MTCNA-v5

8/18/2019 MTCNA-v5

http://slidepdf.com/reader/full/mtcna-v5 1/345

MikroTik CertifiedNetwork Associate

(MTCNA)

Academy Xpertswww.academyxperts.comMauro Escalante C.

[email protected] Certified Trainer

MikroTik Trainer ID #TR0086

© MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permissionMikroTik, NSTREME, RouterOS and RouterBOARD are registered trademarks of company Mikrotīkls SIA .

8/18/2019 MTCNA-v5


www.academyxperts.com

[email protected]@academyxperts.clwww.academyxperts.crcursos@academyxperts.crwww.academyxperts.hncursos@academyxperts.hnwww.academyxperts.com.arcursos@academyxperts.com.arwww.academyxperts.com.mxcursos@academyxperts.com.mxwww.academyxperts.com.pacursos@academyxperts.com.pa


www.mikrotikxperts.com

[email protected]@mikrotikxperts.clwww.mikrotikxperts.crcursos@mikrotikxperts.crwww.mikrotikxperts.com.bocursos@mikrotikxperts.com.bowww.mikrotikxperts.com.mxcursos@mikrotikxperts.com.mx

A c a d e m y X p e r t s M i k r o T i k X p e r t s

8/18/2019 MTCNA-v5


Instructores Academy XpertsAlejandro Teixeira (Chile)

([email protected])• Co-Fundador y CEO de MikroTik Xperts Chile• Co-Fundador y CEO de WiDuit• MikroTik Certified Trainer

• MTCNA, MTCTCE, MTCWE

Gustavo Angulo (Venezuela)

([email protected])• Co-Fundador y CEO de MikroTik Xperts Venezuela• Co-Fundador y CTO de WiDuit• MikroTik Certified Trainer

• MTCNA, MTCTCE, MTCWE• Cisco CCNA Trainer

Luis Cuadrado (Ecuador)([email protected])• Ubiquiti airMAX Certified Trainer

Miguel Ojeda (Ecuador)

([email protected])• Co-Fundador y CTO de MikroTik Xperts• MikroTik Certified Trainer

• MTCNA, MTCTCE, MTCWE, MTCRE• DenwaIP Certified Trainer

Mauro Escalante (Ecuador)([email protected])

• Co-Fundador y CEO de MikroTik Xperts• Co-Fundador y CEO de Network Xperts• MikroTik Certified Trainer

• MTCNA, MTCTCE, MTCWE, MTCRE• Ubiquiti airMAX Certified Trainer• Observer/Sniffer Certified Engineer

3©Academy Xperts / MikroTik Xperts 2013 3

8/18/2019 MTCNA-v5


Consultores Academy XpertsAlejandro Teixeira (Chile)([email protected])

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE

Gustavo Angulo (Venezuela)([email protected])

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE• Cisco CCNA, Cisco Security

Hamzah Haji (Panamá)([email protected])

•

MikroTik MTCNA, MTCTCE, MTCRELuis Cuadrado (Ecuador)([email protected])

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE• Ubiquiti airMAX Certified Admin

Miguel Ojeda (Ecuador)([email protected])

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE• DenwaIP Certified• Ubiquiti airMAX Certified Admin

Mauro Escalante (Ecuador)([email protected])

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE• Ubiquiti airMAX Certified Admin• Observer/Sniffer Certified Engineer

Pedro Toribio (Nicaragua, Costa Rica, Honduras)([email protected])

• MikroTik MTCNA, MTCTCEJosé Alfredo García (Bolivia)([email protected])

• MikroTik MTCNA, MTCTCE

4©Academy Xperts / MikroTik Xperts 2013 4

8/18/2019 MTCNA-v5


Introducción PersonalPresentarse individualmente

• Nombre• Compañía• Conocimiento previo sobre RouterOS• Conocimiento previo sobre networking• Qué espera de este curso?

Recuerde su número N de claseMi número es: _____

5© MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permissionMikroTik, NSTREME, RouterOS and RouterBOARD are registered trademarks of company Mikrotīkls SIA .

8/18/2019 MTCNA-v5


Horario

09:00 – 10:30 Sesión I10:30 – 11:00 Break

11:00 – 13:00 Sesión II13:00 – 14:00 Lunch

14:00 – 15:30 Sesión III15:30 – 16:00 Break

16:00 – 17:30+ Sesión IV


8/18/2019 MTCNA-v5


Objetivos del Curso• Conocer los alcances y capacidades del RouterOS y del

RouterBoard de MikroTik

•

Conocer, practicar y operar los principios básicos delRouterOS, tanto en configuración y mantenimiento comoen resolución de problemas

• Al terminar el curso el alumno estará familiarizado con lamayoría de las características del RouterOS y será capazde aplicar las configuraciones de red más comunes


8/18/2019 MTCNA-v5


Sobre MikroTik• Fabricante de hardware y software de router• Productos usados por ISPs, PYMES, y para Home• MikroTik fabrica tecnología para internet más rápida,

potente y de un costo adecuado para un amplio rango deusuarios

8

• www.mikrotik.com• www.routerboard.com• wiki.mikrotik.com•

tiktube.com• forum.mikrotik.com• en.wikipedia.org/wiki/MikroTik

Industry Networking hardware

Founded 1995

Headquarters Riga, Latvia

Key people John Tully, CEO Arnis Riekstins, CTO

Products Routers, Firewalls

Revenue 62.5 million Euros (2011)

Net income 20.6 million Euros (2011)

Employees 80 (2012)


8/18/2019 MTCNA-v5


Where is MikroTik ?

9

Riga, LATVIA ,Northern Europe


8/18/2019 MTCNA-v5


Historia de MikroTik•

1995: Fundación• 1997: RouterOS software para x86 (PC)• 2002: Nace RouterBOARD•

2006: Primer MUM (MikroTik User Meeting)

10

Fechas de liberación de las versiones de RouterOS• V6 – May 2013•

v5 – Mar 2010• v4 – Oct 2009• v3 – Jan 2008


8/18/2019 MTCNA-v5


Qué es MikroTik RouterOS ?


• Hardware•

Configuración• Firewall• Routing• Forwarding• MPLS•

VPN• Wireless• HotSpot• Calidad de Servicio (QoS)• Web Proxy• Herramientas• The Dude• Licencias

8/18/2019 MTCNA-v5


Qué es RouterOS ?• MikroTik RouterOS es el sistema operativo del hardware

Mikrotik RouterBOARD• Puede también ser instalado en un PC para convertirlo en

un router con todas las características necesarias:• Routing•

Firewall• Administrador de ancho de banda• Filtro de paquetes• Cualquier dispositivo wireless 802.11a/b/g/n• Enlace backhaul• Gateway Hotspot• VPN server, etc.

• EL RouterOS es un sistema operativo stand-alone basado enel kernel de Linux2.6


(H d )

8/18/2019 MTCNA-v5


Qué es RouterOS? – (Hardware )• RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles

x86, como tarjetas embebidas y sistemas miniITX.• RouterOS soporta computadores multi-core y multi-CPU. Soporta

Multiprocesamiento Simétrico (*SMP: Symmetric Multiprocessing)• Se puede ejecutar en los motherboards Intel más recientes y aprovechar los

nuevos CPUs multicore• RouterOS soporta la instalación en dispositivos de almacenamiento IDE, SATA y

USB. Esto incluye:• HDDs• Tarjetas CF y SD• Discos SDD

• Se necesita al menos 64MB de espacio para instalar RouterOS.•

El RouterOS formateará la partición y se convertirá en el sistema operativo pordefault del dispositivo• Soporta una gran variedad de interfaces de red, incluyendo tarjetas ethernet de

10 Gigabit, tarjetas wireless 802.11a/b/g/n y modems 3G13© MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission

MikroTik, NSTREME, RouterOS and RouterBOARD are registered trademarks of company Mikrotīkls SIA .

(H d )

8/18/2019 MTCNA-v5


• SMP (*)•

Symmetric MultiProcessing• Es una arquitectura de Software y hardware donde dos o más

procesadores idénticos son conectados a una simple memoriacompartida, teniendo acceso a todos los dispositivos I/O (entrada ysalida), y que son controlados por una simple instancia del OS(Sistema Operativo), en el cual todos los procesadores son tratadosen forma igualitaria, sin que ninguno sea reservado para propósitosespeciales.

• En el caso de los procesadores multi-core (multi-núcleo), la

arquitectura SMP se aplica a los núcleos, tratándolos comoprocesadores separados.


Qué es RouterOS? – (Hardware )

8/18/2019 MTCNA-v5


Qué es RouterBOARD ?• Es el hardware creado por MikroTik• Desde pequeños ruteadores tipo “home” a

concentradores de acceso carrier-class


8/18/2019 MTCNA-v5


Plataformas


Arquitectura Series

mipsbe RB400, RB700, RB900, RB2011, SXT, OmniTik, Groove, METAL

ppc RB300, RB600, RB800, RB1000

x86 PC / x86, RB230mipsle RB100, RB500, RB Crossroads

tile CCR

8/18/2019 MTCNA-v5


8/18/2019 MTCNA-v5


Acceso por Puerto Serial


8/18/2019 MTCNA-v5



Acceso por Puerto Serial (Bootloader )What do you want to configure?

d - boot delayk - boot keys - serial consolen - silent booto - boot deviceu - cpu modef - cpu frequencyr - reset booter configuratione - format nandg - upgrade firmwarei - board infop - boot protocolb - booter optionst - call debug codel - erase licensex - exit setup

your choice:

8/18/2019 MTCNA-v5



Acceso por Puerto Serial (CLI)

System/Serial Console

8/18/2019 MTCNA-v5


/system console - /system serial-terminal• Herramientas para comunicarse con otros sistemas que están interconectados

vía puerto serial.• Terminal Serial – monitorear y configurar muchos dispositivos:

• Modems• Dispositivos de red (incluyendo routers MikroTik)• Cualquier dispositivo que se pueda conectar a un puerto serial

(asíncrono)• Consola Serial – configurar facilidades de acceso directo (monitor/teclado y

puerto serial) que son mayormente usados para configuraciones derecuperación

• Si no se desea usar un puerto serial para acceder a otro dispositivo o paraconexión de datos a través de un modem, se puede entonces configurarlo

como una consola serial.• Un puerto serial libre puede ser usado para acceder a otras consolas seriales

de otros routers (u otros equipos como switches) desde un router MikroTik




8/18/2019 MTCNA-v5


• Para conectar dos hosts (ej: dos PCs o dos routers; NO modems) se necesitaun cable null-modem

•

Se necesita un programa de emulación de terminal (ej: HyperTerminal ominicom) para acceder a la consola serial desde otro computador• Escenarios típicos:

• En sitios donde una instalación MikroTik wireless está junto a un equipo(switches y routers Cisco) que no pueden ser manejados por Telnet através de una red IP

• Monitorear equipos de reportes de clima a través de un puerto serial• Conexión a un modem microonda de alta velocidad que necesita ser

monitoreado y administrado por una conexión serial• La funcionalidad /system serial-terminal se pueden monitorear y

controlar hasta 132 dispositivos (y tal vez, incluso más)• http://wiki.mikrotik.com/wiki/Manual:System/Serial_Console



System Console Special Login

http://wiki.mikrotik.com/wiki/Manual:System/Serial_Console

http://wiki.mikrotik.com/wiki/Manual:System/Serial_Console

8/18/2019 MTCNA-v5


• Special Login – puede ser usado para acceder a otro dispositivo (ej: un switch)que está conectado a través de un cable serial abriendo una sesión telnet/sshque lo llevará directamente a ese dispositivo sin tener que hacer login laprimer RouterOS

• http://wiki.mikrotik.com/wiki/Manual:Special_Login


System Console – Special Login

http://wiki.mikrotik.com/wiki/Manual:Special_Login

http://wiki.mikrotik.com/wiki/Manual:Special_Login

8/18/2019 MTCNA-v5


Herramientas• Winbox

• Acceso en capa 3• Acceso en capa 2 (MAC Winbox/Telnet)

• Cliente FTP• Filezilla, WSftp …

• Telnet, SSH• Acceso vía red•

Acceso vía puerto serial• NetInstall (MikroTik)


Qué es RouterOS? (Configuración )

8/18/2019 MTCNA-v5


• RouterOS soporta varios métodos deconfiguración:

• Acceso local con teclado y monitor• Consola serial con una aplicación de terminal•

Acceso Telnet y SSH sobre redes• Herramienta de configuración GUI llamada Winbox• Interfaz de configuración sencilla basada en Web• Interfaz de programación API para construir una

aplicación de control propietariahttp://wiki.mikrotik.com/wiki/API


Qué es RouterOS? – (Configuración )

Qué es RouterOS? (Configuración )

http://wiki.mikrotik.com/wiki/API

http://wiki.mikrotik.com/wiki/API

8/18/2019 MTCNA-v5


• En caso de que no se pueda tener acceso local, o de que

haya un problema con el acceso a nivel de comunicación IP(capa 3), el RouterOS también soporta conexión a nivel deMAC (capa 2), con las herramientas Mac-Telnet y Winbox

• RouterOS posee una poderosa y fácil de aprender interface

de configuración por línea de comando (CLI: Command LineInterface). La CLI además tiene capacidades de scriptingintegrada.

• Winbox GUI sobre IP y MAC• CLI con Telnet, SSH, consola Local y consola Serial• API para programar sus propias herramientas• Interface Web


Qué es RouterOS? – (Configuración )

Qué es RouterOS? (Firewall )

8/18/2019 MTCNA-v5


• El Firewall implementa filtrado de paquetes y de este modo proveefunciones de seguridad, que son usadas para administrar los datos quefluyen hacia, desde, y a través del router.

• Por medio del NAT (Network Address Translation) se previene el accesono-autorizado a las redes conectadas directamente y al router en símismo. Y también sirve como un filtro para el tráfico de salida.

• RouterOS funciona como un Stateful Firewall , lo cual significa que

desarrolla una inspección del estado de los paquetes, y realiza elseguimiento del estado de las conexiones de red que viajan a través delrouter.

• RouterOS también soporta:• Source y Destination NAT•

NAT Helpers para las aplicaciones populares• UPnP

• El firewall provee marcado interno de conexiones, routing y paquetes.


Qué es RouterOS? – (Firewall )


8/18/2019 MTCNA-v5


• RouterOS puede filtrar por:• Dirección IP, rango de direcciones, puerto, rango de puertos• Protocolo IP, DSCP y otros parámetros• Soporta Listas de Direcciones estáticas y Dinámicas• Puede hacer match de paquetes por patrón en su contenido,

especificado en Expresiones Regulares, conocido como Layer 7matching

• El Firewall de RouterOS también soporta IPv6



Qué es RouterOS? – (Routing )

8/18/2019 MTCNA-v5


• RouterOS soporta varios protocolos de ruteo:• Para IPv4 soporta RIP v1 y v2, OSPF v2, BGP v4• Para IPv6 soporta RIPng, OSPF v3 y BGP

• RouterOS tambien soporta• VRF (Virtual Routing Forwarding)• Ruteo basado en Políticas• Ruteo basado en Interface• Ruteo ECMP

• Se puede usar el Filtro del Firewall para marcar conexiones específicas conMarcas de Ruteo (Routing Marks), y hacer que el tráfico marcado use undiferente ISP

• Con el soporte MPLS se introdujo el VRF, que es una tecnología que permiteque múltiples instancias de una tabla de ruteo co-existan dentro del mismorouter al mismo tiempo. Puesto que las instancias de ruteo sonindependientes, las mismas direcciones IP pueden ser usadas sin conflictounas con otras. VRF también incrementa la seguridad de la red.


Qué es RouterOS? (Routing )

Qué es RouterOS? – (Forwarding )

8/18/2019 MTCNA-v5


• RouterOS soporta el reenvío (forwarding) en Capa 2, incluyendo Bridging,Mesh y WDS.

• WDS permite crear cobertura de wireless usando múltiples APs. Permiteque los paquetes pasen de un AP a otro, como si los APs fuesen puertos enun switch Ethernet. Para optimizar el desempeño del WDS redes de granescala MikroTik diseñó una interface especial de forwarding en capa 2llamado Mesh.

•

(R)STP elimina la posibilidad de la que la misma dirección MAC sea vista enmúltiples puertos bridge, deshabilitando los puertos secundarios hacia esadirección MAC. Esto ayuda a evitar los lazos (loops) y mejora laconfiabilidad de la red. Una alternativa que ofrece MikroTik al RSTP es elHWMP+

•

HWMP+ es protocolo de ruteo específico en capa 2 de MikroTik, elaboradopara redes Mesh. El protocolo HWMP+ es una mejora del Hybrid WirelessMesh Protocol (HWMP) del estándar IEEE 802.11s


Qué es RouterOS? (Forwarding )

Qué es RouterOS? – (MPLS)

8/18/2019 MTCNA-v5


• MPLS: MultiProtocol Label Switching . Puede ser usado para reemplazar elruteo IP. La decisión de reenvío (forwarding) de paquetes no está basadoen los campos de la cabecera IP y en la tabla de ruteo, sino en etiquetas(lables) que se agregan al paquete. Esto mejora la velocidad del proceso dereenvío porque el next hop lookup (búsqueda del siguiente salto) se vuelvemuy simple comparado con el routing lookup.

• El principal beneficio de MPLS es la eficiencia en el proceso de forwarding.• MPLS permite de una manera fácil crear “enlaces virtuales” (virtual links)

entre los nodos de la red, independientemente del protocolo de la dataencapsulada.

• Es un mecanismo altamente escalable para llevar datos,independientemente del protocolo. Las decisiones del reenvío de paquetesse hacen únicamente en el contenido de la etiqueta, sin la necesidad deexaminar el paquete. Esto permite crear circuitos end-to-end a través decualquier tipo de medio de transporte, usando cualquier protocolo.


Qué es RouterOS? (MPLS)

Qué es Route

rOS? – (MPLS)

8/18/2019 MTCNA-v5


• Algunas de las características de MPLS:• Etiquetas Estáticas de vinculación (Static label bindings)

para IPv4• Protocolo de Distribución de Etiquetas (Label

Distribution) para IPv4• Túneles de Ingeniería de Tráfico RSVP• VPLS MP-BGP basado en autodiscovery y señalización• MP-BGP basado en MPLS IP VPN


Qué es Route rOS? (MPLS)

Qué es Route

rOS? – (VPN)

8/18/2019 MTCNA-v5


• RouterOS soporta varios métodos VPN y protocolos de túnelespara establecer conexiones seguras sobre redes abiertas o sobreinternet, o para conectar sitios remotos con enlacesencriptados:

• IPSec – Modo de transporte y túnel, certificado o PSK,protocolos de seguridad AH y ESP

• Point To Point Tunneling: OpenVPN, PPTP, PPPoE, L2TP• Características avanzadas PPP: MLPPP, BCP• Túneles simples: IPIP, EoIP• Soporte para túnel 6to4: IPv6 sobre redes IPv4• VLAN – Soporte IEEE 802.1q Virtual LAN, Soporte Q-in-Q•

MPLS basado en VPNs


Qué es Route rOS? (VPN)

Qué es Route

rOS? – (VPN)

8/18/2019 MTCNA-v5


• Se puede interconectar de forma segura redes bancarias, usar los recursosde la red de trabajo mientras se viaja, conectarse a la red local doméstica,

o incrementar la seguridad del enlace wireless principal.• Se pueden interconectar 2 oficinas remotas, y pueden usar los recursos

una de otra, como si los computadores estuvieran en el mismo lugar, todoesto de forma segura y encriptada.

• RouterOS también provee varias funciones propietarias de MikroTik, porejemplo EoIP que es un túnel Ethernet entre 2 routers a través de unaconexión IP. La interface EoIP aparece como una interface Ethernet.Cuando se habilita la función bridge, todo el tráfico Ethernet será“bridged ” como si hubiera una interface Ethernet física y un cableEthernet entre los 2 routers. Este protocolo permite que se puedan

realizar múltiples esquemas de red, como por ejemplo la posibilidad deponer en bridge redes LAN sobre el Internet.


Qué es Route rOS? (VPN)

Qué es RouterOS? – (Wireless )

8/18/2019 MTCNA-v5


• RouterOS soporta varias tecnologías Wireless. Características:• Cliente Wireless y Access Point IEEE 802.11a/b/g/n• Protocolos propietarios Nstreme, Nstreme2 y Nstreme Dual• Client polling• RTS/CTS• Wireless Distribution System (WDS)• Virtual AP• Encripción WEP, WPA, WPA2• Lista de Control de Acceso• Roaming de clientes Wireless• WMM• Protocolo MESH Wireless HWMP+• Protocolo de ruteo Wireless MME

• Nstreme ha permitido establecer el record de longitud de enlace WiFi noaplificado en Italiahttp://en.wikipedia.org/wiki/Long-range_Wi-Fi


Qué es RouterOS? (Wireless )

Qué es RouterOS? – (HotSpot )

http://en.wikipedia.org/wiki/Long-range_Wi-Fi






8/18/2019 MTCNA-v5


• El Gateway HotSpot de MikroTik provee el acceso a redes públicaspara clientes inalámbricos o cableados a través de una pantalla de

validación (login/password) cuando abren su browser. Luego devalidado el user/password el usuario tendrá acceso a Internet.• Ideal para Hoteles, Escuelas, Aeropuertos, Cafés Internet, o

cualquier otro lugar público donde no se tiene control sobre lacomputadora del usuario. No se necesita ningún software deinstalación o configuración de red ya que el HotSpot direccionarácualquier requerimiento de conexión hacia la página de validación.

• Se puede ejecutar una extensa administración de usuarios haciendodiferentes perfiles, cada uno de los cuales puede permitir diferentes

limitaciones de uptime, subida y descarga, así como tambiénlimitación de la cantidad de tráfico, y mucho más.


Q (HotSpot )

Qué es RouterOS? – (HotSpot )

8/18/2019 MTCNA-v5


• El HotSpot también soporta autenticación contra servidores RADIUSestándares, y contra el el propio User Manager de MikroTik que

proporcionará una administración centralizada de todos losusuarios en la red.• Acceso Plug-n-Play a la red• Autenticación de los clientes a la red local• User Accounting• Soprote RADIUS para Autenticación y Accounting• Bypass configurable para dispositivos no-interactivos• Walled Garden para las excepciones de browsing• Modos de publicidad (Advertisement) y usuarios de prueba


Q (HotSpot )

Qué es RouterOS? – (Calidad de Servicio )

8/18/2019 MTCNA-v5


• Control de Ancho de banda es un conjunto de mecanismos quecontrolan la asignación de velocidad de datos, variabilidad del

retardo, entrega oportuna, y la fiabilidad de la entrega.• Quality of Service (QoS) significa que el router puede priorizar y

ajustar el tráfico de red.• Limitar la tasa de datos para ciertas direcciones IP, subredes,

protocolos, puertos y otros parámetros• Limitación de tráfico peer-to-peer• Priorizar el flujo de unos paquetes sobre otros• Usar queue-bursts para una navegación más rápida• Aplicar colas en intervalos de tiempo fijo• Distribuir el tráfico equitativamente entre usuarios, o

dependiendo de la carga del canal.


Q ( )

Qué es RouterOS? – (Calidad de Servicio )

8/18/2019 MTCNA-v5


• RouterOS soporta el Sistema de QoS HTB (Hierarchical TokenBucket) con soporte de CIR, MIR, burst y prioridad. Provee

encolamiento avanzado, y también una solución sencilla deimplementación QoS con colas Simples.• Se introdujo PCQ para optimizar los sistemas QoS masivos, donde la

mayoría de las colas son exactamente las mismas para diferentessub-streams. Por ejemplo un sub-stream puede ser la bajada osubida de un cliente en particular (IP) o conexión a un server.

• El algoritmo PCQ es muy simple – primero utiliza clasificadores paradistinguir un sub-stream de otro, luego aplica limitación y untamaño de cola FIFO individual en cada sub-stream, entonces

agrupa todos los sub-streams y aplica limitación y un tamaño decola FIFO global.


Q ( )

Qué es RouterOS? – (Web proxy )

8/18/2019 MTCNA-v5


• Web Proxy: Mejorar la navegación del usuario haciendoalmacenamiento (cache). Características Web Proxy MikroTik:

•

Proxy HTTP• Proxy transparente• Lista de Acceso por origen, destino, URL y método requerido

(firewall HTTP)• Cache de Lista de Acceso para especificar qué objetos serán

almacenados y cuáles no• Lista de Acceso Directa para especificar qué recursos deberían ser

accesados directamente, y cuáles a través de otro proxy server.• Facilidad de bitácora (logging)• Soporte de SOCKS proxy• Soporte de proxy Padre (Parent proxy)• Almacenamiento de cache en dispositivos externos


( p y )

8/18/2019 MTCNA-v5


Qué es RouterOS? – (The Dude )

8/18/2019 MTCNA-v5


• El monitor de red The Dude es una aplicación de MikroTik paraadministrar la red. Escanea automáticamente todos los dispositivos

dentro de las subredes especificadas, dibuja y diseña un mapa delas redes, monitorea servicios de los dispositivos y alerta en caso deque algún servicio tenga problemas.

• No solo monitorea dispositivos RouterOS, sino que puedemonitorear cualquier dispositivo que es accesible por Ping o que

provee información SNMP• Se pueden visualizar gráficos de tráfico y disponibilidad, informes de

interrupciones, e incluso usar The Dude como un Syslog Server• Puede también administrar las configuraciones de dispositivos

RouterOS, y actualizar los upgrades de software y configuracionesen masa

• The Dude es gratis


( )

8/18/2019 MTCNA-v5


Winbox

8/18/2019 MTCNA-v5


Winbox• Es la aplicación para configurar el RouterOS• Winbox es un pequeño utilitario que permite la administración del MikroTik

RouterOS usando una Interfaz gráfica de usuario (GUI) simple y rápida.• Es un programa binario nativo en Win32 , pero puede ser ejecutado en

Linux y Mac OSX usando Wine.•

Todas las funciones de la interface Winbox son muy similares a lasfunciones de Consola• Algunas configuraciones avanzadas y críticas no se pueden realizar desde

Winbox, com por ejemplo el cambio de las MAC Address en una interfaz.• El Winbox puede ser descargado desde la zona de descargas de MikroTik (

http://www.mikrotik.com/download ) o desde el acceso via browser alrouter (Ej: http://192.168.88.1 )


Descargar Winbox

8/18/2019 MTCNA-v5


g


Descargar Winbox

8/18/2019 MTCNA-v5


esca ga W bo


Conectándose con Winbox

8/18/2019 MTCNA-v5


Conectándose con Winbox

Click en el botón [...] para ver el router


Comunicación

8/18/2019 MTCNA-v5


Comunicación

• El proceso de comunicación está dividido en7 capas

• La capa más baja es la Física, y la capa másalta es la de Aplicación


8/18/2019 MTCNA-v5



8/18/2019 MTCNA-v5



AplicaciónEspecifica los métodos para llevar a cabo una tarea iniciada por el usuario.Los protocolos de la capa de aplicación tienden a ser concebidos y ejecutados por los desarrolladores de aplicaciones.

8/18/2019 MTCNA-v5


Ejemplo: FTP, Skype, etc.

PresentaciónEspecifica los métodos para la expresión de los formatos de datos y normas de traducción para aplicaciones. Laencriptación se asocia algunas veces con esta capa. Ejemplo: Conversión de EBCDIC a ASCII

SesiónEspecifica métodos para múltiples conexiones que constituyen una sesión de comunicación. Esto puede incluir cerrarconexiones, reiniciar conexiones y puntos de control. Ejemplo: ISO X.25

TransporteEspecifica los métodos para las conexiones o asociaciones entre múltiples programas que se ejecutan en el mismocomputador. Esta capa puede implementar entregas seguras en caso de que no se apliquen en otros lados. Ejemplo:Internet TCP, ISO, TP4)

Network (o Internetwork)Especifica los métodos para comunicar en un esquema de múltiples saltos a través de diferentes potenciales tipos deredes de enlace. Para redes de paquetes, describe un formato de paquete abstracto y su estructura de direccionamientoestándar. Ejemplo: IP datagram, X.25 PLP, ISO CLNP

EnalceEspecifica los métodos para comuncarse a través de un simple enlace, incluyendo protocolos de “control de acceso almedio ” cuando múltiples sistemas comparten el mismo medio. La detección de error se incluye comunmente en estacapa, junto con formatos de dirección de la capa de enlace. Ejemplo: Ethernet, Wi-Fi, ISO 13239/HDLC.

FísicaEspecifica los conectores, tasas de datos, y la forma en que los bits son codificados en algún medio. También describedetección y corrección de bajo nivel, más asignaciones de frecuencia. Ejemplo: V.92, Ethernet 1000BASE-T, SONET/SDH


MAC address

8/18/2019 MTCNA-v5



• Es un identificador de 48 bits (6 bloques hexadecimales) que se asigna deforma única a una tarjeta o dispositivo de red.

• Conocida también como dirección física• Los últimos 24 bits son determinados y configurados por la IEEE, y los

primeros 24 bits por el fabricante utilizando el Identificador UnicoOrganizacional (OUI: Organizationally Unique Identifier)

• El OUI es un número de 24 bits comprado a la Autoridad de Registro de la

IEEE, que identifica a cada empresa u organización• Ejemplo: 00:0C:42:20:97:68

IP

8/18/2019 MTCNA-v5


• Es la dirección lógica del dispositivo de red• Se utiliza para la comunicación entre redes• Ejemplo: 159.148.60.20


Subredes (subnets)

8/18/2019 MTCNA-v5


( )• Rango de direcciones IP lógicas que divide la red en

segmentos• Ejemplo: 255.255.255.0 o /24• La dirección de red es la primera dirección IP de la

subred• La dirección de broadcast es la última dirección IP de lasubred

• Estas son reservadas y no pueden ser utilizadas

©Academy Xperts / MikroTik Xperts 2013 55

Subredes (subnets)

8/18/2019 MTCNA-v5


200.3.25.0 /27


CIDR Subnet Mask HostsDisponibles

CIDR Subnet Mask HostsDisponibles

/32 255 255 255 255 /23 255 255 254 0 512 – 2

8/18/2019 MTCNA-v5



/32 255.255.255.255 /23 255.255.254.0 512 – 2/30 255.255.255.252 4 – 2 /22 255.255.252.0 1024 – 2/29 255.255.255.248 8 – 2 /21 255.255.248.0 2048 – 2/28 255.255.255.240 16 – 2 /20 255.255.240.0 4096 – 2/27 255.255.255.224 32 – 2 /19 255.255.224.0 8192 – 2/26 255.255.255.192 64 – 2 /18 255.255.192.0 16384 – 2/25 255.255.255.128 128 – 2 /17 255.255.128.0 32768 – 2/24 255.255.255.0 256 – 2 /16 255.255.0.0 65536 – 2

El prefijo de ruteo está expresado en notación CIDR . Está escrito como la primera dirección de unared, seguido por un caracter slash (/), terminando con la longitud de bit del prefijo. Por ejemplo,192.168.1.0/24 es el prefijo de la red IPv4 que inicia en la dirección indicada, teniendo 24 bitsasignados para el prefijo de red, y los 8 bits remanentes reservados para direccionamiento de host.

La notación CIDR es una especificación compacta de una dirección IP y está asociada con un prefijode ruteo. Classless Inter-Domain Routing (CIDR)es una asignación de dirección IP y una

metodología de agregación de ruta.

CIDR es un método de asignación de dirección IP y de paquetes de ruteo IP.

Ejemplo de Selección de dirección IP

8/18/2019 MTCNA-v5


• Los clientes usan subredes de diferentes máscaras /25 y /26• A tiene la dirección IP 192.168.0.200/ 26 • B usa el subnet mask (máscara de red) / 25

Las direcciones disponibles son:

192.168.0.129 - 192.168.0.254• B no debería usar 192.168.0.129 - 192.168.0.192• B debería usar las siguientes direcciones IP para que se

puedan ver la estación A y las estaciones de B

192.168.0.193 - 192.168.0.254/25


L b t i d C ió

8/18/2019 MTCNA-v5


Laboratorio de Conexión

•

Hacer Click en la Mac-Address en Winbox• Default username “admin” sin clave


Diagrama de Clase

8/18/2019 MTCNA-v5


g


internet

ether 10.1.1.2 /3010.1.1.6 /30

10.1.1.10 /30……

GatewayDNS

ether110.1.1.1 /30

ether2192.168.N.254 /24

192.168.N.1 /24(N = 1)

ether2192.168.N.254 /24

192.168.N.1 /24(N = 2)

ether2192.168.N.254 /24

192.168.N.1 /24(N = 3)

ether110.1.1.5 /30

ether110.1.1.6 /30

Laptop - Router

8/18/2019 MTCNA-v5


1. Deshabilitar cualquier interface

(wireless) en su laptop

2. Configurar la dirección IP

192.168. N.1

3. Configurar 255.255.255.0 comola Subnet Mask

4. Configurar 192.168. N.254 como

el Default Gateway y como DNSServer primario


Laptop - Router

8/18/2019 MTCNA-v5


1. Conectarse al router

con MAC-Winbox


2. Agregar la dirección IP192.168. N.254/24 a lainterface ether2

Laptop - Router

8/18/2019 MTCNA-v5


• Cierre el Winbox y conéctese de nuevo

usando la dirección IP

• El acceso por MAC-address deberíarealizarse solo cuando no hay acceso pordirección IP


Router - Internet

8/18/2019 MTCNA-v5


• La puerta de acceso ( gateway ) a Internet desu clase se puede acceder a través delwireless. Es un AP (Access Point)

• Para conectarse usted tiene que configurarla interface wireless del router como station


Router - Internet

8/18/2019 MTCNA-v5


Chequear laconectividad aInternet usando

Traceroute


Laptop - Internet

8/18/2019 MTCNA-v5


Su router puede ser también un DNS Server para lared local (laptop)


Laptop - Internet

8/18/2019 MTCNA-v5


• Debe configurar su laptop para que use a su router

como DNS Server• Ingrese la IP del router (192.168. N.254) como el DNS

Server• La Laptop puede acceder al router y el router puede

acceder al Internet. Se requiere un paso adicional.• Debe crear una regla de enmascaramiento

(action=masquerade ) para ocultar su red privadadetrás del router.


Private and Public space

8/18/2019 MTCNA-v5


• Masquerade is used for Public network access, whereprivate addresses are present

• Private networks include• 10.0.0.0 - 10.255.255.255 (10.0.0.0 /8)• 172.16.0.0 - 172.31.255.255 (172.16.0.0 /12)• 192.168.0.0 - 192.168.255.255 (192.168.0.0 /16)


Laptop - Internet

8/18/2019 MTCNA-v5



Check Connectivity

8/18/2019 MTCNA-v5


Check Connectivity

Ping www.mikrotik.com from your laptop


What Can Be Wrong

http://www.mikrotik.com/


8/18/2019 MTCNA-v5


What Can Be Wrong• Router cannot ping further than AP• Router cannot resolve names• Computer cannot ping further than router• Computer cannot resolve names• Is masquerade rule working• Does the laptop use the router as default

gateway and DNS©Academy Xperts / MikroTik Xperts 2013 71

Network Diagram

8/18/2019 MTCNA-v5


Network Diagram

Your RouterYour LaptopClass AP

192.168.X.1 192.168.X.254DHCP-Client


User Management• A t th t b t ll d

8/18/2019 MTCNA-v5


Access to the router can be controlled•

You can create different types of users


User Management Lab

8/18/2019 MTCNA-v5


User Management Lab

• Add new router user with full access•

Make sure you remember user name• Make admin user as read-only• Login with your new user


Upgrading Router Lab

8/18/2019 MTCNA-v5


Upgrading Router Lab

• Download packages from ftp://192.168.200.254• Upload them to router with Winbox• Reboot the router• Newest packages are always available on

www.mikrotik.com


Upgrading Router



8/18/2019 MTCNA-v5


• Use combinedRouterOS

package• Drag it to the

Files window


Package Management

8/18/2019 MTCNA-v5


Package Management

RouterOSfunctions are

enabled bypackages


Package Information

8/18/2019 MTCNA-v5



8/18/2019 MTCNA-v5


Router Identity

8/18/2019 MTCNA-v5


y

Option to set name for each router


Router Identity

8/18/2019 MTCNA-v5


yIdentity information is shown in different places


Router Identity Lab

8/18/2019 MTCNA-v5


y

Set your number + your name as router identity


NTP

8/18/2019 MTCNA-v5


• Network Time Protocol, to synchronize time• NTP Client and NTP Server support in

RouterOS


Why NTP

8/18/2019 MTCNA-v5


y

• To get correct clock on router•

For routers without internal memory to saveclock information• For all RouterBOARDs


NTP Client

8/18/2019 MTCNA-v5


NTP package is not required


Configuration Backup

8/18/2019 MTCNA-v5


• You can backup and restore configuration inthe Files menu of Winbox

• Backup file is not editable


8/18/2019 MTCNA-v5


Backup Lab

8/18/2019 MTCNA-v5


• Create Backup and Export files

• Download them to your laptop• Open export file with text editor


8/18/2019 MTCNA-v5


Netinstall

8/18/2019 MTCNA-v5


1.List of routers

2.Net Booting

3.Keep oldconfiguration

4.Packages

5. Install


Optional Lab

8/18/2019 MTCNA-v5


• Download Netinstall from ftp://192.168.100.254• Run Netinstall

• Enable Net booting, set address 192.168.x.13• Use null modem cable and Putty to connect• Set router to boot from Ethernet


RouterOS License

8/18/2019 MTCNA-v5


• All RouterBOARDs shipped with license• Several levels available, no upgrades• Can be viewed in system license menu• License for PC can be purchased from

mikrotik.com or from distributors


License





8/18/2019 MTCNA-v5



Obtain License

8/18/2019 MTCNA-v5


Login to

your account


Update License for 802.11N

8/18/2019 MTCNA-v5


• 8-symbol software-ID system is introduced• Update key on existing routers to get fullfeatures support ( 802.11N , etc.)


8/18/2019 MTCNA-v5


Summary


Useful Links

8/18/2019 MTCNA-v5


• www.mikrotik.com - manage licenses,documentation

• forum.mikrotik.com - share experience withother users

• wiki.mikrotik.com - tons of examples



http://forum.mikrotik.com/

http://wiki.mikrotik.com/

http://wiki.mikrotik.com/

http://forum.mikrotik.com/


8/18/2019 MTCNA-v5


Firewall


Firewall

8/18/2019 MTCNA-v5


• Protects your router and clients fromunauthorized access

• This can be done by creating rules in FirewallFilter and NAT facilities


Firewall Filter

8/18/2019 MTCNA-v5


• Consists of user defined rules that work onthe IF-Then principle

• These rules are ordered in Chains• There are predefined Chains, and User

created Chains


Filter Chains

8/18/2019 MTCNA-v5


• Rules can be placed in three default chains• input ( to router)• output ( from router)• forward ( trough the router)


Firewall Chains

8/18/2019 MTCNA-v5


InputWinbox

ForwardWWW E-Mail

OutputPing from Router


Firewall Chains

8/18/2019 MTCNA-v5



Input

8/18/2019 MTCNA-v5


• Chain contains filter rules that protect the

router itself• Let’s block everyone except your laptop


Input

8/18/2019 MTCNA-v5


Add an accept rule for yourLaptop IPaddress


Input

8/18/2019 MTCNA-v5


Add a drop rule ininput chain todrop everyoneelse


Input Lab

8/18/2019 MTCNA-v5


• Change your laptop IP address, 192.168.x. y• Try to connect. The firewall is working• You can still connect with MAC-address,

Firewall Filter is only for IP


Input

8/18/2019 MTCNA-v5


• Access to your router is blocked• Internet is not working• Because we are blocking DNS requests as well• Change configuration to make Internet working


Input• Y di bl

8/18/2019 MTCNA-v5


You can disableMAC access inthe MAC Server menu

• Change theLaptop IPaddress back to192.168.X. 1,and connectwith IP ©Academy Xperts / MikroTik Xperts 2013 109

Address-List

8/18/2019 MTCNA-v5


• Address-list allows you to filter group of theaddresses with one rule

•

Automatically add addresses by address-listand then block


Address-List• Create different lists

8/18/2019 MTCNA-v5


•

Subnets, separates ranges, one hostaddresses are supported


Address-List

8/18/2019 MTCNA-v5


• Add specific hostto address-list

• Specify timeoutfor temporaryservice


Address-List in Firewall

8/18/2019 MTCNA-v5


• Ability to blockby source anddestinationaddresses


Address-List Lab

8/18/2019 MTCNA-v5


• Create address-list with allowed IP addresses• Add accept rule for the allowed addresses


Forward

8/18/2019 MTCNA-v5


• Chain contains rules that control packets

going trough the router• Control traffic to and from the clients


Forward

8/18/2019 MTCNA-v5


• Create a rulethat will blockTCP port 80 (web

browsing)• Must select

protocol to blockports


8/18/2019 MTCNA-v5


List of well-known ports

8/18/2019 MTCNA-v5



Forward

8/18/2019 MTCNA-v5


Create a rule that will

block client’s p2ptraffic


Firewall Log• Let’s log client

8/18/2019 MTCNA-v5


pings to the router• Log rule should be

added before otheraction


Firewall Log

8/18/2019 MTCNA-v5



Firewall chains

8/18/2019 MTCNA-v5


• Except of the built-in chains (input, forward,output), custom chains can be created

• Make firewall structure more simple• Decrease load of the router


Firewall chains in Action•

8/18/2019 MTCNA-v5


•

Sequence ofthe firewallcustom chains

•

Customchains can befor viruses,TCP, UDP

protocols, etc.©Academy Xperts / MikroTik Xperts 2013 123

Firewall chain Lab

8/18/2019 MTCNA-v5


• Download viruses.rsc from router (access byFTP)

•

Export the configuration by importcommand

• Check the firewall


Connections

8/18/2019 MTCNA-v5



Connection State

8/18/2019 MTCNA-v5


• Advise, drop invalid connections• Firewall should proceed only new packets, it

is recommended to exclude other types ofstates

• Filter rules have the “connection state”matcher for this purpose


8/18/2019 MTCNA-v5


8/18/2019 MTCNA-v5


Summary


8/18/2019 MTCNA-v5


Network Address

Translation


NAT

8/18/2019 MTCNA-v5


• Router is able to change Source orDestination address of packets flowing

trough it• This process is called src-nat or dst-nat


SRC-NAT

8/18/2019 MTCNA-v5


SRC-Address NewSRC-Address

Your Laptop Remote Server


DST-NAT

8/18/2019 MTCNA-v5


DST-AddressNew DST-Address

Private NetworkServer

Public Host


NAT Chains

8/18/2019 MTCNA-v5


• To achieve these scenarios you have to orderyour NAT rules in appropriate chains: dstnat

or srcnat• NAT rules work on IF-THEN principle


DST-NAT

8/18/2019 MTCNA-v5


• DST-NAT changes packet’s destinationaddress and port

• It can be used to direct internet users to aserver in your private network


DST-NAT Example

8/18/2019 MTCNA-v5


DST-Address207.141.27.45:80

New DST-Address192.168.1.1:80

Web Server192.168.1.1

Some Computer


DST-NAT ExampleCreate a rule to forward traffic to WEB server in

private network

8/18/2019 MTCNA-v5



Redirect

8/18/2019 MTCNA-v5


• Special type of DST-NAT• This action redirects packets to the router

itself• It can be used for proxying services (DNS,

HTTP)


Redirect example

8/18/2019 MTCNA-v5


DST-AddressConfigured_DNS_Server:53

New DST-AddressRouter:53

DNS Cache


8/18/2019 MTCNA-v5


SRC-NAT

8/18/2019 MTCNA-v5


• SRC-NAT changes packet’s source address • You can use it to connect private network to

the Internet through public IP address• Masquerade is one type of SRC-NAT


Masquerade

S Add S Add

8/18/2019 MTCNA-v5


Src Address192.168.X.1

Src Addressrouter address

192.168.X.1 Public Server


SRC-NAT Limitations

8/18/2019 MTCNA-v5


• Connecting to internal servers from outsideis not possible (DST-NAT needed)

• Some protocols require NAT helpers to workcorrectly


NAT Helpers

8/18/2019 MTCNA-v5



Firewall Tips

8/18/2019 MTCNA-v5


• Add comments to your rules• Use Connection Tracking or Torch


Connection Tracking

8/18/2019 MTCNA-v5


• Connection tracking manages informationabout all active connections.

• It should be enabled for Filter and NAT


Connection Tracking

8/18/2019 MTCNA-v5



Torch

8/18/2019 MTCNA-v5


Detailed actual traffic report for interface©Academy Xperts / MikroTik Xperts 2013 147

8/18/2019 MTCNA-v5


NAT Actions

• Accept

8/18/2019 MTCNA-v5


Accept• DST-NAT/SRC-NAT•

Redirect• Masquerade• Netmap


8/18/2019 MTCNA-v5


Summary


8/18/2019 MTCNA-v5


Bandwidth Limit


8/18/2019 MTCNA-v5


Simple Queue

8/18/2019 MTCNA-v5


• You must use Target-Address for SimpleQueue

• Rule order is important for queue rules


Simple Queue•

Let’st

8/18/2019 MTCNA-v5


Let screatelimitationfor your

laptop• 64k

Upload,

128kDownload

Client’s

address

Limits

to configure©Academy Xperts / MikroTik Xperts 2013 154

Simple Queue

8/18/2019 MTCNA-v5


• Check your limits• Torch is showing bandwidth rate


Using Torch

• Select local

8/18/2019 MTCNA-v5


Select localnetworkinterface

•

See actualbandwidth Set Interface

Set LaptopAddress

Check the

Results©Academy Xperts / MikroTik Xperts 2013 156

Specific Server Limit•

Let’s create

8/18/2019 MTCNA-v5


Let s createbandwidthlimit toMikroTik.com

• DST-address isused for this

• Rules order isimportant


Specific Server Limit•

Ping




8/18/2019 MTCNA-v5


Pingwww.mikrotik.com

• Put MikroTik

address to DST-address• MikroTik address

can be used asTarget-address too

MikroTik.comAddress


Specific Server Limit




8/18/2019 MTCNA-v5


• DST-address is useful to setunlimited access to the localnetwork resources

• Target-address and DST-addressescan be vice versa


Bandwidth Test Utility•

Bandwidth test can be used to monitor

8/18/2019 MTCNA-v5


throughput to remote device• Bandwidth test works between two MikroTik

routers• Bandwidth test utility available for Windows• Bandwidth test is available on MikroTik.com


Bandwidth Test on Router

• Set Test To as testing address

8/18/2019 MTCNA-v5


Set Test To as testing address• Select protocol•

TCP supports multipleconnections• Authentication might be required


Bandwidth Server

• Set Test To as testing address

8/18/2019 MTCNA-v5


Set Test To as testing address• Select protocol•

TCP supports multipleconnections• Authentication might be required


Bandwidth Test

8/18/2019 MTCNA-v5


• Server should be enabled

• It is advised to use enabledAuthenticate


Traffic Priority• Let’s configure

higher priority for

8/18/2019 MTCNA-v5


g p yqueues

• Priority 1 ishigher than 8

• There should beat least two

priority

Select QueuePriority is inAdvanced Tab

Set Higher Priority


Simple Queue Monitor

8/18/2019 MTCNA-v5


• It is possible to get graph for each queuesimple rule

• Graphs show how much traffic is passedtrough queue


Simple Queue Monitor

8/18/2019 MTCNA-v5


Let’s enable graphing for

Queues


Simple Queue Monitor• Graphs are

available onWWW

8/18/2019 MTCNA-v5


WWW• To view graphs

http://router _IP• You can give it

to yourcustomer


http://router/

http://router/

8/18/2019 MTCNA-v5


Advanced Queing


Mangle•

Mangle is used to mark packets•

8/18/2019 MTCNA-v5


• Separate different type of traffic• Marks are active within the router• Used for queue to set different limitation• Mangle do not change packet structure

(except DSCP, TTL specific actions)


Mangle Actions

8/18/2019 MTCNA-v5



Mangle Actions• Mark-connection uses connection tracking

• Information about new connection added to

8/18/2019 MTCNA-v5


connection tracking table• Mark-packet works with packet directly• Router follows each packet to apply mark-

packet


Optimal Mangle• Queues have packet-mark option only

8/18/2019 MTCNA-v5



Optimal Mangle

8/18/2019 MTCNA-v5


• Mark new connection with mark-connection• Add mark-packet for every mark-connection


Mangle Example

• Imagine you have second client on the router

8/18/2019 MTCNA-v5


Imagine you have second client on the routernetwork with 192.168.X.55 IP address

•

Let’s create two different marks ( Gold , Silver ),one for your computer and second for192.168.X.55


Mark Connection

8/18/2019 MTCNA-v5



Mark Packet

8/18/2019 MTCNA-v5



Mangle Example

8/18/2019 MTCNA-v5


• Add Marks for second user too• There should be 4 mangle rules for two groups


8/18/2019 MTCNA-v5


PCQ• PCQ is advanced Queue type• PCQ uses classifier to divide traffic (from client

8/18/2019 MTCNA-v5


PCQ uses classifier to divide traffic (from clientpoint of view; src-address is upload, dst-address is download)


PCQ, one limit to all• PCQ allows to set one limit to all users with

one queue

8/18/2019 MTCNA-v5



One limit to all•

Multiple queue rules are changed by one

8/18/2019 MTCNA-v5



PCQ, equalize bandwidth•

Equally share bandwidth between customers

8/18/2019 MTCNA-v5



Equalize bandwidth• 1M upload/2M download is shared between

users

8/18/2019 MTCNA-v5



PCQ Lab

• Teacher is going to make PCQ lab on the

8/18/2019 MTCNA-v5


Teacher is going to make PCQ lab on therouter

• Two PCQ scenarios are going to be used withmangle


8/18/2019 MTCNA-v5


Summary


8/18/2019 MTCNA-v5


Wireless


What is Wireless

• RouterOS supports various radio modulesthat allow communication over the air

8/18/2019 MTCNA-v5


that allow communication over the air(2.4GHz and 5GHz)

•

MikroTik RouterOS provides a completesupport for IEEE 802.11a, 802.11b and802.11g wireless networking standards


Wireless Standards

• IEEE 802.11b - 2.4GHz frequencies, 11Mbps

8/18/2019 MTCNA-v5


• IEEE 802.11g - 2.4GHz frequencies, 54Mbps•

IEEE 802.11a - 5GHz frequencies, 54Mbps• IEEE 802.11n - draft, 2.4GHz - 5GHz


802.11 b/g Channels1 2 3 4 5 6 7 8 9 10 11

24002483

8/18/2019 MTCNA-v5


• (11) 22 MHz wide channels (US)

• 3 non-overlapping channels• 3 Access Points can occupy same area without

interfering©Academy Xperts / MikroTik Xperts 2013 189

8/18/2019 MTCNA-v5


8/18/2019 MTCNA-v5


Supported Frequencies

• Depending on your country regulations

8/18/2019 MTCNA-v5


wireless card might support•

2.4GHz: 2312 - 2499 MHz• 5GHz: 4920 - 6100 MHz


Apply Country Regulations

Set wireless interface

8/18/2019 MTCNA-v5


to apply your countryregulations


RADIO Name

• W ill RADIO N f th

8/18/2019 MTCNA-v5


We will use RADIO Name for the samepurposes as router identity

• Set RADIO Name as Number+Your Name


Wireless Network

8/18/2019 MTCNA-v5



Station Configuration• Set Interface

mode=station• Select band

8/18/2019 MTCNA-v5


• Set SSID, WirelessNetwork Identity

• Frequency is notimportant for client,use scan-list


Connect List

• Set of rules

8/18/2019 MTCNA-v5


used bystation toselectaccess-point


8/18/2019 MTCNA-v5


Access Point Configuration• Set Interface

mode=ap-bridge• Select band

8/18/2019 MTCNA-v5


Select band• Set SSID, Wireless

Network Identity• Set Frequency


Snooper wireless monitor• Use Snooper to

get total view ofthe wirelessnetworks on used

8/18/2019 MTCNA-v5


networks on usedband

• Wirelessinterface isdisconnected at

this moment©Academy Xperts / MikroTik Xperts 2013 200

8/18/2019 MTCNA-v5


8/18/2019 MTCNA-v5


Default Authentication

• Yes, Access-List rules are checked, client is

8/18/2019 MTCNA-v5


Yes, Access List rules are checked, client isable to connect, if there is no deny rule

• No, only Access-List rule are checked


Access-List Lab

• Since you have mode=station configured weare going to make lab on teacher’s router

8/18/2019 MTCNA-v5


are going to make lab on teacher s router •

Disable connection for specific client• Allow connection only for specific clients


Security

• Let’s enable encryption on wireless network • You must use WPA or WPA2 encryption

8/18/2019 MTCNA-v5


You must use WPA or WPA2 encryptionprotocols

• All devices on the network should have thesame security options


Security• Let’s create WPA

encryption for ourwireless network

8/18/2019 MTCNA-v5


• WPA Pre-Shared Key is

mikrotiktraining


Configuration Tip• To view hidden Pre-

Shared Key, click on HidePasswords

8/18/2019 MTCNA-v5


• It is possible to viewother hiddeninformation, exceptrouter password


Drop Connections betweenclients

D f lt F di g d t

8/18/2019 MTCNA-v5


Default-Forwarding used todisable communicationsbetween clients connectedto the same access-point


Default Forwarding

• Access-List rules have higher priority

8/18/2019 MTCNA-v5


• Check your access-list if connection betweenclient is working


Nstreme

• MikroTik proprietary wireless protocol• Improves wireless links, especially long-range

8/18/2019 MTCNA-v5


Improves wireless links, especially long rangelinks

• To use it on your network, enable protocolon all wireless devices of this network


Nstreme Lab• Enable Nstreme on

your router• Check the

8/18/2019 MTCNA-v5


connection status• Nstreme should be

enabled on both routers


Summary

8/18/2019 MTCNA-v5


Summary


Bridging

8/18/2019 MTCNA-v5


Bridging


Bridge Wireless Network

Your RouterYour LaptopClass AP

8/18/2019 MTCNA-v5


Let’s get back to our configuration

192.168.X.1 192.168.X.254DHCP-Client


8/18/2019 MTCNA-v5


Bridge

• We are going to bridge local Ethernetinterface with Internet wireless interface

8/18/2019 MTCNA-v5


• Bridge unites different physical interfaces

into one logical interface• All your laptops will be in the same network


Bridge

• To bridge you need to create

8/18/2019 MTCNA-v5


bridge interface

• Add interfaces to bridge ports


Create Bridge• Bridge is configured from / interface

bridge menu

8/18/2019 MTCNA-v5



Add Bridge Port• Interfaces are added to bridge via ports

8/18/2019 MTCNA-v5



Bridge

• There are no problems to bridge Ethernetinterface

8/18/2019 MTCNA-v5


•

Wireless Clients ( mode=station ) do notsupport bridging due the limitation of 802.11


Bridge Wireless

• WDS allows to add wireless client to bridge• WDS (Wi l Di t ib ti S t ) bl

8/18/2019 MTCNA-v5


WDS (Wireless Distribution System) enables

connection between Access Point and AccessPoint


Set WDS Mode

•

Station-wds isspecial stationmode with WDS

8/18/2019 MTCNA-v5


support


8/18/2019 MTCNA-v5


Access Point WDS

• Enable WDS on AP-bridge, usemode=dynamic-mesh

• WDS interfaces are created on the fly

8/18/2019 MTCNA-v5


• Use default bridge for WDS interfaces• Add Wireless Interface to Bridge


AP-bridge

• Set AP-bridgesettings

8/18/2019 MTCNA-v5


• Add Wirelessinterface to bridge


WDS configuration

• Use dynamic-mesh WDSmode

• WDS interfaces are

8/18/2019 MTCNA-v5


created on the fly• Others AP should use

dynamic-mesh too


WDS

• WDS link isestablished

• D i i t f

8/18/2019 MTCNA-v5


Dynamic interface

is present


WDS Lab• Delete masquerade rule• Delete DHCP-client on router wireless

interface

8/18/2019 MTCNA-v5


• Use mode=station-wds on router• Enable DHCP on your laptop• Can you ping neighbor’s laptop


WDS Lab• Your Router is Transparent Bridge now• You should be able to ping neighbor router

and computer now

8/18/2019 MTCNA-v5


•

Just use correct IP address


Restore Configuration•

To restore configuration manually• change back to Station mode• Add DHCP Client on correct interface

8/18/2019 MTCNA-v5


Add DHCP-Client on correct interface• Add masquerade rule• Set correct network configuration to laptop


Summary

8/18/2019 MTCNA-v5



Routing

8/18/2019 MTCNA-v5



8/18/2019 MTCNA-v5


Route

• ip route rules define where packets shouldbe sent

8/18/2019 MTCNA-v5


• Let’s look at / ip route rules


8/18/2019 MTCNA-v5


Default Gateway

Default gateway:next hop router

8/18/2019 MTCNA-v5


where all ( 0.0.0.0 )traffic is sent


Set Default Gateway Lab•

Currently you have default gateway receivedfrom DHCP-Client

• Disable automatic receiving of default

8/18/2019 MTCNA-v5


Disable automatic receiving of default

gateway in DHCP-client settings• Add default gateway manually


Dynamic Routes• Look at the

other routes•

Routes withDAC are addedautomatically

8/18/2019 MTCNA-v5


•

DAC routecomes from IPaddressconfiguration


8/18/2019 MTCNA-v5


Static Routes

• Our goal is to ping neighbor laptop

8/18/2019 MTCNA-v5


• Static route will help us to achieve this


8/18/2019 MTCNA-v5


Static Route

• Additional static route is required to reachyour neighbor laptop

• Because gateway (teacher’s router) does not

8/18/2019 MTCNA-v5


Because gateway (teacher s router) does not

have information about student’s privatenetwork


8/18/2019 MTCNA-v5


Network Structure

8/18/2019 MTCNA-v5



Route To Your Neighbor• Add one route rule• Set Destination, destination is neighbor’s

local network

8/18/2019 MTCNA-v5


•

Set Gateway, address which is used to reachdestination - gateway is IP address ofneighbor’s router wireless interface


Route Your Neighbor•

Add static route• Set Destination

and Gateway

8/18/2019 MTCNA-v5


• Try to pingNeighbor’s Laptop


8/18/2019 MTCNA-v5


Dynamic Routes• The same configuration is possible with

dynamic routes• Imagine you have to add static routes to all

neighbors networks

8/18/2019 MTCNA-v5


neighbors networks• Instead of adding tons of rules, dynamic

routing protocols can be used


Dynamic Routes

• Easy in configuration, difficult inmanaging/troubleshooting

8/18/2019 MTCNA-v5


managing/troubleshooting• Can use more router resources


Dynamic Routes

• We are going to use OSPF• OSPF is very fast and optimal for dynamic

8/18/2019 MTCNA-v5


routing• Easy in configuration


OSPF configuration

•

Add correctnetwork toOSPF

8/18/2019 MTCNA-v5


•

OSPF protocolwill beenabled


8/18/2019 MTCNA-v5


Summary

8/18/2019 MTCNA-v5



Local NetworkManagement

8/18/2019 MTCNA-v5



Access to Local Network•

Plan network design carefully• Take care of user’s local access to the

network

8/18/2019 MTCNA-v5


• Use RouterOS features to secure localnetwork resources


ARP•

Address Resolution Protocol• ARP joins together client’s IP address with

MAC-address

8/18/2019 MTCNA-v5


• ARP operates dynamically, but can also bemanually configured


ARP Table

ARP tableprovides: IPaddress, MAC-

8/18/2019 MTCNA-v5


address andInterface


8/18/2019 MTCNA-v5


Static ARP configuration• Add Static Entry to

ARP table• Set for interface

arp=reply-only todisable dynamic ARP

8/18/2019 MTCNA-v5


DHCP Server

• Dynamic Host Configuration Protocol• Used for automatic IP address distribution

over local network

8/18/2019 MTCNA-v5


• Use DHCP only in secure networks


DHCP Server

• To setup DHCP server you should have IPaddress on the interface

• Use setup command to enable DHCP server

8/18/2019 MTCNA-v5


• It will ask you for necessary information


DHCP-Server Setup

Click on DHCP Setup

Set Addresses that

DNS server address

Time that client may use

8/18/2019 MTCNA-v5


to run Setup WizardSelect interface for

DHCP server

Set Network for DHCP,offered automaticallySet Gateway forDHCP clientswill be given to clientsthat will be assigned to clientsy

IP addressWe are done!


Important

• To configure DHCP server on bridge , setserver on bridge interface

• DHCP server will be invalid , when it is

8/18/2019 MTCNA-v5


configured on bridge port


DHCP Server Lab• Setup DHCP server on Ethernet Interface

where Laptop is connected• Change computer Network settings and

enable DHCP-client (Obtain an IP address

8/18/2019 MTCNA-v5


Automatically)• Check the Internet connectivity


DHCP Server Information

Leases provideinformation aboutDHCP clients

8/18/2019 MTCNA-v5



Winbox Configuration Tip

Show or hidedifferentWinbox

8/18/2019 MTCNA-v5


columns


Static Lease

• We can make leaseto be static

• Client will not get

8/18/2019 MTCNA-v5


other IP address


Static Lease

• DHCP-server could run without dynamicleases

• Clients will receive only preconfigured IP

8/18/2019 MTCNA-v5


address


Static Lease

• Set Address-Pool tostatic-only

8/18/2019 MTCNA-v5


• Create Static leases


HotSpot

8/18/2019 MTCNA-v5



8/18/2019 MTCNA-v5


HotSpot Usage

• Open Access Points, Internet Cafes, Airports,universities campuses, etc.

• Different ways of authorization

8/18/2019 MTCNA-v5


• Flexible accounting


HotSpot Requirements

• Valid IP addresses on Internet and LocalInterfaces

• DNS servers addresses added to ip dns

8/18/2019 MTCNA-v5


• At least one HotSpot user


HotSpot Setup

• HotSpot setup is easy• Setup is similar to DHCP Server setup

8/18/2019 MTCNA-v5



HotSpot Setup• Run ip hotspot

setup• Select Inteface• Proceed to

8/18/2019 MTCNA-v5


answer thequestions Select Interface to

run HotSpot on

HotSpot address willbe selected automaticallyMasquerade HotSpot network

automaticallyAddresses that will be assigned

to HotSpot clientsWhether to use certificate

together with HotSpot or notIP address to redirect SMTP

(e-mails) to your SMTP serverDNS servers addressfor HotSpot clients

DNS name for HotSpot serverAdd first HotSpot user


Important Notes

• Users connected to HotSpot interface will bedisconnected from the Internet

• Client will have to authorize in HotSpot toI

8/18/2019 MTCNA-v5


get access to Internet


Important Notes• HotSpot default setup creates additional

configuration:• DHCP-Server on HotSpot Interface•

P l f H tS t Cli t

8/18/2019 MTCNA-v5


Pool for HotSpot Clients• Dynamic Firewall rules (Filter and NAT)


HotSpot Help•

HotSpot login page is provided when usertries to access any web-page

• To logout from HotSpot you need to go to

htt // t IP

http://router/

http://hotspot/

http://router/

8/18/2019 MTCNA-v5


http://router _IP orhttp://HotSpot _DNS


HotSpot Setup Lab

• Let’s create HotSpot on local Interface• Don’t forget HotSpot login and password or

ill t b bl t g t th I t t

http://router/

http://hotspot/

http://hotspot/

8/18/2019 MTCNA-v5


you will not be able to get the Internet


HotSpot Network Hosts

8/18/2019 MTCNA-v5


Information about clients connected to HotSpot router©Academy Xperts / MikroTik Xperts 2013 281

HotSpot Active Table

Information aboutauthorizedHotSpot clients

8/18/2019 MTCNA-v5



User Management

Add/Edit/RemoveHotSpot users

8/18/2019 MTCNA-v5



HotSpot Walled-Garden•

Tool to get access to specific resourceswithout HotSpot authorization• Walled-Garden for HTTP and HTTPS•

Walled Garden IP for other resources

8/18/2019 MTCNA-v5


Walled-Garden IP for other resources(Telnet, SSH, Winbox, etc.)


HotSpot Walled-Garden

Allow access tomikrotik.com

8/18/2019 MTCNA-v5



Bypass HotSpot• Bypass specific

clients over HotSpot• VoIP phones,

printers, superusers• IP binding is used

8/18/2019 MTCNA-v5


IP-binding is usedfor that


HotSpot Bandwidth Limits

• It is possible to set every HotSpot user withautomatic bandwidth limit

• Dynamic queue is created for every client

from profile

8/18/2019 MTCNA-v5


from profile


8/18/2019 MTCNA-v5


HotSpot Advanced Lab

To give each client 64kupload and 128kdownload, set Rate

Limit

8/18/2019 MTCNA-v5


Limit


HotSpot Lab•

Add second user• Allow access to www.mikrotik.com without

HotSpot authentication for your laptop• Add Rate-limit 1M/1M for your laptop



8/18/2019 MTCNA-v5


Add Rate limit 1M/1M for your laptop


Tunnels

8/18/2019 MTCNA-v5



PPPoE•

Point to Point Protocol over Ethernet is oftenused to control client connections for DSL,cable modems and plain Ethernet networks

• MikroTik RouterOS supports PPPoE clientand PPPoE server

8/18/2019 MTCNA-v5


and PPPoE server


PPPoE Client Setup• Add PPPoE

client• You need to

set Interace• Set Login

and

8/18/2019 MTCNA-v5


andPassword


PPPoE Client Lab• Teachers are going to create PPPoE server on

their router• Disable DHCP- client on router’s outgoing

interface•

Set up PPPoE client on outgoing interface

8/18/2019 MTCNA-v5


p g g• Set Username class , password class


8/18/2019 MTCNA-v5


PPPoE Server Setup

• Select Interface• Select Profile

8/18/2019 MTCNA-v5



PPP Secret• User’s database

• Add login andPassword

• Select service• Configuration is

8/18/2019 MTCNA-v5


Configuration istakef from profile


PPP Profiles

• Set of rules used for PPP clients• The way to set same settings for different

clients

8/18/2019 MTCNA-v5



PPP Profile

• Local address -Server address

• Remote Address -Client address

8/18/2019 MTCNA-v5


Client address


PPPoE• Important, PPPoE server runs on the

interface• PPPoE interface can be without IP address

configured

• For security, leave PPPoE interface without

8/18/2019 MTCNA-v5


IP address configuration


Pools• Pool defines the range of IP addresses for PPP,

DHCP and HotSpot clients• We will use a pool, because there will be more

than one client• Addresses are taken from pool automatically

8/18/2019 MTCNA-v5


Addresses are taken from pool automatically


Pool

8/18/2019 MTCNA-v5



PPP Status

8/18/2019 MTCNA-v5



PPTP• Point to Point Tunnel Protocol providesencrypted tunnels over IP

• MikroTik RouterOS includes support for PPTPclient and server

• Used to secure link between Local Networks

over Internet

8/18/2019 MTCNA-v5


• For mobile or remote clients to accesscompany Local network resources


PPTP

8/18/2019 MTCNA-v5



PPTP configuration

• PPTP configuration is very similar to PPPoE• L2TP configuration is very similar to PPTP

and PPPoE

8/18/2019 MTCNA-v5



PPTP client• Add PPTP

Interface• Specify address

of PPTP server•

Set login andpassword

8/18/2019 MTCNA-v5


password


PPTP Client• That’s all for PPTP client configuration • Use Add Default Gateway to route all

router’s traffic to PPTP tunnel •

Use static routes to send specific traffic toPPTP tunnel

8/18/2019 MTCNA-v5



PPTP Server• PPTP Server

is able to

maintainmultipleclients

•

It is easy toenable PPTP

8/18/2019 MTCNA-v5


enable PPTPserver


PPTP Server Clients•

PPTP client settings are stored in ppp secret• ppp secret is used for PPTP, L2TP, PPPoE

clients

• ppp secret database is configured on server

8/18/2019 MTCNA-v5



PPP Profile

• The same profile is used for PPTP, PPPoE,L2TP and PPP clients

8/18/2019 MTCNA-v5



8/18/2019 MTCNA-v5


Proxy

8/18/2019 MTCNA-v5



What is Proxy

• It can speed up WEB browsing by cachingdata

• HTTP Firewall

8/18/2019 MTCNA-v5



Enable Proxy

8/18/2019 MTCNA-v5


The main option is Enable , other settings are optional©Academy Xperts / MikroTik Xperts 2013 315

Transparent Proxy•

User need to set additional configuration tobrowser to use Proxy

• Transparent proxy allows to direct all users

to proxy automatically

8/18/2019 MTCNA-v5



Transparent Proxy

• DST-NAT rulesrequired fortransparent proxy

• HTTP traffic shouldbe redirected torouter

8/18/2019 MTCNA-v5



HTTP Firewall

• Proxy access list provides option to filter DNSnames

• You can make redirect to specific pages

8/18/2019 MTCNA-v5



HTTP Firewall•

Dst-Host, webpageaddress(http://test.com )

• Path, anything afterhttp://test.com/ PATH

http://test.com/

http://test.com/PATH





http://test.com/

8/18/2019 MTCNA-v5



HTTP Firewall• Create rule to drop access for specific

web-page• Create rule to make redirect from

unwanted web-page to your companypage

8/18/2019 MTCNA-v5



Web-page logging

• Proxy can log visited Web-Pages by users• Make sure you have enough resources for

logs (it is better to send them to remote)

8/18/2019 MTCNA-v5



Web-Pages logging

• Add logging rule• Check logs

8/18/2019 MTCNA-v5



Caching to External•

Cache can be stored on the external drives• Store manipulates all the external drives• Cache can be stored to IDE, SATA, USB, CF,

MicroSD drives

8/18/2019 MTCNA-v5



Store•

Manage all external disks• Newly connected disk should be formatted

8/18/2019 MTCNA-v5



8/18/2019 MTCNA-v5


Summary

8/18/2019 MTCNA-v5



Dude

8/18/2019 MTCNA-v5



Dude• Network monitor program

• Automatic discovery of devices• Draw and Layout map of your networks• Services monitor and alerts• It is Free

8/18/2019 MTCNA-v5



Dude• Dude consists of two parts:

1.Dude server - the actual monitor program.It does not have a graphical interface. Youcan run Dude server even on RouterOS

2.Dude client - connects to Dude server andshows all the information it receives

8/18/2019 MTCNA-v5



Dude Install

• Dude is available atwww.mikrotik.com

• Install is very easy• Read and use next

button




8/18/2019 MTCNA-v5


Install Dude Server on computer©Academy Xperts / MikroTik Xperts 2013 330

Dude

• Dude is translated to different languages• Available on wiki.mikrotik.com

8/18/2019 MTCNA-v5



Dude First Launch

• Discoveroption isoffered for thefirst launch

• You candiscover localnetwork

8/18/2019 MTCNA-v5


etwo


Dude Lab

• Download Dude from ftp://192.168.100.254

• Install Dude• Discover Network• Add laptop and router• Disconnect Laptop from Router

8/18/2019 MTCNA-v5



Dude Usage

8/18/2019 MTCNA-v5



Troubleshooting

8/18/2019 MTCNA-v5



Lost Password

• The only solution to reset password is toreinstall the router

8/18/2019 MTCNA-v5



RouterBOARD License• All purchased licenses are stored in the

MikroTik account server• If your router loses the Key for some reason -

just log into mikrotik.com to get it from keyslist

• If the key is not in the list use Request Keyoption

8/18/2019 MTCNA-v5



Bad Wireless Signal• check that the antenna connector is

connected 'main' antenna connector• check that there is no water or moisture in

the cable• check that the default settings for the radio

are being used• Use interface wireless reset-configuration

8/18/2019 MTCNA-v5


Use interface wireless reset configuration


No Connection• Try different Ethernet port or cable• Use reset jumper on RouterBOARD• Use serial console to view any possible

messages•

Use netinstall if possible• Contact support ([email protected])

8/18/2019 MTCNA-v5



Before Certification Test

• Reset the router• Restore backup or restore configuration• Make sure you have access to the Internet

and to training.mikrotik.com

8/18/2019 MTCNA-v5



Certification Test

8/18/2019 MTCNA-v5



Certification test

• Go to http://training.mikrotik.com• Login with your account• Look for US/Dallas Training

• Select Essential Training Test

8/18/2019 MTCNA-v5



Instructions

8/18/2019 MTCNA-v5



MTCNA TestApr. 04th, 2013Santiago de Chile, Chile

MTCNA-v5

Documents

Transcript of MTCNA-v5