Curso Mikrotik PDF

MIKROTIK
Yony Richard Montoya Burgos
Universidad Mayor de San Simn

Contenido
Introduccin RouterOS
Protocolos Internet
Interfaces
Tunneling
Firewall
Enrutamiento
Utilidades del Sistema
RouterOS
Soporta
Firewall and NAT
Routing
Data Rate Management
HotSpot
Point-to-Point tunneling
Simple tunnels
IPsec
Web proxy

RouterOS
Caching, DNS client

DHCP, Universal Client
VRRP - Virtual Router Redundancy Protocol
UPnP
NTP
Monitoring/Accounting
SNMP
MNDP y CDP
HERRAMIENTAS - ping; traceroute; bandwidth test;
telnet; SSH; packet sniffer

RouterOS Formas de Acceso
Conexin via puerto serial

RS232 a 9600 8N1
Conexin Telnet o SSH
Administracin WEB (Winbox)

Terminal de Consola
Permite acceder al enrutador en

terminales tipo texto.
Estructura de shell similar a Unix.
Comandos Organizados en niveles de
men jerrquicos.
Estructura de directorios (/ indica la raiz
o base, .. Indica el nivel posterior)

Terminal de Consola
/ ..
IP SYSTEM ...
..
ADDRESS ROUTE ...
... ...

Terminal de Consola
Sigue una estructura tipo unix, por lo

que:
[TAB] permite completar comandos
?: Da ayuda acerca de los comandos
comando ?: ayuda acerca de los
parmetros de un comando
comando parmetro ?: Informacin acerca
del parmetro (o parmetros de un
comando)

Comandos en RouterOS
Parmetro print da
Muchos comandos
Identifica un manejan listasinformacin acerca
valor de la lista, del comando
Nmero
[admin@MikroTik] > interface print
identificador
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R Public ether 0 0 1500
1 R Local ether 0 0 1500
El Orden no siempre es el mismo.

Siempre se memoriza el ltimo comando print
Comandos en RouterOS
Opciones de borrado, insercin o modificacin

requieren el Nmero Identificador
Se puede acceder a los valores mediante el nombre
[admin@MikroTik] interface> set 0 mtu=1200

[admin@MikroTik] interface> set Local mtu=1300
[admin@MikroTik] interface> print
# NAME TYPE RX-RATE TX-RATE MTU
0 R Public ether 0 0 1200
1 R Local ether 0 0 1300

Comandos Generales
Se pueden agrupar items con el smbolo ,

set 0,1,2 mtu=1200
Comandos Generales
Print: Muestra informacin accesible de algn
comando.
Set: Permite modificar informacin de un
comando.
Add: Permite aadir un nuevo item.
Remove: Elimina un item de la lista.
Move: Cambia el orden en la lista de items.

Comandos Generales
[admin@MikroTik] ip route> print

Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 192.168.2.1 1 ether2
1 DC 192.168.2.0/24 r 0.0.0.0 0 ether2
[admin@MikroTik] ip route> add dst-address=192.168.1.0/24
0 S 0.0.0.0/0 r 192.168.2.1 1 ether2
1 IS 192.168.1.0/24 1
2 DC 192.168.2.0/24 r 0.0.0.0 0 ether2

Comandos Generales
[admin@MikroTik] ip route> set 1 gateway=192.168.2.1

0 S 0.0.0.0/0 r 192.168.2.1 1 ether2
1 S 192.168.1.0/24 r 192.168.2.1 1 ether2
2 DC 192.168.2.0/24 r 0.0.0.0 0 ether2
[admin@MikroTik] ip route> remove 1
0 S 0.0.0.0/0 r 192.168.2.1 1 ether2
2 DC 192.168.2.0/24 r 0.0.0.0 0 ether2

Protocolos y Servicios
Servicios Bsicos
Telnet: Servicio de Telnet, acceso al servidor
FTP: Acceso FTP al servidor
WWW: Servicio de WEB (necesario para el Winbox)
[admin@MikroTik] > ip service
[admin@MikroTik] ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0

Los servicios slo pueden ser habilitados o

deshabilitados
Forman parte de algn paquete.
Se pueden habilitar servicios para redes o ips
especficos
[admin@MikroTik] ip service> set 1 disabled=yes
[admin@MikroTik] ip service> set 0 address=192.168.2.0/24
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23 192.168.2.0/24
1 X ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0

Se pueden manejar:
IP IPSEC
EoIP SNMP
VLAN VRRP
PPPoE ARP
PPTP OSPF
IPIP RIP
L2TP BGP
Prefix List UPnP

DHCP
Se pueden manejar Cliente y Servidor DHCP.

