Descripción: Manual de configuraciones básicas de los routers mikrotik. Conceptos relacionados con el MTCNA...
Libro de Estudio
RouterOS RouterOS v6.37.1.01
Conceptos Fundamentales de MikroTik RouterOS por Mauro Escalante
Ruteo Estático, Bridge, Wireless, Administración de Red, Firewall, Colas Simples, Túneles (VPN)
RouterOS RouterBOARD BackUp Restore Export Made For MikroTik WinBox Bootloader Consola Terminal Upgrade Update Firmware RouterBoot Licencias Netinstall Ruteo Gateway Distancia Bridge Wireless WiFi 802.11a/b/g/n/ac Modulación Frecuencia Access Point Security Profile CPE Estación Access List Connect List Forwarding Nstreme NV2 ARP DHCP Server DHCP Cliente eMail Netwatch Profiler Neighbours Supout.rif System Log Connection Track Chains src-nat dst-nat masquerade NAT Filter Mangle Scripts Scheduler Colas Simples Burst PCQ Queue Types Herramientas Graphics SNMP PPP L2TP PPTP PPPoE
Conceptos Fundamentales de MikroTik RouterOS v6.36.7.1.01 Libro de Estudio
ABC Xperts ® Network Xperts ® Academy Xperts ®
Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.37.1.01 – Libro de Estudio
Tabla de Contenido Introducción ........................................................................................................................................................ vi Resumen ......................................................................................................................................................................... vii Audiencia ......................................................................................................................................................................... vii Organización ................................................................................................................................................................... vii Convenciones usadas en este libro................................................................................................................................ viii Comentarios y preguntas ............................................................................................................................................... viii
Partners de Academy Xperts en Latinoamérica .............................................................................................. ix Empresas Asociadas ........................................................................................................................................................ ix Universidades e Institutos Superiores .............................................................................................................................. ix Deseas convertirte en Academia o ser Partner de Academy Xperts? ............................................................................. ix Un poco de Historia (Costa Rica) ...................................................................................................................................... x Cubriendo un País con MikroTik. .............................................................................................................................. x
Capítulo 1: RouterOS .......................................................................................................................................... 1 Sobre MikroTik ................................................................................................................................................................. 1 ¿Qué es RouterOS? ......................................................................................................................................................... 1 Característica de RouterOS ............................................................................................................................................. 2 Qué hay de nuevo en la Versión 6 ................................................................................................................................... 4 Detalle de cambios en las cinco últimas versiones de RouterOS .................................................................................... 7 v6.37.1, 30/Septiembre/2016, 10:28 ........................................................................................................................ 7 v6.37, 23/Septiembre/2016, 08:20 ........................................................................................................................... 8 v6.36.3, 05/Septiembre/2016, 08:09 ...................................................................................................................... 11 v6.36.2, 22/Agosto/2016, 12:54 .............................................................................................................................. 11 v6.36.1, 05/Agosto/2016, 09:39.............................................................................................................................. 12 Qué es RouterBOARD? ................................................................................................................................................. 14 Arquitecturas Soportadas: ...................................................................................................................................... 14 Programa Made For MikroTik (MFM) ............................................................................................................................. 14 Por qué trabajar con un router integrado?...................................................................................................................... 14 Nomenclatura de los productos RouterBOARD ............................................................................................................. 15 Nomenclatura de los productos CloudCoreRouter ......................................................................................................... 16 Nomenclatura de los productos CloudCoreSwitch ......................................................................................................... 16 Ingresando al Router por Primera vez............................................................................................................................ 17 WebFig - Ingreso por Web Browser ............................................................................................................................... 17 Skins ............................................................................................................................................................................... 18 Quickset.......................................................................................................................................................................... 19 WinBox ........................................................................................................................................................................... 20 RoMON........................................................................................................................................................................... 20 Secrets ................................................................................................................................................................... 21 Peer Discovery ....................................................................................................................................................... 22 Aplicaciones ........................................................................................................................................................... 22 Otras formas de acceso: SSH y Telnet .......................................................................................................................... 23 Acceso por puerto serial (puerto de Consola) ........................................................................................................ 23 Bootloader .............................................................................................................................................................. 23 Consola Serial / Terminal Serial ............................................................................................................................. 23 Configuración Básica o dejar el router en Blanco .......................................................................................................... 24 Actualizando el router ..................................................................................................................................................... 25 Cómo hacer un Upgrade ........................................................................................................................................ 25 Actualización automática ........................................................................................................................................ 27 RouterBoot firmware Upgrade ................................................................................................................................ 27 Paquetes de RouterOS .................................................................................................................................................. 27 Paquetes principales de RouterOS ........................................................................................................................ 28 Paquetes extra de RouterOS ................................................................................................................................. 28 Listado de paquetes ARM ...................................................................................................................................... 30 Listado de paquetes MIPSBE ................................................................................................................................. 30 Listado de paquetes PPC (PowerPC) .................................................................................................................... 30 Listado de paquetes SMIPS ................................................................................................................................... 30 Listado de paquetes TILE ....................................................................................................................................... 31 Listado de paquetes x86 ........................................................................................................................................ 31 Listado de paquetes CHR (Cloud Hosted Router) ................................................................................................. 31 Administración de usuarios en un RouterOS ................................................................................................................. 31 Grupos de Usuario (User Group) ........................................................................................................................... 32 Información Sensitiva ............................................................................................................................................. 33 Usuarios del Router (router users) ......................................................................................................................... 34 Monitoreo de los usuarios activos .......................................................................................................................... 35
Academy Xperts
i
RouterOS v6.37.1.01 – Libro de Estudio
AAA Remoto ........................................................................................................................................................... 35 SSH Keys ............................................................................................................................................................... 36 Private Keys ........................................................................................................................................................... 36 Administración de servicios en un RouterOS (IP Services) ........................................................................................... 37 Administración de los respaldos (backup) de las configuraciones ................................................................................. 37 Comando export ..................................................................................................................................................... 38 Guardar archivos de Backup .................................................................................................................................. 38 Licencias RouterOS........................................................................................................................................................ 38 Niveles de Licencias ............................................................................................................................................... 39 Cambio de Niveles de Licencias ............................................................................................................................ 40 Uso de las Licencias ............................................................................................................................................... 40 NetInstall......................................................................................................................................................................... 40 Procedimientos para usar Netinstall ....................................................................................................................... 41 Recursos adicionales ..................................................................................................................................................... 42 Preguntas de repaso del Capítulo 1 ............................................................................................................................... 44 Laboratorio – Capítulo 1 ................................................................................................................................................. 44
Capítulo 2: Ruteo Estático ................................................................................................................................ 45 Conceptos de Ruteo ....................................................................................................................................................... 45 Routing o enrutamiento .......................................................................................................................................... 45 Etiquetas de Rutas ................................................................................................................................................. 46 Significado de las etiquetas de rutas más comunes: ............................................................................................. 46 Rutas Estáticas............................................................................................................................................................... 47 Propiedades generales ........................................................................................................................................... 47 Propiedades de solo-lectura ................................................................................................................................... 48 Configurando la Ruta por Defecto .................................................................................................................................. 49 Gestión de Rutas Dinámicas .......................................................................................................................................... 49 Preguntas de repaso del Capítulo 2 ............................................................................................................................... 50 Laboratorio – Capítulo 2 ................................................................................................................................................. 50
Capítulo 3: Bridge.............................................................................................................................................. 51 Conceptos de Bridging ................................................................................................................................................... 51 Usando Bridges .............................................................................................................................................................. 52 Creando un Bridge ......................................................................................................................................................... 53 Preguntas de repaso del Capítulo 3 ............................................................................................................................... 53 Laboratorio – Capítulo 3 ................................................................................................................................................. 53
Capítulo 4: IEEE 802.11 (Wireless) .................................................................................................................. 54 Conexión Inalámbrica ..................................................................................................................................................... 54 IEEE 802.11 ................................................................................................................................................................... 54 Frecuencias y bandas: ........................................................................................................................................... 54 802.11b/g ................................................................................................................................................................ 54 802.11a ................................................................................................................................................................... 55 Problema del Nodo Oculto ............................................................................................................................................. 56 Diversidad Espacial ................................................................................................................................................ 57 basic-rates / supported-rates .......................................................................................................................................... 57 HT chains ....................................................................................................................................................................... 57 802.11n - Data Rates ..................................................................................................................................................... 58 802.11ac - Data Rates.................................................................................................................................................... 59 Tipos de Modulación ...................................................................................................................................................... 60 Modo de Frecuencia (frequency-mode) ......................................................................................................................... 60 Rate Flapping ................................................................................................................................................................. 60 Configuración básica de un Access Point (AP) .............................................................................................................. 61 Perfil de Seguridad (Security profile) .............................................................................................................................. 61 Configuración básica de una Estación (client/station) .................................................................................................... 62 Filtrado por MAC address............................................................................................................................................... 63 Access-list .............................................................................................................................................................. 63 Parámetros adicionales: ......................................................................................................................................... 63 Connect-list: ............................................................................................................................................................ 64 Default-authentication ............................................................................................................................................. 65 Default-forwarding .................................................................................................................................................. 65 WPA, WPA2 ................................................................................................................................................................... 65 Protocolos Wireless propietarios de MikroTik ................................................................................................................ 66 NV2 (Nstreme Version 2) ....................................................................................................................................... 66 Herramientas de monitoreo ............................................................................................................................................ 66 Wireless scan ......................................................................................................................................................... 66 Snooper .................................................................................................................................................................. 67 Registration table .................................................................................................................................................... 67
Academy Xperts
ii
RouterOS v6.37.1.01 – Libro de Estudio
Redes inalámbricas en Modo Bridge.............................................................................................................................. 67 Preguntas de repaso del Capítulo 4 ............................................................................................................................... 68 Laboratorio – Capítulo 4 ................................................................................................................................................. 68
Capítulo 5: Network Management .................................................................................................................... 69 ARP / RARP ................................................................................................................................................................... 69 Modos ARP ............................................................................................................................................................ 70 Tabla ARP .............................................................................................................................................................. 71 Servidor / Cliente DHCP ................................................................................................................................................. 71 DHCP Server Setup ............................................................................................................................................... 72 DHCP Client ........................................................................................................................................................... 75 Gestión de Asignaciones ................................................................................................................................................ 75 Preguntas de repaso del Capítulo 5 ............................................................................................................................... 76 Laboratorio – Capítulo 5 ................................................................................................................................................. 76
Capítulo 6: Firewall............................................................................................................................................ 77 Conceptos básicos de Firewall ....................................................................................................................................... 77 ¿Cómo funciona un firewall? .................................................................................................................................. 77 Mapa de Protocolos ................................................................................................................................................ 83 Flujo de Paquetes........................................................................................................................................................... 83 Diagrama de flujo de paquetes en Bridge o Capa 2 (MAC) ................................................................................... 84 Diagrama de flujo de paquetes en Ruteo o Capa 3 (IP)......................................................................................... 84 Cambios en RouterOS v6 ....................................................................................................................................... 84 Connection Tracking y sus Estados ............................................................................................................................... 86 TCP-States ............................................................................................................................................................. 87 Estados de las Conexiones (connection-state) ...................................................................................................... 87 Estructura: chains y acciones ......................................................................................................................................... 87 Filtrado Firewall en acción ...................................................................................................................................... 87 Consejos Básicos y trucos ..................................................................................................................................... 87 Filtrado por Parámetros .......................................................................................................................................... 88 Filter actions ................................................................................................................................................................... 88 Protegiendo tu router (input)........................................................................................................................................... 88 Protegiendo a todos los clientes (forward) ..................................................................................................................... 88 Address-list conceptos básicos ...................................................................................................................................... 89 Source NAT .................................................................................................................................................................... 90 masquerade & src-nat ............................................................................................................................................ 90 Destination NAT ............................................................................................................................................................. 91 dst-nat & redirect .................................................................................................................................................... 92 scripts ............................................................................................................................................................................. 92 Preguntas de repaso del Capítulo 6 ............................................................................................................................... 93 Laboratorio – Capítulo 6 ................................................................................................................................................. 93
Capítulo 7: Colas Simples y QoS ..................................................................................................................... 94 Principios de limitación de velocidad .............................................................................................................................. 94 Simple Queues (Colas Simples)..................................................................................................................................... 95 Identificadores de Flujo .......................................................................................................................................... 96 Propiedades HTB ................................................................................................................................................... 97 Tipos de Colas (Queue Types) ............................................................................................................................... 98 PFIFO, BFIFO y MQ PFIFO ........................................................................................................................................... 99 RED .............................................................................................................................................................................. 100 SFQ .............................................................................................................................................................................. 101 PCQ .............................................................................................................................................................................. 102 Nueva implementación de PCQ (a partir de la v5.0RC5) ..................................................................................... 105 Interface Queue ............................................................................................................................................................ 105 Burst ............................................................................................................................................................................. 106 Preguntas de repaso del Capítulo 7 ............................................................................................................................. 108 Laboratorio – Capítulo 7 ............................................................................................................................................... 108
