Mikrotik

1
Universidad Mayor de San Simn

Seguridad y Auditora de Redes
Yony Richard Montoya Burgos
Contenido
Introduccin RouterOS
Protocolos Internet
Interfaces
Tunneling
Firewall
Enrutamiento
Utilidades del Sistema
RouterOS
Soporta
Firewall and NAT
Routing
Data Rate Management
HotSpot
Point-to-Point tunneling
Simple tunnels
IPsec
Web proxy
RouterOS
Caching, DNS client
DHCP, Universal Client
VRRP - Virtual Router Redundancy Protocol
UPnP
NTP
Monitoring/Accounting
SNMP
MNDP y CDP
HERRAMIENTAS - ping; traceroute; bandwidth test;
telnet; SSH; packet sniffer
2
RouterOS Formas de Acceso
Conexin via puerto serial
RS232 a 9600 8N1
Conexin Telnet o SSH
Administracin WEB (Winbox)
Terminal de Consola
Permite acceder al enrutador en
terminales tipo texto.
Estructura de shell similar a Unix.
Comandos Organizados en niveles de
men jerrquicos.
Estructura de directorios (/ indica la raiz
o base, .. Indica el nivel posterior)
Terminal de Consola
/
IP SYSTEM
ADDRESS ROUTE
...
...
... ...
/
..
..
Terminal de Consola
Sigue una estructura tipo unix, por lo
que:
[TAB] permite completar comandos
?: Da ayuda acerca de los comandos
comando ?: ayuda acerca de los
parmetros de un comando
comando parmetro ?: Informacin acerca
del parmetro (o parmetros de un
comando)
3
Comandos en RouterOS
Muchos comandos manejan listas
El Orden no siempre es el mismo.
Siempre se memoriza el ltimo comando print
[ admi n@Mi kr oTi k] > i nt er f ace pr i nt
Fl ags: X - di sabl ed, D - dynami c, R - r unni ng
# NAME TYPE RX- RATE TX- RATE MTU
0 R Publ i c et her 0 0 1500
1 R Local et her 0 0 1500
Parmetro print
da informacin
acerca del comando
I dentifica un
valor de la lista,
Nmero
identificador
Comandos en RouterOS
Opciones de borrado, insercin o modificacin
requieren el Nmero Identificador
Se puede acceder a los valores mediante el nombre
[ admi n@Mi kr oTi k] i nt er f ace> set 0 mt u=1200
[ admi n@Mi kr oTi k] i nt er f ace> set Local mt u=1300
[ admi n@Mi kr oTi k] i nt er f ace> pr i nt
Fl ags: X - di sabl ed, D - dynami c, R - r unni ng
# NAME TYPE RX- RATE TX- RATE MTU
0 R Publ i c et her 0 0 1200
1 R Local et her 0 0 1300
Comandos Generales
Se pueden agrupar items con el smbolo ,
set 0,1,2 mtu=1200
Comandos Generales
Print: Muestra informacin accesible de algn
comando.
Set: Permite modificar informacin de un
comando.
Add: Permite aadir un nuevo item.
Remove: Elimina un item de la lista.
Move: Cambia el orden en la lista de items.
Comandos Generales
[admin@MikroTik] ip route> print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 192.168.2.1 1 ether2
1 DC 192.168.2.0/24 r 0.0.0.0 0 ether2
[admin@MikroTik] ip route> add dst-address=192.168.1.0/24
0 S 0.0.0.0/0 r 192.168.2.1 1 ether2
1 IS 192.168.1.0/24 1
2 DC 192.168.2.0/24 r 0.0.0.0 0 ether2
4
Comandos Generales
[admin@MikroTik] ip route> set 1 gateway=192.168.2.1
0 S 0.0.0.0/0 r 192.168.2.1 1 ether2
1 S 192.168.1.0/24 r 192.168.2.1 1 ether2
2 DC 192.168.2.0/24 r 0.0.0.0 0 ether2
[admin@MikroTik] ip route> remove 1
0 S 0.0.0.0/0 r 192.168.2.1 1 ether2
2 DC 192.168.2.0/24 r 0.0.0.0 0 ether2
Protocolos y Servicios
Servicios Bsicos
Telnet: Servicio de Telnet, acceso al servidor
FTP: Acceso FTP al servidor
WWW: Servicio de WEB (necesario para el Winbox)
[ admi n@Mi kr oTi k] > ip service
[ admi n@Mi kr oTi k] i p ser vi ce> pr i nt
Fl ags: X - di sabl ed, I - i nval i d
# NAME PORT ADDRESS CERTI FI CATE
0 t el net 23 0. 0. 0. 0/ 0
1 f t p 21 0. 0. 0. 0/ 0
2 www 80 0. 0. 0. 0/ 0
Los servicios slo pueden ser habilitados o
deshabilitados
Forman parte de algn paquete.
Se pueden habilitar servicios para redes o ips
especficos [ admi n@Mi kr oTi k] i p ser vi ce> set 1 disabled=yes
[ admi n@Mi kr oTi k] i p ser vi ce> set 0 address=192.168.2.0/24
# NAME PORT ADDRESS CERTI FI CATE
0 t el net 23 192. 168. 2. 0/ 24
1 X f t p 21 0. 0. 0. 0/ 0
2 www 80 0. 0. 0. 0/ 0
Se pueden manejar:
IP IPSEC
EoIP SNMP
VLAN VRRP
PPPoE ARP
PPTP OSPF
IPIP RIP
L2TP BGP
Prefix List UPnP
5
DHCP
Se pueden manejar Cliente y Servidor DHCP.
Cliente DHCP se asigna a una interface
[admin@MikroTik] ip dhcp-client> set enabled=yes interface=ether1
[admin@MikroTik] ip dhcp-client> print
enabled: yes
interface: ether1
host-name: ""
client-id: ""
add-default-route: yes
use-peer-dns: yes
DHCP
Para consultar el enlace se puede
utilizar la opcion lease.
[admin@MikroTik] ip dhcp-client lease> print
status: bounded
address: 180.232.241.15/21
dhcp-server: 10.1.0.172
expires: oct/20/2002 09:43:50
gateway: 180.232.240.1
primary-dns: 195.13.160.52
secondary-dns: 195.122.1.59
[admin@MikroTik] ip dhcp-client lease>
DHCP
Utilice renew para re-enlazar el IP.
Si la operacin no es exitosa se intenta
enlazar automaticamente.
DHCP Server
Puede trabajar como servidor DHCP
Se requiere configurar gateway, dns
(primario, secundario), servidor WINS,
pool de direcciones IP
Se activa con /ip dhcp-server
6
DHCP Server
Se puede habilitar DHCP server por cada interfaz.
Habiltar el DHCP una vez creada.
[admin@MikroTik] ip dhcp-server> add name=oficina \
\... address-pool=clientes interface=ether1 lease-time=2h
[admin@MikroTik] ip dhcp-server> enable oficina
[admin@MikroTik] ip dhcp-server> print
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 oficina ether1 clientes 2h no
[admin@MikroTik] ip dhcp-server>
DHCP Server
Habilitar Opciones para los clientes
[admin@MikroTik] ip dhcp-server network> add netmask=0 \
\... gateway=192.168.1.1 \
\... dns-server=166.114.109.226,166.114.109.227 \
\... wins=server=192.168.1.11
[admin@MikroTik] ip dhcp-server network>
DHCP Server
Pool de direcciones IP
Se puede utilizar rangos, o valores sencillos
agrupados por comas
Para ver los valores usados del pool de Ips utilizar
used print
[admin@MikroTik] ip pool> add name=clientes \
\... ranges=192.168.1.32-192.168.1.64
[admin@MikroTik] ip pool> print
# NAME RANGES
0 clientes 192.168.1.32-192.168.1.64
[admin@MikroTik] ip pool> used print
DHCP Server
Si se tiene otro servidor DHCP se
pueden hacer relay
[admin@MikroTik] ip dhcp-relay> add name=relay interface=ether1
\
\... dhcp-server=10.0.0.1 disabled=no
[admin@MikroTik] ip dhcp-relay> print
Flags: X - disabled, I - invalid
# NAME INTERFACE DHCP-SERVER LOCAL-ADDRESS
0 relay ether1 10.0.0.1 0.0.0.0
7
DNS Cliente y Servidor
Habilitar DNS con la opcion /ip dns
[admin@MikroTik] ip dns> set primary-dns=167.157.1.5\
\... secondary-server=167.157.1.11 \
\... allow-remote-requests: no
[admin@MikroTik] ip pool> print
primary-dns: 167.157.1.5
secondary-dns: 167.157.1.11
allow-remote-requests: no
cache-size: 2048 kB
cache-max-ttl: 7d
cache-used: 11 kB
IP y ARP
Nivel de identificacin en la red
mediante TCP/IP
Se pueden asignar mltiples IP a una
interface.
Si se usa Bridge una niterfaz puedo no
tener direccin IP.
IP y ARP
Se pueden tener direcciones:
Estticas: manualmente asignadas a la
interface.
Dinmicas: automticamente asignadas a
la interface si se usa ppp, ppptp o pppoe.