Cliente DHCP se asigna a una interface
[admin@MikroTik] ip dhcp-client> set enabled=yes interface=ether1
[admin@MikroTik] ip dhcp-client> print
enabled: yes
interface: ether1
host-name: ""
client-id: ""
add-default-route: yes
use-peer-dns: yes

DHCP
Para consultar el enlace se puede

utilizar la opcion lease.
[admin@MikroTik] ip dhcp-client lease> print
status: bounded
address: 180.232.241.15/21
dhcp-server: 10.1.0.172
expires: oct/20/2002 09:43:50
gateway: 180.232.240.1
primary-dns: 195.13.160.52
secondary-dns: 195.122.1.59
[admin@MikroTik] ip dhcp-client lease>

DHCP
Utilice renew para re-enlazar el IP.

Si la operacin no es exitosa se intenta
enlazar automaticamente.

DHCP Server
Puede trabajar como servidor DHCP

Se requiere configurar gateway, dns
(primario, secundario), servidor WINS,
pool de direcciones IP
Se activa con /ip dhcp-server

DHCP Server
Se puede habilitar DHCP server por cada interfaz.

Habiltar el DHCP una vez creada.
[admin@MikroTik] ip dhcp-server> add name=oficina \

\... address-pool=clientes interface=ether1 lease-time=2h
[admin@MikroTik] ip dhcp-server> enable oficina
[admin@MikroTik] ip dhcp-server> print
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 oficina ether1 clientes 2h no
[admin@MikroTik] ip dhcp-server>

DHCP Server
Habilitar Opciones para los clientes
[admin@MikroTik] ip dhcp-server network> add netmask=0 \

\... gateway=192.168.1.1 \
\... dns-server=166.114.109.226,166.114.109.227 \
\... wins=server=192.168.1.11
[admin@MikroTik] ip dhcp-server network>

DHCP Server
Pool de direcciones IP
Se puede utilizar rangos, o valores sencillos
agrupados por comas
Para ver los valores usados del pool de Ips utilizar
used print
[admin@MikroTik] ip pool> add name=clientes \
\... ranges=192.168.1.32-192.168.1.64
[admin@MikroTik] ip pool> print
# NAME RANGES
0 clientes 192.168.1.32-192.168.1.64
[admin@MikroTik] ip pool> used print
DHCP Server
Si se tiene otro servidor DHCP se

pueden hacer relay
[admin@MikroTik] ip dhcp-relay> add name=relay interface=ether1
\
\... dhcp-server=10.0.0.1 disabled=no
[admin@MikroTik] ip dhcp-relay> print
# NAME INTERFACE DHCP-SERVER LOCAL-ADDRESS
0 relay ether1 10.0.0.1 0.0.0.0

DNS Cliente y Servidor
Habilitar DNS con la opcion /ip dns

[admin@MikroTik] ip dns> set primary-dns=167.157.1.5\
\... secondary-server=167.157.1.11 \
\... allow-remote-requests: no
[admin@MikroTik] ip pool> print
primary-dns: 167.157.1.5
secondary-dns: 167.157.1.11
allow-remote-requests: no
cache-size: 2048 kB
cache-max-ttl: 7d
cache-used: 11 kB

IP y ARP
Nivel de identificacin en la red

mediante TCP/IP
Se pueden asignar mltiples IP a una
interface.
Si se usa Bridge una niterfaz puedo no
tener direccin IP.

IP y ARP
Se pueden tener direcciones:

Estticas: manualmente asignadas a la
interface.
Dinmicas: automticamente asignadas a
la interface si se usa ppp, ppptp o pppoe.
No se pueden tener asignados Ips del
mismo segmento de red en las
interfaces
IP y ARP
Indicar mnimamente la direccin y la

interface
[admin@MikroTik] ip address> add address=10.10.10.1/24
interface=ether2
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 2.2.2.1/24 2.2.2.0 2.2.2.255 ether2
1 10.5.7.244/24 10.5.7.0 10.5.7.255 ether1
2 10.10.10.1/24 10.10.10.0 10.10.10.255 ether2

IP y ARP
ARP
Protocolo de Resolucin de Direcciones
Permite mapear el nivel 3 de OSI (direcciones IP)
con el nivel 2 (direccin MAC)
El router maneja la table de direcciones ARP.
Tabla dinmica, mas para seguridad se puede
manejar estticamente.
Se usa con /ip arp

