Manual de Laboratorio
RouterOS RouterOS v6.35.4.01
Conceptos Fundamentales de MikroTik RouterOS por Mauro Escalante
Ruteo Estático, Bridge, Wireless, Administración de Red, Firewall, Colas Simples, Túneles (VPN)
RouterOS RouterBOARD BackUp Restore Export Made For MikroTik WinBox Bootloader Consola Terminal Upgrade Update Firmware RouterBoot Licencias Netinstall Ruteo Gateway Distancia Bridge Wireless WiFi 802.11a/b/g/n/ac Modulación Frecuencia Access Point Security Profile CPE Estación Access List Connect List Forwarding Nstreme NV2 ARP DHCP Server DHCP Cliente eMail Netwatch Profiler Neighbours Supout.rif System Log Connection Track Chains src-nat dst-nat masquerade NAT Filter Mangle Scripts Scheduler Colas Simples Burst PCQ Queue Types Herramientas Graphics SNMP PPP L2TP PPTP PPPoE
Conceptos Fundamentales de MikroTik RouterOS v6.35.4.01 Manual de Laboratorio
ABC Xperts ® Network Xperts ® Academy Xperts ®
Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.35.4.01 – Manual de Laboratorio
Tabla de Contenido Capítulo 1 ............................................................................................................................................................. 1 Laboratorio 1.1 – Configuración Inicial ............................................................................................................................. 1 Configuración del AP (Instructor) ............................................................................................................................. 1 Configuración del Cliente (Alumno) .......................................................................................................................... 4 Laboratorio 1.2 – SNTP Client.......................................................................................................................................... 7 Configuración del CPE ............................................................................................................................................. 7 Laboratorio 1.3 – SNTP Server ........................................................................................................................................ 8 Configuración NTP-Server ....................................................................................................................................... 8 Configuración NTP-Client ......................................................................................................................................... 8
Capítulo 2 ........................................................................................................................................................... 10 Laboratorio 2 – Enrutamiento Estático ........................................................................................................................... 10
Capítulo 3 ........................................................................................................................................................... 13 Laboratorio 3.1 - Bridge y Slave ..................................................................................................................................... 13 Configuración SLAVE (Switch) ............................................................................................................................... 13 Configuración BRIDGE ........................................................................................................................................... 13
Capítulo 4 ........................................................................................................................................................... 15 Wireless .......................................................................................................................................................................... 15
Capítulo 5 ........................................................................................................................................................... 22 Administración de Red ................................................................................................................................................... 22
Capítulo 6 ........................................................................................................................................................... 25 Firewall ........................................................................................................................................................................... 25 Reglas de Firewall input ......................................................................................................................................... 25 Reglas de Firewall Forward .................................................................................................................................... 26 Reglas de NAT ....................................................................................................................................................... 26
Capítulo 7 ........................................................................................................................................................... 29 QoS ................................................................................................................................................................................ 29 Mangle .................................................................................................................................................................... 29
Capítulo 8 ........................................................................................................................................................... 31 Objetivos y Conceptos previos a túneles IPIP ................................................................................................................ 31 Proceso Túnel IPIP ................................................................................................................................................. 33 Laboratorio 8.1 – Túnel IP-IP ......................................................................................................................................... 34 Laboratorio 8.2 – Túnel EoIP.......................................................................................................................................... 36 Objetivos y Conceptos previos a túneles PPTP ............................................................................................................. 38 Laboratorio 8.3 – Túnel PPTP (R1 Server – R2 Client).................................................................................................. 39 Laboratorio 8.4 – Túnel PPTP (R1 Client – R2 Server).................................................................................................. 42 Laboratorio 8.5 – Bridge a través de un túnel PPTP usando BCP ................................................................................. 44
Academy Xperts
i
RouterOS v6.35.4.01 – Laboratorios Capítulo 1
Capítulo 1 Laboratorio 1.1 – Configuración Inicial Objetivo: • • •
Realizar la configuración a través de línea de comandos Armar el primer laboratorio, el mismo que se utilizará durante los días de capacitación MTCNA. Comprender los parámetros de configuración básicos y dar salida a Internet a un router MikroTik.
Escenario:
Configuración del AP (Instructor) Configuración de R1 1.
Establecer la conexión WAN a internet a través de la interface ether1 por medio de una configuración dhcpclient /ip dhcp-client add interface=ether1 disabled=no
2.
El Instructor debe comprobar que el dhcp-client entregó el DNS /ip dns print servers: dynamic-servers: 172.16.1.1 allow-remote-requests: no max-udp-packet-size: 4096 query-server-timeout: 2s query-total-timeout: 10s
3.
El Instructor debe activar Allow Remote Request /ip dns set allow-remote-requests=yes
Academy Xperts
1
RouterOS v6.35.4.01 – Laboratorios Capítulo 1
4.
El Instructor debe comprobar que el dhcp-client entregó la ruta por default de manera automática /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 172.16.1.1 1 1 ADC 172.16.1.0/26 172.16.1.57 ether1 0
5.
El Instructor debe crear un Security Profile para habilitar la seguridad /interface wireless security-profiles add name=Clave mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2- \ pre-shared-key=mikrotik
6.
El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no
7.
El Instructor debe configurar la tarjeta Wireless para que el R1 actúe como AP (Access Point). En este punto el AP utilizará el Security Profile que se configuró en el paso 6. Se usará la banda 2GHz-b/g/n /interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=MikroTik_MTCNA radio-name=NombreAP security-profile=Clave
Academy Xperts
2
RouterOS v6.35.4.01 – Laboratorios Capítulo 1
8.
El Instructor debe configurar la regla de NAT para que las redes privadas (clientes/alumnos) puedan salir a Internet. En el parámetro out-interface se especifica la interfaz por donde R1 sale a internet (en este caso ether1). El parámetro que se encargará de enmascarar/ocultar la red privada es action=masquerade /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1
9.
Asignación de direcciones IP • Cada participante deberá trabajar con un grupo de direcciones específicas para las interfaces Wireless y LAN. • El instructor debe asignar un número a cada estudiante con el cual deberá validar las subredes entregadas en base a la siguiente tabla (Tabla L0-1.1)
10. Asignar dirección IP a la Wlan1 del AP (Dependiendo de los requerimientos) /ip address add address=10.1.1.1/30 interface=wlan1 comment=Estudiante1 /ip address add address=10.1.1.5/30 interface=wlan1 comment=Estudiante2 /ip address add address=10.1.1.9/30 interface=wlan1 comment=Estudiante3 /ip address add address=10.1.1.13/30 interface=wlan1 comment=Estudiante4 /ip address add address=10.1.1.17/30 interface=wlan1 comment=Estudiante5
Academy Xperts
3
RouterOS v6.35.4.01 – Laboratorios Capítulo 1
Configuración del Cliente (Alumno) Configuración Wlan (Estudiante) 1.
Hacer un reset a toda la configuración del router /system reset-configuration no-defaults=yes
2.
Verificar que el instructor ha configurado una red Wireless con los correspondientes parámetros de autenticación y encriptación. • SSID: MikroTik_MTCNA • Autenticación: WPA PSK y/o WPA2 PSK • Cifrado: AES • WPA1 y/o WPA2 Pre-Shared key: mikrotik Configurar la tarjeta Wireless del Estudiante /interface wireless security-profiles add authentication-types=wpa2-psk mode=dynamic-keys \ name=ClaveCPE wpa2-pre-shared-key=mikrotik
3.