No se pueden tener asignados Ips del
mismo segmento de red en las
interfaces
IP y ARP
Indicar mnimamente la direccin y la
interface
[ admi n@Mi kr oTi k] i p addr ess> add addr ess=10. 10. 10. 1/ 24
i nt er f ace=et her 2
[ admi n@Mi kr oTi k] i p addr ess> pr i nt
Fl ags: X - di sabl ed, I - i nval i d, D - dynami c
# ADDRESS NETWORK BROADCAST I NTERFACE
0 2. 2. 2. 1/ 24 2. 2. 2. 0 2. 2. 2. 255 et her 2
1 10. 5. 7. 244/ 24 10. 5. 7. 0 10. 5. 7. 255 et her 1
2 10. 10. 10. 1/ 24 10. 10. 10. 0 10. 10. 10. 255 et her 2
8
IP y ARP
ARP
Protocolo de Resolucin de Direcciones
Permite mapear el nivel 3 de OSI (direcciones IP)
con el nivel 2 (direccin MAC)
El router maneja la table de direcciones ARP.
Tabla dinmica, mas para seguridad se puede
manejar estticamente.
Se usa con /ip arp
IP y ARP
[admin@MikroTik] ip arp> add address=10.10.10.1 interface=ether2 mac-
address=06 \
\... :21:00:56:00:12
[admin@MikroTik] ip arp> print
Flags: X - disabled, I - invalid, H - DHCP, D - dynamic
# ADDRESS MAC-ADDRESS INTERFACE
0 D 2.2.2.2 00:30:4F:1B:B3:D9 ether2
1 D 10.5.7.242 00:A0:24:9D:52:A4 ether1
2 10.10.10.1 06:21:00:56:00:12 ether2
[admin@MikroTik] ip arp>
IP y ARP
Se puede habilitar o deshabilitar ARP en
cada interface
[ admi n@Mi kr oTi k] i p ar p> / i nt er f ace et her net set et her 2 ar p=r epl y- onl y
[ admi n@Mi kr oTi k] i p ar p> pr i nt
Fl ags: X - di sabl ed, I - i nval i d, H - DHCP, D dynami c
# ADDRESS MAC- ADDRESS I NTERFACE
0 D 10. 5. 7. 242 00: A0: 24: 9D: 52: A4 et her 1
1 10. 10. 10. 10 06: 21: 00: 56: 00: 12 et her 2
IP y ARP
Con arp=disabled los clientes tambin
deben tener arp esttico asociado
Con arp=reply-only slo se responden a
mapeos estticos.
Si se quiere que todas las solicitudes
sean respondidas con el MAC del router
usar arp=proxy-arp
9
Enrutamiento
Mikrotik maneja dos tipos de rutas:
Rutas Conectadas: Red que puede ser
accedida directamente por la interface, se
aaden automticamente
Rutas Estticas: Rutas aadidas
manualmente que indican como ser
enviado el trfico de la red
Enrutamiento
El balanceo de carga se maneja con la
caracetrstica de Equal-Cost Multi-Path.
[ admi n@Mi kr oTi k] i p r out e> add dst - addr ess=192. 168. 0. 0/ 16 gat eway=10. 10. 10. 2
[ admi n@Mi kr oTi k] i p r out e> add gat eway 10. 10. 10. 1
[ admi n@Mi kr oTi k] i p r out e> pr i nt
Fl ags: X - di sabl ed, I - i nval i d, D - dynami c, J - r ej ect ed,
C - connect , S - st at i c, r - r i p, o - ospf , b - bgp
# DST- ADDRESS G GATEWAY DI STANCE I NTERFACE
0 S 192. 168. 0. 0/ 16 r 10. 10. 10. 2 1 Local
1 S 0. 0. 0. 0/ 0 r 10. 10. 10. 1 1 Publ i c
2 DC 10. 10. 10. 0/ 24 r 0. 0. 0. 0 0 Publ i c
Enrutamiento
Balanceo de carga
[ admi n@Mi kr oTi k] i p r out e> set 0 gat eway=10. 10. 10. 2, 10. 10. 10. 254
[ admi n@Mi kr oTi k] i p r out e> pr i nt
Fl ags: X - di sabl ed, I - i nval i d, D - dynami c, J - r ej ect ed,
C - connect , S - st at i c, r - r i p, o - ospf , b - bgp
# DST- ADDRESS G GATEWAY DI STANCE I NTERFACE
0 S 192. 168. 0. 0/ 16 r 10. 10. 10. 2 1 Local
r 10. 10. 10. 254 Local
1 S 0. 0. 0. 0/ 0 r 10. 10. 10. 1 1 Publ i c
2 DC 10. 10. 10. 0/ 24 r 0. 0. 0. 0 0 Publ i c
Enrutamiento
Tablas de Rutas, permiten seleccionar
rutas para variar el uso de la red.
Manejo de mltiples tablas y reglas de
cmo manejar las tablas
Se pueden manejar direccin destino y
fuente.