IP y ARP
[admin@MikroTik] ip arp> add address=10.10.10.1 interface=ether2 mac-

address=06 \
\... :21:00:56:00:12
[admin@MikroTik] ip arp> print
Flags: X - disabled, I - invalid, H - DHCP, D - dynamic
# ADDRESS MAC-ADDRESS INTERFACE
0 D 2.2.2.2 00:30:4F:1B:B3:D9 ether2
1 D 10.5.7.242 00:A0:24:9D:52:A4 ether1
2 10.10.10.1 06:21:00:56:00:12 ether2
[admin@MikroTik] ip arp>

IP y ARP
Se puede habilitar o deshabilitar ARP en

cada interface
[admin@MikroTik] ip arp> /interface ethernet set ether2 arp=reply-only
[admin@MikroTik] ip arp> print
Flags: X - disabled, I - invalid, H - DHCP, D dynamic
# ADDRESS MAC-ADDRESS INTERFACE
0 D 10.5.7.242 00:A0:24:9D:52:A4 ether1
1 10.10.10.10 06:21:00:56:00:12 ether2

IP y ARP
Con arp=disabled los clientes tambin

deben tener arp esttico asociado
Con arp=reply-only slo se responden a
mapeos estticos.
Si se quiere que todas las solicitudes
sean respondidas con el MAC del router
usar arp=proxy-arp

Enrutamiento
Mikrotik maneja dos tipos de rutas:

Rutas Conectadas: Red que puede ser
accedida directamente por la interface, se
aaden automticamente
Rutas Estticas: Rutas aadidas
manualmente que indican como ser
enviado el trfico de la red

Enrutamiento
El balanceo de carga se maneja con la

caracetrstica de Equal-Cost Multi-Path.
[admin@MikroTik] ip route> add dst-address=192.168.0.0/16 gateway=10.10.10.2
[admin@MikroTik] ip route> add gateway 10.10.10.1
C - connect, S - stati c, r - rip, o - ospf, b - bgp
0 S 192.168.0.0/16 r 10.10.10.2 1 Local
1 S 0.0.0.0/0 r 10.10.10.1 1 Public
2 DC 10.10.10.0/24 r 0.0.0.0 0 Public

Enrutamiento
Balanceo de carga
[admin@MikroTik] ip route> set 0 gateway=10.10.10.2,10.10.10.254

0 S 192.168.0.0/16 r 10.10.10.2 1 Local
r 10.10.10.254 Local
1 S 0.0.0.0/0 r 10.10.10.1 1 Public
2 DC 10.10.10.0/24 r 0.0.0.0 0 Public

Enrutamiento
Tablas de Rutas, permiten seleccionar

rutas para variar el uso de la red.
Manejo de mltiples tablas y reglas de
cmo manejar las tablas
Se pueden manejar direccin destino y
fuente.

Enrutamiento
/ip policy-routing permite agrupar las rutas

en grupos
Se pueden agregar nuevas tablas de rutas
[admin@MikroTik] ip policy-routing> add name=mt
[admin@MikroTik] ip policy-routing> print
Flags: D - dynamic
# NAME
0 mt
1 D main

Enrutamiento
Cada tabla tiene informacin de rutas

independientes
[admin@MikroTik] ip policy-routing> table main
[admin@MikroTik] ip policy-routing table main> print
Flags: X - disabled, I - invalid, D - dynamic, R - rejected
# TYPE DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 static 192.168.1.0/24 r 192.168.0.50 1 Local
1 static 0.0.0.0/0 r 10.0.0.1 1 Public
2 D connect 192.168.0.0/24 r 0.0.0.0 0 Local
3 D connect 10.0.0.0/24 r 0.0.0.0 0 Public

Enrutamiento
Reglas de enrutamiento
Se pueden manejar por destino o fuente
del paquete.
Pueden configurarse de una interface o de
todas las interfaces.
Si se usa marcado de paquetes se puede
encaminar paquetes por su marca.
Se puede eliminar, enrutar o dar como
desconocida una ruta

Enrutamiento
Polticas de Enrutamiento
[admin@MikroTik] ip policy-routing rule> add src-address=10.0.0.144/32 \
\... table=mt action=lookup
[admin@MikroTik] ip policy-routing rule> print
# SRC-ADDRESS DST-ADDRESS INTE... FLOW ACTION TABLE
0 0.0.0.0/0 0.0.0.0/0 all lookup main
1 10.0.0.144/32 0.0.0.0/0 all lookup mt
Enruta los paquetes de la direccin

10.0.0.144 por las rutas de la tabla mt

Enrutamiento
Configuracin
Bsica de Polticas
Paquetes de la red
1.1.1.0/24 usan el
gateway 10.0.0.1
Paquetes de la rd
2.2.2.0/24 usan el
gateway 10.0.0.2
El resto usa el
gateway 10.0.0.254

Web Proxy
Se pueden usar:
Proxy HTTP regular
Proxy Transparente.
Listas de Acceso por fuente, destino, URL y
mtodos de consulta
Cache access list (indica que objetos almacenar y
cuales no)
Direct Access List (Recurosos que puedes
accederse directamente y cuales con otro proxy)
Facilidad de Autentificacin

Web Proxy
Se maneja con /ip web-proxy

[admin@MikroTik] ip web-proxy> set enabled=yes port=8080
[admin@MikroTik] ip web-proxy> print
enabled: no
src-address: 0.0.0.0
port: 8080
hostname: proxy
transparent-proxy: no
parent-proxy: 0.0.0.0:0
cache-administrator: webmaster
....

Web Proxy
Monitoreo del Proxy

[admin@MikroTik] > ip web-proxy monitor
status: running
uptime: 4d19h8m14s
clients: 9
requests: 10242
hits: 3839
cache-size: 328672 kB
received-from-servers: 58108
kB sent-to-clients: 65454 kB
hits-sent-to-clients: 7552 kB

Web Proxy
Listas de acceso
Las reglas se utilizan de arriba hacia abajo.
Se pueden manejar accesos mediante
direccin destino, fuente, puerto,
subcadena URL.
Se usa mediante /ip web-proxy access

Web Proxy
Deshabilitar la bajada de MP3, y conexiones

FTP excepto del servidor 10.0.0.1
[admin@MikroTik] ip web-proxy access> add url=".mp3" action=deny
[admin@MikroTik] ip web-proxy access> add src-address=10.0.0.1/32
action=allow
[admin@MikroTik] ip web-proxy access> add url="ftp://" action=deny

Web Proxy
Listas de Acceso Directas

Se usa con parent-proxy habilitado.
Se puede pasar la solicitud al servidor
proxy principal o manejar directamente la
conexin.
Se usa mediante /ip web-proxy direct

Web Proxy
Manejar directamente las conexiones al

servidor 167.157.4.1 y las conexiones seguras
redirigirlas al proxy principal
[admin@MikroTik] ip web-proxy direct> add dst-address=167.157.4.1/32

action=allow
[admin@MikroTik] ip web-proxy direct> add url=https://" action=deny

Web Proxy
Cache Access List

Permite indicar que solicitudes (pginas,
servidores, dominios) son almacenadas o
no.
Por defecto se almacenan los objetos si no
se encuentra una regla especfica.
Se usa con /ip web-proxy cache

Web Proxy
No almacenar pginas de los directorios cgi-

bin (dinamicas) o que tengan un ? en el URL
[admin@MikroTik] ip web-proxy cache> print

Flags: X - disabled
0 src-address=0.0.0.0/0 dst-address=0.0.0.0/0 dst-port=""
url="cgi-bin \?" method=any action=deny

Web Proxy
Reconstruyendo el Cache
Si existen problemas con el cache el
sistema intentar reparar la estructura de
directorios.
Si no fuese posible se debe borrar y
recrear la estructura.

Web Proxy
Para borrar el cache el web-proxy debe estar

deshabilitado
[admin@MikroTik] ip web-proxy> set enabled=no

[admin@MikroTik] ip web-proxy> clear-cache
Clear all web proxy cache, yes? [y/N]: y
cache will be cleared shortly
[admin@MikroTik] ip web-proxy>

Web Proxy
Proxy Transparente
Solo se puede manejar el protocolo HTTP
de forma transparente.
Se debe usar una regla de NAT de destino.
Especificar que conexiones (puertos)
deben de ser transparentemente
redirigidos

Web Proxy
Redirigir todo el trfico al puerto 80 en la

interface ether1 al proxy (puerto 8080)
[admin@MikroTik] ip firewall dst-nat> add in-interface=ether1 protocol=tcp \

dst-address=!192.168.2.1/32:80 action=redirect to-dst-port=8080
[admin@MikroTik] ip firewall dst-nat> print
0 src-address=0.0.0.0/0:0-65535 in-interface=ether1
dst-address=!192.168.2.1/32:80 protocol=tcp icmp-options=any:any flow=""
src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0
limit-time=0s action=redirect to-dst-address=0.0.0.0 to-dst-port=8080

