Conceptos Fundamentales de MikroTik RouterOS v Manual de Laboratorio

(1)

Conceptos

Fundamentales de MikroTik RouterOS

v6.44.2.02

Manual de Laboratorio

(2)

Capítulo 1

Laboratorio 1.1 – Configuración Inicial Objetivo:

• Realizar la configuración a través de línea de comandos

• Armar el primer laboratorio, el mismo que se utilizará durante los días de capacitación MTCNA.

• Comprender los parámetros de configuración básicos y dar salida a Internet a un router MikroTik.

Escenario:

Configuración del AP (Instructor) Configuración de R1

1. Establecer la conexión WAN a internet a través de la interface ether1 por medio de una configuración dhcp- client

/ip dhcp-client add interface=ether1 disabled=no

2. El Instructor debe comprobar que el dhcp-client entregó el DNS /ip dns print

servers:

dynamic-servers: 172.16.1.1 allow-remote-requests: no max-udp-packet-size: 4096

(3)

query-server-timeout: 2s query-total-timeout: 10s

3. El Instructor debe activar Allow Remote Request /ip dns set allow-remote-requests=yes

4. El Instructor debe comprobar que el dhcp-client entregó la ruta por default de manera automática

/ip route print

Flags: X - disabled, A - active, D - dynamic,

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 172.16.1.1 1

1 ADC 172.16.1.0/26 172.16.1.57 ether1 0

5. El Instructor debe crear un Security Profile para habilitar la seguridad /interface wireless security-profiles add name=Clave mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2- \ pre-shared-key=mikrotik

(4)

6. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada)

/interface wireless set wlan1 disabled=no

7. El Instructor debe configurar la tarjeta Wireless para que el R1 actúe como AP (Access Point). En este punto el AP utilizará el Security Profile que se configuró en el paso 6. Se usará la banda 2GHz-b/g/n

/interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n channel- width=20mhz \ ssid=MikroTik_MTCNA radio-name=NombreAP security- profile=Clave

(5)

8. El Instructor debe configurar la regla de NAT para que las redes privadas (clientes/alumnos) puedan salir a Internet. En el parámetro out-interface se especifica la interfaz por donde R1 sale a internet (en este caso ether1). El parámetro que se encargará de enmascarar/ocultar la red privada es action=masquerade

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

9. Asignación de direcciones IP

• Cada participante deberá trabajar con un grupo de direcciones específicas para las interfaces Wireless y LAN.

• El instructor debe asignar un número a cada estudiante con el cual deberá validar las subredes entregadas en base a la siguiente tabla (Tabla L0-1.1)

10. Asignar dirección IP a la Wlan1 del AP (Dependiendo de los requerimientos) /ip address add address=10.1.1.1/30 interface=wlan1 comment=Estudiante1

/ip address add address=10.1.1.5/30 interface=wlan1 comment=Estudiante2 /ip address add address=10.1.1.9/30 interface=wlan1 comment=Estudiante3 /ip address add address=10.1.1.13/30 interface=wlan1 comment=Estudiante4 /ip address add address=10.1.1.17/30 interface=wlan1 comment=Estudiante5

(6)

Configuración del Cliente (Alumno) Configuración Wlan (Estudiante)

1. Hacer un reset a toda la configuración del router /system reset-configuration no-defaults=yes

2. Verificar que el instructor ha configurado una red Wireless con los correspondientes parámetros de autenticación y encriptación.

• SSID: MikroTik_MTCNA

• Autenticación: WPA PSK y/o WPA2 PSK

• Cifrado: AES

• WPA1 y/o WPA2 Pre-Shared key: mikrotik

3. Configurar la tarjeta Wireless del Estudiante

/interface wireless security-profiles add authentication-types=wpa2-psk mode=dynamic-keys \ name=ClaveCPE wpa2-pre-shared-key=mikrotik

(7)

/interface wireless set wlan1 mode=station-bridge band=2ghz-b/g/n channel- width=20mhz \ ssid=MikroTik_MTCNA radio-name=NombreAlumno security- profile=ClaveCPE

4. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada)

5. El estudiante debe estar conectado al AP del instructor. Debe verificar revisando en la tabla de registro y obtener un resultado similar al siguiente:

/interface wireless registration-table print

Asignar IP a interface wlan

1. El estudiante debe configurar la dirección IP correspondiente a la wlan1 de acuerdo a la Tabla L0-1.1 y basado en la asignación entregada por el instructor.

(8)

/ip address add address=10.1.1.2/30 interface=wlan1

2. Verificar por medio de ping que puede llegar al AP (interface wlan) del Instructor. Para esto deberá hacer ping a la IP de la subred /30

correspondiente.

3.

Configurar la ruta por default

1. El estudiante debe configurar la ruta por default (0.0.0.0/0) para poder salir a Internet. Para esto deberá especificar la IP del Gateway correspondiente según la Tabla L0-1.1

/ip route add dst-address=0.0.0.0/0 gateway=10.1.1.1

2. Verificar por medio de ping que puede llegar a una dirección IP pública, por ejemplo, a la IP 8.8.8.8.

(9)

Configurar el DNS

1. El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres de dominio. Para esto deberá especificar la IP de los servidores DNS1 y DNS2 correspondientes según la Tabla L0-1.1. Es importante también configurar el router para que actúe como caché DNS (allow-remote-requests).

/ip dns set servers=10.1.1.1,8.8.8.8 allow-remote-requests=yes

2. Verificar por medio de ping que puede resolver un nombre de dominio, por ejemplo google.com

Configurar interface Ether1 del router e Interface Ethernet de Laptop Estudiante

1. El estudiante debe configurar la interface Ether1 en base la dirección asignada según la Tabla L0-1.1.

/ip address add address=192.168.71.254/24 interface=ether1

2. El estudiante debe configurar la regla de src-nat para poder permitir que su laptop salga a internet.

/ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade

(10)

3. El estudiante debe configurar los parámetros de la tarjeta de red Ethernet de su laptop

4. Verificar por medio de ping que puede llegar desde la laptop a la dirección IP de la interface Ether1 de su router.

(11)

Laboratorio 1.2 – SNTP Client Objetivo:

• Configurar el router MikroTik para que tenga actualizada la fecha y hora.

Configuración del CPE

Si la clase no dispone de un servidor NTP (Network Time Protocol), entonces los clientes/alumnos deben conectarse a un servidor NTP externo. En este laboratorio se usarán los servidores NTP de Google.