Capítulo 8: Túneles PPP ................................................................................................................................. 109 Introducción .................................................................................................................................................................. 109 RouterOS y Túneles ..................................................................................................................................................... 110 /ppp profile (perfiles de usuario) ................................................................................................................................... 110 /ppp secret (base de datos de usuario) ........................................................................................................................ 112 /ppp active (usuarios activos) ....................................................................................................................................... 113 /ppp aaa (AAA remoto) ................................................................................................................................................. 114 /ppp client (cliente PPP) ............................................................................................................................................... 114 /ip pool .......................................................................................................................................................................... 115 PPPoE .......................................................................................................................................................................... 116
Academy Xperts
iii
RouterOS v6.37.1.01 – Libro de Estudio
Operación PPPoE ................................................................................................................................................ 117 Tipos de paquetes utilizados ................................................................................................................................ 118 MTU ...................................................................................................................................................................... 118 pppoe client (Cliente PPPoE) ............................................................................................................................... 119 Status ................................................................................................................................................................... 119 Scanner ................................................................................................................................................................ 120 Configuración del Server PPPoE (Concentrador de Acceso) .............................................................................. 121 PPTP ............................................................................................................................................................................ 123 PPTP Client (cliente pptp) .................................................................................................................................... 125 PPTP Server (servidor pptp) ................................................................................................................................ 126 L2TP ............................................................................................................................................................................. 126 L2TP Client (cliente l2tp) ...................................................................................................................................... 127 L2TP Server (servidor l2tp) .................................................................................................................................. 128 Clientes y servidores SSTP .......................................................................................................................................... 128 Clientes y Servidores OpenVPN .................................................................................................................................. 130 Configuración de Rutas entre redes ............................................................................................................................. 130 Preguntas de repaso del Capítulo 8 ............................................................................................................................. 131 Laboratorio – Capítulo 8 ............................................................................................................................................... 131
Capítulo 9: Herramientas RouterOS .............................................................................................................. 132 E-mail ........................................................................................................................................................................... 132 Send Email ........................................................................................................................................................... 132 Netwatch....................................................................................................................................................................... 133 Ping .............................................................................................................................................................................. 135 Formato de la cabecera (header) ICMP ............................................................................................................... 135 Mensajes de Control ICMP ................................................................................................................................... 136 MAC ping .............................................................................................................................................................. 138 Traceroute .................................................................................................................................................................... 138 Profiler (Carga del CPU)............................................................................................................................................... 139 Torch ............................................................................................................................................................................ 141 Graphing (Gráficos) ...................................................................................................................................................... 142 Interface Graphing ................................................................................................................................................ 144 Queue Graphing ................................................................................................................................................... 144 Resource Graphing .............................................................................................................................................. 144 Graphics en WinBox ............................................................................................................................................. 145 SNMP ........................................................................................................................................................................... 145 SNMP dentro del mapa de Protocolos TCP/IP ..................................................................................................... 147 Community (Comunidad) ...................................................................................................................................... 147 Management information base (MIB) ................................................................................................................... 148 Identificadores de Objetos (OID - Object identifiers) ............................................................................................ 148 Traps .................................................................................................................................................................... 148 SNMP write ........................................................................................................................................................... 148 System identity ............................................................................................................................................................. 149 IP Neighbor................................................................................................................................................................... 150 IP Neighbor discovery .......................................................................................................................................... 151 Ponerse en contacto con Soporte MikroTik.................................................................................................................. 152 Supout.rif .............................................................................................................................................................. 152 Supout.rif Viewer .................................................................................................................................................. 152 Autosupout.rif ....................................................................................................................................................... 153 Registros (logging) del sistema y registros de depuración ........................................................................................... 153 Configuración del Logging .................................................................................................................................... 153 Actions .................................................................................................................................................................. 154 Tópicos ................................................................................................................................................................. 155 Bandwidth Test ............................................................................................................................................................. 156 Bandwidth Test Server ......................................................................................................................................... 156 Bandwidth Test Client ........................................................................................................................................... 156 Ping Speed ................................................................................................................................................................... 157 SMS .............................................................................................................................................................................. 158 Packet Sniffer ............................................................................................................................................................... 159 IP-Scan ......................................................................................................................................................................... 160 Telnet............................................................................................................................................................................ 161 SSH .............................................................................................................................................................................. 161 MAC Telnet................................................................................................................................................................... 161 Sigwatch ....................................................................................................................................................................... 161 Wake on Lan (Activación de la Lan) ............................................................................................................................. 162 Fetch............................................................................................................................................................................. 162
Academy Xperts
iv
RouterOS v6.37.1.01 – Libro de Estudio
Dynamic DNS ............................................................................................................................................................... 163 Flood Ping .................................................................................................................................................................... 166 Generator Traffic (Generador de Tráfico) ..................................................................................................................... 166 Monitor de Tráfico de Interface..................................................................................................................................... 170
Academy Xperts
v
RouterOS v6.37.1.01 – Libro de Estudio
Introducción MikroTik es una empresa que nace en Latvia (Letonia) en 1996 con el claro objetivo de proveer un sistema operativo de red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico y multi-núcleo, este hardware es el RouterBOARD. A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes por nuestros racks, siendo Cisco el referente, sin embargo siempre había representado un costo más o menos importante a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP. No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica (Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas. Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD. Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de fabricantes y costos de implementación. Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.
Mauro Escalante CEO Academy Xperts CEO Network Xperts
Academy Xperts
vi
RouterOS v6.37.1.01 – Libro de Estudio
Resumen Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de certificación, pero que resultan claves para el correcto entendimiento de la materia. La información aquí presentada www.youtube.com/abcxperts
se
complementa
con
nuestros
recursos
en
www.abcxperts.com
y
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio ritmo. Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción. Tenemos una tarea inmensa por delante, pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía de autoestudio MikroTik.