Ancho de Banda
Mikrotik soporta:
PFIFO - Packets First-In First-Out
BFIFO - Bytes First-In First-Out
SFQ - Stochastic Fair Queuing
RED - Random Early Detection
HTB - Hierarchical Token Bucket
PCQ - Per Connection Queue

Ancho de Banda
Se pueden usar las colas para limitar el

ancho de banda de direcciones IP,
protocolos o puertos.
Se configuran generalmente en
interfaces de salida.
Se pueden manejar paquetes de
entrada (global-in) o de salida (global-
out)

Ancho de Banda
Se pueden manejar mediante colas

simples con /queue simple
[admin@MikroTik] queue simple> add dst-address=192.168.2.0/24 interface=ether1\
\... max-limit=64000/128000
[admin@MikroTik] queue simple> print
0 name="queue1" target-address=0.0.0.0/0 dst-address=192.168.2.0/24
interface=ether1 queue=default priority=8 limit-at=0/0
max-limit=64000/128000
[admin@MikroTik] queue simple>

Ancho de Banda
Controles especiales de ancho de banda

por puerto, protocolo, rangos de IP,
etc.
Usar Arboles de Colas.
Manejar con /queue tree

Ancho de Banda
Limitar el trfico http (puerto 80)
[admin@MikroTik] queue tree> add name=HTTP parent=ether1 flow=http1 \

max-limit=128000
[admin@MikroTik] queue tree> print
0 name="HTTP" parent=ether1 flow=http1 limit-at=0 queue=default
priority=8 max-limit=128000 burst-limit=0 burst-threshold=0
burst-time=0
[admin@MikroTik] queue tree>

Ancho de Banda
Se debe marcar todo el trfico HTTP
[admin@MikroTik] ip firewall mangle> add action=passthrough mark-flow=http1 \

\... protocol=tcp target-port=80
[admin@MikroTik] ip firewall mangle> print
0 target-address=:80 protocol=tcp action=passthrough mark-flow=http1
[admin@MikroTik] ip firewall mangle>

Ancho de Banda
Se puede monitorear el trfico que se

esta limitando.
[admin@MikroTik] queue simple> print bytes
# TARGET-ADDRESS DST-ADDRESS BYTES TOTAL-BYTES
0 192.168.2.11/32 0.0.0.0/0 1696036619/2048966230 3745004349
1 192.168.2.21/32 0.0.0.0/0 2949768/5241093 8191101
2 192.168.2.22/32 0.0.0.0/0 2621795/95592983 98215402
[admin@MikroTik] queue simple>

Ancho de Banda
Simular una
lnea de 128Kb
de bajada y 64
de Subida,
excluir al
servidor de la
limitacin

Interfaces
Se manejan una serie de Interfaces

Se pueden revisar con el comando
/interface

Interfaces
[admin@MikroTik] interface> print

# NAME TYPE RX-RATE TX-RATE
MTU
0 R ADSL-2 ether 0 0
1500
1 R TX ether 0 0
1500
2 R SETBOL ether 0 0
1500
3 R Supernet ether 0 0
1500
4 R ADSL-1 ether 0 0
Universidad
1500Mayor de San Simn
Interfaces
Para monitorear el trfico de la

interface utilizar:
[admin@MikroTik] interface> monitor-traffic
numbers: 0
received-packets-per-second: 9
received-bits-per-second: 20.3kbps
sent-packets-per-second: 12
sent-bits-per-second: 11.1kbps
[admin@MikroTik] interface>

Interfaces Ethernet
Se maneja la informacin de las

interfaces tipo Ethernet.
Usar /interface ethernet
Se puede monitorear el estadao de las
interfaces con:
/inteface ethernet monitor

Interfaces Wireless
Opera usando IEEE 802.11

Se puede configurar como clientes
wireless (station), bridge wireless
(bridge) y como puntos de acceso (ap-
bridge).
El control de posicionamiento puede ser
manejado.
Soporta 802.11a, 802.11b y 802.11g

Interfaces Wireless
Maneja el protocolo Nstrem (propietario de

Mikrotik)
Beneficios del protocolo nstreme:
Client polling
Poca sobrecarga del protocolo, premitiendo
transmisiones altas.
Sin limites de protocolo en grandes distancias
No existe degradacion para grandes distancias
Ajustes dinmicos dependiendo del tipo de trfico
y los recursos usados

Interfaces Wireless
Se puede usar:
Conexiones Punto a Punto: Con antenas en
ambos lados
Punto a Punto Dual (Nstreme2): Se pueden
usar 2 radios en ambos lados
simultaneamente, uno para transmisin y
otro para recepcin.
Punto Multipunto.

Interfaces Wireless
Se maneja mediante /interface wireless

Manjear mnimamente el ssid (Service
Set Identifier), la frecuencia y la nada
de operacin.

Interfaces Wireless
Mostrar informacin
[admin@MikroTik] interface wireless> print
Flags: X - disabled, R - running
0 R name="WLAN" mtu=1500 mac-address=00:01:24:70:4B:BF arp=proxy-arp
disable-running-check=no interface-type=Atheros AR5211 mode=ap-bridge
ssid="umss" frequency=5805 band=5GHz scan-list=default-ism
supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps
supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
basic-rates-b=1Mbps
basic-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
max-station-count=2007 ack-timeout=dynamic tx-power=20 802.1x-mode=none
noise-floor-threshold=default burst-time=disabled fast-frames=no
dfs-mode=none antenna-mode=ant-a wds-mode=disabled wds-default-bridge=none
wds-ignore-ssid=no default-authentication=yes default-forwarding=yes hide-ssid=no

Interfaces Wireless
Tablas de registro.
Informacin de los clientes conectados.
/interface wireless registration-table
[admin@MikroTik] interface wireless registration-table> print
# INTERFACE MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME
0 WLAN 00:01:24:70:4B:AB no -75 24Mbps 1d02:47:16
1 WLAN 00:01:24:70:4B:B7 no -78 24Mbps 1d02:47:15
[admin@MikroTik] interface wireless registration-table> print stats
0 interface=WLAN mac-address=00:01:24:70:4B:AB ap=no rx-rate=24Mbps
tx-rate=24Mbps packets=560115,628954 bytes=79808969,536159406
uptime=1d02:47:31 last-activity=00:00:00 signal-strength=-75
ack-timeout=56 distance=56

Interfaces Wireless
Control de Acceso mediante acess list

(en AP Bridge)
[admin@MikroTik] interface wireless access-list> add mac-address= \
\... 00:01:24:70:3A:BB interface=wlan1 private-algo=40bit-wep private-key=1234567890
[admin@MikroTik] interface wireless access-list> print
Flags: X - disabled
0 mac-address=00:01:24:70:3A:BB interface=wlan1 authentication=yes forwarding=yes skip-802.1x=yes
private-algo=40bit-wep private-key="1234567890
[admin@MikroTik] interface wireless access-list>

Interfaces Wireless
Informacin adicional de la tarjeta
[admin@MikroTik] interface wireless> info print

0 interface-type=Atheros AR5211 tx-power-control=yes ack-timeout-control=yes
alignment-mode=yes virtual-aps=yes noise-floor-control=yes
scan-support=yes burst-support=yes supported-bands=2GHz-B,5GHz,5GHz-turbo
2GHz-B-channels=2412,2417,2422,2427,2432,2437,2442,2447,2452,2457,2462,2467,
2472,2512,2532,2552,2572,2592,2612,2632,2652,2672,2692,2712,
2732,2484
5GHz-channels=5120,5125,5130,5135,5140,5145,5150,5155,5160,5165,5170,5175,
5180,5185,5190,5195,5200,5205,5210,...

Interfaces Wireless
WDS (Wireless Distribution System)

Permite pasar los paquetes de un AP a otro
como si estos estuviesen en un etherneth
Switch.
Pueden ser dinmicos o estticos.
Los AP deben estar en la misma nada y
trabajar en la misma frecuencia.

Interfaces Wireless
Usar con /interfaceMAC

wireless
address
wds
del AP remoto
[admin@MikroTik] interface wireless wds> add master-interface=wlan1 \

\... wds-address=00:0B:6B:30:2B:27 disabled=no
[admin@MikroTik] interface wireless wds> print
Flags: X - disabled, R - running, D - dynamic
0 R name="wds1" mtu=1500 mac-address=00:0B:6B:30:2B:23 arp=enabled
disable-running-check=no master-inteface=wlan1
wds-address=00:0B:6B:30:2B:27

Interfaces Wireless
Funcin de Alineamiento
Se puede usar el alineamiento para el
apuntamiento de los equipos.
Se usa con la opcin /interface wireless
align.
Slo se puede manejar si el modo de la
interface es alignment-only
Si se usa align monitor el modo de la
tarjeta se modifica automticamente

Interfaces Wireless
Datos de alineamiento
[admin@MikroTik] interface wireless align> print
frame-size: 300
active-mode: yes
receive-all: yes
audio-monitor: 00:00:00:00:00:00
filter-mac: 00:00:00:00:00:00
ssid-all: yes
frames-per-second: 25
audio-min: -100
audio-max: -20

Interface Wireless
Monitoreo del alineamiento

Muestra informacin del alineamiento, para
una seal estable se aconseja tener un
Signal Strength (RXQ) mayor a -80
[admin@MikroTik] interface wireless align> monitor WLAN
ADDRESS SSID RXQ AVG-RXQ LAST-RX TXQ LAST-TX CORRECT
00:01:24:70:4B:BF umss -74 -75 0.04

Interface Wireless
Escaneo de la Red
Se puede verificar que equipos existen en
la red.
Todos los enlaces se pierden mientras se
hace un scan, al igual que con el
alineamiento.
Si se encuentra enlazado se pierde la
conexin mientras se hace el escaneo.

Interfaces Wireless
Se muestra la informacin de los

equipos Wireless encontrados con las
caractersticas mas importantes
[admin@MikroTik] interface wireless> scan WLAN refresh-interval=1s

ADDRESS SSID BAND FREQ BSS PRIVACY SIGNAL-STRENGTH
00:01:24:70:4B:BF umss 5GHz 5805 yes no -75

Interfaces Wireless
Seguridad Wireless
Maneja protocolo WEP (Wired Equivalent
Privacy)
Algoritmos de encriptacion de 64bits
(40bit), 128bits y AES-CCM (Advanced
Encryption Standard with Counter with
CBC-MAC).
Se usa mediante /interface wireless
security

Interfaces Wireless
Se puede definir seguridad opcional o

requerida.
[admin@MikroTik] interface wireless security> print
0 name="WLAN" security=none algo-0=none key-0="" algo-1=none key-1=""
algo-2=none key-2="" algo-3=none key-3="" transmit-key=key-0
sta-private-algo=none sta-private-key="" radius-mac-authentication=no

Interfaces Wireless
WDS (Wireless Distribution System)

Permite conectar APs con el mismo SSID
Permite compartir la red entre APs
DOS
UNO
192.168.0.1
192.168.0.2

Interface Wireless
MAC Adress del Host

Remoto (DOS)
Configurar el AP UNO
[admin@Home] interface wireless wds> add wds-address=00:01:24:70:3B:AE \
\... master-inteface=wlan1 disabled=no
[admin@Home] interface wireless wds> print
Flags: X - disabled, R - running, D - dynamic
0 name="wds1" mtu=1500 mac-address=00:01:24:70:3A:83 arp=enabled disable-
running-check=no master-inteface=wlan1 wds-address=00:01:24:70:3B:AE
[admin@Home] ip address> add address=192.168.25.2/24 interface=wds1
[admin@Home] ip address> print
0 192.168.25.2/24 192.168.25.0 192.168.25.255 wds1

Interface Wireless
Configurar AP DOS
[admin@Home] interface wireless>set wlan1 mode=ap-bridge ssid=wds-test \
\... wds-mode=static disabled=no
[admin@Home] interface wireless wds> add wds-address=00:01:24:70:3A:83 \
\... master-inteface=wlan1 disabled=no
[admin@Home] ip address> add address=192.168.25.1/24 interface=wds1

[admin@Home] ip address> print
0 192.168.25.1/24 192.168.25.0 192.168.25.255 wds1

Interface Bridge
Se pueden crear una interface lgica

que maneja transparentemente mas de
una interface
Soporta
STP
Firewall en la interfaces bridge
Mltiples Interfaces Bridge

Interface Bridge
Para poder manejar varias interfaces se

debe crear una interface bridge
Usar /interface bridge add
Manejar los puertos (interfaces)
componentes del bridge
/interface bridge port
set ether1,ether2,... bridge=....

Interface Bridge
Se puede asignar un nico a la interface

Se puede monitorear la interface
usando
/interface bridge

Interface Bridge
Configurar una interface bridge,

aadirle Ip si fuese necesario

Tunneling
EoIP (Ethernet over IP)

Permite crear un tunel entre dos
enrutadores.
Todo el trafico se pasa entre los equipos
como si se tuviera una conexin fsica
directa
La meta es crear un canal seguro entre los
equipos

Tunneling

Tunneling
EoIP
[admin@Our_GW] interface eoip> add name="eoip-remote" tunnel-id=0 \
\... remote-address=10.0.0.2
[admin@Our_GW] interface eoip> enable eoip-remote
[admin@Our_GW] interface eoip> print
Flags: X - disabled, R - running 0
name=eoip-remote mtu=1500 arp=enabled remote-address=10.0.0.2 tunnel-id=0
[admin@Remote] interface eoip> add name="eoip" tunnel-id=0 \
\... remote-address=10.0.0.1
[admin@Remote] interface eoip> enable eoip-main
[admin@Remote] interface eoip> print
Flags: X - disabled, R - running 0
name=eoip mtu=1500 arp=enabled remote-address=10.0.0.1 tunnel-id=0

VLAN
Se pueden crear VLAN en cada interface

Se usa mediante:
/interface vlan

Firewall

Firewall
Se tienen 3 niveles de seguridad

Entrada
Interna
Salida
Todo se maneja en funcin a reglas
Usar /ip firewall rule ....

Firewall
Se puede manejar el trfico P2P

Marcar paquetes para uso posterior
Hacer Nat de destino o Nat fuente.

Manejo de Configuracin
Copias de Respaldo
/system backup
load name=... Permite recuperar la
configuracin de un archivo.
Todos los archivos se guardan en el
sistema y puede ser bajados via FTP.
Se pueden ver los archivos con /file
print
Manejo de Configuracin
Se puede exportar la configuracin a un

archivo de texto
Usar /export
Si se exporta a un archivo se puede
manejar la configuracin importando la
misma.
Usar /import nombre_archivo

Scripts
Se pueden crear scripts para configurar cierta

funcionalidad
Usar con /system script
Todos los scripts creados pueden ser
manejados mediante tareas.
Usar /system script job
Una ves creadas las tareas se las puede
colocar en un calendario
Usar /system scheduler

Curso Mikrotik PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Curso Mikrotik PDF

Caricato da

Copyright:

Formati disponibili

MIKROTIK

Yony Richard Montoya Burgos

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Caching, DNS client

Universidad Mayor de San Simn

Conexin via puerto serial

Universidad Mayor de San Simn

Permite acceder al enrutador en

Universidad Mayor de San Simn

ADDRESS ROUTE ...

Universidad Mayor de San Simn

Sigue una estructura tipo unix, por lo

Universidad Mayor de San Simn

El Orden no siempre es el mismo.

Opciones de borrado, insercin o modificacin

[admin@MikroTik] interface> set 0 mtu=1200

Universidad Mayor de San Simn

Se pueden agrupar items con el smbolo ,

Universidad Mayor de San Simn

[admin@MikroTik] ip route> print

Universidad Mayor de San Simn

[admin@MikroTik] ip route> set 1 gateway=192.168.2.1

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Los servicios slo pueden ser habilitados o

Universidad Mayor de San Simn

Universidad Mayor de San Simn

Se pueden manejar Cliente y Servidor DHCP.

Universidad Mayor de San Simn

Para consultar el enlace se puede

Universidad Mayor de San Simn

Utilice renew para re-enlazar el IP.

Universidad Mayor de San Simn

Puede trabajar como servidor DHCP

Universidad Mayor de San Simn

Se puede habilitar DHCP server por cada interfaz.

[admin@MikroTik] ip dhcp-server> add name=oficina \

Universidad Mayor de San Simn

Habilitar Opciones para los clientes

[admin@MikroTik] ip dhcp-server network> add netmask=0 \

Universidad Mayor de San Simn

Si se tiene otro servidor DHCP se

Universidad Mayor de San Simn

Habilitar DNS con la opcion /ip dns

Universidad Mayor de San Simn

Nivel de identificacin en la red

Universidad Mayor de San Simn

Se pueden tener direcciones:

Indicar mnimamente la direccin y la

Universidad Mayor de San Simn

Universidad Mayor de San Simn

[admin@MikroTik] ip arp> add address=10.10.10.1 interface=ether2 mac-

Universidad Mayor de San Simn

Se puede habilitar o deshabilitar ARP en

Universidad Mayor de San Simn

Con arp=disabled los clientes tambin

Universidad Mayor de San Simn

Mikrotik maneja dos tipos de rutas:

Universidad Mayor de San Simn

El balanceo de carga se maneja con la

Universidad Mayor de San Simn

[admin@MikroTik] ip route> set 0 gateway=10.10.10.2,10.10.10.254