Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
20 al 22 de Junio de2016
Instructor:
Lisandro Galup
Official Worldwide Trainer #0388
www.comunicacionesgalup.com
ÍNDICE
1. INTRODUCCION
a. Primera conexión al router ……………………………………………………..…………………………………..
b. Reiniciar a parámetros por defecto …………………………………..…………………………………………
c. Renombrar interfaces y asignar direcciones IP …………………………………………………………….
d. Actualizar RouterOS …………………………………………………………………………………………………….
e. Identidad del Router …………………………………..…………………………………..…………………………..
f. Usuarios y Grupos …………………………………..…………………………………………………………………..
g. Servicios IP …………………………………..…………………………………..………………………………………….
h. Network Time Protocol (NTP) …………………………………..………………………………………………….
i. Backup Binario …………………………………..…………………………………..……………………………………
j. Exportar configuración …………………………………..…………………………………………………………….
2. DHCP, DNS, ARP
a. Servidor DHCP …………………………………..…………………………………..…………………………………….
b. Cliente DHCP …………………………………..…………………………………..……………………………………….
c. Configurar servidor DNS …………………………………..…………………………………………………………..
3. BRIDGE
a. Crear un Bridge …………………………………..…………………………………..…………………………………..
b. Agregar puertos a un Bridge …………………………………..…………………………………..……………….
4. ROUTING
a. Rutas estáticas …………………………………..…………………………………..…………………………………….
b. Ruta por defecto …………………………………..…………………………………..…………………………………..
5. WIRELESS
a. Crear un perfil de seguridad ………………………………………………………………………………………....
b. Configurar un Access Point …………………………………..……………………………………………………….
c. Configurar una estación …………………………………..…………………………………………………………….
d. Connect List …………………………………..…………………………………..………………………………………….
6. FIREWALL
a. Reglas en INPUT …………………………………..…………………………………..…………………………………..
b. Reglas en FORWARD …………………………………..…………………………………………………………………
c. Reglas en OUTPUT …………………………………..…………………………………..………………………………..
d. Address Lists …………………………………..…………………………………..…………………………………………
e. Enmascaramiento NAT …………………………………..………………………………………………………………
7. QoS
a. Cola simple …………………………………..…………………………………..…………………………………………..
b. Burst (Ráfagas) …………………………………..…………………………………..……………………………………..
8. TÚNELES
a. Cliente PPPoE …………………………………..…………………………………..……………………………………….
b. IP Pool …………………………………..…………………………………..………………………………………………….
c. PPP Profile …………………………………..…………………………………..……………………………………………
d. PPP Secret …………………………………..…………………………………..……………………………………………
e. Servidor PPPoE …………………………………..…………………………………..…………………………………….
f. Cliente PPTP …………………………………..…………………………………..………………………………………..
Conecta un cable entre el puerto 1 (ether1) del router que te fue asignado en
cualquier puerto disponible del switch principal de la clase (excepto los puertos del
1 al 8). Luego conecta un cable entre el puerto 2 del router y tu laptop. El diagrama
de la clase debe quedar como se muestra a continuación:
Comprueba que la interfaz Ethernet del laptop esté configurada para “Obtener una
dirección IP automáticamente”. En este punto ya debes tener acceso a internet a
través del RouterBoard recién instalado.
En Winbox:
En consola:
Renombra las interfaces ethernet del router, esto permitirá identificar más
fácilmente los equipos que puedan estar conectados a ella o cualquiera que sea la
identificación que quieras darle, de la forma que sea siempre es una buena práctica
renombrar las interfaces que estén en uso. Reemplace XY con el número asignado
a su router:
Una de las razones por las que asignar un hostname (nombre de equipo) a su router
es una buena costumbre es que permite la fácil identificación de routers cuando
estamos haciendo revisión de vecinos directamente conectados, o para cuando
tenemos varias consolas abiertas.
Otra de las acciones que constituyen una buena práctica es crear usuarios con
diferentes niveles de permisos. Usar diferentes cuentas de usuario nos permitirá,
entre muchas otras cosas, identificar cambios realizados a nuestro router por un
usuario en particular.
