Manual: Curso Básico MIKROTik Ver 1.5.

0 Contenido MODULO 1 Información Básica

2 ........................................................................................... ¿Qué es Router OS?
2 ........................................................................................................ MODULO 2 Configuración del Router
MikroTik 6 .................................................................... Actividad 1.- Actualizar Router OS
6 .................................................................................... Actividad 2.- Borrar la configuración del Router 10
.............................................................. Actividad 3.- Definir Nombres y Direcciones IP
11 ............................................................... Actividad 4.- Configuración de la Red LAN
13 ..................................................................... Actividad 5.- Configurar Interface WAN
18 .......................................................................... Actividad 6.- Configurar el Firewall
21 ................................................................................. Actividad 7.- Configuración Inalámbrica.
24 ......................................................................... Actividad 8.- Respaldo y Exportación de Configuración.
28 ................................................ Actividad 9.- Configuración de Control de Trafico
32 ........................................................... Actividad 10.- VLAN
35 ........................................................................................................ Actividad 11.- Balanceo de Cargas
38 ................................................................................. Actividad 12.- Túneles
40 ..................................................................................................... Manual: Curso Básico MIKROTik
MODULO 1 Información Básica ¿Qué es Router OS? Es el sistema operativo del hardware MikroTik
RoaterBOARD, tiene las siguientes características: • Router • Servidor DHCP • Firewall • VPN • Wireless
• Calidad de Servicio (QoS) • VLAN • Hotspot • Balanceo de Carga • Control de Trafico • Etc.
Características de RouterOS El sistema RouterOS nos permite controlar y programar un dispositivo
Router MikroTik desde un punto de vista granular, con lo que nos permite moldear cada parte de
nuestro router, como el comportamiento de cada interface. Configuración y Acceso • Acceso basado en
MAC para cuando no tiene configuración el equipo. • WinBox: Herramienta de configuración gráfica
(GUI) para Windows. Arquitecturas de MikroTik Arquitectura Series mipsbe CRS, RB4xx, RB9xx, SXT,
OmniTik, Groove, METAL, SEXTANT smips hAP lite tile CCR ppc RB3xx, RB600, RB800, RB1xxx x86 PC /
x86, RB230 arm RB3011 mmips RB750Gr3 mipsle RB1xx, RB5xx, RB Crossroads (discontinuando) 2
Manual: Curso Básico MIKROTik Identificando la arquitectura de nuestro Router Cuando se va a realizar
un Upgrade, Downgrade, o reinstalación de Sistema Operativo es indispensable realizar la identificación
de la arquitectura que tiene el Router. Si se llega a cargar una archivo con la arquitectura incorrecta no
realizara ninguna acción el sistema operativo. Ingresando a RouterOS De las formas de ingresar al router
veremos las siguientes: • Web browser • WinBox Ingreso por Web browser Este método solo puede ser
usado cuando el router ya tiene parámetros previamente configurados. Solo hay que ingresar en la
barra de navegación la dirección IP asignada al router. Por defecto se utiliza 192.168.88.1 Ingreso por
WinBox Para obtener el software WinBox se puede acceder a la siguiente dirección web: http://
www.mikrotik.com/download Y en el apartado Useful tools and utilities damos clic en el link de WinBox
3 Manual: Curso Básico MIKROTik El Winbox es un archivo autoejecutable el cual no se requiere instalar.
Acceder al Winbox • Ejecutar el icono WinBox, para abrir la aplicación • Si queremos que el Winbox
encuentre nuestro Router tenemos que cambiar a la pestaña Neighbors • Darle click en refresh. •
Seleccionar la dirección MAC o la dirección IP del equipo. • Hacer clic en Conectar • Esperar a que se
cargue la interfaz completa. 4 Manual: Curso Básico MIKROTik Una ves que se conecte con el Router se
cargara la interface de configuración y en la parte izquierda se muestra el Menú Principal. 5 Manual:
Curso Básico MIKROTik MODULO 2 Configuración del Router MikroTik Actividad 1.- Actualizar Router OS
Identificar la Arquitectura del Router Primero hay que conocer la arquitectura del Router al que se desea
actualizar el Sistema Operativo (RouterOS) Para conocer el tipo de arquitectura se puede ver de la
siguiente manera: 1. Barra del titulo del Winbox. La barra del título nos muestra la siguiente
información: • Usuario con el que se conecta. • Dirección IP del equipo. • Versión del RouterOS v6.32.2
• Tipo de activo hAP lite en arquitectura (smips). 2. Atravez del menu en el Winbox en System /
Resources podemos ver la arquitectura: 6 Manual: Curso Básico MIKROTik 3. Por medio de la consola
con el comando: /system resource print Descargar RouterOS En la pagina de Mikrotik accedemos a la
sección de Download y nos posesionamos en el apartado: Hay que elegir la arquitectura correcta para
nuestra Router. Para esta caso smips. Y nos desplegara los recursos disponibles. Main package: es el
archivo principal con el sistema RouterOS Extra packages: son extensiones y funciones adicionales para
el RouterOS Changelog: aquí se puede ver el archivo con las especificaciones que se agregaron en en la
actualización. 7 Manual: Curso Básico MIKROTik Cargar RouterOS en el Router Solo tenemos que tomar
el archivo routeros-smips-x.xx.x.npk y ponerlo en el Winbox, de esta forma la aplicación enviara el
archivo al apartado File List. Realizando la Actualización Para aplicar la actualización se tiene que
acceder a New Terminal. 8 Manual: Curso Básico MIKROTik Ahora solo hay que reiniciar el Router el
comando es el siguiente: /system reboot pedirá confirmación. Realizar un downgrade de versión A los
equipos MikroTik se les puede realizar un downgrade de Sistema Operativo si así lo requerimos ya sea
por bugs que se encuentren en la versión más reciente o por cambios en la operación. Hacer downgrade
del RouterOS, solo hay que descargar el archivo y pasarlo a el Router que se cargue en la sección Files,
una vez que tengamos el paquete del Sistema operativo en la memoria del Router solo hay que ejecutar
la siguiente instrucción en la Terminal. Sintaxis del código de programación: /system package
downgrade Al reiniciar podemos ver en nuestro WinBox que la versión de nuestro Router está
actualizada (o cargada la versión que queremos). 9 Manual: Curso Básico MIKROTik Actividad 2.- Borrar
la configuración del Router Primero hay que borrar la configuración básica que tiene el Router ya que
esta configurado para trabajar como SOHO Router. Puerto 1: WAN entrada de Internet sin permitir la
administración del equipo. Puertos del 2 al 4: configuración LAN de la misma red 192.168.88.0/24 con el
Gateway 192.168.88.1 Puerto WLAN: agregado a la Red LAN. Configuración desde Cero con Mikrotik
Una configuración desde cero nos permite crear nuestras propias reglas, rutas y subredes, así como
también saber exactamente qué es lo que está programado en nuestro Router. Reset configuration La
ventana de reset nos da 3 opciones para elegir antes de realizar el Reset de la configuración. Keep User
Configuration.- reinicia el equipo pero mantiene los usuarios y contraseñas. No Default Configuration.-
esta es la opción que regresa el Router a cero, borra toda la configuración (no borra los archivos que
están en Files). Do Not Backup.- no crea un respaldo automático. Run After Reset.- se especifica un
archivo de respaldo que se quiere que se cargue después de que se reinició el Router. Sintaxis para
resetear el Router desde la Terminal: /system reset-configuration no-defaults=yes al ejecutar preguntara
si quiere continuar Dangerous! Reset anyway? [y/N]: 10 Manual: Curso Básico MIKROTik Actividad 3.-
Definir Nombres y Direcciones IP En base a la tabla siguiente cada alumno tomara un numero W que
representara su numero de estudiante, y trabajara con los números correspondientes a la fila de su
numero: X Y Z Broadcast W=1 0 1 2 3 W=2 4 5 6 7 W=3 8 9 10 11 W=4 12 13 14 15 W=5 16 17 18 19 W=6
20 21 22 23 W=7 24 25 26 27 W=8 28 29 30 31 W=9 32 33 34 35 W=10 36 37 38 39 W=11 40 41 42 43
W=12 44 45 46 47 W=13 48 49 50 51 W=14 52 53 54 55 W=15 56 57 58 59 W=16 60 61 62 63 W=17 64
65 66 67 W=18 68 69 70 71 W=19 72 73 74 75 W=20 76 77 78 79 11 Manual: Curso Básico MIKROTik En
base al numero de estudiante se le dara un nombre al Router que se conoce como identidad, para darle
un nombre de Identidad al router hay que acceder al Menu Principal a la Opción: "System" y despues
elegir la sub-opcion "Identity". La identidad del Router esta compuesta de la siguiente forma
"Estudiante-W", donde W es el numero de estudiante, donde el numero se compondrá de 2 dígitos
ejemplo: si es el estudiante 2 la Identidad de su Router será: "Estudiante-02" y para el estudiante 12
sera "Estudiante-12". 12 Manual: Curso Básico MIKROTik Actividad 4.- Configuración de la Red LAN
Configuración de un Router MikroTik desde cero, para que nos funcione como un Router con acceso a
internet. Que es lo que requiere una Red LAN. Una interface para actuar como Gateway para los equipos
de la LAN, en nuestro ejercicio usaremos la Interface Virtual de tipo Bridge: Para crear esta interface lo
que requerimos es ir en nuestro menú principal a la opción Bridge. Una vez en la ventana Bridge
crearemos una interface Bridge, lo único que requerimos es crear un Bridge, el único parámetro que se
requiere es el nombre. Syntaxis del código de programación: /interface bridge add name=bridge-
RedLAN Una ves creado el Bridge lo que vamos a realizar es crear la configuración de Red LAN, para esto
lo primero que se realizara es asignarle una dirección IP a la interface Bridge. Syntaxis del código de
programación: /ip address add address=192.168.(100+W).1/24 interface=bridgeRedLAN
network=192.168.(100+W).0 13 Manual: Curso Básico MIKROTik Crearemos el Servidor DHCP El Pool son
las direcciones IP que va a entregar nuestro equipo a los clientes, un Pool de direcciones es un rango de
donde va a tomar cuales son las IP’s que le dará a cada uno de los equipos que se conecte a la interface
de la Red LAN. Para crear un Pool, hay que acceder al menú principal a la sección IP, de hay seleccionar
la opción Pool. Un Pool lo que requiere es un Nombre para poder conocerlo en ventanas proximas. En
Address ingresaremos la dirección IP de inicio y la IP final del rango, ambas separadas por un guión “-”.
Sintaxis del código de programación: /ip pool add name=pool-RedLAN ranges=192.168.(100+W).10-
192.168. (100+W).254 El Servicio de DHCP se lo asignaremos a la Interface Bridge que se creo con
anterioridad: RedLAN, el servidor DHCP lo que hace es que entrega las direcciones IP a cada Cliente que
se conecte a nuestro router. 14 Manual: Curso Básico MIKROTik Sintaxis del código de programación: /ip
dhcp-server add address-pool=pool-RedLAN disabled=no interface=bridge-RedLAN name=server-DHCP
El servidor DHCP lo único que hace es enviar las direcciones IP a los equipos clientes, para decirle a cada
equipo quien va a ser su Gateway, y el DNS. En la pestaña Network configuraremos los parámetros de
red que le asignaremos a los clientes de nuestra red LAN que son todas las IP de la Red 192.168.
(100+W).0/24 Sintaxis del código de programación: /ip dhcp-server network add address=192.168.
(100+W).0/24 dnsserver=192.168.(100+W).1 gateway=192.168.(100+W).1 15 Manual: Curso Básico
MIKROTik Agregar interfaces físicas a un virtual. Ahora que tenemos una configuración de Red LAN, lo
que necesitamos hacer es que nuestros puertos Ethernet formen parte de nuestro Bridge. Para realizar
que nuestro puerto físico tenga la misma configuración de nuestra interface virtual, le diremos a nuestro
puerto ether2 que formara parte de nuestro Bridge. Para esto accederemos a la opción Bridge y hay nos
cambiamos a la pestaña Ports y agregaremos la relación entre la interface y el bridge Obteniendo un
registro donde nos indica que nuestro puerto físico "ether2" es parte de una interface virtual de tipo
Bridge con el nombre "birdge-RedLAN" 16 Manual: Curso Básico MIKROTik Crear la configuración de
Switch Para hacer que el resto de los puertos LAN estén dentro de la misma red y dominio de Broadcast
hacemos que los demás puertos sean esclavos del puerto ether2. Para esto entraremos a la opción de
Interfaces y entraremos a la configuración del puerto "ether3" y le diremos que su Master Port será el
"ether2". Sintaxis del código de programación: /interface ethernet set [ find default-name=ether3 ]
master-port=ether2 17 Manual: Curso Básico MIKROTik Actividad 5.- Configurar Interface WAN Un
puerto WAN en un Router es por el cual recibimos un servicio desde otro router. Configurando
Parámetros de forma Manual La ruta por defecto es el destino de todo el tráfico (paquetes) que se
envían a subredes desconocidos. (Se puede conocer también como la ruta a internet). Sintaxis del
código de programación: /ip route add gateway=10.1.1.Y Configuración del Puerto WAN El puerto WAN
(Wide Area Network en inglés) es el puerto en que vamos a recibir nuestro servicio de internet. Para
configurar la direction IP hay que entrar a IP en el menú principal, después elegir la opción Address, aquí
generaremos una nueva dirección IP. Sintaxis del código de programación: /ip address add
address=10.1.1.Z/30 interface=wlan1 network=10.1.1.X 18 Manual: Curso Básico MIKROTik
Configuración de DNS para el Router. Habilitaremos el DNS (Domain Name System), para que al buscar
las páginas por nombre encontremos la dirección IP del servidor donde se encuentra alojada la pagina
WEB. De esta forma nuestro router sera el encargado de ir a consultar las direcciones de las Paginas
Web a las que quieren acceder los clientes conectados a nuestra red LAN, y el Router almacenara esos
nombres de Dominio y sus direcciones IP en un Cache de 2MB de Memoria, de esta forma se
optimizaran las consultas de todos los clientes que tengamos. Ademas habilitaremos la función para que
todas las peticiones de DNS las resuelva nuestro Router. Sintaxis del código de programación: /ip dns set
allow-remote-requests=yes servers=10.1.1.Z Configurando Parámetros de forma Manual La forma mas
rápida de configurar los valores es conectarte a un equipo que ya los entrega de forma automática,
cuando ya tenemos un equipo que la configuración de su RED lo único que requerimos es activar el
Servicio DHCP Client. Para tomar la configuración lo único es que tenemos que activar el DHCP en una
interface especifica. En nuestro caso activaremos el DHCP Cliente en el puerto "ether1". para acceder a
la configuración hay que entrar a IP en el menú principal y elegir la opción "DHCP Client" 19 Manual:
Curso Básico MIKROTik Enmascaramiento de la Red LAN Ahora hay que configurar el NAT del router
para que el tráfico que saldrá de nuestra RED local LAN salga con la dirección IP pública que tiene en la
interfaz WAN. Sintaxis del código de programación: /ip firewall nat add action=masquerade chain=srcnat
outinterface=wlan1 20 Manual: Curso Básico MIKROTik Actividad 6.- Configurar el Firewall Proteger el
Router y a los clientes de la LAN ¿Cómo funciona el Firewall? Opera usando reglas. Estas tienen 2
opciones: • The matcher.- Todas las condiciones tienen que ser verificadas y deben coincidir, para poder
aplicar. • The Action.- Una vez que todos los parámetros coinciden y pasa la primera verificación, se
procede con la acción. Se creara una lista con el ID de nuestra red LAN que tienen permiso de pasar
atravez de nuestro Router. Sintaxis del código de programación: /ip firewall address-list add
address=192.168.(100+W).0/24 list=RedLAN La configuración las reglas de filtrado no permitirían
proteger nuestra red de ataques y conexiones no deseados. Sintaxis del código de programación: /ip
firewall filter add chain=input comment=IN_CONN_ESTABLISHED connectionstate=established add
chain=input comment=IN_CONN_RELATED connection-state=related add action=drop chain=input
comment=IN_CONN_INVALID connectionstate=invalid add chain=input comment=IN_CONN_RELATED
connection-state=related add chain=input comment=IN_IP_PERMITIDAS src-address-list=RedLAN add
action=drop chain=input comment=IN_DENEGAR_RESTO #Para proteger a los clientes internos de la
RED. add chain=forward comment=FW_CONN_ESTABLISHED connectionstate=established add
chain=forward comment=FW_CONN_RELATED connection-state=related 21 Manual: Curso Básico
MIKROTik add action=drop chain=forward comment=FW_CONN_INVALID connectionstate=invalid add
chain=forward comment=FW_IP_PERMITIDAS src-address-list=RedLAN add action=drop chain=forward
comment=FW_DENEGAR_RESTO Obligar a usar el DNS del Router Accion Redirect + DNS En muchas
ocaciones los clientes pueden manipular la configuración de su equipo y colocar una dirección de
servidor IP foráneo, lo que ocasionara que nuestro trafico saliente se incremente y solo por el hecho de
resolver Nombres de Dominio. No importa que DNS tengan configurado los equipos clientes, si nuestro
Router tiene memoria para guardar DNS podemos forzar a que sea el que se utilice por default. Para
esto vamos a la pestaña de NAT y crearemos las siguientes reglas: Sintaxis del código de
programación: /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=tcp toports=53
comment=DNS_Transparente add action=redirect chain=dstnat dst-port=53 protocol=udp toports=53 22
Manual: Curso Básico MIKROTik Se creara una segunda regla similar, lo único que va a cambiar es que el
Protocolo será "UDP". De esta forma como se sabe que el DNS utiliza el puerto 53 ya sea en Protocolo
TCP o UDP, lo que estamos haciendo es que todo el trafico que entra a nuestro Router y va a realizar
una consulta de Nombre de Dominio, lo vamos a re dirigir a nuestro propio Router, para que nuestro
router sea quien le entregue la dirección IP al cliente del sitio WEB al que quiere acceder.