Audiencia Las personas que leen este libro deben estar familiarizados con: • •
Operaciones de red en Capa 2 Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP
Este libro está dirigido a: • • •
Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a: § Redes Corporativas § Clientes WISP e ISP Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes corporativa y PYMES Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario (Help Desk)
Organización Este libro consta de 8 capítulos. Al final de cada capítulo existe una lista de que resume las ideas principales. El apéndice proporciona material de referencia de utilidad, Capítulo 1, MikroTik, RouterOS y RouterBOARD Una rápida revisión sobre quién es MikroTik, el desarrollo del hardware RouterBOARD, y la base de su sistema operativo RouterOS en el kernel de Linux. Se enumeran todas las nuevas características que hacen a la versión 6.x.El contenido de este capítulo se apoya en los videos tutoriales de nuestro canal de conocimiento ABCxperts (http://www.abcxperts.com) en la plataforma YouTube (http://www.youtube.com/abcxperts). Capítulo 2, Ruteo Estático Trabajar en ruteo estático es muy sencillo en el RouterOS, sin embargo es muy importante fortalecer los conceptos y comprender los diferentes parámetros asociados con esta tarea. Los instructores (MikroTik Trainer Partners) deben fortalecer este entendimiento con ejercicios de laboratorio y prácticas teóricas. En nuestro canal de YouTube (http://www.youtube.com/abcxperts) tenemos video basados en Webinars específicamente sobre Conceptos de Ruteo, Subnetting, y VLSM. Capítulo 3, Bridge Una revisión del concepto de bridge, ventajas y desventajas. Capítulo 4, Wireless El mundo de Wireless en RouterOS es sumamente extenso y versátil, sin embargo en este capítulo del curso se sientan las bases para poder realizar enlaces básicos y de mediana envergadura para punto-punto y punto-multipunto. En este capítulo se revisan temas como la seguridad Wireless, filtrado por MAC (address-list y access-list), HT chains, rate flapping, etc. Capítulo 5, Network Management RouterOS es un sistema operativo que provee diferentes herramientas de administración y monitoreo. En este capítulo se revisarán temas como ARP, DHCP Server, DHCP Cliente, Herramientas de RouterOS (email, netwatch, ping, traceroute, profiler, IP neighbors) Capítulo 6, Firewall La función Firewall de RouterOS es sumamente poderosa y en esta sección se tratará de cubrir las opciones y acciones más importantes destinadas a proteger el router y la red, así como también las formas de proveer acceso a recursos de LAN a través de un dispositivo que da la cara a Internet o red externa. Existen decenas de parámetros y situaciones entre las que se revisarán: Flujo de paquetes, Connection Track, Chains, Actions, Filtros, NAT (src-nat, dst-nat), Mangle. Capítulo 7, Colas Simples y QoS Si bien es cierto las Colas Simples (simple-queues) son “simples”, sin embargo proporcionan una posibilidad casi ilimitada para realizar una verdadera implementación de calidad de servicio (QoS) de la mano con las reglas de Mangle. Colas simples Academy Xperts
vii
RouterOS v6.37.1.01 – Libro de Estudio
tiene sus limitaciones sobre la eficiencia de la asignación de ancho de banda, pero en los ejercicios que se desarrollen se podrá emular una estructura jerárquica que podrá ser mejorada en el curso de Control de Tráfico Avanzado. Capítulo 8, Túneles Por qué son necesarios los túneles? Cómo entender las interfaces virtuales que se generan? Cómo interconectar dos o más redes remotas a través de internet? Viajan los datos en forma segura o están expuesto en la nube? Este capítulo enseña cómo crear los diferentes tipos de túneles PPP en RouterOS. Se revisarán los parámetros y esquema de configuración de túneles: PPPoE, PPTP, L2TP, SSTP y OVPN
Convenciones usadas en este libro En este libro se utilizarán las siguientes convenciones tipográficas: Itálicas Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso de términos técnicos Courier new Indica direcciones IP y ejemplos de línea de comando Courier new en itálica Indica texto que puede ser reemplazado Courier new en negrita Indica datos de entrada del usuario Este icono significa un consejo, sugerencia, o una nota general. Este icono indica una advertencia o precaución.
Comentarios y preguntas Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección: Network Xperts S.A. Av. Juan T. Marengo y J. Orrantia Edificio Professional Center, Piso 5, Ofic. 507 Guayaquil, ECUADOR +593-4-600-8590 +593-9-9535-2132 A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información adicional: http://cursos.abcxperts.com Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
[email protected] Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros Websites y canal de YouTube http://www.abcxperts.com http://www.academyxperts.com http://www.youtube.com/abcxperts
Academy Xperts
viii
RouterOS v6.37.1.01 – Libro de Estudio
Partners de Academy Xperts en Latinoamérica Nuestro recorrido por América Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros estudiantes el mejor y más completo material de estudio & laboratorio, y lo que es muy importante… que el contenido siempre esté actualizado. Nos encantaría estar presente en cada uno de los 14 países y las más de 40 ciudades que recorremos todos los años, pero el tiempo y la disponibilidad física nos es un obstáculo. Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en diferentes países que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido y el acceso a la suscripción anual de este libro (y todos sus recursos) por un cómodo valor.
Empresas Asociadas
Universidades e Institutos Superiores
Deseas convertirte en Academia o ser Partner de Academy Xperts? • • •
Si eres Universidad o Instituto Superior que cuenta con el respectivo acuerdo ministerial de tu país, puedes optar por convertirte en una Academia MikroTik. Escríbenos a
[email protected] para darte más información. Si eres Trainer Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitación, te invitamos escribirnos a
[email protected] para proporcionarte los detalles. Si deseas que organicemos cursos en tu ciudad/país de residencia, escríbenos a
[email protected]
Academy Xperts
ix
RouterOS v6.37.1.01 – Libro de Estudio
Un poco de Historia (Costa Rica) Cubriendo un País con MikroTik. En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing. Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2 Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps. En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas bajo la misma marca MikroTik y su sistema operativo RouterOS. Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A (REICO). Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de 80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para alcanzar una cobertura de más del 80% del territorio y a más del 90% de la población. La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales, turísticos, comerciales, etc. Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK. REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro, Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa Rica 2014.
Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico sobre los inicios de MikroTik en Latinoamérica.
