectarse
Sigwatch Monitorea el estado de los puertos seriales ligados y genera un sistema de eventos de cambio de estado. Requerimientos Sigwatch solo esta disponible en plataformas de x86 Propiedades •
•
• •
• • •
count (read-only: integer): cuántas veces el evento por este concepto fue provocado. El recuento se restablece en
el reinicio y en la mayoría de los cambios de configuración de los elementos. log (yes | no; default: no): Si desea agregar un mensaje en forma sigwatch-item: cambio de señal [to high | to low] para facilidad del sistema-Info cada vez que se active sigwatch. name (name): Nombre del elemento sigwatch. on-condition (on | off | change; default: on): En que condición se activa la opción del elemento: ! on – condición cuando el estado del pin cambia a alto. ! off – condición cuando el estado del pin cambia a alto. Si el estado del pin cambia rápidamente, pudo haber disparo una sola opción por varios cambios de estado. port (name): nombre del puerto serial a monitorear script (name): script a ejecutar cuando este elemento esta funcionando signal (dtr | rts | cts | dcd | ri | dsr; default: rts) : Nombre de la señal , el numero del pin (para el conector standard de 9 pines) para monitorear. ! dtr - Data Terminal Ready (pin #4) ! rts - Request To Send (pin #7) ! cts - Clear To Send (pin #8)
Academy Xperts
178
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
dcd - Data Carrier Detect (pin #1) ! ri - Ring Indicator (pin #9) ! dsr - Data Set Ready (pin #6) state (read-only: text): El ultimo estado recordado de monitoreo de signalcount (read-only: integer). Cuántas !
•
veces el evento por este concepto fue provocado. El recuento se restablece en el reinicio y en la mayoría de los cambios de configuración de los Configuración /tool sigwatch print Flags: X - disabled # NAME 0 test
PORT SIGNAL serial1 cts
ON-CONDITION LOG change no
Wake on Lan (Activación de la Lan) Envía el MagicPacket de activación de Lan hacia cualquier dirección Mac de nuestra elección.
Fetch Copia archivos de cualquier dispositivo de red a un router Mikrotik via HTTP o FTP. También soporta el protocolo HTTPS. Permite subir archivos a locaciones remotas. Propiedades • • •
address (string; Default: ): Dirección IP del dispositivo a copiar el archivo. ascii (yes | no; Default: no) check-certificate (yes | no; Default: no): Habilitar la validación de la cadena verdadera desde el al almacén de
certificados. • • • • • • •
dst-path (string; Default: ): Destino del nombre del archivo y la ruta. keep-result (yes | no; Default: yes): Si escoge yes, se crea un archivo de entrada. mode (ftp|http|tftp {!} https; Default: http): Escoger el protocolo de conexión http, https, ftp o tftp. password (string; Default: anonymous): Contraseña, la cual es necesitada para autenticación al dispositiv o remoto. port (integer; Default: ): Puerto de conexión. src-path (string; Default: ): Título del archivo remoto que se necesita copiar. upload (yes | no; Default: no): Si está habilitado luego el fetch será usado para subir un archivo a un servidor
remoto. Requiere los parámetros de src-path and dst-path sea autorizados. url (string; Default: ): URL apuntando a un archivo. Puede ser usado en vez de una dirección y parámetros de srcpath. user (string; Default: anonymous): Nombre del usuario, el cual se necesita para la autenticación remota. Ejemplo de transferencia de archivo hacia otro router y con diferente nombre del archivo •
•
Transferencia de archivo en el mismo router pero con diferente nombre del archivo
Academy Xperts
179
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Dynamic DNS Guarda el nombre de dominio apuntando hacia una dirección IP dinámica. Envía requerimientos de actualizaciones del sistema de nombre del dominio hacia un nombre de servidor, el cual tiene una zona para ser actualizada. Propiedades • • • •
address (IP; Default: ) - Definir dirección IP asociada con un nombre de dominio. dns-server (IP; Default: ) - Servidor DNS envía una actualización. key (string; Default: ) - Llave de autorización para accede al servidor. key-name (string; Default: ) - Nombre de la llave de autorización (como un nombre de usuario) para acceder al
servidor. • • •
name (string; Default: ) - Nombre a unir con una dirección Ip. ttl (integer; Default: ) - Tiempo de vida de ítem (en segundos). zone (string; Default: ) - Zona de DNS donde se actualizara el nombre de dominio
Para poder hacer el Dynamic DNS necesitamos tener un dominio, si no lo tenemos debemos crear uno, podemos crearlo en www.noip.com que es totalmente gratis. La prueba se lo hará con un script.
El script lo descargamos desde wiki mikrotik
Academy Xperts
180
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Agregamos el script y modificamos
"#"$%&' () /'-0%$#)!$ ()
1-0)%2$/) ()
4'*&-&' /%)$(' )-
Agregamos un Scheduler
Academy Xperts
181
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Con el dominio que tenemos ingresamos al Winbox
También podemos ingresar por el navegador
Academy Xperts
182
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Flood Ping Envía peticiones ICMP echo hacia un host remoto de la misma manera que un ping, pero este envía la siguiente petición tan pronto haya recibido una respuesta. Propiedades • • • •
Address: Dirección IP de destino del host. Size: Tamaño de cada paquete ICMP. Count: Números de paquetes ICMP. Interval: Tiempo en que el paquete es considerado como perdido en el caso de no responder.
Generator Traffic (Generador de Tráfico) Evalúa el funcionamiento del DUT (Device Under Test) y SUT (System Under Test) Genera y envía paquetes Raw sobre puertos específicos. Obtiene la latencia y los valores de jitter, rangos de tx/rx, cuenta los paquetes perdidos y detecta paquetes OOO (Fuera de orden). Parámetros Generales • • • • •
latency-distribution-scale (integer [0..28]; Default: 10) test-id (integer [0..255]; Default: 0) latency-distribution-samples (integer) latency-distribution-measure-interval (time) running (yes | no): Muestra si se inicia la herramienta de generador de servicio.
Parámetros Configuración de Puerto
•
disabled (yes | no; Default: no): Si el Puerto esta deshabilitado y no participa en la recepción y envió de paquetes. name (string; Default: ): Nombre descriptivo del Puerto. interface (string; Default: ): Nombre de la interface asociada al Puerto. dynamic (yes | no): Si el Puerto de configuración es generado automáticamente. first-header (ip | mac | raw | udp | vlan): Se señalan las primeras cabeceras de los paquetes sean enviadas fuera
•
de la interface especificada. Esta es la información se puede utilizar cuando se está creando packet templates. inactive (yes | no): Si el Puerto esta inactivo y no podrá participar en tx/rx de los paquetes.
• • • •
Parámetros Packet Template (Plantilla de Paquetes) •
• •
comment (string; Default: ): Una pequeña descripción del paquete que se esta creando. ! data (incrementing | random | specific-byte | uninitialized; Default: uninitialized): Especifica como
se llenará la carga útil del paquete: sin inicializar los paquetes de datos (después de cabecera) es inicializado, pero no cero. Lo más rápido. ! specific-byte - Trabaja junto con el establecimiento de bytes de datos. ! incrementing - Los paquetes de datos llenas de "00 01 02 03", etc. ! random - Los paquetes de datos llenos de bytes aleatorios. El más lento. data-byte (hex [0..FF]]; Default: 0): Byte que se usará para llenar la carga útil del paquete. interface (string; Default: ): Parámetro opcional de la plantilla del paquete. Esto es mutuamente exclusivo con la configuración del “puerto”. Especificando la interface permite al usuario no crear un Puerto de entrada para una interface en port menu. De hecho, un Puerto de entrada se crea dinámicamente. Esto es útil para realizar pruebas rápidas.
Academy Xperts
183
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
•
•
•
•
• • • • • • • • •
• • • • • • •
ip-dscp (list of integer[0..255] (max 16 times); Default: ): DSCP solo o una lista de valores D SCP que se encuentra
en la cabecera IP. ip-dst (list of IP/Netmask (max 16 times); Default: ): Lista de direcciones Ip de destino que serán usadas cuando se generen cabeceras Ip. ip-frag-off (list of integer[0..65535] (max 16 times); Default: ): Lista de fragmentación a compensar en la cabecera IP. ip-gateway (IP; Default: ): En situaciones cuando el emisor y el receptor es el mismo dispositivo es imposible determinar el próximo salto automáticamente de ip-dst. Si no se especifica ip-gateway plantilla de paquetes asumirá la dirección MAC de destino basado en ip-Gateway. ip-id (list of integer [0..65535]; Default: ) ip-protocol (list of IP protocols (max 16 times); Default: ) ip-src (list of IP/Mask (max 16 times); Default: ) ip-ttl (list of integer [0..255] (max 16 times); Default: ) mac-dst (list of MAC/MASK (max 16 times); Default: ) mac-protocol (list of mac protocols (max 16 times); Default: ) mac-src (list of MAC/MASK (max 16 times); Default: ) mac-src (list of MAC/MASK (max 16 times); Default: ): Nombre descriptivo de la plantilla. port (string; Default: ): Parámetro opcional de la plantilla del paquete. Esto sugiere que a través de un Puerto cuando un paquete generado usa esta plantilla debería ser enviado. El Puerto puede también se especificado en otros lugares como en una configuración de stream. Esto es mutuamente exclusivo en la configuración de la interface. raw-header (string (max 16 times); Default: ): Cabecera del paquete como cadena en formato hexadecimal. udp-dst-port (list of port [0..65535]/mask [0..FFFF] (max 16 times); Default: ) udp-src-port (list of port [0..65535]/mask [0..FFFF] (max 16 times); Default: ) vlan-id (; Default: ) vlan-priority (; Default: ) vlan-protocol (; Default: ) header-stack (list of ip | mac | raw | udp | vlan (max 16 times); Default: ip): Secuencia de cabeceras que un paquete generado debe tener. Actualmente es compatible con: ! mac - Cabecera Ethernet (14 bytes) ! vlan - Ethernet VLAN tag (4 bytes) ! ip - Cabecera IPv4 (20 bytes) ! udp - Cabecera UDP (8 bytes) ! raw - arbitrary bytes especificado como hex string
La mayoría de los tipos de cabecera pueden estar presentes múltiples veces en la cabecera. Esto solamente puede ser solo dos cabeceras IP y una cabecera UDP por paquete. Algunas limitaciones se imponen sobre las posibles secuencias de cabeceras basado en nuestra experiencia práctica con los protocolos de red (por ejemplo, cabecera VLAN puede seguir solamente una cabecera MAC u otro encabezado VLAN). El generador de tráfico sugiere primera cabecera para una plantilla de paquete (en el menú de puerto). Pero no se hace cumplir. Parámetros Stream • • • • •
• • •
disabled (yes | no; Default: no): Si el stream esta deshabilitado. mbps (integer [0..4294967295]; Default: 0): Valor en Mega bits por segundo que un stream va a tratar de generar. name (string; Default: ): Descripción del nombre del stream. num (integer [0..15]; Default: 0): packet-size (integer[1..65535] [-integer[1..65535]]; Default: 0): El tamaño de los paquetes generados en bytes.
Se puede configurar el rango para la generación de paquetes de tamaño aleatorio. port (string; Default: ): Nombre del Puerto de Port menú que será usado para transmitir paquetes. pps (integer [0..4294967295]; Default: 0): Paquetes por Segundo que el stream intentara generar. tx-template (string; Default: ): Nombre de la plantilla del paquete desde los menús packet-template o raw-packettemplate usados como el origen del contenido del paquete.
Ejemplo:
Academy Xperts
184
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Configurar los puertos
Configurar los packets templates
Configurar los Streams
Academy Xperts
185
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Comenzar a Generar el Tráfico
Por puertos
Por Streams
Distribución de la Latencia
Academy Xperts
186
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Monitor de Tráfico de Interface El tráfico pasa a través de cualquier interface y puede asi ser monitoreada /interface monitor-traffic [id | name]
Caracteristicas Estatus del tráfico en tiempo real Disponible para cada interface en la pestaña traffic También puede monitorearse desde WebFig y el CLI • • •
Ejemplo Monitorear la ether2 y el trafico agregado. “ aggregate” se usa controlar la cantidad total de trafico manejado por el router. /interface monitor-traffic rx-packets-per-second: rx-drops-per-second: rx-errors-per-second: rx-bits-per-second: tx-packets-per-second: tx-drops-per-second: tx-errors-per-second: tx-bits-per-second:
Academy Xperts
ether2,aggregate 9 14 0 0 0 0 6.6kbps 10.2kbps 9 12 0 0 0 0 13.6kbps 15.8kbps
187
RouterOS v6.39.2.01 – Capítulo 9 – Herramientas RouterOS
Academy Xperts
188