/interface wireless set wlan1 mode=station-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=MikroTik_MTCNA radio-name=NombreAlumno security-profile=ClaveCPE
Academy Xperts
4
RouterOS v6.35.4.01 – Laboratorios Capítulo 1
4.
El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no
5.
El estudiante debe estar conectado al AP del instructor. Debe verificar revisando en la tabla de registro y obtener un resultado similar al siguiente: /interface wireless registration-table print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME 0 wlan1 NombreAP E4:8D:8C:88:9A:B1 yes -42dBm@1Mbps 1Mbps 1m32s
Asignar IP a interface wlan 1.
El estudiante debe configurar la dirección IP correspondiente a la wlan1 de acuerdo a la Tabla L0-1.1 y basado en la asignación entregada por el instructor. /ip address add address=10.1.1.2/30 interface=wlan1
2.
Verificar por medio de ping que puede llegar al AP (interface wlan) del Instructor. Para esto deberá hacer ping a la IP de la subred /30 correspondiente.
Configurar la ruta por default 1.
El estudiante debe configurar la ruta por default (0.0.0.0/0) para poder salir a Internet. Para esto deberá especificar la IP del Gateway correspondiente según la Tabla L0-1.1 /ip route add dst-address=0.0.0.0/0 gateway=10.1.1.1
2.
Verificar por medio de ping que puede llegar a una dirección IP pública, por ejemplo, a la IP 8.8.8.8.
Academy Xperts
5
RouterOS v6.35.4.01 – Laboratorios Capítulo 1
Configurar el DNS 1.
El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres de dominio. Para esto deberá especificar la IP de los servidores DNS1 y DNS2 correspondientes según la Tabla L0-1.1. Es importante también configurar el router para que actúe como caché DNS (allow-remote-requests). /ip dns set servers=10.1.1.1,8.8.8.8 allow-remote-requests=yes
2.
Verificar por medio de ping que puede resolver un nombre de dominio, por ejemplo google.com
Configurar interface Ether1 del router e Interface Ethernet de Laptop Estudiante 1.
El estudiante debe configurar la interface Ether1 en base la dirección asignada según la Tabla L0-1.1. /ip address add address=192.168.71.254/24 interface=ether1
2.
El estudiante debe configurar la regla de src-nat para poder permitir que su laptop salga a internet. /ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade
3.
El estudiante debe configurar los parámetros de la tarjeta de red Ethernet de su laptop
4.
Verificar por medio de ping que puede llegar desde la laptop a la dirección IP de la interface Ether1 de su router
Academy Xperts
6
RouterOS v6.35.4.01 – Laboratorios Capítulo 1
Laboratorio 1.2 – SNTP Client Objetivo: •
Configurar el router MikroTik para que tenga actualizada la fecha y hora.
Configuración del CPE Si la clase no dispone de un servidor NTP (Network Time Protocol), entonces los clientes/alumnos deben conectarse a un servidor NTP externo. En este laboratorio se usarán los servidores NTP de Google. 1.
Cada alumno debe obtener las direcciones IP time1.google.com y time2.google.com /ping time1.google.com SEQ HOST SIZE 0 216.239.32.15 56 1 216.239.32.15 56 /ping time2.google.com SEQ HOST 0 216.239.32.15 1 216.239.34.15
SIZE 56 56
de los servidores NTP de Google, para esto deberá hacer un ping a TTL 41 41
TIME 209ms 199ms
STATUS
TTL 41 41
TIME 209ms 199ms
STATUS
2.
Cada alumno debe configurar el SNTP-Client especificando las direcciones IP de los NTP servers /system ntp client set enabled=yes primary-ntp=216.239.32.15 secondary-ntp=216.239.34.15
3.
Cada alumno debe configurar el Time Zone Name en el cual Debe indicar la ubicación donde se encuentra. /system clock set time-zone-name=América/Guayaquil
4.
Verificar que se posee la hora y zona horario correctas.
Academy Xperts
7
RouterOS v6.35.4.01 – Laboratorios Capítulo 1
Laboratorio 1.3 – SNTP Server
Configuración NTP-Server 1.
Configurar la zona horaria en el NTP-Server /system clock set time-zone-name=América/Guayaquil
2.
Configurar con una ntp-client el NTP-Server /system ntp client set enabled=yes primary-ntp=216.239.32.15 secondary-ntp=216.239.34.15
3.
Habilitar el NTP-Server /system ntp server set enabled=yes manycast=yes
Configuración NTP-Client 1.
Configurar zona Horaria /system clock set time-zone-name=América/Guayaquil
Academy Xperts
8
RouterOS v6.35.4.01 – Laboratorios Capítulo 1
2.
Configurar SNTP-Client /system ntp client set primary-ntp=192.168.96.4 enabled=yes
Academy Xperts
9
RouterOS v6.35.4.01 – Laboratorios Capítulo 2
Capítulo 2 Laboratorio 2 – Enrutamiento Estático Objetivo: • • • •
Trabajar en equipo. Se deben armar grupos de 4 estudiantes Comunicar varias redes LAN Esquema basado en enrutamiento estático Comprender los términos dst-address, gateway
Escenario: • •
Los equipos deben estar SIN configuración Luego de configurar los routers basados en el diagrama, se debe realizar ruteo estático. El tráfico deberá fluir en sentido horario
Parte 1. Poner direcciones IP Configuración de E1 1.
Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E1 /ip address add address=10.1.1.1/30 comment=E1-E2 interface=ether3 /ip address add address=10.2.2.1/30 comment=E1-E3 interface=ether4
2.
Realizar proceso de RUTEO para que el router E1 pueda alcanzar a las redes (10.3.3.0/30; 10.4.4.0/30). Para ello debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El Gateway para el E1 será 10.2.2.2 /ip route add distance=1 dst-address=10.3.3.0/30 gateway=10.2.2.2 /ip route add distance=1 dst-address=10.4.4.0/30 gateway=10.2.2.2
Configuración de E2 1.
Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E2
Academy Xperts
10
RouterOS v6.35.4.01 – Laboratorios Capítulo 2
/ip address add address=10.1.1.2/30 comment=E2-E1 interface=ether3 /ip address add address=10.4.4.2/30 comment=E2-E4 interface=ether4
2.
Realizar proceso de RUTEO para que el router E2 pueda alcanzar a las redes (10.3.3.0/30; 10.2.2.0/30). Para ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El Gateway para el E2 será 10.1.1.1 /ip route add distance=1 dst-address=10.3.3.0/30 gateway=10.1.1.1 /ip route add distance=1 dst-address=10.2.2.0/30 gateway=10.1.1.1
Configuración de E3 1.
Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E3 /ip address add address=10.2.2.2/30 comment=E3-E1 interface=ether4 /ip address add address=10.3.3.2/30 comment=E3-E4 interface=ether3
2.
Realizar proceso de RUTEO para que el router E3 pueda alcanzar a las redes (10.1.1.0/30; 10.4.4.0/30). Para ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El Gateway para el E3 será 10.3.3.1 /ip route add distance=1 dst-address=10.1.1.0/30 gateway=10.3.3.1 /ip route add distance=1 dst-address=10.4.4.0/30 gateway=10.3.3.1
Configuración de E4 1.
Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E4 /ip address add address=10.4.4.1/30 comment=E4-E2 interface=ether3 /ip address add address=10.3.3.1/30 comment=E4-E3 interface=ether4
2.
Realizar proceso de RUTEO para que el router E4 pueda alcanzar a las redes (10.1.1.0/30; 10.2.2.0/30). Para ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El Gateway para el E4 será 10.4.4.2 /ip route add distance=1 dst-address=10.1.1.0/30 gateway=10.4.4.2 /ip route add distance=1 dst-address=10.2.2.0/30 gateway=10.4.4.2
Academy Xperts
11
RouterOS v6.35.4.01 – Laboratorios Capítulo 2
Paso Final 1. Probar conectividad entre todos. 2. Adicionalmente hacer que entre las PC’s se puedan realizar ping entre ellas. Enrutamiento estático Cuál es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.1
-
Cuál es el gateway que seguirá el paquete cuando la estación 172.161.1 realiza un ping a la dirección 192.168.1.254
-
Como llego desde la Red A hasta la Red C
Academy Xperts
12
RouterOS v6.35.4.01 – Laboratorios Capítulo 3
Capítulo 3 Laboratorio 3.1 - Bridge y Slave Objetivos: •
Poner en práctica los conceptos vistos en este capítulo sobre Bridge, Puerto Master y Slave
Escenario: • •
Configurar la interface ether2 como esclavo (slave) de la interface principal (ether1). Asignar una dirección IP que esté dentro del mismo rango en nuestra PC y verificar que tenemos salida a Internet Crear un bridge. Agregar las interfaces ether3 y ether4 en este bridge. Poner un direccionamiento diferente en la interface bridge, y por último poner una IP que esté dentro del mismo rango que el bridge en nuestra PC y verificar conectividad.
Configuración SLAVE (Switch) Parte 1. Configurar puerto ether3 1.
Cada alumno debe configurar la interface ethe2 como esclavo de la interface ether1. Para ello la interface ether2 debe declara a la interface ether1 como master-port /interface ethernet set ether2 master-port=ether1
2.
Cada alumno debe cambiar su cable de red hacia la interface ether2 en su respectivo router. Luego debe cambiar el último octeto en la dirección IP que tiene en su laptop, por la siguiente dirección IP: Dirección IP : 192.168.71.1 por .100 Mascara de subred : 255.255.255.0 Puerta de enlace predeterminada : 192.168.71.254 Servidor DNS Preferido : 192.168.71.254
3.
Probar conectividad en el Computador
Configuración BRIDGE 1.
Cada alumno debe crear un bridge al cual le pondrá por nombre LAN2 /interface bridge add name=LAN2
Academy Xperts
13
RouterOS v6.35.4.01 – Laboratorios Capítulo 3
2.
Debe agregarse las interfaces ether3 y ether4 al bridge llamado LAN2 /interface bridge port add interface=ether3 bridge=LAN2 /interface bridge port add interface=ether4 bridge=LAN2
3.
Se asigna una dirección IP a la interface bridge (LAN2) /ip address add address=192.168.111.254/24 interface=LAN2
4.
Cada alumno debe configurar una dirección IP en su laptop que pertenezca al mismo rango del direccionamiento que se acaba de definir en el bridge. Por ejemplo: Dirección IP : 192.168.111.1 Mascara de subred : 255.255.255.0 Puerta de enlace predeterminada : 192.168.111.254 Servidor DNS Preferido : 192.168.111.254
5.
Realizar pruebas de navegación en el computador
Academy Xperts
14
RouterOS v6.35.4.01 – Laboratorios Capítulo 4
Capítulo 4 Wireless Objetivos: • • • •
Poner en práctica los conceptos básicos de wireless Aprender a configurar un enlace wireless entre (AP – CPE) Para el CPE practicar: Las tres formas de conectarse a un AP (connect-list, Scan, y SSID) Para el AP practicara: Accelist-list (Password, Time)
Escenario: 1. 2.
Formar grupos de dos personas el E1 va ser AP y debe tener salida a internet por medio del nuevo direccionamiento que se crea en el RP y el cual es enviado atreves del Switch El E2 va ser CPE el cual debe conectarse al AP usando los métodos de conexión al AP descritos en los objetivos.
Configuración Estudiante 1 Parte 1. Verificar que el Router del estudiante 1 tenga salida a internet Parte 2. Configurar dirección IP para la conexión con el Router del Estudiante 2 /ip address add address=172.16.1.1/30 interface=ether4
Configuración Estudiante 2 (Resetear el Router antes de iniciar) 1.
Pondremos la dirección IP en el ether4 para la conexión con el Router del estudiante 1 /ip address add address=172.16.1.2/30 interface=ether4
2.
Crear Ruta por defecto 0.0.0.0/0 Gateway 172.16.1.1 /ip route add gateway=172.16.1.1
Academy Xperts
15
RouterOS v6.35.4.01 – Laboratorios Capítulo 4
3.
Configurar DNS /ip dns set servers=172.16.1.1,8.8.8.8 allow-remote-requests=yes
4.
Configurar NAT /ip firewall nat add chain=srcnat out-interface=ether4 action=masquerade
5.
Verificar conectividad a internet (ping 8.8.8.8 y ping google.com)
6.
Crear Security-Profiles y Configurar tarjeta wireless en modo ap-bridge para que el Router del estudiante 3 se pueda conectar. /interface wireless security-profiles add name=Clave mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm \ wpa2-pre-shared-key=laboratorio4
7.
El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no
/interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=Grupo1 radio-name=NombreAlumno security-profile=Clave
Academy Xperts
16
RouterOS v6.35.4.01 – Laboratorios Capítulo 4
8.
Configurar dirección IP en la interfaz wlan1 del Router del alumno dos para la conexión con el Router del alumno 3. /ip address add address=10.2.1.1/30 interface=wlan1
Configuración Estudiante 3 (Resetear el Router antes de iniciar) 9.
Configurar la tarjeta Wireless del Estudiante /interface wireless security-profiles add name=ClaveCPE mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm \ wpa2-pre-shared-key=laboratorio4
/interface wireless set wlan1 mode=station-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=Grupo1 radio-name=NombreAlumno security-profile=ClaveCPE
10. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no
Academy Xperts
17
RouterOS v6.35.4.01 – Laboratorios Capítulo 4
11. Verificar que los equipos se hayan conectado entre si /interface wireless registration-table print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME 0 wlan1 NombreAlumno E4:8D:8C:88:9A:B1 yes -47dBm@1Mbps 11Mbps 6m59s
12. Configurar dirección IP en el interfaz wlan1 /ip address add address=10.2.1.2/30 interface=wlan1
13. Verificar por medio de ping que puede llegar al AP (interface wlan) del Estudiante 2. Para esto deberá hacer ping a la IP de la subred /30 correspondiente.
14. Configurar la ruta por default. El estudiante debe configurar la ruta por default (0.0.0.0/0) para poder salir a Internet. Para esto deberá especificar la IP del Gateway. /ip route add dst-address=0.0.0.0/0 gateway=10.2.1.1
15. Verificar por medio de ping que puede llegar a una dirección IP pública, por ejemplo, a la IP 8.8.8.8.
16. Configurar el DNS. El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres de dominio. Para esto deberá especificar la IP de los servidores DNS1 y DNS2. Es importante también configurar el router para que actúe como caché DNS (allow-remote-requests). /ip dns set servers=10.2.1.1,8.8.8.8 allow-remote-requests=yes Academy Xperts
18
RouterOS v6.35.4.01 – Laboratorios Capítulo 4
17. Verificar por medio de ping que puede resolver un nombre de dominio, por ejemplo google.com
18. Configurar interface Ether4 del router e Interface Ethernet de Laptop Estudiante /ip address add address=192.168.71.254/24 interface=ether4
19. El estudiante debe configurar la regla de src-nat para poder permitir que su laptop salga a internet. /ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade
20. El estudiante debe configurar los parámetros de la tarjeta de red Ethernet de su laptop
21. Verificar por medio de ping que puede llegar desde la laptop a la dirección IP 8.8.8.8
22. Verificar que tenga Navegación.
Academy Xperts
19
RouterOS v6.35.4.01 – Laboratorios Capítulo 4
Configuración Estudiante 3 (Scanner) 1. Resetear tarjeta Wireless /interface wireless reset-configuration wlan1
2. Verificar que no tenga navegación 3. Activamos la tarjeta wireless /interface wireless set wlan1 disabled=no
4.
5.
6. 7.
Configuramos los parámetros necesarios para usar la opción de scanner, los cuales son: a. Poner en modo station-bridge b. Seleccionar el security-profiles c. Guardar los cambios y salir Daremos clic en el botón Scanner ubicado en la parte superior de la ventana Wireless Tables y buscaremos el SSID que tiene configurado el estudiante 2 en su equipo presionando el botón Start. Una vez que encontramos el SSID al que nos vamos a conectar lo seleccionamos y presionamos el botón Connect.
Verificamos que tengamos comunicación con el Router AP una vez mas Verificar que tengamos navegación normal
Configuración Estudiante 3 (Connect List) 1. Resetear tarjeta Wireless /interface wireless reset-configuration wlan1
Academy Xperts
20
RouterOS v6.35.4.01 – Laboratorios Capítulo 4
2.
Configuramos los datos necesarios en la tarjeta wireless para poder usar la opción de Connect List. a. Modo: Station bridge b. SSID: Sin SSID c. Seleccionar el Security profiles d. Guardar cambios y salir.
3. 4.
Activar tarjeta Wireless Iremos a la pestaña de Connect List. Para esto necesitamos que el estudiante 2 identifique cual es la Dirección MAC de su interfaz Wlan1 y dársela al estudiante 3 para que la pueda poner en el campo MAC Address en las configuraciones en la ventana de Connect List
5. 6.
Verificamos que tengamos comunicación con el Router AP una vez mas Verificar que tengamos navegación normal
Configuración Estudiante 2 (Access List) 1. Verificamos que tengamos a E2 (CPE) registrado en nuestra tabla de registros /interface wireless registration-table print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH wlan1 R2 E4:8D:8C:87:C5:14 no -42dBm@1Mbps
TX-RATE 1Mbps
UPTIME 1m15s
2.
Luego ya con la MAC que vemos lo trabajaremos con una regla de Access-List y le cambiaremos la clave y luego verificaremos si E2 tiene navegación /interface wireless access-list add mac-address=E4:8D:8C:87:C5:14 interface=wlan1 \ private-pre-shared-key=mikrotik123
3.
Verificar que se tiene navegación en el computador, caso contrario revisar los pasos anteriores.
Academy Xperts
21
RouterOS v6.35.4.01 – Laboratorios Capítulo 5
Capítulo 5 Administración de Red Objetivos: • • • •
Poner en práctica los conceptos vistos en este capitulo Comprender las bases y configuraciones de un DHCP Poder fusionar un bridge + un DHCP Server Y comprender las funciones de DHCP Client
Escenario: 1. 2. 3. 4.
Formar Grupo de dos personas E1 y E2 E1 se va conectar con RP vía wireless, pero con un nuevo SSID y un nuevo direccionamiento E1 debe darle un nuevo direccionamiento a E2 por medio de un DHCP Server y a su vez E2 debe configurar un DHCP Client para poder recibir ese direccionamiento. Por último E2 debe crear un Bridge, poner puertos 4y5 en el bridge y crearle un nuevo direccionamiento y darle por medio de DHCP-Server IP al computador.
Configuración Estudiante 1 Parte 1. Verificar que el Router del estudiante 1 tenga salida a internet Parte 2. Configurar el DHCP-Server en la interfaz ether4 con siguiente dirección IP 172.16.1.1/24 1. Configurar dirección IP en el ether4 /ip address add address=172.16.1.1/24 interface=ether4
2.
Configurar el DHCP-Server /ip dhcp-server setup Select interface to run DHCP server on dhcp server interface: ether4 Select network for DHCP addresses dhcp address space: 172.16.1.0/24 Select gateway for given network gateway for dhcp network: 172.16.1.1 Select pool of ip addresses given out by DHCP server addresses to give out: 172.16.1.2-172.16.1.254 Select DNS servers dns servers: 172.16.1.1 Select lease time lease time: 10m
Academy Xperts
22
RouterOS v6.35.4.01 – Laboratorios Capítulo 5
Configuración Estudiante 2 (Resetear el Router antes de iniciar) Parte 1. Configurar la interfaz ether4 como DHCP-Client /ip dhcp-client add interface=ether4 disabled=no
Parte 2. Verificar que se entregó la dirección IP a la interfaz ether4 Parte 3. Activar Allow remote requests en la ventana de DNS /ip dns set allow-remote-requests=yes Parte 4. Crear un bridge y asignarle una DHCP-Server 1.
Crear Bridge /interface bridge add name=DHCP-Server
2.
Agregar los puertos al bridge /interface bridge port add interface=ether2 bridge=DHCP-Server /interface bridge port add interface=ether3 bridge=DHCP-Server
3.
Asignar dirección IP al bridge /ip address add address=192.168.71.1/24 interface=DHCP-Server
Academy Xperts
23
RouterOS v6.35.4.01 – Laboratorios Capítulo 5
4.
Crear DHCP-Server para la interfaz bridge “DHCP-Server” /ip dhcp-server setup Select interface to run DHCP server on dhcp server interface: DHCP-Server Select network for DHCP addresses dhcp address space: 192.168.71.0/24 Select gateway for given network gateway for dhcp network: 192.168.71.1 Select pool of ip addresses given out by DHCP server addresses to give out: 192.168.71.2-192.168.71.254 Select DNS servers dns servers: 192.168.71.1
5. 6. 7.
Select lease time lease time: 10m Configurar NAT /ip firewall nat add chain=srcnat out-interface=ether4 action=masquerade Verificar que la laptop haya recibido la dirección IP automáticamente. Verificar que pueda navegar
Academy Xperts
24
RouterOS v6.35.4.01 – Laboratorios Capítulo 6
Capítulo 6 Firewall Objetivos: -
Poner en práctica los conceptos vistos en este capítulo. Proteger a un equipo MIKROTIK con las reglas principales para protección. Configurar reglas NAT para ciertos tipos de redireccionamientos en una RED Poner en práctica las términos address-list y Layer7 protocol
Escenario: 1. 2.
Deben tener la red activa, se recomienda restaurar la configuración Principal y trabajarla hay. Todas las reglas afectaran solo a sus propias LAN
Reglas de Firewall input Tarea 1: Reglas Básicas de Filter Input 1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas que administren su router. En el caso de este ejercicio las direcciones serán: la IP de su laptop (la IP del comando a continuación es solo un ejemplo), y la red WAN Wireless /ip firewall address-list add address=192.168.100.254 list="IPs permitidas Administrar Router" add address=10.1.1.1-10.1.1.63 list="IPs permitidas Administrar Router"
2.
Crear las 4 reglas básicas en INPUT /ip firewall filter add chain=input comment="IN - Permitir conexiones establecidas y relacionadas" connection-state=\ established,related add action=drop chain=input comment="IN - Rechazar conexiones invalidas" connection-state=invalid add chain=input comment="IN - IPs permitidas Administrar este router" src-address-list=\ "IPs permitidas Administrar Router" add action=drop chain=input comment="IN - Descartar todo lo demas"
Academy Xperts
25
RouterOS v6.35.4.01 – Laboratorios Capítulo 6
Tarea 2: Pruebas de validación de reglas 1. Cada estudiante debe poder ingresar vía Winbox al router de su vecino. Caso contrario el vecino debe validar su address-list 2. El estudiante debe cambiar la dirección IP de su laptop y probar el acceso a su propio router. Puesto que la nueva IP no está definida en el address-list no debe poder ingresar Tarea 3: Acceso vía por Capa 2 1. Puesto que en la Tarea 2.2 no se puede ingresar, el estudiante debe tratar de ingresar por Capa 2 2. Abrir un Winbox y verificar si puede visualizar la MAC de la interface del rute a la cual está conectado 3. Escribir la MAC-address de la interface del router e intentar ingrese
Reglas de Firewall Forward Tarea 1: Reglas Básicas de Filter Forward 1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas navegar a Internet. En el caso de este ejercicio las direcciones serán el segmento de la red LAN (local) /ip firewall address-list add address=192.168.100.0/24 list="IPs permitidas navegar internet"
2.
Crear las 4 reglas básicas en FORWARD /ip firewall filter add chain=forward comment="IN - Permitir conexiones establecidas y relacionadas" connection-state=\ established,related add action=drop chain=forward comment="IN - Rechazar conexiones invalidas" connection-state=invalid add chain=forward comment="IN - IPs permitidas navegar internet" src-address-list=\ "IPs permitidas navegar internet" add action=drop chain=forward comment="IN - Descartar todo lo demas"
Tarea 2: Pruebas de validación de reglas 1. Cada estudiante debe poder navegar a Internet. Caso contrario debe revisar su address-list
Reglas de NAT Parte1. Regla de NAT & (action: masquerade) 1.
La regla más usada por los administradores de Redes con equipos MIKROTIK /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1
Academy Xperts
26
RouterOS v6.35.4.01 – Laboratorios Capítulo 6
Parte2. Regla de NAT & (action: dstnat) 2.
Regla para redireccionar un tráfico en específico a otro Servidor externo. Por ejemplo tenemos el ambiente de una red ISP la cual tiene un servidor cache y quiere que sus clientes sean redireccionados al servidor cache. Para ello tenemos la IP publica 201.230.102.4 y la ip de nuestro servidor de cache 192.168.0.3 (action: dst-nat) /ip firewall nat add action=dst-nat chain=dstnat comment=DSTNAT dst-address=201.230.102.4 \ dst-port=80 protocol=tcp to-addresses=192.168.0.3 to-ports=6457
Parte 2. Action: redirect + web proxy 1. 2.
3.
Primero activaremos el web-proxy y definimos el puerto que vamos a usar, por defecto viene el 8080 /ip proxy set enabled=yes port=8081 Segundo configuraremos el web proxy para redireccionar una página (www.hi5.com) al otra página (www.academyxperts.com), esto será aplicado a nuestra LAN. /ip proxy access add action=deny dst-host=*hi5* redirect-to=www.academyxperts.com \ src-address=200.200.200.0/24 Luego de a ver creado la regla de web-proxy lo que haremos ahora será redireccionarlo por medio del chain: dstnat y la acción: redirect /ip firewall nat add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8081
Parte 3. Action: redirect + DNS 1. 2.
Escenario: cuando se cambian los DNS en nuestros clientes (Para este caso simular cambiando los DNS de nuestra PC por cualquier DNS) Redireccionar: Que todo el tráfico DNS (53) de nuestra LAN sea redireccionados a los DNS del mismo Router RP. La regla tiene que ser aplicada tanto como TCP como UDP de DNS. /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53 /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53
Parte 4. Address-List + Layer7 + Firewall Filter (Redes sociales) 1.
Bloquearemos un conjunto de redes sociales con la opción de Layer7, luego con la opción address-List agregaremos a quien bloquearle ese contenido de Layer7. Y por último crear la regla de Filter para bloquear y poner en marcha la regla. /ip firewall layer7-protocol add name="redes sociales" regexp="^.+(facebook|youtube|twitter|instagram).+\$"
/ip firewall address-list add address=192.168.10.0/24 list=LAN
Academy Xperts
27
RouterOS v6.35.4.01 – Laboratorios Capítulo 6
/ip firewall filter add action=drop chain=forward layer7-protocol="redes sociales" src-address-list=LAN
Academy Xperts
28
RouterOS v6.35.4.01 – Laboratorios Capítulo 6
Capítulo 7 QoS Objetivo: -
Poner en práctica los conocimientos adquiridos en este capitulo Poner crear una buena calidad de servicio para una LAN Comprender el uso de las reglas de Mangle
Escenario:
Mangle Parte 1. Crearemos las reglas de Mangle para poder marcar las conexiones a la cuales les vamos a asignar la calidad de servicio. 1.
En este caso analizaremos los tráfico que son sensibles en la Red tales como: HTTP, VOZ, P2P, EMAIL, Otros. Para ello necesitamos los puertos que manejen cada uno de ellos. /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_HTTP/S \ dst-port=80,443 new-connection-mark=conn_HTTP/S protocol=tcp /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_HTTP/S \ new-packet-mark=conn_HTTP/S.PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_VOZ \ dst-port=10000-20000 new-connection-mark=conn_VOZ protocol=udp /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_VOZ \ new-packet-mark=conn_VOZ.PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_P2P \ new-connection-mark=conn_P2P p2p=all-p2p /ip firewall mangle > add action=mark-packet chain=prerouting connection-mark=conn_P2P \ new-packet-mark=conn_P2P.pkt passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_Email \ dst-port=25,110,587,994 new-connection-mark=conn_Email protocol=tcp /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_Email \ new-packet-mark=conn_Email.PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting comment=conn_Resto \ new-connection-mark=conn_Resto /ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_Resto \ new-packet-mark=conn_Resto.pkt passthrough=no
Academy Xperts
29
RouterOS v6.35.4.01 – Laboratorios Capítulo 6
Parte 2. Configurar la calidad de servicio para las siguientes conexiones que acabamos de marcar anteriormente por medio de las reglas de Mangle. /queue simple add max-limit=2M/2M name=INTERNET target=192.168.100.254/32 /queue simple add limit-at=768k/768k max-limit=2M/2M name=HTTP/S packet-marks=conn_HTTP/S.PKT \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.100.254/32 /queue simple add limit-at=256k/256k max-limit=2M/2M name=EMAIL packet-marks=conn_Email.PKT \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.100.254/32 /queue simple add limit-at=64k/64k max-limit=2M/2M name=RESTO packet-marks=conn_Resto.pkt \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.100.254/32 /queue simple add limit-at=256k/256k max-limit=2M/2M name=P2P packet-marks=conn_P2P.pkt \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.100.254/32 /queue simple add limit-at=512k/512k max-limit=2M/2M name=VOZ packet-marks=conn_VOZ.PKT \ parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.100.254/32
Academy Xperts
30
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
Capítulo 8 Objetivos y Conceptos previos a túneles IPIP Objetivos: • •
Entender cuál es el obejtivo de los túneles y cómo configurarlos. En este ejercicio se realizará un túnel IP-IP que es uno de lo túneles más básicos.
Bases Conceptuales: Es importante entender por qué realizamos un túnel y los elementos que formarán parte de esta importante herramienta que permitirá interconectar a dos redes remotas separadas por la nube de Internet. Si se desea tener comunicación entre las redes A y B (Figura 8.1.1) que están separadas por la nube de Internet, la opción de ruteo no es viable ya que las IPs privadas 172.16.1.0/24 y 192.168.1.0/24 no son direcciones IP públicamente ruteables. Esto significa que los routers públicos en Internet no pueden usar las IPs privadas como una red de destino (a menos que sea para uso exclusivo & privado de cada ISP). Por esta razón, si se desea que las redes A y B se comuniquen, se debe crear una VPN • • •
VPN = Virtual Private Network En Español = Red Privada Virtual También se la conoce como = Túnel
Esto se realiza creando una Interface Virtual en cada router remoto. Una vez creada esta interface, dependiendo de la naturaleza de la misma, se podrán establecer conexiones en Capa 2 (L2) o en Capa 3 (L3). Recuerde que las siguientes redes son Redes Privadas y NO son Públicamente Ruteables • • •
10.0.0.0 /8 172.16.0.0 /12 192.168.0.0 /16
Existen diferentes tipos de túneles que se usan para diferentes aplicaciones. RouterOS de MikroTik permite trabajar con túneles • • • • •
IPIP EoiP GRE PPP (PPP, L2TP, PPTP, EoIP, OVPN SSTP) IPsec
Academy Xperts
31
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
Para efectos de nuestros laboratorios debe quedar muy claro que cuando levantamos un tunel a través de Internet nos encontramos ante una nube de la cual prácticamente desconocemos todo lo que ocurre dentro (Figura 8.1.2).
Los ejercicios que desarrollaremos serán una simulación del escenario en la red pública para lo cual trabajaremos con el router del Trainer como medio de acceso a la nube (Figura 8.1.3) En este escenario cada estudiante trabajará con las IPs privadas (192.168.n.0/24) y las IP externas (10.1.1.m/30) asignadas al inicio del curso.
Academy Xperts
32
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
Nota Importante: Recordar que cuando se va a crear un túnel, la única información que posee cada localidad es la IP externa de los routers de borde de cada destino remoto (Figura 8.1.4)
Proceso Túnel IPIP Como denota el nombre de este túnel (IPIP), se creará un túnel Capa 3 (IP) sobre una conexión Capa 3 (IP). Este tipo de túnel es muy básico y no posee autenticación ni encriptación. Para el ejemplo en este texto usaremos las siguientes interfaces y direcciones IP (Figura 8.1.5)
R1 (Router 1) 192.168.a.0/24 - ID de red de LAN en Red A 192.168.a.1 - IP de la Laptop en Red A 192.168.a.254 - IP de interface LAN en R1 (ether2 en este LAB) 10.1.1.w/30 - IP de interface WAN en R1 (wlan1 en este LAB) 10.1.1.x/30 - IP de interface WAN en R-trainer (wlan1 en este LAB) R2 (Router 2) 192.168.b.0/24 - ID de red de LAN en Red B 192.168.b.1 - IP de la Laptop en Red B 192.168.b.254 - IP de interface LAN en R2 (ether2 en este LAB) 10.1.1.z/30 - IP de interface WAN en R2 (wlan1 en este LAB) 10.1.1.y/30 - IP de interface WAN en R-trainer (wlan1 en este LAB) Nota Importante: Para las configuraciones en éste laboratorio asumiremos los siguientes valores para a, b, w, x, y & z. Estos valores fueron asignados previamente por el instructor al inicio del curso. Si tiene dudas por favor consulte su entrenador. Academy Xperts
33
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
• • • • • •
a=1 b=2 w=2 x=1 y=5 z=6
(192.168.1.0/24) (192.168.2.0/24) (10.1.1.2/30) (10.1.1.1/30) (10.1.1.5/30) (10.1.1.6/30)
Laboratorio 8.1 – Túnel IP-IP Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel. Recuerde que: • •
local-address se refiere la IP externa local (R1) remote-address se refiere a la IP externa remota (R2) /interface ipip add name=ipip-tunnel1 local-address=10.1.1.2 remote-address=10.1.1.6
R2 (Router 2) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel. Recuerde que: • •
local-address se refiere la IP externa local (R2) remote-address se refiere a la IP externa remota (R1) /interface ipip add name=ipip-tunnel1 local-address=10.1.1.6 remote-address=10.1.1.2
Paso 2 R1 (Router 1) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada /ip address add address=10.20.30.1/30 interface=ipip-tunnel1 R2 (Router 2) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada /ip address add address=10.20.30.2/30 interface=ipip-tunnel1 Paso 3 R1 (Router 1) debe verificar que llega a la IP del tunel remoto ejecutando un ping /ping 10.20.30.2 SEQ HOST SIZE TTL TIME STATUS 0 10.20.30.2 56 64 3ms 1 10.20.30.2 56 64 3ms 2 10.20.30.2 56 64 0ms 3 10.20.30.2 56 64 14ms R2 (Router 2) debe verificar que llega a la IP del tunel remoto ejecutando un ping / ping 10.20.30.1 Academy Xperts
34
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
SEQ 0 1 2 3
HOST 10.20.30.1 10.20.30.1 10.20.30.1 10.20.30.1
SIZE 56 56 56 56
TTL 64 64 64 64
TIME STATUS 3ms 1ms 1ms 1ms
Paso 4 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como Gateway la dirección IP de la inteface del túnel IPIP remota /ip route add dst-address=192.168.2.0/24 gateway=10.20.30.2 R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como Gateway la dirección IP de la inteface del túnel IPIP remota /ip route add dst-address=192.168.1.0/24 gateway=10.20.30.1 Paso 5 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.2.254 R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.1.254 Finalmente la interconexión entre las Redes remotas A & B queda según la Figura 8.1.6
Academy Xperts
35
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
Laboratorio 8.2 – Túnel EoIP Objetivos: •
Crear un túnel EoIP y verificar que las redes remotas se encuentran en el mismo dominio de broadcast
Bases Conceptuales: El túnel Ethernet Sobre IP (Ether Over IP) es un túnel de Capa 2 (Ethernet) sobre una conexión en Capa 3 (IP). Esto significa que genera una dirección MAC en la interface del túnel. Al final de este laboratorio se comprobará que efectivamente se genera un túnel de Capa 2 (Ethernet) porque se podrá agregar la interface EoIP en un Bridge. De esta manera las redes remostas A y B estarán en el mismo dominio de broadcast, y puesto que formarán parte del mismo Bridge también estarán dentro del mismo dominio de Colisión. Esta última característica (formar parte del mismo dominio de Colisión) es la razón por la cual los Bridges o las redes Bridge deben ser evitadas al máximo. Una de las formas de constatar que ambas redes están trabajando en el mismo dominio de Broadcast es que las direcciones IP de las laptops estén en la misma subred. Otra forma de verificar es que a pesar de que ambas laptops tengan direcciones IP de distintas subredes, al ejecutar el Winbox podrán ver las direcciones MAC de los routers remotos. Esto no podría ser posible si es que ambas redes no compartieran el mismo dominio de Broadcast. El diagrama inicial de configuración es el que se presenta en la Figura 8.2.1
Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.1 (dst-address=192.168.2.0/24 gateway=10.20.30.2) R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.1 (dst-address=192.168.1.0/24 gateway=10.20.30.1) • •
Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes No es necesario que los Routers desactiven/eliminen los túneles IPIP
Paso 2 R1 (Router 1) debe configurar la dirección IP remota (externa) para armar el túnel. Para este tipo de túnel (EoIP) no es obligatorio configurar la dirección IP local (externa). Sin embargo se debe configurar el tunnel-id que debe ser el mismo en los routers que arman el túnel. Recuerde que: • •
local-address se refiere la IP externa local (R1) remote-address se refiere a la IP externa remota (R2) /interface eoip add name=eoip-tunnel1 remote-address=10.1.1.2 tunnel-id=10
Academy Xperts
36
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
R2 (Router 2) debe configurar la dirección IP remota (externa) para armar el túnel. Recuerde que: • •
local-address se refiere la IP externa local (R2) remote-address se refiere a la IP externa remota (R1) /interface eoip add name=eoip-tunnel1 remote-address=10.1.1.1 tunnel-id=10
Paso 3 R1 (Router 1) debe crear un Bridge, y en este bridge agregar las interfaces ether2 y eoip-tunnel1 /interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 /interface bridge port add bridge=bridge1 interface=eoip-tunnel1 R2 (Router 2) debe crear un Bridge, y en este bridge agregar las interfaces ether2 y eoip-tunnel1 /interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 /interface bridge port add bridge=bridge1 interface=eoip-tunnel1 Paso 4 Las laptops de las Redes A y B deben configurar una IP de la misma subred. Por ejemplo: Laptop Red A: 192.168.1.1/24 Laptop Red B: 192.168.1.2/24 Con esta configuración ambas laptops debe poder hacer PING entre ellos. Figura 8.2.2 Note que la Laptop de la Red B (192.168.1.2) no podrá hacer PING a R2 (Router 2) ya que están en una subred diferente.
Academy Xperts
37
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
Objetivos y Conceptos previos a túneles PPTP Objetivos: •
Crear un túnel PPTP, para lo cual se requerirá que R1 actúe como PPTP-Server y R2 actúe como PPTP-Client
Bases Conceptuales: • • •
PPTP es un túnel seguro para transportar tráfico IP usando PPP. PPTP encapsula el PPP en líneas virtuales que corren sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados.
El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP. Los clientes PPTP están disponibles en casi todos los sistemas operativos, incluso en Windows. RouterOS soporta Multilink PPP (también conocido como MP, MLPPP, MPPP, MLP, o Multilink) con lo cual se provee un método para esparcir el tráfico a través de múltiples conexiones PPP distintas. En una simple línea PPP los frames no pueden arrivar fuera de orden, pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP. Por este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. MP es un ejemplo de tecnología de agregación de enlace. MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP. •
•
MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño. o MRRU = Maximum Received Reconstructed Unit o El MRRU es similar al MTU (Maximum Transmission Unit), pero solo se aplica a los paquetes Multilink. o El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar. o Por default el MRRU es 1500 bytes, pero se puede configurar un diferente de MRRU si el equipo con el que va a conversar permite/acepta ese nuevo valor. La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar frames Ethernet a través de enlaces PPP.
De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. Para esto se necesita que el Bridge tenga una dirección MAC o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC. PPTP incluye contabilización y autenticación PPP para cada conexión PPTP. La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local RouterOS soporta los tipos de encriptación • •
MPPE 40bit RC4 MPPE 128bit RC4
El tráfico PPTP utiliza • •
TCP puerto 1723 IP protocol GRE o GRE = Generic Routing Encapsulation o GRE = IP protocol ID 47
PPTP puede ser usado con la mayoría de firewalls y routers habiitando TCP 1723 y GRE (protocolo 47). De esta manera el tráfico puede ser ruteado a través del firewall o router. Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura através de una conexión enmascarada (NATeada).
Academy Xperts
38
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
Laboratorio 8.3 – Túnel PPTP (R1 Server – R2 Client) El diagrama inicial de configuración es el que se presenta en la Figura 8.3.1
Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe remover los puertos (ether2 y eoip-tunnel1) agregados a Bridge1, y también debe eliminar el Bridge1 creados en el Laboratorio 8.2 R2 (Router 2) debe remover los puertos (ether2 y eoip-tunnel1) agregados a Bridge1, y también debe eliminar el Bridge1 creados en el Laboratorio 8.2 • •
Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP
Paso 2 R1 (Router 1) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración: 1.
Crear el PPP SECRET. El perfil/profile que se utilizará es DEFAULT (sin encriptación) /ppp secret add name=prueba password=prueba service=pptp local-address=10.2.2.2 \ remote-address=10.3.3.3
2.
Habilitar el servicio PPTP SERVER /interface pptp-server server set enabled=yes default-profile=default
Paso 3 R2 (Router 2) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración: Academy Xperts
39
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
/interface pptp-client add name=pptp-out1 connect-to=10.1.1.2 \ user=prueba password=prueba profile=default disabled=no
Paso 4 1.
2.
R1 (Router 1) debe verificar que se ha generado una interface pptp y que se encuentra corriendo (R). Esta interface se ha generado dinámicamente (D) /interface pptp-server print Flags: X - disabled, D - dynamic, R - running # NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING 0 DR
prueba 1450 10.1.1.6 2m31s R1 debe verificar el estatus de la conexión (connected) /interface pptp-server monitor status: connected uptime: 7m1s user: prueba caller-id: 10.1.1.6 encoding: mtu: 1450 mru: 1450 local-address: 10.2.2.2 remote-address: 10.3.3.3 -- [Q quit|D dump|C-z pause]
Nota: El pptp-server asignó las direcciones local (local-addres) y remota (remote-address) a ambas interfaces del túnel
Paso 5 1.
2.
R2 (Router 2) debe verificar que la interface pptp-client se encuentra corriendo (R). /interface pptp-client print Flags: X - disabled, R - running 0 R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.1.1.2 user="prueba" password="prueba" profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no allow=pap,chap,mschap1,mschap2 R2 debe verificar el estatus de la conexión (connected) /interface pptp-client monitor pptp-out1 do file interval numbers [admin@R2] > interface pptp-client monitor pptp-out1 status: connected uptime: 12m22s encoding: mtu: 1450 mru: 1450 local-address: 10.3.3.3 remote-address: 10.2.2.2 -- [Q quit|D dump|C-z pause]
Paso 6 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.168.2.0/24 gateway=10.3.3.3 R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.168.1.0/24 gateway=10.2.2.2 Academy Xperts
40
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
Paso 7 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.2.254 R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.1.254
Academy Xperts
41
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
Laboratorio 8.4 – Túnel PPTP (R1 Client – R2 Server) El diagrama inicial de configuración es el que se presenta en la Figura 8.4.1
Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.3 (dst-address=192.168.2.0/24 gateway=10.3.3.3) R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.3 (dst-address=192.168.1.0/24 gateway=10.2.2.2) • • •
Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP Es IMPORTANTE que se mantenga el túnel PPTP creado en el Laboratorio 8.3 para demostrar que un mismo router puede actuar como Cliente y Server a la vez.
Paso 2 R2 (Router 2) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración: 1. 2.
Crear el PPP SECRET. El perfil/profile que se utilizará es DEFAULT (sin encriptación) /ppp secret add name=prueba password=prueba service=pptp local-address=10.4.4.4 \ remote-address=10.5.5.5 Habilitar el servicio PPTP SERVER /interface pptp-server server set enabled=yes default-profile=default
Paso 3 R1 (Router 1) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración: /interface pptp-client add name=pptp-out1 connect-to=10.1.1.6 \ user=prueba password=prueba profile=default disabled=no Paso 4 1.
R2 (Router 2) debe verificar que se ha generado una interface pptp y que se encuentra corriendo (R). Esta interface se ha generado dinámicamente (D) /interface pptp-server print Flags: X - disabled, D - dynamic, R - running # NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING 0 DR prueba 1450 10.1.1.2 1m16s R2 debe verificar el estatus de la conexión (connected) interface pptp-server monitor status: connected uptime: 4m23s user: prueba caller-id: 10.1.1.2 encoding: mtu: 1450 mru: 1450 local-address: 10.4.4.4 remote-address: 10.5.5.5 -- [Q quit|D dump|C-z pause] Nota: El pptp-server asignó las direcciones local (local-addres) y remota (remote-address) a ambas interfaces del túnel
Paso 5 1.
R1 (Router 1) debe verificar que la interface pptp-client se encuentra corriendo (R). /interface pptp-client print Flags: X - disabled, R - running
Academy Xperts
42
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
2.
0 R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.1.1.2 user="prueba" password="prueba" profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no allow=pap,chap,mschap1,mschap2 R1 debe verificar el estatus de la conexión (connected) /interface pptp-client monitor pptp-out1 do file interval numbers [admin@R2] > interface pptp-client monitor pptp-out1 status: connected uptime: 12m22s encoding: mtu: 1450 mru: 1450 local-address: 10.5.5.5 remote-address: 10.4.4.4 -- [Q quit|D dump|C-z pause]
Paso 6 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.168.2.0/24 gateway=10.4.4.4 R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como Gateway la dirección IP de la inteface del túnel PPTP remota /ip route add dst-address=192.168.1.0/24 gateway=10.5.5.5 Paso 7 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.2.254 R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.1.254 Nota: Al final de este ejercicio puede constatar que un mismo router puede actuar como Cliente y como Server al mismo tiempo cuando se configuran túneles.
Academy Xperts
43
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
Laboratorio 8.5 – Bridge a través de un túnel PPTP usando BCP Objetivos: • • •
Interconectar 2 redes remotas (Red A y Red B) y formar una sola red Ethernet (un mismo dominio de broadcast) Se requiere usar encriptación para proteger la integridad de los datos. Esta actividad se realizará con túnel PPTP y protocolo BCP
Bases Conceptuales: • • • •
RouterOS soporta BCP (Bridge Control Protocol) para las interfaces PPP, PPTP, L2TP y PPPoE. BCP permite que los paquetes pasen en Bridge a través de un enlace PPP. Para hacer Bridging, BCP puede utilizarse en lugar de EoIP + Túnel VPN Para hacer Bridging, BCP puede utilizarse en lugar de un enlace WDS en una red inalámbrica
Cuando se establece el BCP, éste constituye una parte independiente del túnel PPP. No está relacionado a ninguna dirección IP de la interface PPP, razón por la cual el Bridging y el Routing se pueden realizar al mismo tiempo de forma independiente. Requerimientos: • •
BCP debe ser habilitado en ambos lados (PPP server y PPP cliente) para poder funcionar. RouterOS puede trabajar con otros dispositivos que soporte BCP de acuerdo al estándar siempre y cuando el BCP esté habilitado.
El diagrama de configuración al que se desea llegar es el que se presenta en la Figura 8.5.1
Paso 1 1. 2. 3. 4. 5.
R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.4 (dst-address=192.168.2.0/24 gateway=10.5.5.5) R1 (Router 1) debe eliminar la IP asignada a la interface ether2 (192.168.1.254/24) R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.4 (dst-address=192.168.1.0/24 gateway=10.4.4.4) R2 (Router 2) debe eliminar la IP asignada a la interface ether2 (192.168.2.254/24) Después de eliminar las direcciones IP de las interfaces ether2, los estudiantes deberán ingesar por MAC Winbox a los respectivos dispositivos.
6. Notas importantes: • • •
Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP No es necesario que los Routers desactiven/eliminen los túneles PPTP creados en los Laboratorios 8.3 y 8.4
Paso 2 (configuración en R1 en la RED A) 1.
Primero se debe crear una interface Bridge, y se debe segurar que el Bridge tiene una dirección MAC. El motivo es porque los puertos PPP no tienen dirección MAC. /interface bridge add name=bridge_local protocol-mode=rstp /interface bridge port add bridge=bridge_local interface=ether2
Academy Xperts
44
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
2.
3. 4.
5.
Debemos asegurarnos que el Bridge posee una dirección MAC. Para esto asignamos la MAC de la interface ether2 al bridge com MAC de Administración. D4:CA:6D:E5:7F:DF es la dirección MAC de ether2 en el router del laboratorio ejemplo. Usted debe obtener la dirección MAC de su equipo. /interface bridge set bridge_local admin-mac=D4:CA:6D:E5:7F:DF Asignamos las IP a la interface bridge_local. Se asume que la interface wlan ya tiene asignada su IP desde los laboratorios anteriores. /ip address add address=192.168.1.254/24 interface=bridge_local En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge, por lo que la configuración del Profile PPP es sencilla y no requiere que se asignen direcciones IP a las interfaces de túnel local y remoto. Por lo tanto solo se va a user/password, y muy importante especificar la opción bridge en el Profile. /ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes /ppp secret add profile=ppp_bridge name=pruebabridge password=pruebabridge
Cuando se hace Bridge, el túnel PPP necesita pasar los paquetes con la cabecera de Capa 2 incluida, por lo que el valor MTU de la interface no es suficiente. Para el caso de túneles PPTP el MTU es de 1460. Para asegurar una operación apropiada se sugiere modificar el valor del MRRU en el router que hace de Server, po lo que se debe especificar un valor de MRRU mayor. Recuerde que MRRU permite habilitar soporte multi-link sobre un enlace único, y lo hace dividiendo el paquete hacia múltiples canales y por consiguiente incrementando el valor de MTU y MRRU. /interface pptp-server server set enabled=yes mrru=1600
Paso 3 (configuración en R2 en la RED B) 1.
2.
3. 4.
Primero se debe crear una interface Bridge, y se deba segurar que el Bridge tiene una dirección MAC. El motivo es porque los puertos PPP no tienen dirección MAC. /interface bridge add name=bridge_local protocol-mode=rstp /interface bridge port add bridge=bridge_local interface=ether2 Debemos asegurarnos que el Bridge posee una dirección MAC. Para esto asignamos la MAC de la interface ether2 al bridge com MAC de Administración. D4:CA:6D:B4:31:19 es la dirección MAC de ether2 en el router del laboratorio ejemplo. Usted debe obtener la dirección MAC de su equipo. /interface bridge set bridge_local admin-mac=D4:CA:6D:B4:31:19 Asignamos las IP a la interface bridge_local. Se asume que la interface wlan ya tiene asignada su IP desde los laboratorios anteriores. /ip address add address=192.168.1.253/24 interface=bridge_local En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge, por lo que la configuración del Profile PPP es sencilla. Por lo tanto es muy importante especificar la opción bridge en el Profile. Recuerde que R2 actuará como Cliente PPTP por lo que NO necesita configurar SECRET. /ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes
Academy Xperts
45
RouterOS v6.35.4.01 – Laboratorios Capítulo 8
5.
Se debe crear la interface pptp-client. Recuerde que se debe especificar el valor de MRRU del mismo valor al que se especificó en el pptp-server. De esta forma se asegura que los paquetes pasen adecuadamente por el tunel PPP. /interface pptp-client add profile=ppp_bridge mrru=1600 connect-to=10.1.1.2 user=pruebabridge password=pruebabridge disabled=no
Pasó 4 Las laptops de las Redes A y B deben configurar una IP de la misma subred. Por ejemplo: Laptop Red A: 192.168.1.1/24 Laptop Red B: 192.168.1.2/24 Con esta configuración ambas laptops debe poder hacer PING entre ellos.
Academy Xperts
46
Conceptos Fundamentales de MikroTik RouterOS por Mauro Escalante