1. Cada alumno debe obtener las direcciones IP de los servidores NTP de Google, para esto deberá hacer un ping a

time1.google.com y time2.google.com /ping time1.google.com

2. Cada alumno debe configurar el SNTP-Client especificando las direcciones IP de los NTP servers

/system ntp client set enabled=yes primary-ntp=216.239.32.15 secondary ntp=216.239.34.15

3. Cada alumno debe configurar el Time Zone Name en el cual Debe indicar la ubicación donde se encuentra.

/system clock set time-zone-name=América/Guayaquil

(12)

4. Verificar que se posee la hora y zona horario correctas.

(13)

Laboratorio 1.3 – SNTP Server

Configuración NTP-Server

1. Configurar la zona horaria en el NTP-Server

/system clock set time-zone-name=América/Mexico

2. Configurar con una ntp-client el NTP-Server /system ntp client

set enabled=yes primary-ntp=216.239.32.15 secondary-ntp=216.239.34.15

3. Habilitar el NTP-Server

/system ntp server set enabled=yes manycast=yes

(14)

Configuración NTP-Client

1. Configurar zona Horaria

/system clock set time-zone-name=América/Mexico

2. Configurar SNTP-Client

/system ntp client set primary-ntp=192.168.96.4 enabled=yes

(15)

Capítulo 2

Laboratorio 2 .1– Enrutamiento Estático Objetivo:

• Trabajar en equipo. Se deben armar grupos de 4 estudiantes

• Comunicar varias redes LAN

• Esquema basado en enrutamiento estático

• Comprender los términos dst-address, gateway Escenario:

• Los equipos deben estar SIN configuración

• Luego de configurar los routers basados en el diagrama, se debe realizar ruteo estático. El tráfico deberá fluir en sentido horario

Parte 1. Poner direcciones IP Configuración de E1

1. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E1

/ip address add address=10.1.1.1/30 comment=E1-E2 interface=ether3 /ip address add address=10.2.2.1/30 comment=E1-E3 interface=ether4

(16)

2. Realizar proceso de RUTEO para que el router E1 pueda alcanzar a las redes (10.3.3.0/30; 10.4.4.0/30). Para ello debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El Gateway para el E1 será 10.2.2.2

/ip route add distance=1 dst-address=10.3.3.0/30 gateway=10.2.2.2 /ip route add distance=1 dst-address=10.4.4.0/30 gateway=10.2.2.2

Configuración de E2

2. Realizar proceso de RUTEO para que el router E2 pueda alcanzar a las redes (10.3.3.0/30; 10.2.2.0/30). Para ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El Gateway para el E2 será 10.1.1.1

(17)

/ip route add distance=1 dst-address=10.1.1.0/30 gateway=10.4.4.2

(18)

/ip route add distance=1 dst-address=10.2.2.0/30 gateway=10.4.4.2

Paso Final

1. Probar conectividad entre todos.

2. Adicionalmente hacer que entre las PC’s se puedan realizar ping entre ellas.

(19)

Laboratorio 2.2– Enrutamiento estático con salida a internet Objetivo:

• Trabajar en equipo. Se deben armar grupos de 4 estudiantes

• Comunicar varias redes LAN

• Esquema basado en enrutamiento estático

• Comprender los términos dst-address, gateway Escenario:

• Formar grupos de cuatro personas el E1 debe tener salida a internet por medio del RP. Lo demás routers E2, E3 y E4 deben estar SIN configuración.

• Luego de configurar los routers basados en el diagrama, se debe realizar ruteo estático. El tráfico deberá fluir en sentido horario.

• Las PC’s deberán tener salida a Internet.

1. Establecer conexión con el Router del Trainer para tener salida a internet. Se sugiere reestablecer el backup del primer laboratorio.

/ip address add address=10.1.1.1/30 comment=E1-E2 interface=ether3

(20)

/ip address add address=10.2.2.1/30 comment=E1-E3 interface=ether4

3. Realizamos proceso de ruteo para que E1 pueda alcanzar las redes (10.3.3.0- 10.4.4.0), para ello, debemos especificar un Gateway.

/ip address add address=192.168.20.1/24 comment=E1-E3 interface=ether2 /ip address add address=10.1.1.2/30 comment=E1-E2 interface=ether3 /ip address add address=10.4.4.2/30 comment=E1-E3 interface=ether4

(21)

3. Configuramos la ruta por default (0.0.0.0/0) para poder salir a Internet. Para esto deberá especificar la IP del Gateway correspondiente.

4. Configuramos las direcciones de los DNS servers para poder resolver los

nombres de dominio. Para esto deberá especificar la IP de los servidores DNS1 y DNS2 correspondientes. Es importante también configurar el router para que actúe como caché DNS (allow-remote-requests).

5. Configuramos la regla de src-nat para poder permitir que su laptop salga a internet.

/ip firewall nat add chain=srcnat out-interface=ether4 action=masquerade

6. Configurar los parámetros de la tarjeta de red Ethernet de su laptop y comprobar si tiene salida a internet.

(22)

7. Probamos conectividad a internet ya sea mediante un ping a una página o por medio del navegador.

1. Basado en el diagrama, poner las direcciones en las interfaces que corresponden al Router E1

(23)

(24)

7. probamos conectividad a internet ya sea mediante un ping a una página o por medio del navegador.

(25)

(26)

(27)

7. Probamos conectividad a internet ya sea mediante un ping a una página o por medio del navegador.

(28)

Enrutamiento estático

- Cuál es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.1

- Cuál es el gateway que seguirá el paquete cuando la estación 172.161.1 realiza un ping a la dirección 192.168.1.254

- Como llego desde la Red A hasta la Red C

(29)

- ¿Como lograríamos comunicar las redes Lan de R1 – R3 – R4? Asumamos que ya se tienen configurado rutas para la comunicación entre todos los routers.

(30)

Capitulo 3

Laboratorio 3.1 - Bridge Objetivo

• Poner en práctica los conceptos vistos en este capítulo sobre Bridge

• Aplicando un nuevo escenario en el que se requerirán 3 enrutadores Escenario

Vamos a contar con 3 routers, el Router2 tendrá 2 puertos configurados en bridge, fusionándolos y permitiendo el tráfico de capa 2 al Router3, al final de la práctica se realizará las respectivas pruebas de conectividad comprobando el funcionamiento del bridge.

Configuración en Router1

El Router1 solo debe tener la configuración de una dirección IP sobre la interfaz

Ether3, para lo que debemos ir a /ip addresses y configurar la dirección 10.10.10.1/28.

/ip address add address=10.10.10.1/28 interface=ether3 network=10.10.10.0

Configuración en Router2

En el Router2, vamos a generar primero la interfaz bridge que utilizaremos para la práctica, agregando las interfaces Ether1 y Ether2

/interface bridge add name=bridgelab

e1 e2

R1 hAP ac

Rº2 hAP mini

R3 mAP lite

(31)

Agregando las interfaces Ether1 y Ether2 al bridge bridgelab, de tal manera que se proceda a fusionar estas interfaces.

/interface bridge port

add bridge=bridgelab interface=ether1 add bridge=bridgelab interface=ether2

Luego sobre la interfaz bridgelab configuramos la dirección 10.10.10.2/28, esta dirección IP será utilizado para acceder a este equipo por medio de capa 3, para la administración.

/ip address add address=10.10.10.2/28 interface=bridgelab network=10.10.10.0

En el caso de que exista algun otro segmento de red que se transmita en este trafico en capa 2, se debe configurar una ruta por defecto.

/ip route add distance=1 gateway=10.10.10.1

Router 3

Configurando el Router3, agregaremos la dirección ip 10.10.10.3/28 sobre la interfaz Ether1.

/ip address add address=10.10.10.3/28 interface=ether1 network=10.10.10.0

(32)

Adicional agregaremos una ruta a este dispositivo para que los equipos que esten conectados por debajo de el, puedan tener salida a otras redes.

/ip route add distance=1 gateway=10.10.10.1

Pruebas

Las pruebas que se realizaran a continuación son para comprobar el funcionamiento del bridge, si todo está correctamente configurado del Router1 podremos pasar al Router3 sin ningún tipo de problemas ya que el Router2 está configurado por bridge, es decir, en el nivel de enlace de datos (capa 2).

Ping desde el Router1:

(33)

Capítulo 4 Wireless Objetivos:

• Poner en práctica los conceptos básicos de wireless

• Aprender a configurar un enlace wireless entre (AP – CPE)

• Para el CPE practicar: Las tres formas de conectarse a un AP (connect-list, Scan, y SSID)

• Para el AP practicara: Access-list (Password, Time) Escenario:

1. Formar grupos de dos personas el E1 va a ser AP y debe tener salida a internet por medio del nuevo direccionamiento que se crea en el RP.

2. El E2 va a ser CPE el cual debe conectarse al AP usando los métodos de conexión al AP descritos en los objetivos.

Configuración Estudiante 1

Parte 1. Verificar que el Router del estudiante 1 tenga salida a internet

Parte 2. Configurar dirección IP para la conexión con el Router del Estudiante 2 /ip address add address=172.16.1.1/30 interface=ether4

Configuración Estudiante 2 (Resetear el Router antes de iniciar)

1. Pondremos la dirección IP en el ether4 para la conexión con el Router del estudiante 1

(34)

2. Crear Ruta por defecto 0.0.0.0/0 Gateway 172.16.1.1 /ip route add gateway=172.16.1.1

3. Configurar DNS

4. Configurar NAT

5. Verificar conectividad a internet (ping 8.8.8.8 y ping google.com)

6. Crear Security-Profiles y Configurar tarjeta wireless en modo ap-bridge para que el Router del estudiante 3 se pueda conectar.

/interface wireless security-profiles add name=Clave mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm

\ wpa2-pre-shared-key=mikrotik

(35)

7. Habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no

/interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n channel-width=20mhz

\ ssid=Grupo1 radio-name=NombreAlumno security-profile=Clave

8. Configurar dirección IP en la interfaz wlan1 del Router del alumno dos para la conexión con el Router del alumno 3.

(36)

Configuración Estudiante 3 (Resetear el Router antes de iniciar)

9. Configurar la tarjeta Wireless del Estudiante

/interface wireless security-profiles add name=ClaveCPE mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm

\ wpa2-pre-shared-key=mikrotik

/interface wireless set wlan1 mode=station-bridge band=2ghz-b/g/n channel-

width=20mhz \ ssid=Grupo1 radio-name=NombreAlumno security-profile=ClaveCPE

10. Habilitar la tarjeta Wireless (por default viene deshabilitada) /interface wireless set wlan1 disabled=no

11. Verificar que los equipos se hayan conectado entre si /interface wireless registration-table print

(37)

12. Configurar dirección IP en el interfaz wlan1

13. Verificar por medio de ping que puede llegar al AP (interface wlan) del Estudiante 2. Para esto deberá hacer ping a la IP de la subred /30 correspondiente.

14. Configurar la ruta por default. El estudiante debe configurar la ruta por default (0.0.0.0/0) para poder salir a Internet. Para esto deberá especificar la IP del Gateway.

15. Verificar por medio de ping que puede llegar a una dirección IP pública, por ejemplo, a la IP 8.8.8.8.

(38)

16. Configurar el DNS. El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres de dominio. Para esto deberá especificar la IP de los servidores DNS1 y DNS2. Es importante también configurar el router para que actúe como caché DNS (allow-remote-requests).

17. Verificar por medio de ping que puede resolver un nombre de dominio, por ejemplo google.com

18. Configurar interface Ether4 del router e Interface Ethernet de Laptop Estudiante /ip address add address=192.168.71.254/24 interface=ether4

19. El estudiante debe configurar la regla de src-nat para poder permitir que su laptop salga a internet.

/ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade

(39)

20. El estudiante debe configurar los parámetros de la tarjeta de red Ethernet de su laptop

21. Verificar por medio de ping que puede llegar desde la laptop a la dirección IP 8.8.8.8

22. Verificar que tenga Navegación.

Configuración Estudiante 3 (Scanner)

1. Resetear tarjeta Wireless

/interface wireless reset-configuration wlan1

(40)

2. Verificar que no tenga navegación

3. Activamos la tarjeta wireless

4. Configuramos los parámetros necesarios para usar la opción de scanner, los cuales son:

a. Poner en modo station-bridge

b. Seleccionar el security-profiles

c. Guardar los cambios y salir

5. Daremos clic en el botón Scanner ubicado en la parte superior de la ventana Wireless Tables y buscaremos el SSID que tiene configurado el estudiante 2 en su equipo presionando el botón Start.

Una vez que encontramos el SSID al que nos vamos a conectar lo seleccionamos y presionamos el botón Connect.

(41)

6. Verificamos que tengamos comunicación con el Router AP una vez mas

7. Verificar que tengamos navegación normal Configuración Estudiante 3 (Connect List)

1. Resetear tarjeta Wireless

/interface wireless reset-configuration wlan1

2. Configuramos los datos necesarios en la tarjeta wireless para poder usar la opción de Connect List.

a. Modo: Station bridge

b. SSID: Sin SSID

c. Seleccionar el Security profiles

d. Guardar cambios y salir.

3. Activar tarjeta Wireless

4. Iremos a la pestaña de Connect List. Para esto necesitamos que el estudiante 2 identifique cual es la Dirección MAC de su interfaz Wlan1 y dársela al estudiante 3 para que la pueda poner en el campo MAC Address en las configuraciones en la ventana de Connect List

(42)

5. Verificamos que tengamos comunicación con el Router AP una vez mas

6. Verificar que tengamos navegación normal Configuración Estudiante 2 (Access List)

1. Verificamos que tengamos a E3 (CPE) registrado en nuestra tabla de registros

2. Luego ya con la MAC que vemos lo trabajaremos con una regla de Access- List y le cambiaremos la clave y luego verificaremos si E2 tiene navegación

/interface wireless access-list add mac-address=E4:8D:8C:87:C5:14 interface=wlan1 \ private-pre-shared-key=mikrotik

(43)

3. Verificar que se tiene navegación en el computador, caso contrario revisar los pasos anteriores.

Laboratorio Wireless 5GHz Objetivos

• Visto lo anterior lo aplicaremos ahora sobre un enlace de 5GHz

• Utilizando tecnología 802.11ac Escenario

Un enlace entre 2 equipos mikrotik con 5GHz y tecnología AC, para luego hacer un test de velocidad.

Configuración AP

Primero procederemos a configurar el punto de acceso (AP), cuyas interfaces inalámbricas cuenta con una que trabaja en la banda de operación de 5GHz.

/interface Wireless print

En el ap tendríamos que configurar el modo AP BRIDGE, con la banda de operación de 5GHz-only-ac, lo que significa que trabajara en la banda de 5GHz con tecnología 802.11 AC.

set [ find default-name=wlan2 ] band=5ghz-onlyac mode=ap-bridge security- profile=Lab. ssid="Lab. 5ghz AC"

(44)

Parametros

Entre los diferentes parámetros que encontramos en cada uno de los campos encontramos a:

Modo Wireless

Con las opciones de ap bridge, station, entre otros modos que indican como trabajara el radioenlace.

(45)

Banda de operación

La banda de operación dado que estamos en un radio de 5GHz, aparecen las diferentes tecnologías asociadas a 5GHz, tales como, A, N, AC.

Ancho de Canal

También conocido como el ancho de banda, mientras más amplio sea, mayor ancho de banda tendrá, pero también captara mayor ruido.

Frecuencia a utilizar

Según el ancho de canal solicitado les permiten una cierta cantidad de canales vistos como frecuencias portadoras (Carrier) por donde se va a concentrar todo el tráfico de la interfaz inalámbrica.

Uno de los parámetros importantes seria configurar el campo SSID

Configuración del Security Profile

En la pestaña, security profiles, nosotros podemos configurar una clave pre compartida para que el punto de acceso permita la negociación de las estaciones Wireless.

(46)

Agregamos una entrada con el botón + y escribimos un nombre para la clave

precompartida, y agregamos una contraseña en las opciones wpa pre-shared key y wpa2 pre-shared key, luego de ello dar click en aplicar.

(47)

Con esa información establecida, en la configuración del AP, en el campo Security Profile, le cambiamos a la opción configurada anteriormente.

Solamente ubicando el nombre de la entrada en Security Profiles sobre el mismo campo.

Configuración de la Estación

Ahora para la estación debemos hacer el proceso configurarlo con parámetros

similares al AP tal como el ancho de canal, la banda de operación, la frecuencia a utilizar, el SSID, entre otros parámetros, y luego de dar aplicar confirmar que en la parte inferior aparezca el mensaje, connected to ess.

(48)

Test de ancho de banda

Para esta prueba es necesario que ambos equipos tengan configurada una dirección IP en el radio de cada dispositivo. Para el Router1, se le ubico una 10.20.10.1/30, y para el Router2, la dirección 10.20.10.2/30.

Para comprobar si efectivamente se encuentra conectado y conocer cuánto de velocidad se permite sobre este enlace, se realiza un bandwidth test para lo cual tendremos los siguientes resultados para TCP, y para UDP.

(49)

Bandwidth test

Para realizar el test de ancho de banda, entre las opciones de winbox existe una opción conocida como herramientas, y en la opción bandwidth test damos click, y nos aparecerá la siguiente venitana.

Prueba de ancho de banda TCP

Hay que tener en cuenta que cuando se realiza la prueba por TCP como protocolo de control, parte del tráfico de datos, se envían pequeños paquetes que comparten el medio, eso significa que el ancho de banda real lo que va a mostrar en la siguiente imagen, se basa netamente por el tema de utilizar el protocolo TCP.

(50)

Prueba de ancho de banda UDP

Por otro lado, el test de ancho de banda por UDP, la velocidad aumenta pues hay más espacio para la transmisión de datos en tiempo real, ya que UDP no realiza ningún control sobre los paquetes y envía los

(51)

(52)

Administración de Red Laboratorio 5-1

Objetivos:

• Poner en práctica los conceptos vistos en este capitulo

• Comprender las bases y configuraciones de un DHCP

• Poder fusionar un bridge + un DHCP Server

• Y comprender las funciones de DHCP Client Escenario:

1. Formar Grupo de dos personas E1 y E2

2. E1 se va a conectar con RP vía wireless, pero con un nuevo SSID y un nuevo direccionamiento

3. E1 debe darle un nuevo direccionamiento a E2 por medio de un DHCP Server y a su vez E2 debe configurar un DHCP Client para poder recibir ese

direccionamiento.

4. Por último, E2 debe crear un Bridge, poner puertos 4 y 5 en el bridge y crearle un nuevo direccionamiento y darle por medio de DHCP-Server IP al computador.

Configuración Estudiante 1

Parte 1. Verificar que el Router del estudiante 1 tenga salida a internet

Parte 2. Configurar el DHCP-Server en la interfaz ether4 con siguiente dirección IP 172.16.1.1/24

1. Configurar dirección IP en el ether4

(53)

2. Configurar el DHCP-Server

Configuración Estudiante 2 (Resetear el Router antes de iniciar) Parte 1. Configurar la interfaz ether4 como DHCP-Client

/ip dhcp-client add interface=ether4 disabled=no

(54)

Parte 2. Verificar que se entregó la dirección IP a la interfaz ether4 Parte 3. Activar Allow remote requests en la ventana de DNS /ip dns set allow-remote-requests=yes

Parte 4. Crear un bridge y asignarle una DHCP-Server

1. Crear Bridge

/interface bridge add name=DHCP-Server

2. Agregar los puertos al bridge

/interface bridge port add interface=ether2 bridge=DHCP-Server /interface bridge port add interface=ether3 bridge=DHCP-Server

3. Asignar dirección IP al bridge

/ip address add address=192.168.71.1/24 interface=DHCP-Server

4. Crear DHCP-Server para la interfaz bridge “DHCP-Server”

5. Configurar NAT

(55)

6. Verificar que la laptop haya recibido la dirección IP automáticamente.

7. Verificar que pueda navegar

Laboratorio 5-2

Servidor DHCP a través de una red Wireless Objetivos:

• Poder distribuir un DHCP Server de forma inalambrica

1. Formar Grupo de dos personas R1 y R3

2. R1 se va a conectar al Router Trainer vía wireless.

3. R1 debe darle un nuevo direccionamiento a R3 por medio de un DHCP Server y a su vez R3 debe configurar un DHCP Client para poder recibir ese direccionamiento.