Academy Xperts
x
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
Capítulo 1: RouterOS MikroTik, RouterOS y RouterBOARD
Sobre MikroTik MikroTik es una compañía fundada en 1996 en Riga, capital de Latvia, creada para desarrollar routers y sistemas inalámbricos para Proveedores de Servicios de Internet (ISP – Internet Service Provider)
En 1997 MikroTik creó el sistema de software RouterOS que proporciona estabilidad, control y flexibilidad para todos los tipos de interfaces de datos y ruteo En el 2002 MikroTik decidió fabricar su propio hardware y de esta forma nace el RouterBOARD. MikroTik tiene distribuidores en muchas partes del mundo, y clientes probablemente en casi todos los países del planeta. Páginas de interés: www.mikrotik.com - Website oficial www.routerboard.com - Página oficial de los productos RouterBOARD wiki.mikrotik.com - Portal de documentación tiktube.com - Portal de videos mum.mikrotik.com - Eventos y conferencias del MikroTik User Meeting forum.mikrotik.com - Foro de soporte oficial
¿Qué es RouterOS? MikroTik RouterOS es el sistema operativo del hardware MikroTik RouterBOARD, que tiene las características necesarias para un ISP: Firewall, Router, MPLS, VPN, Wireless, HotSpot, Calidad de Servicio (QoS), etc. RouterOS es un sistema operativo independiente basado en el kernel de Linux v3.3.5 que proporciona todas las funciones en una instalación rápida y sencilla, con una interfaz fácil de usar. RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles con x86, como tarjetas embebidas y sistemas miniITX. RouterOS soporta computadores multi-core y multi CPU. Soporta tambien Multiprocesamiento Simétrico (SMP: Symmetric MultiProcessing). Se puede ejecutar en los motherboards Intel más recientes y aprovechar los nuevos CPUs multicore. Multiprocesamiento Simétrico Es una arquitectura de Software y Hardware donde dos o más procesadores idénticos son conectados a una simple memoria compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son controlados por una simple instancia del OS (Sistema Operativo), en el cual todos los procesadores son tratados en forma igualitaria, sin que ninguno sea reservado para propósitos especiales. En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos, tratándolos como procesadores separados. El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo. Soporta una gran variedad de interfaces de red, incluyendo tarjetas Ethernet de 10 Gigabit, tarjetas wireless 802.11a/b/g/n/ac y módems 3G y 4G. Academy Xperts
1
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
Fechas de liberación de las versiones de RouterOS • • • •
v6 - May 2013 v5 - Mar 2010 v4 - Oct 2009 v3 - Ene 2008
Característica de RouterOS Soporte de Hardware • • • • • • •
Compatible con arquitectura i386 Compatible con SMP (multi-core y multi-CPU) Requiere un mínimo de 32MB de RAM (reconoce hasta máximo 2GB, excepto en los dispositivos Cloud Core, donde no existe un máximo) Soporta los medios de almacenamiento IDE, SATA, USB y flash, con un mínimo de 64MB de espacio. Incluye HDDs, tarjetas CF y SD, y discos SDD Tarjetas de red soportadas por el kernel de Linux v3.3.5 (PCI, PCI-X) Soporte de configuración de Chip de Switch: o http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features Compatibilidad de diferentes tipos de interfaces y dispositivos. Existe una lista de compatibilidad que alimentada por los usuarios en el siguiente link: o http://wiki.mikrotik.com/wiki/Supported_Hardware
Instalación • • •
Netinstall: Instalación basada en red desde una tarjeta de red habilitada con PXE o EtherBoot. o http://wiki.mikrotik.com/wiki/Manual:Netinstall Netinstall: Instalación a un drive secundario montado en Windows Instalación basada en CD
Configuración • • • • •
Acceso basado en MAC para configuración inicial. http://wiki.mikrotik.com/wiki/Manual:First_time_startup WinBox: herramientas de configuración gráfica (GUI) independiente para Windows. o http://wiki.mikrotik.com/wiki/Manual:Winbox WebFig: Interface de configuración avanzada basada en web Poderosa interface de configuración basada en Línea de Comandos (CLI: command line) con capacidades de scripting integrado, accesible a través de terminal local, consola serial, telnet y ssh. o http://wiki.mikrotik.com/wiki/Manual:Scripting API: una forma de crear sus propias configuraciones y aplicaciones de monitoreo. o http://wiki.mikrotik.com/wiki/Manual:API
Respaldo y Restauración (Backup/Restore) • •
Copia de seguridad se configuración binaria Exportar e Importar la Configuración en formato de texto legible
Firewall • • • • • • • • •
Filtrado basado en el estado del paquete (Statefull filtering) Source NAT y Destination NAT. o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp). o http://wiki.mikrotik.com/wiki/Manual:IP/Services#Service_Ports Marcas internas: mark-connection, mark-routing y mark-packet Filtrado basado en dirección IP y rango de direcciones, puerto y rango de puertos, protocolo IP, DSCP y muchos más. o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter Listas de direcciones (Address lists). o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list Filtros de Capa 7 personalizados. o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7 Soporte para IPv6. o http://wiki.mikrotik.com/wiki/Manual:IPv6_Overview PCC: clasificador basado en conexión, utilizado en configuraciones de balanceo de carga. o http://wiki.mikrotik.com/wiki/Manual:PCC
Ruteo (Routing) • •
Ruteo Estático Virtual Routing and Forwarding (VRF). o http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding
Academy Xperts
2
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
• • • • • •
Ruteo basado en políticas (Policy based routing) Interface de ruteo. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Routes_with_interface_as_a_gateway Ruteo ECMP. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Multipath_.28ECMP.29_routes Protocolos de ruteo dinámico IPv4: RIP v1/v2, OSPFv2, BGP v4 Protocolos de ruteo dinámico IPv6: RIPng, OSPFv3, BGP Bidirectional Forwarding Detection ( BFD). o http://wiki.mikrotik.com/wiki/Manual:Routing/BFD
MPLS • • • • • •
Static Label bindings para IPv4 Label Distribution protocol para IPv4. o http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS Túneles de Ingeniería de Tráfico RSVP. o http://wiki.mikrotik.com/wiki/Manual:MPLS/TE_Tunnels Autodescubrimiento y señalización basado en VPLS MP-BGP MP-BGP basado en MPLS IP VPN Es el siguiente link se puede revisar la lista completa de las características de MPLS
VPN • • • • • • •
IPsec: túnel y modo de transporte, certificado o PSK, protocolos de seguridad AH y ESP. Soporte de encriptación por hardware en RouterBOARD 1000. o http://wiki.mikrotik.com/wiki/Manual:IP/IPsec Point to point Tunneling (OpenVPN, PPTP, PPPoE, L2TP, SSTP) Características avanzadas de PPP (MLPPP, BCP) Soporte para túneles simples ( IPIP, EoIP) IPv4 e IPv6 Soporte para túnel 6to4 (IPv6 sobre red IPv4) VLAN: soporte para IEEE802.1q Virtual LAN, Soporte de Q-in-Q. o http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN VPNs basadas en MPLS. o http://wiki.mikrotik.com/wiki/Manual:RouterOS_features#MPLS
Wireless • • • • • • • • • • • •
Cliente y Access Point inalámbrico IEEE802.11a/b/g Soporte completo para IEEE802.11n Protocolos propietarios Nstreme y Nstreme2 Protocolo NV2. http://wiki.mikrotik.com/wiki/Manual:Nv2 Wireless Distribution System (WDS) Virtual AP WEP, WPA, WPA2 Control por Lista de Acceso (Access List) Roaming de cliente Wireless WMM. http://wiki.mikrotik.com/wiki/Manual:WMM Protocolo HWMP+ Wireless MESH. o http://wiki.mikrotik.com/wiki/Manual:Interface/HWMPplus Protocolo de ruteo wireless MME. o http://wiki.mikrotik.com/wiki/Manual:Routing/MME
DHCP • • • • • • •
DHCP server por interface DHCP client y relay Arrendamiento de direcciones IP (leases) DHCP estáticas y dinámicas Soporte RADIUS Opciones personalizadas de DHCP Delegación de prefijo DHCPv6 (DHCPv6-PD) Cliente DHCPv6
HotSpot • • • •
Acceso Plug-n-Play a la red Autenticación de clientes de red locales Contabilización de usuarios (Users Accounting) Soporte RADIUS para Autenticación y Contabilización
QoS • • •
Sistema Hierarchical Token Bucket ( HTB) QoS con CIR, MIR, burst y soporte de prioridades. o http://wiki.mikrotik.com/wiki/Manual:HTB Colas Simples (Simple Queues) para implementación de QoS básico para una solución rápida y simple Entrega equitativa de ancho de banda al cliente en forma dinámica ( PCQ).
Academy Xperts
3
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
o
http://wiki.mikrotik.com/wiki/Manual:PCQ
Proxy •
Servidor proxy para almacenamiento en caché de HTTP
•
Proxy Transparente HTTP
•
Soporte de protocolo SOCKS. o http://wiki.mikrotik.com/wiki/Manual:IP/SOCKS Entradas estáticas DNS. o http://wiki.mikrotik.com/wiki/Manual:IP/DNS Soporte para almacenamiento en caché en un drive separado Soporte para Proxy Padre (parent proxy) Lista de Control de Acceso (access control list) Lista de almacenamiento en caché (caching list)
• • • • •
Herramientas • • • • • • • • •
Ping, traceroute Test de ancho de banda (Bandwidth test), ping flood Packet sniffer, torch Telnet, ssh E-mail y herramientas de envío SMS Herramientas de ejecución de Scripts automatizados CALEA. http://wiki.mikrotik.com/wiki/CALEA Herramienta File Fetch. o http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch Generador avanzado de tráfico
Características adicionales • • • • • • • • • • • • • •
Soporte para Samba. o http://wiki.mikrotik.com/wiki/Manual:IP/SMB Soporte para OpenFlow. o http://wiki.mikrotik.com/wiki/Manual:OpenFlow Bridging: spanning tree protocol (STP, RSTP), bridge firewall y MAC natting. Herramienta de actualización de Dynamic DNS NTP client/server y sincronización con sistema GPS. o http://wiki.mikrotik.com/wiki/Manual:System/Time#SNTP_client Soporte para VRRP v2 y v3. o http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP SNMP M3P: MikroTik Packet Packer Protocol para enlaces Wireless y Ethernet MNDP: MikroTik neighbor discovery protocol, soporta CDP (Cisco discovery protocol) Autenticación y Contabilización RADIUS TFTP server. http://wiki.mikrotik.com/wiki/Manual:IP/TFTP Soporte para interface Sincrónica (Farsync cards only) (Se removió en la versión v5.x) Asincrónico: serial PPP dial-in/dial-out, dial on demand ISDN: dial-in/dial-out, soporte para128K bundle, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial on demand
Qué hay de nuevo en la Versión 6 Novedades Generales • • • • • • • • • • • • •
Drivers y Kernel actualizados a linux-3.3.5 Soporte inicial para OpenFlow. http://wiki.mikrotik.com/wiki/Manual:OpenFlow Nuevas características para pantallas táctiles LCD. o http://wiki.mikrotik.com/wiki/Manual:LCD_TouchScreen Método de login mac-cookie para el HotSpot (mayormente usado en teléfonos inteligentes). o http://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction#MAC_Cookie Opciones configurables del kernel en el menú /ip settings y /ipv6 settings (ip forward, filtros rp etc.) El timeout del ARP puede ser cambiado en /ip settings El Neighbor discovery puede ser deshabilitado por default en las interfaces dinámicas en el menú /ip neighbor discovery settings Para habilitar/deshabilitar el descubrimiento (discovery) en la interface se debe usar el comando /ip neighbor discovery set (interface number/name) discover=yes/no Muestra el last-logged-in en la lista de usuarios GRE soporta todos los protocolos de encapsulación, no solo IPv4 e IPv6 La etiqueta ‘Slave’ se muestra en las interfaces que están en bridge, bonding o grupo de switch El cliente SSH provee la nueva propiedad output-to-file, muy útil cuando se realiza scripting. Soporte para API sobre TLS (SSL). http://wiki.mikrotik.com/wiki/Manual:API
Academy Xperts
4
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
• • • • • • • • •
API se encuentra habilitado por default DNS reintenta las búsquedas con TCP si se reciben resultados truncados DNS rota los servidores únicamente en falla DNS cache guarda en bitácora los requerimientos de los tópicos "dns" y "packet"; WebFig ahora soporta autenticación RADIUS (vía MS-CHAPv2). o http://wiki.mikrotik.com/wiki/Manual:Webfig Se agregó un nuevo parámetros en Web Proxy: max-cache-object-size Se incrementó el contador de conexiones Max client/server en el Web Proxy Si el cliente NTP está habilitado, el log muestra la hora y fecha correctas cuando el router ha realizado un reboot Trunking 802.1Q con el chip de switch Atheros. o http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
OpenFlow: Es la primera interfaz de comunicaciones estándar definida entre las capas de control y forward de una arquitectura SDN. Permite el acceso directo y la manipulación del plano de forward de los dispositivos de red tales como switches y routers, tanto físicos como virtuales (basados en hypervisor) El OpenFlow basado en tecnologías SDN, permite direccionar el consumo de ancho de banda, adaptar la red a las necesidades cambiantes del negocio, y reducir las complejidad de las operaciones y de la administración. https://www.opennetworking.org/sdn-resources/openflow SDN = Software-Defined Networking. Es la separación del de la red del Un controla diferentes dispositivos. https://www.opennetworking.org/sdn-resources/sdn-definition Mac-Cookie: es una nueva función HotSpot, diseñado para mejorar la accesibilidad de los teléfonos inteligentes, computadoras portátiles y otros dispositivos móviles. Si tenemos activado esto podremos: •
Primer inicio de sesión correcto. Mac cookie mantiene un registro de nombre de usuario y la contraseña de la dirección MAC si solo hay un HotSpot con tales MAC.
Aparece un nuevo Host. HotSpot chequea si hay un registro de cookies mac para la dirección y los registros. PPP • • • • •
SSTP puede forzar una encriptación AES en lugar del RC4 por default El profile de PPP provee ahora los parámetros bridge-path-cost y bridge-port-priority Secrets muestra la fecha y hora de last-logged-out HotSpot y PPP ahora soportan múltiples address-lists Únicamente se crean 2 reglas de mangle mss para todas las interfaces PPP
Firewall • • • •
Nuevos comparadores (matchers) de interfaces all-ether, all-wireless, all-vlan, all-ppp Comparador con prioridad Nuevas opciones en change-dscp: from-priority y from-priority-to-high-3-bits Nuevas acciones de mangle: snif-tzsp, snif-pc
Wireless •
Opciones de Canales Wireless: se puede crear una lista de canales personalizados. o http://wiki.mikrotik.com/wiki/Manual:Wireless_Advanced_Channels
DHCP • • • • • • •
El cliente DHCP ahora soporta opciones personalizadas El cliente DHCP v4 ahora tiene la opción special-classless para el parámetro add-default-route Se puede agregar la opción (Option 82) de información del agente relay. o http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay Soporte de la opción DHCPv6 DNS Soporte de DHCPv6 Relay Soporte de ruta enmarcada DHCP server RADIUS Opción de configuración por entrega de IP (lease) DHCP
IPsec • • • • • • • •
Se mejoró significativamente la configuración Road Warrior cuando se usa con el soporte Mode Configuration. Soporte Mode Conf (unity split include, address pools, DNS) IPsec peer puede ser configurado como pasivo: no iniciará una negociación ISAKMP SA Soporte Xauth ( xauth PSK e Hybrid RSA) Plantilla de políticas: permite generar una política solo si src/dst address, protocol y proposal coinciden con la plantilla Peer groups Se puede usar Multiple peers con la misma dirección IP. Para los peers con un sistema especificado de dirección IP completo se auto-iniciará una negociación ISAKMP SA.
Academy Xperts
5
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
• •
generate-policy puede ahora tener un valor port-strict que usará el puerto del peer's proposal La dirección origen (source address) de la fase 1 se puede ahora configurar
Certificados •
• • • •
Las claves CA (CA keys) ya no son almacenados, cada operación CA ahora requiere un CA passphrase válido. Se usa el parámetro set-ca-passphrase para que el servidor SCEP almacene la clave CA (CA key) en forma encriptada Para los certificados marcados como trusted=yes, CRL se actualizará automáticamente una vez por hora desde las fuentes HTTP IPsec y SSTP respetan los CRLs Soporte para server/cliente SCEP El administrador de certificados puede ahora emitir certificados firmados por sí mismo.
Ruteo (Routing) • • •
Nuevo parámetro use-dn en OSPF. Obliga a ignorar el DN bit en los LSAs. Se cambió la lógica de propagación BGP MED. Ahora se descarta cuando se envía una ruta con non-empty AS_PATH a un par externo Las rutas conectadas se vuelven inactivas cuando la interface se cae. Esto significa que los protocolos de ruteo dinámico detendrán la distribución de las rutas conectadas que no tengan la etiqueta Active.
Colas (Queues) • • • • • • • • •
Se mejoró el desempeño del uso de las colas simpes (simple queues) Se mejoró la administración de las colas (/queue simple y /queue tree), permitiendo el manejo de decenas de miles de colas Las entradas de /queue tree con parent=global se ejecutan en forma separada de las /queue simple y antes de las /queue simple Se crean por default los tipos de encolamiento (queue types): pcq-download-default y pcq-upload-default Las colas simples (simple queues) tienen configuraciones de prioridad separados para download/upload/total Los padres global-in, global-out, global-total en /queue tree se reemplazan con global que es el equivalente a globaltotal en la versión 5 Las colas simples se ejecutan en un lugar diferente: al final de los chains postrouting y local-in Los parámetros target-addresses e interface en colas simples se unen en un solo parámetro destino, ahora soporta múltiples interfaces para una sola cola El parámetro dst-address en las colas simples se cambia a dst y ahora soporta una interface como destino
Exportar una configuración compacta • •
Ahora por default la configuración se exporta en modo compacto Para realizar un export completo de la configuración se debe usar el parámetro verbose /export verbose file=myConfig
Herramientas • • • • • •
Soporte FastPath. http://wiki.mikrotik.com/wiki/Manual:Fast_Path Se renombró en e-mail el tls a start-tls y se agregó como un parámetro configurable La herramienta Fetch ahora tiene soporte para HTTPS. o http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch Se agregó soporte de la cabecera IPv6 al generador de tráfico (traffic generator) Reproducción de archivos pcap dentro de la red usando el nuevo comando trafficgen inject-pcap La NAND Flash puede ser particionada en los routerboards y se pueden instalar versiones separadas de RouterOS en cada una de las particiones. o http://wiki.mikrotik.com/wiki/Manual:Partitions
Academy Xperts
6
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
Detalle de cambios en las cinco últimas versiones de RouterOS Para una revisión más amplia del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link: http://abcxperts.com/index.php/bitacora-de-cambios
v6.37.1, 30/Septiembre/2016, 10:28 package Se corrigió el estatus del paquete Wireless después del upgrade a la v6.37 (a veces era necesario un extra reboot) ssl -
Se corrigió un problema en la verificación peer address/dns del certificado (afecta a sstp, fetch, capsman)
winbox • A partir de esta versión, el Winbox 3.6 es la mínima versión que se puede conectar a RouterOS console • Se corrigió un problema de tipografía en web-proxy (passthru a passhtrough) dude • Los cambios del Dude se discuten aquí: http://forum.mikrotik.com/viewtopic.php?f=8&t=112599 export • No se muestra la mac-address en el export cuando no es necesario firewall • Se corrigió un problema en que aparecían reglas dummy dinámicas en firewall, en las tablas raw hotspot • Se corrigió un problema en una regla de nat en dst-port, haciéndolo visible nuevamente led •
Se corrigió un problema en la configuración por default de led en el wAP2nDr2
snmp • No se permite ejecutar el script si el usuario no tiene permiso de escritura tile •
No se hace reboot del dispositivo después de que el watchdog se configura como disable/enable
userman • Siempre se hace un re-fetch a la tabla de datos cuando se cambia entre diferentes menús • Se corrigió un problema de ajuste de timezone en los reportes webfig • Se corrigió un problema (cuando se utilizaba Firefox) en la selección del canal en el menú check-for-update winbox • Se agregó las configuraciones loop-protect • Se agregó el passthrough state al web-proxy • Se permite desactivar el campo http-proxy para el cliente sstp • No se muestra el menú health en el RB951-2n • Se corrigió un problema de tipografía en dhcpv6 relay (DCHP a DHCP) • Se muestra el address expiration time en la lista de clientes dhcp wireless • Se muestra la bandera (flag) DFS en la salida del comando country-info
Academy Xperts
7
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
v6.37, 23/Septiembre/2016, 08:20 IMPORTANTE: Cambios en el paquete Wireless •
Habrá únicamente un paquete Wireless a partir de RouterOS v6.37
IMPORTANTE: Cambios en DFS • •
Se ha rediseñado la configuración DFS en RouterOS. Ahora el dispositivo busca en las configuraciones de país (country) que se ha especificado (/interface wireless info country-info), y aplica automáticamente el modo DFS correspondiente para cada rango de frecuencia, haciendo innecesaria la configuración del dfs-mode Importante. Se debe chequear que las frecuencias trabajan con las correspondientes configuraciones DFS antes de realizar el Upgrade.
IMPORTANTE: Otros cambios importantes console • La configuración dfs-mode ya no existe. Todos los scripts que incluyan esa configuración no se podrán ejecutar dude • Los cambios en Dude se discuten aquí: http://forum.mikrotik.com/viewtopic.php?f=8&t=110424 • A partir de esta versión, el Dude utilizará el puerto de Winbox y será cambiado automáticamente en el client loader y en la configuración del agente (agent) ethernet • Se agregó la nueva característica loop-protect para las interfaces ethernet, vlan, eoip, eoipv6. Más información en: http://wiki.mikrotik.com/wiki/Manual:Loop_Protect wireless • El paquete wireless se incluye en el paquete (bundle) RouterOS • Se descontinúa el paquete wireless-cm2 • El paquete wireless-rep se renombra como wireless • Se remueve la opción DFS, y los modos DFS correspondientes a cada rango de frecuencia se aplican automáticamente capsman • Se corrigió un problema de caída de Kernel en CAP mientras se realizaba el cambio client-to-client forwarding • Se reporta el radio-name en la tabla de registro (registration table) certificate • No se permite remover la plantilla (template) del certificado mientras se está firmando (signing) el certificado console • La opción hotspot setup ahora muestra el nombre de certificado cuando es incorrecto defconf • Se corrigió un problema en la restauración de la configuración por default si es que la interface virtual wireless estaba presente • Se corrigió un problema en la configuración por default cuando se utilizaba el paquete wireless • Cuando se utiliza el botón CAPS ahora fuerza a que todas las interfaces Wireless estén en modo CAPS dhcpv6 • Se mejoró el rastreo del estatus de la interface • Se trabajó en la interface del DHCP-PD server y en la administración de ruta (route management) • Se actualiza el DUID cuando cambia el system-id (resuelve el problema cuando la VM clonada mantiene el mismo DUID) dns •
Se corrigió un problema de caída cuando se utilizaban las entradas dns estáticas regexp
ethernet • • • • • •
Se agregó soporte para el dongle ethernet LAN9514 Se permite forzar el valor del MTU cuando el actual-mtu ya es el mismo Se corrige un problema de loop-protect en los puertos que están en bridge Se corrigió un problema de lazo infinito (never ending loop) en el procesamiento del paquete CDP Se corrigió una rara falla de Kernel en non-switch ethernet reset El RB44ge ahora tiene el parámetro disabled-running-check=no by default
firewall • Se agregaron parámetros de coincidencia (matchers) adicionales para las reglas de firewall • Se corrigieron las reglas basadas en tiempo (time) en time/timezone changes gps •
Siempre se verifica si el NMEA checksum está disponible
Academy Xperts
8
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
health • No se muestra la información del psu ni del ventilador (fan) para dispositivos de enfriamiento pasivo hotspot • También se muestra los comentarios del user menu en el active menu ipsec • • • • ipv6 • • •
Se corrige un problema de caída cuando se habilita la fragmentación Se corrige un problema de política dinámica no eliminada o desconectada para los nat-t peers Se corrige un problema de fragmentación cuando se usa negociación Se corrige un problema de caída de Kernel cuando se utilizaba sha512 Se corrige un problema de procesamiento RA y RS en las nuevas interfaces luego de que muchas interfaces han perdido su enlace durante un período de operación prolongado Se mejora la respuesta del sistema cuando las rutas IPv6 son frecuentemente modificadas Se muestra múltiples vecinos con la misma dirección
kvm • •
Se corrigió un problema en add/remove de las interfaces deshabilitadas Se corrigió un problema de caída de huésped cuando se utilizaba un mtu mayor que 1504
l2tp •
Se corrigió un problema de caída de Kernel cuando el fastpath manejaba paquetes L2TP
leds •
Se agregó la opción para deshabilitar todos los leds en un RBcAP2n
lte • • • • • • • • • • • • • • • • • • •
Se agregó la capacidad de enviar/recibir (send/receive) un sms utilizando /tool sms Se agregó el soporte para dlink dwm-157 D y dwm-222 Se agregó la variante huawei me909s Se agregó el de-registro inicial únicamente para los bandrich modems Se agregó el registro de evento (logging) para usb config switching Se agregó el soporte para Pantech UML295, Vodafone K4201-Z, ZTE MF823/MF831 Se agregó rndis para ZTE MF8xx Se agregó soporte para más configuraciones dlink dwm-222 Se agregó switch para Huawei K5160 Se volvió a agregar soporte para el zte K5008-Z Se ajustó el usb config para el dlink dwm-157 D Se corrigió un problema en chat condition storage Se corrigió un problema de configuración de banda en el sxt lte Se corrigió un problema de banda no configurada Se corrigió un problema de canales para el dlink dwm-157 Se corrigió un problema de activación IP cuando el estado del CREG (circuit switched) permanece en estado no registrado (not registered) Se corrigió un problema de configuración en que corrige la banda lte para el sxt lte Se procesa el cambio de estado inicial a dado-de-baja (deregistred) cuando ocurre un bloqueo (lockup) Se corrigió un problema de reseteo si falla la configuración del almacenamiento sms (sms storage)
mpls • Se corrigió un problema de falla de memoria • Se corrigió un problema de VPLS causado por out-of-order packets ntp •
Se corrigió un problema en el ntp server cuando se utilizaba local-clock (como el módulo usb gps)
partitions • Se agregó la capacidad para añadir comentarios ppp •
Se utiliza default-route-distance cuando se agrega ipv6 default route
ppp,lte • El pin ahora se convierte en un argumento string pppoe • Se corrigió un problema en que se desconectaba por tiempo de inactividad cuando se utilizaba fastpath quickset • Se agregó soporte para la banda 2GHz-g/n • Se agregó el reporte de invitado (guest) en el modo home ap dual • Se corrigieron los campos de frecuencia en el modo home ap dual rb3011 • Se corrigió un raro problema que ocurría cuando un router debía manejar la carga del Kernel Academy Xperts
9
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
routing • Se mejoró el desempeño del Kernel en configuraciones con grandes tablas de ruteo sfp • • • sms • •
Se habilitó la impresión del eeprom en /interface ethernet monitor Se corrigió un problema de lectura del eeprom en equipos CCR1036-8G-2S+ y CCR1072-1G-8S+ Se removió sfp-rate-select como comando cuando no era relevante a la configuración actual de hardware soportado Se corrigió un problema en que se movían incorrectamente los mensajes enviados a bitácora (logging) desde el tópico async al tópico gsm Se reporta un error cuando se utiliza un modem no soportado
snmp • Se agregó un script table que ejecuta un script y regresa su salda (output) en get request • Se requiere los permisos de escritura (write) para un script que ejecuta un table access • Se salta los OIDs prohibidos en el getnext completion sstp • •
Se permite especificar el proxy por nombre DNS Ahora se soporta los algoritmos TLS_ECDHE
supout • Se corrigió un problema (bug) que generaba archivos enormes de supout.rif • Se mejoró la generación de reporte por caídas en la arquitectura TILE switch • Se agregó el campo de comentario para CRS switch VLANs traffic-flow • Se permite que ipv6 src address sea opcional • