Escolar Documentos
Profissional Documentos
Cultura Documentos
Entrenamiento Oficial
Caracas – Venezuela
01 - 02 de Junio 2019 www. .com
Objetivos del Curso
Curso inicial
https://mikrotik.com/training/about
Módulos del Curso MTCNA
o Localizada en Letonia
o www.mikrotik.com
Historia de MikroTik
o Las licencias no
requieren renovación
L4 45$
100$
L5 95$ Router
+ =
L6 250$
18$
PCI a Ethernet (NIC)
18$
PCI a Ethernet (NIC)
Desktop
Pentium III
MIKROTIK ROUTEROS EN ENTORNOS VIRTUALIZADOS
+ =
L6 250$
CHR
RouterOS
L1 0$
Cloud
Bridge
GNS3
Interfaz física
Sw lógico
MikroTik RouterBOARD
RB750Gr3
RB2011UiAS-RM
RB1200
CCR1009-8G-1S-1S+PC
MikroTik RouterBOARD
hAP Mini (RB931-2nD)
CCR1072-1G-8S+
o U – USB
o i – Único puerto PoE sin controlador
o A – Mas memoria
o H – CPU mas poderoso
o G - Gigabit (Puede incluir "U","A","H", si no se usa lleva "L")
o L – Edición ligera
o S – Puerto SFP
Nombres del RouterBOARD - Ejemplo
o RB (RouterBOARD)
o 912 - 9th series board con una
interfaz “Wired” (ethernet) y
dos interfaces wireless
(miniPCIe integrada)
o UAG – Un puerto USB port,
mas memoria y puerto
ethernet con velocidad gigabit
o 5HPnD – Tarjeta Wireless
RB912UAG-5HPnD integrada de 802.11n en
5GHz, con “High Power” y
canales duales (dual chain)
Accediendo por primera vez
2 3
WinBox por MAC-Address
o Conexión por MAC-Address
o User: admin / Password: (en blanco)
Recuerda revisar el
firewall de tu
antivirus, u otros
tipos de seguridad
4 para que puedes
escanear los equipos
1 Mikrotik por MAC.
2
3
Conociendo WinBox
Versión del RouterOS y modelo de RouterBOARD
Dirección IP o
MAC del equipo Recursos, UpTime,
Menús con Fecha y Hora
las funciones
y utilidades
del RouterOS
WebFig
Browser - http://192.168.88.1
Permite la administración
de Mikrotik RouterOs
desde una página WEB.
Por defecto utiliza el
puerto TCP 80, pero se
puede cambiar
Quick Set
o Configuración básica del router en una ventana
o Accesible desde Winbox y WebFig
Línea de Comandos (CLI)
o Accesible vía SSH, Telnet
o Accesible desde Winbox y WebFig en la opción “New Terminal”
Línea de Comandos (CLI)
o https:www.mikrotik.com
Hardware, Entrenamientos, Descargas de Software
o https://forum.mikrotik.com/
Desarrollos, Dudas, Configuraciones y mas…
o https://wiki.mikrotik.com
El gran manual del RouterOS
Fundamentos de Networking
El modelo OSI
00:0a:95:9d:68:16 00:0a:95:9d:68:16
00:0a:95:10:D9:90 00:0a:95:21:DD:B7
101001000111101010010010111010101100011110101001010101001110010001100100101101010101100001010010
Departamento de
Cajas de Madera
(Capa 2)
Departamento de
Transporte (Capa 1)
192 .148 . 41 . 1
Dirección IP - Restricciones
o El último octeto (dir. del host) no puede ser 255 (11111111), ya que eso es
Broadcast
o El último octeto (dir. del host) no puede ser 0 (00000000). Esto es local host
Redes - Máscara
o Rango de las direcciones IP lógicas que divide
a la red en segmentos
Ejemplo: 255.255.255.0 o /24
o La mascara (junto con la ip) define cuales
direcciones IP son encontradas directamente
sin enrutamiento
(byte) 255.255.255.0
(binario) 11111111.11111111.11111111.00000000
(bit) /24
Redes - Clases
También ayuda a dividir una red en sub-redes (subnetting). Los valores por defecto
son:
Clase A: 255.0.0.0
Clase B: 255.255.0.0
Clase C: 255.255.255.0
Dichos valores indican que la red no se ha subdividido en subredes.
Redes - Ejemplo
o Determinando a que red (subnet) pertenece una
dirección IP
Dirección IP/Mascara: 192.168.3.14/24
Valor IP (binario): 11000000.10101000.00000011.00001110
Mascara (binario): 11111111.11111111.11111111.00000000
LAB
Registro en mikroTik.com
https://mikrotik.com
2
Descargando Winbox - Laboratorio
LAB
Topología – Laboratorio
Cliente - Station
wlan1
Cliente DHCP AP
Tu Router
Router del
Ether 2 Instructor
192.168.XX.1/24
Internet
192.168.XX.2/24
XX = Debe ser substituido por el número del
Default GW = 192.168.XX.1
router que corresponda
DNS = 192.168.XX.1 Ejemplo: Router 5
Address =192.168.5.1/24
Network 192.168.5.0
LAB
Primera conexión al RouterBOARD - Laboratorio
MAC OSX
Windows
LAB
Primera conexión al RouterBOARD - Laboratorio
LAB
Primera conexión al RouterBOARD - Laboratorio
1
2 3
LAB
Restaurando el Router a Default - Laboratorio
LAB
Restaurando el Router a Default - Laboratorio
1 3
LAB
Restaurando el Router a Default - Laboratorio
LAB
Restaurando el Router a Default - Laboratorio
Mantenga presionado
este botón antes de
aplicar la energía al
equipo, luego suelte
después de cinco
segundos
1
2
LAB
61
Configurando Dirección IP en Ether 2 - Laboratorio
Nota:
3 Debe ser substituido
por el número del
2
router que
corresponda
1 Ejemplo:
Router 5
4 Address =
192.168.5.1/24
Network =
192.168.5.0
LAB 62
Habilitando la Interfaz Wireless - Laboratorio
1
3
LAB
63
Habilitando cliente DHCP en Wlan1 - Laboratorio
1
2 4
LAB
64
Creando perfil de seguridad wireless - Laboratorio
2
1
qwerty*-
qwerty*-
LAB
Definiendo parámetros Wireless - Laboratorio
LAB
66
Enmascarando la Conexión de la WLAN - Laboratorio
5
2 4
6
3
1
LAB
Habilitando el DNS - Laboratorio
1
3
2
LAB
Actualización del RouterOS - Releases
o Long Term: Correcciones, sin nuevas funcionalidades
o Stable: Nuevas funcionalidades
o Testing: Versiones de prueba (Beta)
Long term
Stable
Testing
Actualización del RouterOS
74
Administración de Paquetes
Luego:
o Deshabilita el paquete ipv6
o Observa el menú de Winbox
o Reinicia el Router
LAB
Administración de Paquetes
System → Identity
LAB
Administración de Usuarios y Grupos en RouterOS
o El acceso al router
puede ser controlado,
mediante las
credenciales de los
usuarios y grupos
o Se pueden crear grupos
adicionales de lectura y
escritura
o Se pueden crear grupos
con accesos
personalizados
Administración de los respaldos (Backups)
LAB
Netinstall
o Utilizado para instalar y reinstalar RouterOS.
o Funciona bajo entornos Windows
o Se requiere una conexión de red directa (Capa 2) al router
o Utiliza el Bootstrap Protocol (BOOTP)
IP - Services
o Los puerto por defecto de Winbox, WebFig y Consola
se pueden cambiar desde el menú IP - Services
2
MAC Server – Evitando las Conexiones vía MAC
87
Módulo 2
DHCP
DHCP
o Dynamic Host Configuration Protocol
(DHCP)
o Utilizado para distribuir direcciones IP de
manera automática en la red
o Funciona en un dominio de difusión
(Broadcast) capa 2
o RouterOS soporta DHCP Cliente y Servidor
Cliente DHCP
IP → DHCP Client
DNS
IP → DNS
DNS
o RouterOS soporta registros estáticos de DNS
Servidor DHCP
LAB
Servidor DHCP - Laboratorio
LAB
96
Servidor DHCP - Laboratorio
1 4
2 7
5
3 6
LAB
Servidor DHCP - Laboratorio
o Recibiste IP de manera automática en tu
laptop?? Cual IP recibiste ???
LAB
Address Resolution Protocol (ARP)
IP → ARP
Address Resolution Protocol (ARP) – ARP Estático
IP → DHCP Server
ARP Estático - Laboratorio
LAB
ARP Estático - Laboratorio
LAB
IP Neighbors
2
IP Neighbors
3
En “Discovery
Settings” puedo
evitar que las
1 interfaces del
routers sean
2
descubiertas
Módulo 3
BRIDGE
110
Bridge
111
Bridge
116
Bridge – Wireless Bridge
o Para utilizar la
función “Station
Bridge”, se debe
habilitar el modo
bridge en el AP
Bridge – Laboratorio
1 3
4 5
LAB
Bridge – Laboratorio
LAB
Bridge – Firewall
122
Funciones de un Router
IP → Routes
Enrutamiento
o Dst. Address: redes que queremos alcanzar
o Gateway: Dirección IP del próximo router para
llegar al destino
IP → Routes
Enrutamiento – Nueva Ruta Estática
IP → Routes
Enrutamiento – Gateway por Defecto
o Gateway por Defecto: Próximo router
“Próximo Salto” donde todo (0.0.0.0) el
tráfico es enviado
127
IP → Routes
Enrutamiento – Check Gateway
LAB
Enrutamiento - Laboratorio
LAB
Enrutamiento – Banderas
IP → Addresses IP → Routes
Enrutamiento – Banderas de Rutas
A - active
C - connected
D - dynamic
IP → Routes S - static
Enrutamiento – Banderas de Rutas
Enrutamiento – Rutas Estáticas
Ether2
192.168.XX.1/24 172.24.0.ABC
Router del Instructor wlan1
Router de tu
RED 192.168.XX.0/24
compañero
Ether2
192.168.XX.2/24 192.168.XX.1/24
Default GW =
RED 192.168.XX.0/24
192.168.XX.1
192.168.XX.2/24
El objetivo es hacerle Default GW =
“PING” al computador de 192.168.XX.1
tu compañero
LAB
Rutas Estáticas - Laboratorio
XX = Debe ser substituido por el número del router
wlan1 que corresponda
172.24.0.ABC Ejemplo: Router 5
Tu Router Address =192.168.5.1/24 Network 192.168.5.0
Ether2
192.168.XX.1/24 172.24.0.ABC wlan1
Router de tu
RED 192.168.XX.0/24
compañero
Ether2
192.168.XX.2/24 192.168.XX.1/24
Default GW =
RED 192.168.XX.0/24
192.168.XX.1
192.168.XX.2/24
El objetivo es hacerle Default GW =
“PING” al computador de 192.168.XX.1
tu compañero
LAB
Rutas Estáticas - Laboratorio
o Para que funcione el “Ping” entre los computadores,
deben configurarse rutas estáticas
LAB
Rutas Estáticas - Laboratorio
LAB
Enrutamiento – Rutas Estáticas
143
Wireless
o Configura la
2
interfaz “Wireless”
para aplicar las 1
regulaciones de tu 3
país.
Wireless – Regulaciones del País
Wireless – Nombre del Radio
o Usaremos el nombre RADIO para los mismos propósitos que la
identidad del router.
o Identifica el nombre del radio de la manera siguiente:
Número de tu Router(XX)_TuNombre
Ejemplo: 01_CarlosPerez
LAB
Wireless – Nombre del Radio
Wireless → Registration
Wireless – Chains
MCS Chart
Wireless – Tx Power
hAP Lite
o Valores de Potencia
máximos a ser
configurados, según
el tipo de data rate
(modulación)
Wireless – Sensibilidad del Receptor
AP
Wireless Stations
Estación (Wireless Station)
163
Wireless Station
Definir el modo en
station
Seleccionar la banda
WPA y WPA2
keys deben ser
especificadas para
permitir la Conexión de
dispositivos que no
soportan WPA2.
LAB
Lista de Conexión
LAB
Lista de Conexión
LAB
Lista de Conexión
1
LAB
173
Punto de Acceso (Access Point)
Establece “mode=ap-bridge”
Selecciona “band”
Establece la frecuencia
Selecciona el perfil de
seguridad
WiFi Protected Setup (WPS)
Wireless → Registration
Lista de Acceso (Access List)
Default-Forwarding”
Utilizado para deshabilitar
comunicaciones entre
clientes conectados al
mismo punto de acceso
Access Point - Laboratorio
LAB
Access Point - Laboratorio
LAB
Módulo 6
Cortafuegos (Firewall)
185
Firewall
Input Output
Internet
Forward
Output Input
Internet
Forward
Cadenas de Filtrado - Acciones
Input
Cadenas de Filtrado – Input - Laboratorio
LAB
Cadenas de Filtrado – Input - Laboratorio
LAB
Cadenas de Filtrado – Input - Laboratorio
LAB
Cadenas de Filtrado – Input - Laboratorio
LAB
Cadenas de Filtrado - Forward
o La cadena contiene reglas de filtrado para el tráfico que pasa
a través del router. Es decir, tráfico que no va dirigido al
router pero que necesariamente tiene que pasar por él
o La Cadena Forward controla el tráfico entre los clientes y el
internet
Internet
Forward
Cadenas de Filtrado – Forward - Laboratorio
LAB
Cadenas de Filtrado – Forward - Laboratorio
LAB
Cadenas de Filtrado – Forward - Laboratorio
LAB
Puertos Conocidos
Puertos Conocidos
Puertos Conocidos
LAB
Lista de Direcciones - Laboratorio
LAB
Lista de Direcciones - Laboratorio
LAB
Lista de Direcciones - Laboratorio
Comentarios:
LAB
Firewall – Cadenas Personalizadas
Nueva
Src address Src address
SCR-NAT
Internet
NAT de Destino (Destination NAT)
DST-NAT
Internet
Internet
Servidor en Host Público
la LAN
NAT de Destino (Destination NAT)
Este puerto se
Nueva puede cambiar
Dst address Dst address
192.168.1.23:37778 200.44.32.21:37778
DST-NAT
LAN WAN
Internet
Internet
Ether1 Ether4
DVR Host Público
192.168.1.23
Puerto TCP: 37778
Network Address Translation (NAT)
o Es un tipo de DST-NAT
Comentarios:
LAB
Conexiones
o New: Un paquete está abriendo una nueva
Conexión.
o Established: El paquete pertenece a una
Conexión conocida (Establecida)
o Related: Un paquete está abriendo una nueva
Conexión, la cual está relacionada con una
Conexión conocida
o Invalid: El paquete no pertenece a ninguna
Conexión conocida
Conexiones
Ejemplo. Llamada VoIP SIP
Usuario A Usuario B
NEW
Softphone Softphone
Llama
Repica
Atiende
VoIP SIP
Server
Conversación
ESTABLISHED
Conexiones
Usuario A NEW Usuario B
Llama
Repica Softphone
Softphone
Atiende
VoIP SIP Server
Conversación
ESTABLISHED
Usuario C
Conferencia
Repica Softphone
Atiende
RELATED
Conversación
Conexiones
Proceso Conexión TCP Emisor Receptor
NEW
Connect( ) Listen( )
TCP SYN
TCP transitions to
ESTABLISHED state
Data packets exchanged
ESTABLISHED
Conexiones
Proceso Conexión TCP Emisor Receptor
TCP
Three-Way Handshake
Process SYN-ACK
INVALID
Success code
returned by
connect( )
Conexiones - Connection Tracking
IP → Firewall → Connections
FastTrack
Limite de Velocidad
LAB
Simple Queue - Laboratorio
LAB
Simple Queue - Laboratorio
2
3
1 384k
LAB
Simple Queue - Laboratorio
o Observa la estadísticas
El ícono del Queue
cambia a amarillo a
medida que se está
llegando al tope de
la limitación.
Cuando se alcanza
el tope, se coloca
en rojo
LAB
Cola Simple (Simple Queue)
Queues
Ancho de Banda Garantizado
o Ejemplo:
Ancho de banda total disponible
20 MB/s
3 clientes, cada uno tiene un ancho de
banda garantizado
El trafico restante, se divide entre la
totalidad de los clientes
244
Ancho de Banda Garantizado
El usuario de la IP 10.0.0.1
En la grafica se considera que hay una configuración con; el "MAX-LIMIT” = 256 Kbps, "
BURST-TIME = 8 segundos (Es el tope mas alto de la raya verde), BURST-THRESHOLD =
192 Kbps que viene a ser el Umbral y “BURST-LIMIT” = 512 Kbps como la velocidad
maxima.
Burst
LAB
Burst - Laboratorio
o Utiliza la herramienta Btest
o Haz una prueba de velocidad
o Elimina las reglas de Burst y repite la prueba
LAB
Per Connection Queuing (PCQ)
LAB
PCQ - Laboratorio
LAB
Módulo 8
Túneles
263
Protocolo Punto a Punto (PPP)
Se debe
definir la IP
local y
remota para
el túnel
PPP Secret
Se debe
definir el
nombre, la
interfaz, perfil
y los
protocolos de
autenticación
PPP Status
Información
sobre los
usuarios PPP
activos
Direcciones Punto a Punto
LAB
Servidor PPPoE - Laboratorio
3
1
pool_vpn
10.10.XX.1-10.10.XX.5
LAB
Servidor PPPoE - Laboratorio
3
2
1
perfil_vpn
10.10.XX.1
pool_vpn
LAB
Servidor PPPoE - Laboratorio
2
1 3
perfil_vpn
LAB
Servidor PPPoE - Laboratorio
2
1
perfil_vpn
LAB
Servidor PPPoE - Laboratorio
LAB
Servidor PPPoE - Laboratorio
LAB
Servidor PPPoE - Laboratorio
LAB
Servidor PPPoE - Laboratorio
LAB
Servidor PPPoE - Laboratorio
o Se estableció la conexión ?
o En el computador, que ip recibiste en el cliente
PPPoE ?
o Tienes navegación hacia internet ?
Comentarios:
LAB
Point to Point Tunnel Protocol (PPTP)
Internet
Túnel
Cliente PPTP
Agrega la interfaz PPTP.
Especifica la dirección del server PPTP.
Establece “login” y “password”. 3 4
1
2
4
Server PPTP
Se debe
definir el
nombre, la IP
del servidor
SSTP, el
nombre de
usuario y el
password
Secure Socket Tunnelling Protocol (SSTP)
LAB
SSTP - Laboratorio
LAB
Túneles por niveles de licencia
Módulo 9
Extras
Herramientas del RouterOS
LAB
Netwatch
Tools → Netwatch
2 3
1
System Scripts
o Mide el tiempo de
respuesta entre el origen y
el destino
LAB
Traceroute
o Es una herramienta
para el diagnóstico que
muestra el trazo de los
paquetes a través de la
red
Tools → Traceroute
Traceroute – Laboratorio (Opcional)
LAB
Profile
o Tráfico en tiempo
real
o Disponible por
cada interfaz
desde la pestaña
“Traffic”
o También se puede
acceder desde
Webfig y consola
Interfaces → ether4 → Traffic de comandos
Torch
Tools → Torch
Gráficos (Graphs)
Debes especificar la
interfaz a
monitorear y definir
desde que segmento
de red serán
accesibles los
gráficos
Tools → Graphing
Gráficos (Graphs)
LAB
Simple Network Management Protocol (SNMP)
IP → SNMP
The DUDE
335
The DUDE
The DUDE – Laboratorio (Opcional)
LAB
The DUDE – Laboratorio (Opcional)
System Logs
o Por defecto RouterOS almacena en el Log la
información sobre el router
o Se almacena en memoria
o Puede ser almacenada en el disco
o También se puede enviar a un Server Syslog
System → Logging
System Logs
o Para habilitar un log detallado (debug), se debe
crear una nueva regla
o Define un “Debug Topic”