Puedes desactivar servicios en el router si no serán usados. Entre otras cosas sirve
como una capa de protección adicional. Para desactivar el servicio web ejecuta el
siguiente comando:
Para ello usaremos el asistente DHCP-Setup, que nos irá preguntando sobre las
distintas opciones de configuración:
Interface: ether2-XY
Address Space: 192.168.XY.0/24
Gateway: 192.168.XY.1
Relay: 0.0.0.0 (ninguno)
Address to Give Out: 192.168.XY.2-192.168.XY.254
DNS Server: 192.168.XY.1
Lease Time: 30m
Una vez asignada la dirección IP a través del cliente DHCP, borre la dirección IP
creada manualmente en el módulo anterior:
Ahora que el bridge está creado es momento de agregar los puertos que van a
formar parte en este bridge:
Una vez agregados los puertos puede comprobar en su lista de vecinos (IP
Neighbor) que aparecen nuevamente los routers de sus compañeros pero como si
formaran parte de otra red.
Compruebe que la ruta haya sido creada correctamente haciendo ping desde su
laptop (o desde la herramienta PING de RouterOS) a la dirección 192.168.XY.1
Intenta hacer un ping hacia 8.8.8.8 (servidor DNS de Google). No debería funcionar.
Más temprano configuramos los servidores DNS de Google para las consultas DNS
de nuestro router, pero ahora debemos decirle al router cual es el camino que debe
seguir para llegar a esa dirección:
El router que hará las veces de AP, debe conectar un cable desde ether1-XY del
router a cualquier puerto disponible del switch de la clase (excepto los puertos 1 al
8). Todos los estudiantes deben conectar su laptop al puerto ether2-XY de su
propio router.
Recuerde que sólo un router por cada grupo debe seguir los pasos para convertirse
en AP.
Cuando nuestro router está configurado en modo AP, la tabla de registro nos
muestra que estaciones se encuentran asociadas al AP. Cuando está configurado
en modo estación podemos ver los datos del AP al que nos encontramos asociados:
Para evitar la técnica conocida como SSID Spoofing o un ataque de Man in the
Middle, debemos configurar un connect-list para indicarle a las estaciones las
características del AP al que debe conectarse, más allá de solo el SSID:
La segunda regla se encarga de bloquear consultas DNS realizadas desde una red
externa, que en este caso sería cualquier tráfico que entre por ether1-XY:
Por último bloquee el tráfico ICMP generado en su router y que esté dirigido hacia
la dirección 8.8.4.4:
La función address-list nos permite englobar varias direcciones IPs para que sean
aplicadas a una misma regla de Firewall. Cree un address list que contenga las
direcciones IP que fueron rechazadas en el ejercicio anterior:
Para enmascarar el tráfico saliente de nuestro router, creamos una regla en NAT
indicando cual es nuestra interfaz de salida junto con la acción masquerade:
Vamos a crear una cola simple para limitar el tráfico de toda la subred
192.168.XY.0/24. La tasa de carga (upload) y descarga (download) será de 1M (1
Megabit) en cada dirección.
Debes crear un nuevo cliente PPPoE en la interfaz de uplink (o WAN) del router, el
service name es MTCNA y los datos de login son tu número de participante:
La creación de usuarios para cualquier servicio PPP se realiza bajo el menú “PPP
Secret”. Ten en cuenta que los usuarios PPP no guardan ninguna relación con los
usuarios del Router (los agregados en System – User o /user). Para el laboratorio,
crea un nuevo secret PPP con la siguiente configuración:
Una vez configurados todos los parámetros anteriores es hora de crear un servidor
PPPoE para dar servicio al laptop. Ejecuta el servidor PPPoE sobre la interfaz ether2-
XY del router, el nombre del servicio será “pppoe-mtcna” y el perfil será el editado
anteriormente:
Se creará una conexión VPN a un router en Internet para acceder a servicios solo
accesibles desde la red local. La dirección de “connect-to” será facilitada durante la
clase: