LABORATORIOS MTCNA

20 al 22 de Junio de2016

Instructor:
Lisandro Galup
Official Worldwide Trainer #0388

www.comunicacionesgalup.com
 ÍNDICE
1. INTRODUCCION
a. Primera conexión al router ……………………………………………………..…………………………………..
b. Reiniciar a parámetros por defecto …………………………………..…………………………………………
c. Renombrar interfaces y asignar direcciones IP …………………………………………………………….
d. Actualizar RouterOS …………………………………………………………………………………………………….
e. Identidad del Router …………………………………..…………………………………..…………………………..
f. Usuarios y Grupos …………………………………..…………………………………………………………………..
g. Servicios IP …………………………………..…………………………………..………………………………………….
h. Network Time Protocol (NTP) …………………………………..………………………………………………….
i. Backup Binario …………………………………..…………………………………..……………………………………
j. Exportar configuración …………………………………..…………………………………………………………….
2. DHCP, DNS, ARP
a. Servidor DHCP …………………………………..…………………………………..…………………………………….
b. Cliente DHCP …………………………………..…………………………………..……………………………………….
c. Configurar servidor DNS …………………………………..…………………………………………………………..
3. BRIDGE
a. Crear un Bridge …………………………………..…………………………………..…………………………………..
b. Agregar puertos a un Bridge …………………………………..…………………………………..……………….
4. ROUTING
a. Rutas estáticas …………………………………..…………………………………..…………………………………….
b. Ruta por defecto …………………………………..…………………………………..…………………………………..
5. WIRELESS
a. Crear un perfil de seguridad ………………………………………………………………………………………....
b. Configurar un Access Point …………………………………..……………………………………………………….
c. Configurar una estación …………………………………..…………………………………………………………….
d. Connect List …………………………………..…………………………………..………………………………………….
6. FIREWALL
a. Reglas en INPUT …………………………………..…………………………………..…………………………………..
b. Reglas en FORWARD …………………………………..…………………………………………………………………
c. Reglas en OUTPUT …………………………………..…………………………………..………………………………..
d. Address Lists …………………………………..…………………………………..…………………………………………
e. Enmascaramiento NAT …………………………………..………………………………………………………………
7. QoS
a. Cola simple …………………………………..…………………………………..…………………………………………..
b. Burst (Ráfagas) …………………………………..…………………………………..……………………………………..
8. TÚNELES
a. Cliente PPPoE …………………………………..…………………………………..……………………………………….
b. IP Pool …………………………………..…………………………………..………………………………………………….
c. PPP Profile …………………………………..…………………………………..……………………………………………
d. PPP Secret …………………………………..…………………………………..……………………………………………
e. Servidor PPPoE …………………………………..…………………………………..…………………………………….
f. Cliente PPTP …………………………………..…………………………………..………………………………………..

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 INTRODUCCIÓN

a) Conectar su router a la red de la clase y comprobar conexión a Internet:

Conecta un cable entre el puerto 1 (ether1) del router que te fue asignado en
cualquier puerto disponible del switch principal de la clase (excepto los puertos del
1 al 8). Luego conecta un cable entre el puerto 2 del router y tu laptop. El diagrama
de la clase debe quedar como se muestra a continuación:

Comprueba que la interfaz Ethernet del laptop esté configurada para “Obtener una
dirección IP automáticamente”. En este punto ya debes tener acceso a internet a
través del RouterBoard recién instalado.

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 b) Reiniciar router con la configuración en blanco:

Puedes reinicializar el router para borrar cualquier configuración por defecto y

dejar todos los valores en blanco a través de WinBox o con un comando de consola.
Ten en cuenta que este handout está basado en los comandos de consola, y sólo
en algunas ocasiones se usarán imágenes de Winbox.

En Winbox:

Se ubica en el Menú “System –> Reset Configuration”

En consola:

/system reset-configuration no-defaults=yes keep-users=no skip-backup=yes

c) Renombrar las interfaces del router y asignar direcciones IP:

Renombra las interfaces ethernet del router, esto permitirá identificar más
fácilmente los equipos que puedan estar conectados a ella o cualquiera que sea la
identificación que quieras darle, de la forma que sea siempre es una buena práctica
renombrar las interfaces que estén en uso. Reemplace XY con el número asignado
a su router:

/interface ethernet set ether1 name=ether1-XY

/interface ethernet set ether2 name=ether2-XY

En winbox puedes renombrar la interfaz haciendo doble clic y reemplazando el

nombre en la ventana emergente. También se recomienda dejar la identificación
“etherX” en el nombre de la interfaz.
LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP
Luego asigna una dirección IP a las interfaces recién renombradas: ether1 y ether2.
Recuerde reemplazar XY con su número de clase.

/ip address set address=10.1.1.XY/24 interface=ether1-XY

/ip address set address=192.168.XY.1/24 interface=ether2-XY

d) Actualizar RouterOS a través de la opción Auto Ugrade:

Para hacer uso de la opción AutoUpgrade primero debemos agregar un origen de

los paquetes, es decir, otro router que ya tenga descargados los paquetes que serán
usados para actualizar en su folder Files.

/system upgrade upgrade-package-source add address=10.1.1.1 user=mtcna

/system upgrade refresh
/system upgrade download-all reboot-after-download=yes

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 e) Cambiar la identidad del router:

Una de las razones por las que asignar un hostname (nombre de equipo) a su router
es una buena costumbre es que permite la fácil identificación de routers cuando
estamos haciendo revisión de vecinos directamente conectados, o para cuando
tenemos varias consolas abiertas.

/system identity set name=“XY [su nombre]”

En Winbox conseguirá la opción bajo el menú “System -> Identity”

f) Crear nuevos usuarios:

Otra de las acciones que constituyen una buena práctica es crear usuarios con
diferentes niveles de permisos. Usar diferentes cuentas de usuario nos permitirá,
entre muchas otras cosas, identificar cambios realizados a nuestro router por un
usuario en particular.

/user add name=“nombre” group=full password=“12345” disabled=no

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 g) Desactivar el servicio web en el router:

Puedes desactivar servicios en el router si no serán usados. Entre otras cosas sirve
como una capa de protección adicional. Para desactivar el servicio web ejecuta el
siguiente comando:

/ip service print

/ip service set disabled=yes www

h) Configurar el cliente NTP del router:

El cliente NTP permitirá al router mantener la hora y fecha sincronizada

correctamente. Se recomienda ajustar la hora/fecha por medio de NTP para
garantizar el correcto funcionamiento de scripts, colas, firewall y cualquier regla
que tenga un horario asignado. Usaremos el servidor NTP de Google:
time1.google.com (puede especificar más de un servidor)

/system ntp set enabled=yes primary-ntp=216.239.32.15

i) Crear un archivo de Backup Binario:

/system backup save name=“mtcna-backup”

Después de creado el archivo de backup copialo desde el router a su laptop, puedes

arrastrar el archivo desde la ventana Files de Winbox y soltarlo en cualquier ventana
de su sistema operativo. Para evitar que el archivo sea encriptado automáticamente
por RouterOS puedes agregar a la consulta anterior la sentencia dont-encrypt=“yes”.

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 DHCP, DNS y ARP

a) Configurar un servidor DHCP:

Debes configurar un servidor DHCP sobre la interfaz ether2-XY del router

(recuerda, la que conecta tu laptop). Este servidor DHCP será usado para asignar
una dirección IP al computador.

Para ello usaremos el asistente DHCP-Setup, que nos irá preguntando sobre las
distintas opciones de configuración:

/ip dhcp-server setup

Interface: ether2-XY
Address Space: 192.168.XY.0/24
Gateway: 192.168.XY.1
Relay: 0.0.0.0 (ninguno)
Address to Give Out: 192.168.XY.2-192.168.XY.254
DNS Server: 192.168.XY.1
Lease Time: 30m

b) Configurar un cliente DHCP:

En el módulo anterior asignamos una dirección IP estática a la interfaz ether1-XY.

En este laboratorio vamos a hacer que la dirección IP se obtenga a través de un
servidor DHCP que está configurado en el router (y también switch) de la clase.
Normalmente no necesitará hacerlo, pero a los efectos de éste laboratorio por
favor DESACTIVE la opción “Add Default Route”:

/ip dhcp-client add interface=ether1-XY use-peer-dns=yes /

add-default-route=no disabled=no

Una vez asignada la dirección IP a través del cliente DHCP, borre la dirección IP
creada manualmente en el módulo anterior:

/ip address remove numbers=0

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP
 c) Configurar un servidor DNS:

El servidor de DNS disponible en RouterOS funciona básicamente como un Proxy

DNS. La activación del DNS de RouterOS consiste en permitir que otros hosts
puedan hacer consultas DNS a este router. Para ello habilitamos la opción “Allow
Remote Requests”:

/ip dns set allow-remote-requests=yes servers=8.8.8.8

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 BRIDGE

El laboratorio de Bridge requiere una modificación al diagrama de la red. Conecte

un cable entre el puerto ether3 de su router hacia el puerto ether4 del router de
su compañero. Durante la clase te será indicado el orden en que debes hacerlo:

El nuevo diagrama de conexión será el siguiente:

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 a) Crear un Bridge:

Crea un nuevo bridge en el router. El primer paso cuando queremos configurar un

bridge es precisamente, crear el bridge. Aunque no es obligatorio, en ciertos
escenarios le conviene asignar una dirección MAC al bridge ya que permite una
mejor identificación de su red en capa 2.

/interface bridge add name="Bridge" auto-mac=no /

admin-mac="00:00:5E:FF:FF:XY"

b) Agregar puertos al bridge:

Ahora que el bridge está creado es momento de agregar los puertos que van a
formar parte en este bridge:

/interface bridge port add interface="ether3" bridge=“Bridge”

/interface bridge port add interface="ether4" bridge=“Bridge”

Una vez agregados los puertos puede comprobar en su lista de vecinos (IP
Neighbor) que aparecen nuevamente los routers de sus compañeros pero como si
formaran parte de otra red.

/ip neighbor print follow

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP
 ROUTING

a) Crear una ruta estática para acceder a la subred 192.168.XY.0/24 de sus

compañeros:

Recuerde que el router vecino también debe tener su ruta declarada:

/ip route add dst-address=192.168.XY.0/24 gateway=10.1.1.XY

Compruebe que la ruta haya sido creada correctamente haciendo ping desde su
laptop (o desde la herramienta PING de RouterOS) a la dirección 192.168.XY.1

b) Crear una ruta estática hacia los servidores DNS de Google:

Intenta hacer un ping hacia 8.8.8.8 (servidor DNS de Google). No debería funcionar.
Más temprano configuramos los servidores DNS de Google para las consultas DNS
de nuestro router, pero ahora debemos decirle al router cual es el camino que debe
seguir para llegar a esa dirección:

/ip route add dst-address=8.8.8.8 gateway=10.1.1.1

c) Agregar ruta por defecto:

Como es imposible declarar cada una de las direcciones de destino, podemos

declarar una única ruta que englobe todas las posibles direcciones de destino:

/ip route add dst-address=0.0.0.0/0 gateway=10.1.1.1

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 WIRELESS

El diagrama que utilizaremos para el laboratorio de Wireless es el siguiente:

El router que hará las veces de AP, debe conectar un cable desde ether1-XY del
router a cualquier puerto disponible del switch de la clase (excepto los puertos 1 al
8). Todos los estudiantes deben conectar su laptop al puerto ether2-XY de su
propio router.

La práctica se dividirá en grupos de 03 o 04 personas, en donde uno de los routers

será el Access Point (AP) y el resto serán estaciones (STA).

Para desarrollar las prácticas debe:

1. Crear un nuevo bridge:

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

/interface bridge add name="bridge-wlan"

2. Agregar las interfaces ether1-XY y wlan1 al bridge creado:

/interface bridge port add interface="ether1-XY" bridge="bridge-wlan"
/interface bridge port add interface="wlan1" bridge="bridge-wlan"

3. Eliminar el cliente DHCP de la interfaz ether1-XY

/ip dhcp-client remove numbers=0

4. Agregue la dirección IP 10.1.1.XY/24 al bridge:

/ip address add interface="bridge-wlan" address=10.1.1.XY/24

a) Configurar un nombre (Radio Name) al radio de su router:

Para facilitar la identificación de las estaciones inalámbricas, una buena práctica es

reemplazar el “Radio Name” con un nombre descriptivo de la función que cumple.
En esta práctica solo vamos a colocar su nombre y el número asignado a su router:

/interface wireless set wlan1 radio-name="XY [Su nombre]"

b) Crear un perfil de seguridad:

Crea un nuevo perfil de seguridad que incluya nuestras claves precompartidas y

modos de autenticación a la red wireless. Identifica el número de grupo que te haya
sido asignado ya que la clave es diferente para cada grupo.

/interface wireless security-profiles add name="MTCNA" /

mode=dynamic-keys authentication-type=wpa2-psk /
wpa2-preshared-key=grupoX2016

c) Configurar un Access Point:

Según le corresponda la frecuencia de transmisión debe ser la siguiente:

- Grupo 1: Canal 1 - 2412MHz

- Grupo 2: Canal 6 – 2437MHz

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 - Grupo 3: Canal 11 – 2462MHz

Recuerde que sólo un router por cada grupo debe seguir los pasos para convertirse
en AP.

/interface wireless set mode=ap-bridge ssid=“MTCNA-GrupoX” /

frequency=24XX band=2ghz-b/g/n channel-width=20mhz /
bridge-mode=enabled security-profile=MTCNA

d) Configurar una estación:

Los routers seleccionados para funcionar en modo estación deben conectarse al AP

del grupo que corresponda. Preste atención al SSID y a la frecuencia de operación

/interface wireless set mode=station-bridge ssid=“MTCNA-GrupoX” /

frequency=24XX band=2ghz-b/g/n channel-width=20mhz /
bridge-mode=enabled security-profile=MTCNA

e) Consultar la tabla de registros de asociaciones inalámbricas:

Cuando nuestro router está configurado en modo AP, la tabla de registro nos
muestra que estaciones se encuentran asociadas al AP. Cuando está configurado
en modo estación podemos ver los datos del AP al que nos encontramos asociados:

/interface wireless registration-table print

f) Configurar una lista de conexión (connect list):

Para evitar la técnica conocida como SSID Spoofing o un ataque de Man in the
Middle, debemos configurar un connect-list para indicarle a las estaciones las
características del AP al que debe conectarse, más allá de solo el SSID:

/interface wireless connect-list add interface=wlan1 /

ssid=“MTCNA-GrupoX” mac-address=XX:XX:XX:XX:XX:XX /
security-profile=MTCNA connect=yes

/interface wireless connect-list add interface=wlan1 connect=no

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP
 FIREWALL

a) Crear una regla en el chain INPUT del filtro de Firewall:

Crearemos dos reglas en nuestro chain Input. La primera de ellas se encarga de

bloquear todo el tráfico ICMP (ping) dirigido a nuestro router y que entre por la
interfaz ether2-XY:

/ip firewall filter add chain=input protocol=icmp in-interface=ether2-XY

action=drop

La segunda regla se encarga de bloquear consultas DNS realizadas desde una red
externa, que en este caso sería cualquier tráfico que entre por ether1-XY:

/ip firewall filter add chain=input protocol=udp dst-port=53 in-

interface=ether1-XY action=drop

b) Cree una regla en el chain FORWARD del filtro de Firewall:

Anteriormente bloqueamos el tráfico ICMP que estuviera destinado hacia nuestro

router y que fuera originado en la red conectada a ether2-XY. En esta oportunidad
vamos a bloquear nuevamente el tráfico pero en el chain FORWARD:

A continuación vamos a bloquear el acceso a un sitio web, cisco.com:

1. Desde su laptop haga un ping al dominio cisco.com y tome nota de la

dirección IP

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 2. Cree la regla de drop en el chain FORWARD, el dst-address (destination
address) será la IP obtenida por el ping anterior:

/ip firewall filter add chain=forward dst-address=72.163.4.161

protocol=tcp dst-port=80 action=drop

c) Cree una regla en el chain OUTPUT del filtro de Firewall:

Por último bloquee el tráfico ICMP generado en su router y que esté dirigido hacia
la dirección 8.8.4.4:

/ip firewall filter add chain=output dst-address=8.8.4.4 protocol=icmp

action=drop
/ip firewall filter add chain=output dst-address=200.35.75.211 /
protocol=icmp action=drop

Puede comprobar la operatividad de la regla usando la herramienta ping de

RouterOS.

d) Crear un address list:

La función address-list nos permite englobar varias direcciones IPs para que sean
aplicadas a una misma regla de Firewall. Cree un address list que contenga las
direcciones IP que fueron rechazadas en el ejercicio anterior:

/ip firewall address-list add list=permitir-icmp address=8.8.4.4

/ip firewall address-list add list=permitir-icmp address=200.35.75.211

Luego cree una regla en el firewall filter, en el chain FORWARD, permitiendo el

tráfico ICMP hacia las direcciones incluidas en el address list.

/ip firewall filter add chain=forward dst-address-list=permitir-icmp

protocol=icmp action=accept

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

Para que ésta última regla funcione tiene que moverla por encima de los DROPS
creados anteriormente. Desde Winbox puede hacer clic sobre la regla y arrastrarla
hacia el primer lugar de la lista.

e) Crear una regla de enmascaramiento NAT:

Para enmascarar el tráfico saliente de nuestro router, creamos una regla en NAT
indicando cual es nuestra interfaz de salida junto con la acción masquerade:

/ip firewall nat add chain=src-nat out-interface=ether1-XY /

action=masquerade

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 CALIDAD DE SERVICIO

Para el laboratorio de QoS es necesario usar la herramienta btest.exe que se

incluye en el archivo mtcna-tools.rar, también puede descargarla directamente
desde http://www.mikrotik.com/download/btest.exe.

El laboratorio consistirá en limitar el ancho de banda disponible en su laptop

usando colas simples.

Configure la herramienta de prueba de la siguiente forma, el usuario es “mtcna” y

la clave es “mtcna” (sin las comillas):

Después de aplicar las colas simples, puedes verificar en la ventana emergente

como se limita el tráfico a los valores seleccionados.

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 a) Crear una cola simple:

Vamos a crear una cola simple para limitar el tráfico de toda la subred
192.168.XY.0/24. La tasa de carga (upload) y descarga (download) será de 1M (1
Megabit) en cada dirección.

/queue simple add name=QMTCNA target=192.168.XY.0/24 max-limit=1M/1M

Comprueba la limitación de la ‘velocidad’ con la herramienta Bandwidth Test Tool.

Puede probar con diferentes valores en este campo, ejemplo: 1024K, 3M, 5200K.
Como la práctica se está haciendo vía Wireless en un entorno probablemente
congestionado, evita usar más de 1M durante el laboratorio.

b) Configurar ráfagas en una cola simple:

Agrega algunos ajustes de burst en la cola simple y comprueba esos ajustes en la

ventana emergente del Bandwidth Test Tool:

/queue simple set QMTCNA burst-limit=0/2M burst-threshold=0/1M / burst-

time=0/16

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 TÚNELES

En este laboratorio retomaremos el diagrama de conexión simple. Conecta un cable

entre el puerto ether1 del router y cualquier puerto disponible en el switch de la
clase (excepto los puertos 1 al 8). Conecta tu Laptop al puerto ether2 del router:

Configura un cliente PPPoE en la interfaz de uplink (bridge-wlan) y un servidor

PPPoE en su interfaz LAN (ether2-XY). Este es un escenario típico de un ISP.

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 a) Configurar un cliente PPPoE:

Debes crear un nuevo cliente PPPoE en la interfaz de uplink (o WAN) del router, el
service name es MTCNA y los datos de login son tu número de participante:

/interface pppoe-client add name=ClientePPPoE interface=bridge-wlan /

service-name=MTCNA user=XY password=XY profile=default

b) Crear un pool de direcciones IP:

Debes crear un nuevo pool de direcciones que comprenda desde la dirección

10.99.XY.10 hasta la dirección 10.99.XY.20, no se configurará un siguiente pool de
respaldo.

/ip pool add name=pool-ppp ranges=10.99.XY.10-10.99.XY.20 next-pool=none

c) Crear un perfil PPP:

Ajustaremos el perfil encriptado incluido en RouterOS (default-encryption) para

especificar las direcciones IP que serán asignadas por el servidor PPP:

/ppp profile set default-encryption local-address=pool-ppp remote-address=pool-ppp

d) Crear un usuario PPP:

La creación de usuarios para cualquier servicio PPP se realiza bajo el menú “PPP
Secret”. Ten en cuenta que los usuarios PPP no guardan ninguna relación con los
usuarios del Router (los agregados en System – User o /user). Para el laboratorio,
crea un nuevo secret PPP con la siguiente configuración:

/ppp secret add name=XY password=XY profile=default-encryption

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP

 e) Crear un servidor PPPoE:

Una vez configurados todos los parámetros anteriores es hora de crear un servidor
PPPoE para dar servicio al laptop. Ejecuta el servidor PPPoE sobre la interfaz ether2-
XY del router, el nombre del servicio será “pppoe-mtcna” y el perfil será el editado
anteriormente:

/interface pppoe-server server add service-name=pppoe-mtcna /

interface=ether2-XY default-profile=default-encryption

f) Configurar una conexión PPPoE en el laptop:

Una vez creado el servidor PPPoE en su router es momento de configurar su laptop

para conectarse via PPP al router. Las siguientes instrucciones son válidas sólo para
el sistema operativo Windows desde la versión 7 en adelante:

1. Abra el “Administrador de Redes y Uso Compartido”

2. Seleccione “Configurar una nueva conexión o red”
3. Seleccione “Conectar a Internet”
4. Elija “Configurar una nueva conexión de todas formas”
5. Elija “No, crear una nueva conexión”
6. Seleccione “Crear una conexión banda ancha PPPoE” e introduzca los datos
correspondientes

g) Configurar un cliente PPTP:

Se creará una conexión VPN a un router en Internet para acceder a servicios solo
accesibles desde la red local. La dirección de “connect-to” será facilitada durante la
clase:

/interface pptp-client add connect-to=A.B.C.D user=mtcna password=mtcna2016 /

profile=default-encryption add-default-route=no disabled=no

LABORATORIO MTCNA – BARQUISIMETO JUNIO 2016 INSTRUCTOR: LISANDRO GALUP