10
Enrutamiento
/ip policy-routing permite agrupar las rutas
en grupos
Se pueden agregar nuevas tablas de rutas
[ admi n@Mi kr oTi k] i p pol i cy- r out i ng> add name=mt
[ admi n@Mi kr oTi k] i p pol i cy- r out i ng> pr i nt
Fl ags: D - dynami c
# NAME
0 mt
1 D mai n
Enrutamiento
Cada tabla tiene informacin de rutas
independientes
[ admi n@Mi kr oTi k] i p pol i cy- r out i ng> t abl e mai n
[ admi n@Mi kr oTi k] i p pol i cy- r out i ng t abl e mai n> pr i nt
Fl ags: X - di sabl ed, I - i nval i d, D - dynami c, R - r ej ect ed
# TYPE DST- ADDRESS G GATEWAY DI STANCE I NTERFACE
0 st at i c 192. 168. 1. 0/ 24 r 192. 168. 0. 50 1 Local
1 st at i c 0. 0. 0. 0/ 0 r 10. 0. 0. 1 1 Publ i c
2 D connect 192. 168. 0. 0/ 24 r 0. 0. 0. 0 0 Local
3 D connect 10. 0. 0. 0/ 24 r 0. 0. 0. 0 0 Publ i c
Enrutamiento
Reglas de enrutamiento
Se pueden manejar por destino o fuente
del paquete.
Pueden configurarse de una interface o de
todas las interfaces.
Si se usa marcado de paquetes se puede
encaminar paquetes por su marca.
Se puede eliminar, enrutar o dar como
desconocida una ruta
Enrutamiento
Polticas de Enrutamiento
Enruta los paquetes de la direccin
10.0.0.144 por las rutas de la tabla mt
[ admi n@Mi kr oTi k] i p pol i cy- r out i ng r ul e> add sr c- addr ess=10. 0. 0. 144/ 32 \
\ . . . t abl e=mt act i on=l ookup
[ admi n@Mi kr oTi k] i p pol i cy- r out i ng r ul e> pr i nt
# SRC- ADDRESS DST- ADDRESS I NTE. . . FLOWACTI ON TABLE
0 0. 0. 0. 0/ 0 0. 0. 0. 0/ 0 al l l ookup mai n
1 10. 0. 0. 144/ 32 0. 0. 0. 0/ 0 al l l ookup mt
11
Enrutamiento
Configuracin
Bsica de Polticas
Paquetes de la red
1.1.1.0/24 usan el
gateway 10.0.0.1
Paquetes de la rd
2.2.2.0/24 usan el
gateway 10.0.0.2
El resto usa el
gateway 10.0.0.254
Web Proxy
Se pueden usar:
Proxy HTTP regular
Proxy Transparente.
Listas de Acceso por fuente, destino, URL y
mtodos de consulta
Cache access list (indica que objetos almacenar y
cuales no)
Direct Access List (Recurosos que puedes
accederse directamente y cuales con otro proxy)
Facilidad de Autentificacin
Web Proxy
Se maneja con /ip web-proxy
[ admi n@Mi kr oTi k] i p web- pr oxy> set enabl ed=yes por t =8080
[ admi n@Mi kr oTi k] i p web- pr oxy> pr i nt
enabl ed: no
sr c- addr ess: 0. 0. 0. 0
por t : 8080
host name: pr oxy
t r anspar ent - pr oxy: no
par ent - pr oxy: 0. 0. 0. 0: 0
cache- admi ni st r at or : webmast er
. . . .
Web Proxy
Monitoreo del Proxy
[ admi n@Mi kr oTi k] > i p web- pr oxy moni t or
st at us: r unni ng
upt i me: 4d19h8m14s
cl i ent s: 9
r equest s: 10242
hi t s: 3839
cache- si ze: 328672 kB
r ecei ved- f r om- ser ver s: 58108
kB sent - t o- cl i ent s: 65454 kB
hi t s- sent - t o- cl i ent s: 7552 kB
12
Web Proxy
Listas de acceso
Las reglas se utilizan de arriba hacia abajo.
Se pueden manejar accesos mediante
direccin destino, fuente, puerto,
subcadena URL.
Se usa mediante /ip web-proxy access
Web Proxy
Deshabilitar la bajada de MP3, y conexiones
FTP excepto del servidor 10.0.0.1
[admin@MikroTik] ip web-proxy access> add url=".mp3" action=deny
[admin@MikroTik] ip web-proxy access> add src-address=10.0.0.1/32
action=allow
[admin@MikroTik] ip web-proxy access> add url="ftp://" action=deny
Web Proxy
Listas de Acceso Directas
Se usa con parent-proxy habilitado.
Se puede pasar la solicitud al servidor
proxy principal o manejar directamente la
conexin.
Se usa mediante /ip web-proxy direct
Web Proxy
Manejar directamente las conexiones al
servidor 167.157.4.1 y las conexiones seguras
redirigirlas al proxy principal
[admin@MikroTik] ip web-proxy direct> add dst-address=167.157.4.1/32
action=allow
[admin@MikroTik] ip web-proxy direct> add url=https://" action=deny
13
Web Proxy
Cache Access List
Permite indicar que solicitudes (pginas,
servidores, dominios) son almacenadas o
no.
Por defecto se almacenan los objetos si no
se encuentra una regla especfica.
Se usa con /ip web-proxy cache
Web Proxy
No almacenar pginas de los directorios cgi-
bin (dinamicas) o que tengan un ? en el URL
[ admi n@Mi kr oTi k] i p web- pr oxy cache> pr i nt
Fl ags: X - di sabl ed
0 sr c- addr ess=0. 0. 0. 0/ 0 dst - addr ess=0. 0. 0. 0/ 0 dst - por t =" "
ur l =" cgi - bi n \ ?" met hod=any act i on=deny
Web Proxy
Reconstruyendo el Cache
Si existen problemas con el cache el
sistema intentar reparar la estructura de
directorios.
Si no fuese posible se debe borrar y
recrear la estructura.
Web Proxy
Para borrar el cache el web-proxy debe estar
deshabilitado
[ admi n@Mi kr oTi k] i p web- pr oxy> set enabl ed=no
[ admi n@Mi kr oTi k] i p web- pr oxy> cl ear - cache
Cl ear al l web pr oxy cache, yes? [ y/ N] : y
cache wi l l be cl ear ed shor t l y
[ admi n@Mi kr oTi k] i p web- pr oxy>
14
Web Proxy
Proxy Transparente
Solo se puede manejar el protocolo HTTP
de forma transparente.
Se debe usar una regla de NAT de destino.
Especificar que conexiones (puertos)
deben de ser transparentemente
redirigidos
Web Proxy
Redirigir todo el trfico al puerto 80 en la
interface ether1 al proxy (puerto 8080)
[ admi n@Mi kr oTi k] i p f i r ewal l dst - nat > add i n- i nt er f ace=et her 1 pr ot ocol =t cp \
dst - addr ess=! 192. 168. 2. 1/ 32: 80 act i on=r edi r ect t o- dst - por t =8080
[ admi n@Mi kr oTi k] i p f i r ewal l dst - nat > pr i nt
0 sr c- addr ess=0. 0. 0. 0/ 0: 0- 65535 i n- i nt er f ace=et her 1
dst - addr ess=! 192. 168. 2. 1/ 32: 80 pr ot ocol =t cp i cmp- opt i ons=any: any f l ow=""
sr c- mac- addr ess=00: 00: 00: 00: 00: 00 l i mi t - count =0 l i mi t - bur st =0
l i mi t - t i me=0s act i on=r edi r ect t o- dst - addr ess=0. 0. 0. 0 t o- dst - por t =8080
Ancho de Banda
Mikrotik soporta:
PFIFO - Packets First-In First-Out
BFIFO - Bytes First-In First-Out
SFQ - Stochastic Fair Queuing
RED - RandomEarly Detection
HTB - Hierarchical Token Bucket
PCQ - Per Connection Queue
Ancho de Banda
Se pueden usar las colas para limitar el
ancho de banda de direcciones IP,
protocolos o puertos.
Se configuran generalmente en
interfaces de salida.
Se pueden manejar paquetes de
entrada (global-in) o de salida (global-
out)
15
Ancho de Banda
Se pueden manejar mediante colas
simples con /queue simple
[admin@MikroTik] queue simple> add dst-address=192.168.2.0/24 interface=ether1\
\... max-limit=64000/128000
[admin@MikroTik] queue simple> print
Flags: X - disabled, I - invalid, D - dynamic
0 name="queue1" target-address=0.0.0.0/0 dst-address=192.168.2.0/24
interface=ether1 queue=default priority=8 limit-at=0/0
max-limit=64000/128000
[admin@MikroTik] queue simple>
Ancho de Banda
Controles especiales de ancho de banda
por puerto, protocolo, rangos de IP,
etc.
Usar Arboles de Colas.
Manejar con /queue tree
Ancho de Banda
Limitar el trfico http (puerto 80)
[admin@MikroTik] queue tree> add name=HTTP parent=ether1 flow=http1 \
max-limit=128000
[admin@MikroTik] queue tree> print
0 name="HTTP" parent=ether1 flow=http1 limit-at=0 queue=default
priority=8 max-limit=128000 burst-limit=0 burst-threshold=0
burst-time=0
[admin@MikroTik] queue tree>
Ancho de Banda
Se debe marcar todo el trfico HTTP
[admin@MikroTik] ip firewall mangle> add action=passthrough mark-flow=http1 \
\... protocol=tcp target-port=80
[admin@MikroTik] ip firewall mangle> print
0 target-address=:80 protocol=tcp action=passthrough mark-flow=http1
[admin@MikroTik] ip firewall mangle>
16
Ancho de Banda
Se puede monitorear el trfico que se
esta limitando.
[admin@MikroTik] queue simple> print bytes
# TARGET-ADDRESS DST-ADDRESS BYTES TOTAL-BYTES
0 192.168.2.11/32 0.0.0.0/0 1696036619/2048966230 3745004349
1 192.168.2.21/32 0.0.0.0/0 2949768/5241093 8191101
2 192.168.2.22/32 0.0.0.0/0 2621795/95592983 98215402
[admin@MikroTik] queue simple>
Ancho de Banda
Simular una
lnea de 128Kb
de bajada y 64
de Subida,
excluir al
servidor de la
limitacin
Interfaces
Se manejan una serie de Interfaces
Se pueden revisar con el comando
/interface
Interfaces
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE
MTU
0 R ADSL-2 ether 0 0
1500
1 R TX ether 0 0
1500
2 R SETBOL ether 0 0
1500
3 R Supernet ether 0 0
1500
4 R ADSL-1 ether 0 0
1500
17
Interfaces
Para monitorear el trfico de la
interface utilizar:
[admin@MikroTik] interface> monitor-traffic
numbers: 0
received-packets-per-second: 9
received-bits-per-second: 20.3kbps
sent-packets-per-second: 12
sent-bits-per-second: 11.1kbps
[admin@MikroTik] interface>
I nterfaces Ethernet
Se maneja la informacin de las
interfaces tipo Ethernet.
Usar /interface ethernet
Se puede monitorear el estadao de las
interfaces con:
/inteface ethernet monitor
Interfaces Wireless
Opera usando IEEE 802.11
Se puede configurar como clientes
wireless (station), bridge wireless
(bridge) y como puntos de acceso (ap-
bridge).
El control de posicionamiento puede ser
manejado.
Soporta 802.11a, 802.11b y 802.11g
Interfaces Wireless
Maneja el protocolo Nstrem (propietario de
Mikrotik)
Beneficios del protocolo nstreme:
Client polling
Poca sobrecarga del protocolo, premitiendo
transmisiones altas.
Sin limites de protocolo en grandes distancias
No existe degradacion para grandes distancias
Ajustes dinmicos dependiendo del tipo de trfico
y los recursos usados
18
Interfaces Wireless
Se puede usar:
Conexiones Punto a Punto: Con antenas en
ambos lados
Punto a Punto Dual (Nstreme2): Se pueden
usar 2 radios en ambos lados
simultaneamente, uno para transmisin y
otro para recepcin.
Punto Multipunto.
Interfaces Wireless
Se maneja mediante /interface wireless
Manjear mnimamente el ssid (Service
Set Identifier), la frecuencia y la nada
de operacin.
Interfaces Wireless
Mostrar informacin
[admin@MikroTik] interface wireless> print
Flags: X - disabled, R - running
0 R name="WLAN" mtu=1500 mac-address=00:01:24:70:4B:BF arp=proxy-arp
disable-running-check=no interface-type=Atheros AR5211 mode=ap-bridge
ssid="umss" frequency=5805 band=5GHz scan-list=default-ism
supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps
supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
basic-rates-b=1Mbps
basic-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
max-station-count=2007 ack-timeout=dynamic tx-power=20 802.1x-mode=none
noise-floor-threshold=default burst-time=disabled fast-frames=no
dfs-mode=none antenna-mode=ant-a wds-mode=disabled wds-default-bridge=none
wds-ignore-ssid=no default-authentication=yes default-forwarding=yes hide-ssid=no
Interfaces Wireless
Tablas de registro.
Informacin de los clientes conectados.
/interface wireless registration-table
[admin@MikroTik] interface wireless registration-table> print
# INTERFACE MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME
0 WLAN 00:01:24:70:4B:AB no -75 24Mbps 1d02:47:16
1 WLAN 00:01:24:70:4B:B7 no -78 24Mbps 1d02:47:15
[admin@MikroTik] interface wireless registration-table> print stats
0 interface=WLAN mac-address=00:01:24:70:4B:AB ap=no rx-rate=24Mbps
tx-rate=24Mbps packets=560115,628954 bytes=79808969,536159406
uptime=1d02:47:31 last-activity=00:00:00 signal-strength=-75
ack-timeout=56 distance=56
19
Interfaces Wireless
Control de Acceso mediante acess list
(en AP Bridge)
[admin@MikroTik] interface wireless access-list> add mac-address= \
\... 00:01:24:70:3A:BB interface=wlan1 private-algo=40bit-wep private-key=1234567890
[admin@MikroTik] interface wireless access-list> print
Flags: X - disabled
0 mac-address=00:01:24:70:3A:BB interface=wlan1 authentication=yes forwarding=yes skip-802.1x=yes
private-algo=40bit-wep private-key="1234567890
[admin@MikroTik] interface wireless access-list>
Interfaces Wireless
Informacin adicional de la tarjeta
[admin@MikroTik] interface wireless> info print
0 interface-type=Atheros AR5211 tx-power-control=yes ack-timeout-control=yes
alignment-mode=yes virtual-aps=yes noise-floor-control=yes
scan-support=yes burst-support=yes supported-bands=2GHz-B,5GHz,5GHz-turbo
2GHz-B-channels=2412,2417,2422,2427,2432,2437,2442,2447,2452,2457,2462,2467,
2472,2512,2532,2552,2572,2592,2612,2632,2652,2672,2692,2712,
2732,2484
5GHz-channels=5120,5125,5130,5135,5140,5145,5150,5155,5160,5165,5170,5175,
5180,5185,5190,5195,5200,5205,5210,...
Interfaces Wireless
WDS (Wireless Distribution System)
Permite pasar los paquetes de un AP a otro
como si estos estuviesen en un etherneth
Switch.
Pueden ser dinmicos o estticos.
Los AP deben estar en la misma nada y
trabajar en la misma frecuencia.
Interfaces Wireless
Usar con /interface wireless wds
[ admi n@Mi kr oTi k] i nt er f ace wi r el ess wds> add mast er - i nt er f ace=wl an1 \
\ . . . wds- addr ess=00: 0B: 6B: 30: 2B: 27 di sabl ed=no
[ admi n@Mi kr oTi k] i nt er f ace wi r el ess wds> pr i nt
Fl ags: X - di sabl ed, R - r unni ng, D - dynami c
0 R name=" wds1" mt u=1500 mac- addr ess=00: 0B: 6B: 30: 2B: 23 ar p=enabl ed
di sabl e- r unni ng- check=no mast er - i nt ef ace=wl an1
wds- addr ess=00: 0B: 6B: 30: 2B: 27
MAC address
del AP remoto
20
Interfaces Wireless
Funcin de Alineamiento
Se puede usar el alineamiento para el
apuntamiento de los equipos.
Se usa con la opcin /interface wireless
align.
Slo se puede manejar si el modo de la
interface es alignment-only
Si se usa align monitor el modo de la
tarjeta se modifica automticamente
Interfaces Wireless
Datos de alineamiento
[ admi n@Mi kr oTi k] i nt er f ace wi r el ess al i gn> pr i nt
f r ame- si ze: 300
act i ve- mode: yes
r ecei ve- al l : yes
audi o- moni t or : 00: 00: 00: 00: 00: 00
f i l t er - mac: 00: 00: 00: 00: 00: 00
ssi d- al l : yes
f r ames- per - second: 25
audi o- mi n: - 100
audi o- max: - 20
Interface Wireless
Monitoreo del alineamiento
Muestra informacin del alineamiento, para
una seal estable se aconseja tener un
Signal Strength (RXQ) mayor a -80
[ admi n@Mi kr oTi k] i nt er f ace wi r el ess al i gn> moni t or WLAN
ADDRESS SSI D RXQ AVG- RXQ LAST- RX TXQ LAST- TX CORRECT
00: 01: 24: 70: 4B: BF umss - 74 - 75 0. 04
Interface Wireless
Escaneo de la Red
Se puede verificar que equipos existen en
la red.
Todos los enlaces se pierden mientras se
hace un scan, al igual que con el
alineamiento.
Si se encuentra enlazado se pierde la
conexin mientras se hace el escaneo.
21
Interfaces Wireless
Se muestra la informacin de los
equipos Wireless encontrados con las
caractersticas mas importantes
[ admi n@Mi kr oTi k] i nt er f ace wi r el ess> scan WLAN r ef r esh- i nt er val =1s
ADDRESS SSI D BAND FREQ BSS PRI VACY SI GNAL- STRENGTH
00: 01: 24: 70: 4B: BF umss 5GHz 5805 yes no - 75
Interfaces Wireless
Seguridad Wireless
Maneja protocolo WEP (Wired Equivalent
Privacy)
Algoritmos de encriptacion de 64bits
(40bit), 128bits y AES-CCM (Advanced
Encryption Standard with Counter with
CBC-MAC).
Se usa mediante /interface wireless
security
Interfaces Wireless
Se puede definir seguridad opcional o
requerida.
[ admi n@Mi kr oTi k] i nt er f ace wi r el ess secur i t y> pr i nt
0 name="WLAN" secur i t y=none al go- 0=none key- 0="" al go- 1=none key- 1=" "
al go- 2=none key- 2="" al go- 3=none key- 3="" t r ansmi t - key=key- 0
st a- pr i vat e- al go=none st a- pr i vat e- key=" " r adi us- mac- aut hent i cat i on=no
Interfaces Wireless
WDS (Wireless Distribution System)
Permite conectar APs con el mismo SSID
Permite compartir la red entre APs
UNO
DOS
192.168.0.2
192.168.0.1
22
Interface Wireless
Configurar el AP UNO
[ admi n@Home] i nt er f ace wi r el ess wds> add wds- addr ess=00: 01: 24: 70: 3B: AE \
\ . . . mast er - i nt ef ace=wl an1 di sabl ed=no
[ admi n@Home] i nt er f ace wi r el ess wds> pr i nt
Fl ags: X - di sabl ed, R - r unni ng, D - dynami c
0 name=" wds1" mt u=1500 mac- addr ess=00: 01: 24: 70: 3A: 83 ar p=enabl ed di sabl e-
r unni ng- check=no mast er - i nt ef ace=wl an1 wds- addr ess=00: 01: 24: 70: 3B: AE
[ admi n@Home] i p addr ess> add addr ess=192. 168. 25. 2/ 24 i nt er f ace=wds1
[ admi n@Home] i p addr ess> pr i nt
0 192. 168. 25. 2/ 24 192. 168. 25. 0 192. 168. 25. 255 wds1
MAC Adress del Host
Remoto (DOS)
Interface Wireless
Configurar AP DOS
[ admi n@Home] i nt er f ace wi r el ess>set wl an1 mode=ap- br i dge ssi d=wds- t est \
\ . . . wds- mode=st at i c di sabl ed=no
[ admi n@Home] i nt er f ace wi r el ess wds> add wds- addr ess=00: 01: 24: 70: 3A: 83 \
\ . . . mast er - i nt ef ace=wl an1 di sabl ed=no
[ admi n@Home] i p addr ess> add addr ess=192. 168. 25. 1/ 24 i nt er f ace=wds1
[ admi n@Home] i p addr ess> pr i nt
0 192. 168. 25. 1/ 24 192. 168. 25. 0 192. 168. 25. 255 wds1
Interface Bridge
Se pueden crear una interface lgica
que maneja transparentemente mas de
una interface
Soporta
STP
Firewall en la interfaces bridge
Mltiples Interfaces Bridge
Interface Bridge
Para poder manejar varias interfaces se
debe crear una interface bridge
Usar /interface bridge add
Manejar los puertos (interfaces)
componentes del bridge
/interface bridge port
set ether1,ether2,... bridge=....
23
Interface Bridge
Se puede asignar un nico a la interface
Se puede monitorear la interface
usando
/interface bridge
Interface Bridge
Configurar una interface bridge,
aadirle Ip si fuese necesario
Tunneling
EoIP (Ethernet over IP)
Permite crear un tunel entre dos
enrutadores.
Todo el trafico se pasa entre los equipos
como si se tuviera una conexin fsica
directa
La meta es crear un canal seguro entre los
equipos
Tunneling
24
Tunneling
EoIP
[ admi n@Our _GW] i nt er f ace eoi p> add name="eoi p- r emot e" t unnel - i d=0 \
\ . . . r emot e- addr ess=10. 0. 0. 2
[ admi n@Our _GW] i nt er f ace eoi p> enabl e eoi p- r emot e
[ admi n@Our _GW] i nt er f ace eoi p> pr i nt
Fl ags: X - di sabl ed, R - r unni ng 0
name=eoi p- r emot e mt u=1500 ar p=enabl ed r emot e- addr ess=10. 0. 0. 2 t unnel - i d=0
[ admi n@Remot e] i nt er f ace eoi p> add name="eoi p" t unnel - i d=0 \
\ . . . r emot e- addr ess=10. 0. 0. 1
[ admi n@Remot e] i nt er f ace eoi p> enabl e eoi p- mai n
[ admi n@Remot e] i nt er f ace eoi p> pr i nt
Fl ags: X - di sabl ed, R - r unni ng 0
name=eoi p mt u=1500 ar p=enabl ed r emot e- addr ess=10. 0. 0. 1 t unnel - i d=0
VLAN
Se pueden crear VLAN en cada interface
Se usa mediante:
/interface vlan
Firewall
Firewall
Se tienen 3 niveles de seguridad
Entrada
Interna
Salida
Todo se maneja en funcin a reglas
Usar /ip firewall rule ....
25
Firewall
Se puede manejar el trfico P2P
Marcar paquetes para uso posterior
Hacer Nat de destino o Nat fuente.
Manejo de Configuracin
Copias de Respaldo
/system backup
load name=... Permite recuperar la
configuracin de un archivo.
Todos los archivos se guardan en el
sistema y puede ser bajados via FTP.
Se pueden ver los archivos con /file
print
Manejo de Configuracin
Se puede exportar la configuracin a un
archivo de texto
Usar /export
Si se exporta a un archivo se puede
manejar la configuracin importando la
misma.
Usar /import nombre_archivo
Scripts
Se pueden crear scripts para configurar cierta
funcionalidad
Usar con /system script
Todos los scripts creados pueden ser
manejados mediante tareas.
Usar /system script job
Una ves creadas las tareas se las puede
colocar en un calendario
Usar /system scheduler

Mikrotik

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Mikrotik

Caricato da

Copyright:

Formati disponibili

1

Universidad Mayor de San Simn

Potrebbero piacerti anche