4. Por último, R3 debe configurar su interfaz wlan1, donde se creará un nuevo direccionamiento y entregar direccionamiento IP de manera automática por medio de DHCP-Server al computador.

(56)

Configuración Router 1

Parte 1. Verificar que el Router tenga salida a internet

1. Según el diagrama, configurar las direcciones ip en eth1 y eth3.

/ip address add address=192.168.10.1/24 interface=ether1 /ip address add address=10.100.0.1/30 interface=ether3

2. Crea un servidor DHCP en la interface eth1.

(57)

3. Comprobar en su laptop si tiene salida a internet

Configuración R3 (Resetear el Router antes de iniciar)

1. Agregamos las direcciones correspondientes a la interfaz wlan1 y ether3.

/ip address add address=192.168.20.1/24 interface=wlan1 /ip address add address=10.100.0.2/30 interface=ether3

2. Configurar la ruta por default. El estudiante debe configurar la ruta por default (0.0.0.0/0) para poder salir a Internet. Para esto deberá especificar la IP del Gateway.

(58)

3. Debe configurar la regla de NAT para que las redes privadas puedan salir a Internet. En el parámetro out-interface se especifica la interfaz por donde R3 sale a internet (en este caso ether3). El parámetro que se encargará de enmascarar/ocultar la red privada es action=masquerade

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether3

4. El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres de dominio. Para esto deberá especificar la IP de los servidores DNS1 y DNS2 correspondientes. Es importante también configurar el router para que actúe como caché DNS (allow-remote-requests).

5. Comprobamos salida de internet por medio de ping hacia internet

6. Creamos un Security Profile y habilitamos la interfaz wlan1.

/interface wireless security-profiles add name=mikrotik mode=dynamic-keys \ authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes- ccm \ wpa2-pre-shared-key=mikrotik

(59)

/interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g channel- width=20mhz \ ssid=Grupo#x radio-name=NombreAlumno security- profile=Mikrotik

7. Creamos un nuevo DHCP Server correspondiente a la interfaz wlan1.

/ip dhcp-server setup

Select interface to run DHCP server on dhcp server interface: wlan1

Select network for DHCP addresses dhcp address space: 192.168.20.0/24 Select gateway for given network

gateway for dhcp network: 192.168.10.1

Select pool of ip addresses given out by DHCP server addresses to give out:

192.168.20.2-192.168.20.254 Select DNS servers

dns servers: 192.168.20.1 Select lease time

lease time: 10m

(60)

8. Una vez conectado a la red creada, comprobamos el direccionamiento que nos dá en la pestaña de Leases de DHCP Server o ejecutando el comando ipconfig en Símbolo del Sistema.

(61)

Laboratorio 5-3

Servidor DHCP con VLANS Objetivos:

• Poder distribuir un DHCP Server por medio de vlans

2. R1 se va a conectar con el Router trainer vía Wireless en modo Station bridge.

3. R1 debe configurar dos vlans darle un nuevo direccionamiento a R2 por medio de un DHCP Server y a su vez R2 debe configurar un DHCP Client para poder recibir ese direccionamiento.

4. Por último, R2 debe configurar sus interfaces para brindarle conexión a los clientes.

Configuración de R1

1. Establecer conexión estática con el trainer.

2. Deberá crear las vlans 10 y 20 en la interfaz enter1 /interface vlan

add interface=ether1 name=vlan10 vlan-id=10 add interface=ether1 name=vlan20 vlan-id=20

(62)

3. Estabecer las direccines ip correspondientes a cada vlan.

/ip address

add address=10.100.0.1/24 interface=vlan10 network=10.100.0.0 add address=10.100.1.1/24 interface=vlan20 network=10.100.1.0

4. Configuramos el DHCP Server por cada vlan /ip dhcp-server

add address-pool=dhcp_pool1 disabled=no interface=vlan20 name=dhcp2 add address-pool=dhcp_pool0 disabled=no interface=vlan10 name=dhcp1

(63)

Configuración de R2 (Resetear el Router antes de iniciar)

1. Procedemos a crear las vlans correspondientes con su id y en la interfaz ether1.

/interface vlan

add interface=ether1 name=vlan10 vlan-id=10 add interface=ether1 name=vlan20 vlan-id=20

(64)

2. Creamos un bridge por cada vlan en el que contendrá una vlan y la interfaz de salida hacia el cliente.

/interface bridge port

add bridge=bridge1 interface=vlan10 add bridge=bridge1 interface=ether2 add bridge=bridge2 interface=vlan20 add bridge=bridge2 interface=ether3

3. Debemos recibir direccionamiento por medio de DHCP Client.

/ip dhcp-client

add dhcp-options=hostname,clientid disabled=no interface=bridge1 add dhcp-options=hostname,clientid disabled=no interface=bridge2

(65)

4. Configuramos la regra Nat de Firewall para que tengan salida a internet.

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1

5. Debemos habilitar el check de allow remote request del DNS.

/ip dns

set allow-remote-requests=yes

6. Comprobar desde su laptop si existe conectividad a internet.

(66)

(67)

Laboratorio 5-4

Servidor DHCP con EoIP Objetivo:

• Generar un túnel EoIP

• Configurar un servidor DHCP sobre la interfaz EoIP de un Enrutador

• Configurar un cliente DHCP sobre la interfaz EoIP del enrutador distante.

Escenario:

2. R1 se va a conectar con el Router trainer vía Ethernet.

3. R1 debe configurar dos vlans darle un nuevo direccionamiento a R2 por medio de un DHCP Server y a su vez R2 debe configurar un DHCP Client para poder recibir ese direccionamiento.

4. Por último, R2 debe configurar sus interfaces para brindarle conexión a los clientes.

1. A continuación, se visualizan los dos enrutadores a utilizar para este ejercicio, R1 y R2

(68)

2. Para este laboratorio, trabajaremos sobre 2 equipos conectados con un enlace punto a punto con cable UTP Ethernet que simulara, a un enlace extremo a extremo WAN, para generar un túnel EoIP

/ip address print

3. Para la configuración del túnel EoIP deben tener direccionamiento IP ya sea local (como en este caso) o remoto (como en un ejemplo real), luego, dentro de la opción interfaces, en la pestaña EoIP Tunnel, se pueden configurar las nuevas interfaces para comenzar la configuración del túnel.

/interface eoip print

(69)

4. Para la configuración del túnel, los parámetros más importantes son la dirección ip remota y el tunnel-ID entre 1 y 65536, importante tener en cuenta que el tunnel-ID debe ser igual en ambos lados, caso contrario no se establecería la conexión.

Router1

/interface eoip add name=eoip-tunnel1 remote-address=10.20.30.1 tunnel-id=5 Router2

/interface eoip add name=eoip-tunnel1 remote-address=10.20.30.28 tunnel-id=5

5. Para identificar si existe el enlace en el túnel en la interfaz EoIP debe aparecer la bandera R del lado izquierdo.

Router1

/interface eoip> print

Flags: X - disabled, R - running

R name="eoip-tunnel1" mtu=auto actual-mtu=1458 l2mtu=65535 mac-

address=02:D9:EA:9C:9D:91 arp=enabled arp-timeout=auto loop-protect=default loop- protect-status=off

loop-protect-send-interval=5s loop-protect-disable-time=5m local-address=0.0.0.0 remote-address=10.20.30.1 tunnel-id=5 keepalive=10s,10 dscp=inherit clamp-tcp- mss=yes dont-fragment=no

allow-fast-path=yes Router2

/interface eoip> print

Flags: X - disabled, R - running

R name="eoip-tunnel1" mtu=auto actual-mtu=1458 l2mtu=65535 mac-

address=02:D9:EA:9C:9D:91 arp=enabled arp-timeout=auto loop-protect=default loop- protect-status=off

(70)

loop-protect-send-interval=5s loop-protect-disable-time=5m local-address=0.0.0.0 remote-address=10.20.30.28 tunnel-id=5 keepalive=10s,10 dscp=inherit clamp-tcp- mss=yes dont-fragment=no allow-fast-path=yes

1. Desde el router uno generamos una dirección ip sobre la interfaz eoip-tunnel1 para a través de esta interfaz realizamos las configuraciones para la asignación automática de IP por DHCP.

Router1

/ip address add address=10.0.0.1/30 network=10.0.0.0 interface=eoip-tunnel1 disabled=no

2. En IP/DHCP Server, sobre el R1 proveeremos los parámetros necesarios para la configuración.

/ip dhcp-server print

3. Sobre el botón DHCP Setup, realizaremos la configuración de la interfaz eoip- tunnel1, en el parámetro DHCP Server Interface

/ip dhcp-server setup

(71)

Select interface to run DHCP server on dhcp server interface: eoip-tunnel1

4. Al dar click sobre el botón siguiente, el parámetro a configurar es DHCP Address Space, que no es otra cosa que la dirección IP de la red a la que se desea configurar. Automáticamente acepta la configuración tal y como está configurado en la opción IP/Addresses

Select network for DHCP addresses dhcp address space: 10.0.0.0/30

5. Lo siguiente es cambiar la configuración del gateway for DHCP Network, en otras palabras, la puerta de enlace predeterminada para la red a configurar por DHCP, en este campo automáticamente ubica la dirección IP configurada en la opción IP/Addresses.

Select gateway for given network gateway for dhcp network: 10.0.0.1

6. El siguiente parámetro es el pool de direcciones a entregar, como en este caso se está trabajando con una dirección cuya mascara es /30, de tal manera, solo tendría 2 direcciones, una de esas direcciones seria la ya configurada en el enrutador R1 y el otro se configurará en el R2, esta última es la que se encuentra automáticamente en este parámetro.

(72)

Select pool of ip addresses given out by DHCP server addresses to give out: 10.0.0.2

7. El servicio DNS es uno de los más importantes para poder “Navegar” utilizando la resolución de nombres de dominio, en otras palabras en vez de dirigirse a un servicio con una dirección ip publica, se dirigiría utilizando un nombre de dominio (como ejemplo: google.com), para este campo se puede utilizar el servidor DNS que Ud. desee (también podría ubicar la dirección ip del mismo computador para que esta configuración se establezca automáticamente, siempre y cuando en la opción IP/DNS se encuentre activada “allow remote request”).

Select DNS servers dns servers: 1.1.1.1

8. Por último, el campo Léase Time, hace referencia al tiempo de préstamo de una dirección IP por un lapso de tiempo. Puesto que un servidor DHCP no puede mantener vinculada una dirección ip a un cliente de por vida (a no ser que se la ubique de forma estática), por ese motivo existe el parámetro Lease Time, cuyo valor por defecto es 10 minutos.

Select lease time lease time: 10m

(73)

El estudiante con R2 debe configurar el cliente DHCP sobre la interfaz eoip-tunnel1.

En R2, dar click sobre la opción IP/DHCP-Client y luego en agregar una nueva entrada. En el campo interfaz, seleccionamos al túnel eoip-tunnel1, las opciones Use Peer DNS, Use Peer NTP, y Add default Route no son campos obligatorios.

Al momento de aceptar los cambios debe aparecer la informacion que le esta

entregando el servidor DHCP por medio del proceso DORA ya que como tunnel eoip trabajan sobre un mismo dominio de broadcast.

(74)

Capítulo 6 Firewall Objetivos:

- Poner en práctica los conceptos vistos en este capítulo.

- Proteger a un equipo MIKROTIK con las reglas principales para protección.

- Configurar reglas NAT para ciertos tipos de redireccionamientos en una RED.

- Poner en práctica los términos address-list y Layer7 protocol.

Escenario:

1. Deben tener la red activa, se recomienda restaurar la configuración Principal y trabajarla hay.

2. Todas las reglas afectaran solo a sus propias LAN

Reglas de Firewall input

Tarea 1: Reglas Básicas de Filter Input

1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas que administren su router. En el caso de este ejercicio las direcciones serán: la IP de su laptop (la IP del comando a continuación es solo un ejemplo), y la red WAN Wireless

/ip firewall address-list

add address=192.168.100.254 list="IPs permitidas Administrar Router"

add address=10.1.1.1-10.1.1.63 list="IPs permitidas Administrar Router"

2. Crear las 4 reglas básicas en INPUT /ip firewall filter

add chain=input comment="IN - Permitir conexiones establecidas y relacionadas" connection-state=\ established,related

add action=drop chain=input comment="IN - Rechazar conexiones invalidas"

connection-state=invalid

(75)

add chain=input comment="IN - IPs permitidas Administrar este router" src- address-list=\

"IPs permitidas Administrar Router"

add action=drop chain=input comment="IN - Descartar todo lo demas"

Tarea 2: Pruebas de validación de reglas

1. Cada estudiante debe poder ingresar vía Winbox al router de su vecino. Caso contrario el vecino debe validar su address-list

2. El estudiante debe cambiar la dirección IP de su laptop y probar el acceso a su propio router. Puesto que la nueva IP no está definida en el address-list no debe poder ingresar

Tarea 3: Acceso vía por Capa 2

1. Puesto que en la Tarea 2.2 no se puede ingresar, el estudiante debe tratar de ingresar por Capa 2

2. Abrir un Winbox y verificar si puede visualizar la MAC de la interface del rute a la cual está conectado

3. Escribir la MAC-address de la interface del router e intentar ingrese Reglas de Firewall Forward

Tarea 1: Reglas Básicas de Filter Forward

1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas navegar a Internet. En el caso de este ejercicio las direcciones serán el segmento de su red LAN que tenga configurada (la IP del comando a continuación es solo un ejemplo).

/ip firewall address-list

add address=192.168.100.0/24 list="IPs permitidas navegar internet"

(76)

2. Crear las 4 reglas básicas en FORWARD /ip firewall filter

add chain=forward comment="FW - Permitir conexiones establecidas y relacionadas" connection-state=\ established,related

add action=drop chain=forward comment="FW - Rechazar conexiones invalidas"

connection-state=invalid

add chain=forward comment="FW - IPs permitidas navegar internet" src-address- list=\

"IPs permitidas navegar internet"

add action=drop chain=forward comment="FW - Descartar todo lo demas"

Tarea 2: Pruebas de validación de reglas

1. Cada estudiante debe poder navegar a Internet. Caso contrario debe revisar su address-list

Reglas de NAT

Parte1. Regla de NAT & (action: masquerade)

1. La regla más usada por los administradores de Redes con equipos MIKROTIK /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

Parte2. Regla de NAT & (action: srcnat)

2. Si tiene varias direcciones IP públicas, source nat se puede cambiar a IP

específica, por ejemplo, una subred local se puede ocultar detrás de la primera IP y la segunda subred local se enmascara detrás de la segunda IP. En este caso, nuestra ip pública es 172.16.250.0/27 y la ip en la que va a enmascararse es 192.168.100.1 (action:src-nat)

/ip firewall nat

add action=src-nat chain=srcnat src-address=172.16.250.0/27 \ to- addresses=192.168.100.1

(77)

Parte3. Regla de NAT & (action: dstnat)

3. Regla para redireccionar un tráfico en específico a otro Servidor externo. Por ejemplo,

4. tenemos el ambiente de una red ISP la cual tiene un servidor cache y quiere que sus clientes sean redireccionados al servidor cache. Para ello tenemos la IP publica 201.230.102.4 y la ip de nuestro servidor de cache 192.168.0.3 (action:

dst-nat)

/ip firewall nat add action=dst-nat chain=dstnat comment=DSTNAT dst-

address=201.230.102.4 \ dst-port=80 protocol=tcp to-addresses=192.168.0.3 to- ports=6457

Parte 4. Action: redirect + web proxy

1. Primero activaremos el web-proxy y definimos el puerto que vamos a usar, por defecto viene el 8080

/ip proxy set enabled=yes port=8081

2. Segundo configuraremos el web proxy para redireccionar una página

(www.moixent.es) a la otra página (Google.com), esto será aplicado a nuestra LAN (la IP del comando a continuación es solo un ejemplo).

/ip proxy access add action=deny dst-host=*moixent* redirect-to=google.com \ src- address=172.217.2.206

(78)

3. Luego de a ver creado la regla de web-proxy lo que haremos ahora será redireccionarlo por medio del chain: dstnat y la acción: Redirect

/ip firewall nat add action=redirect chain=dstnat dst-port=80 protocol=tcp to- ports=8081

4. Abrir cualquien navegador e ingresar a www.moixent.es y verificar que se realice el redireccionamiento a la pagina Google.com

Parte 4. Action: redirect + DNS

1. Escenario: cuando se cambian los DNS en nuestros clientes (Para este caso simular cambiando los DNS de nuestra PC por cualquier DNS)

2. Redireccionar: Que todo el tráfico DNS (53) de nuestra LAN sea redireccionados a los DNS del mismo Router RP. La regla tiene que ser aplicada tanto como TCP como UDP de DNS.

/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=tcp to- ports=53

/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp to- ports=53

Parte 5. Address-List + Layer7 + Firewall Filter (Redes sociales)

1. Bloquearemos un conjunto de redes sociales con la opción de Layer7, luego con la opción address-List agregaremos a quien bloquearle ese contenido de Layer7.

Y por último crear la regla de Filter para bloquear y poner en marcha la regla.

(79)

/ip firewall layer7-protocol add name="redes sociales"

regexp="^.+(facebook|youtube|twitter|instagram).+\$"

/ip firewall address-list add address=192.168.10.0/24 list=LAN

/ip firewall filter add action=drop chain=forward layer7-protocol="redes sociales" src- address-list=LAN

(80)

Capítulo 7 QoS Objetivo:

- Poner en práctica los conocimientos adquiridos en este capitulo

- Poner crear una buena calidad de servicio para una LAN

- Comprender el uso de las reglas de Mangle Escenario:

Mangle

Parte 1. Crearemos las reglas de Mangle para poder marcar las conexiones a la cuales les vamos a asignar la calidad de servicio.

1. En este caso analizaremos los tráficos que son sensibles en la Red tales como:

HTTP, VOZ, EMAIL, Otros. Para ello necesitamos los puertos que manejen cada uno de ellos.

/ip firewall mangle add action=mark-connection chain=prerouting

comment=conn_HTTP/S \ port=80,443 new-connection-mark=conn_HTTP/S protocol=tcp

/ip firewall mangle add action=mark-packet chain=prerouting connection- mark=conn_HTTP/S \ new-packet-mark=conn_HTTP/S.PKT passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting comment=conn_VOZ

\ port=10000-20000 new-connection-mark=conn_VOZ protocol=udp /ip firewall mangle add action=mark-packet chain=prerouting connection- mark=conn_VOZ \ new-packet-mark=conn_VOZ.PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting

comment=conn_Email \ port=25,110,587,994 new-connection-mark=conn_Email protocol=tcp

/ip firewall mangle add action=mark-packet chain=prerouting connection- mark=conn_Email \ new-packet-mark=conn_Email.PKT passthrough=no /ip firewall mangle add action=mark-connection chain=prerouting

comment=conn_Resto \ new-connection-mark=conn_Resto

/ip firewall mangle add action=mark-packet chain=prerouting connection- mark=conn_Resto \ new-packet-mark=conn_Resto.pkt passthrough=no

(81)

Parte 2. Configurar la calidad de servicio para las siguientes conexiones que acabamos de marcar anteriormente por medio de las reglas de Mangle.

/queue simple add max-limit=2M/2M name=INTERNET target=192.168.100.254/32 /queue simple add limit-at=832k/832k max-limit=2M/2M name=HTTP/S packet- marks=conn_HTTP/S.PKT \ parent=INTERNET queue=pcq-upload-default/pcq- download-default target=192.168.100.254/32

/queue simple add limit-at=320k/320k max-limit=2M/2M name=EMAIL packet- marks=conn_Email.PKT \ parent=INTERNET queue=pcq-upload-default/pcq- download-default target=192.168.100.254/32

/queue simple add limit-at=128k/128k max-limit=2M/2M name=RESTO packet-

marks=conn_Resto.pkt \ parent=INTERNET queue=pcq-upload-default/pcq-download- default target=192.168.100.254/32

/queue simple add limit-at=576k/576k max-limit=2M/2M name=VOZ packet-

marks=conn_VOZ.PKT \ parent=INTERNET queue=pcq-upload-default/pcq-download- default target=192.168.100.254/32

(82)

Capítulo 8

Objetivos y Conceptos previos a túneles IPIP Objetivos:

• Entender cuál es el obejtivo de los túneles y cómo configurarlos.

• En este ejercicio se realizará un túnel IP-IP que es uno de lo túneles más básicos.

Bases Conceptuales:

Es importante entender por qué realizamos un túnel y los elementos que formarán parte de esta importante herramienta que permitirá interconectar a dos redes remotas separadas por la nube de Internet.

Si se desea tener comunicación entre las redes A y B (Figura 8.1.1) que están separadas por la nube de Internet, la opción de ruteo no es viable ya que las IPs privadas 172.16.1.0/24 y 192.168.1.0/24 no son direcciones IP públicamente

ruteables. Esto significa que los routers públicos en Internet no pueden usar las IPs privadas como una red de destino (a menos que sea para uso exclusivo & privado de cada ISP).

Por esta razón, si se desea que las redes A y B se comuniquen, se debe crear una VPN

• VPN = Virtual Private Network

• En Español = Red Privada Virtual

• También se la conoce como = Túnel

Esto se realiza creando una Interface Virtual en cada router remoto. Una vez creada esta interface, dependiendo de la naturaleza de la misma, se podrán establecer conexiones en Capa 2 (L2) o en Capa 3 (L3).

Recuerde que las siguientes redes son Redes Privadas y NO son Públicamente Ruteables

• 10.0.0.0 /8

• 172.16.0.0 /12

•

• 192.168.0.0 /16

(83)

Existen diferentes tipos de túneles que se usan para diferentes aplicaciones.

RouterOS de MikroTik permite trabajar con túneles

• IPIP

• EoiP

• GRE

• PPP (PPP, L2TP, PPTP, EoIP, OVPN SSTP)

• IPsec

Para efectos de nuestros laboratorios debe quedar muy claro que cuando levantamos un tunel a través de Internet nos encontramos ante una nube de la cual prácticamente desconocemos todo lo que ocurre dentro (Figura 8.1.2).

Los ejercicios que desarrollaremos serán una simulación del escenario en la red pública para lo cual trabajaremos con el router del Trainer como medio de acceso a la nube (Figura 8.1.3)

En este escenario cada estudiante trabajará con las IPs privadas (192.168.n.0/24) y las IP externas (10.1.1.m/30) asignadas al inicio del curso.

(84)

Nota Importante: Recordar que cuando se va a crear un túnel, la única información que posee cada localidad es la IP externa de los routers de borde de cada destino remoto (Figura 8.1.4)

Proceso Túnel IPIP

Como denota el nombre de este túnel (IPIP), se creará un túnel Capa 3 (IP) sobre una conexión Capa 3 (IP). Este tipo de túnel es muy básico y no posee autenticación ni encriptación.Para el ejemplo en este texto usaremos las siguientes interfaces y direcciones IP (Figura 8.1.5)

(85)

R1 (Router 1)

192.168.a. 0/24 - ID de red de LAN en Red A

192.168.a.1 - IP de la Laptop en Red A

192.168.a.254 - IP de interface LAN en R1 (ether2 en este LAB) 10.1.1.w/30 - IP de interface WAN en R1 (wlan1 en este LAB) 10.1.1.x/30 - IP de interface WAN en R-trainer (wlan1 en este LAB) R2 (Router 2)

192.168.b. 0/24 - ID de red de LAN en Red B

192.168.b.1 - IP de la Laptop en Red B

192.168.b.254 - IP de interface LAN en R2 (ether2 en este LAB) 10.1.1.z/30 - IP de interface WAN en R2 (wlan1 en este LAB) 10.1.1.y/30 - IP de interface WAN en R-trainer (wlan1 en este LAB)

Nota Importante: Para las configuraciones en éste laboratorio asumiremos los siguientes valores para a, b, w, x, y & z. Estos valores fueron asignados previamente por el instructor al inicio del curso. Si tiene dudas por favor consulte su entrenador.

• a = 1 (192.168.1.0/24)

• b = 2 (192.168.2.0/24)

• w = 2 (10.1.1.2/30)

• x = 1 (10.1.1.1/30)

• y = 5 (10.1.1.5/30)

• z = 6 (10.1.1.6/30) Laboratorio 8.1 – Túnel IP-IP

Los pasos a seguir en este ejercicio son los siguientes:

Paso 1

R1 (Router 1) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel. Recuerde que:

• local-address se refiere la IP externa local (R1)

(86)

• remote-address se refiere a la IP externa remota (R2)

/interface ipip add name=ipip-tunnel1 local-address=10.1.1.2 remote-address=10.1.1.6

R2 (Router 2) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel. Recuerde que:

• local-address se refiere la IP externa local (R2)

• remote-address se refiere a la IP externa remota (R1)

/interface ipip add name=ipip-tunnel1 local-address=10.1.1.6 remote-address=10.1.1.2

Paso 2

R1 (Router 1) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada

/ip address add address=10.20.30.1/30 interface=ipip-tunnel1

R2 (Router 2) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada

/ip address add address=10.20.30.2/30 interface=ipip-tunnel1 Paso 3

R1 (Router 1) debe verificar que llega a la IP del tunel remoto ejecutando un ping

R2 (Router 2) debe verificar que llega a la IP del tunel remoto ejecutando un ping / ping 10.20.30.1

(87)

Paso 4

R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como Gateway la dirección IP de la inteface del túnel IPIP remota

R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como Gateway la dirección IP de la inteface del túnel IPIP remota

/ip route add dst-address=192.168.1.0/24 gateway=10.20.30.1 Paso 5

R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping

/ping 192.168.2.254

R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping

/ping 192.168.1.254

Finalmente, la interconexión entre las Redes remotas A & B queda según la Figura 8.1.6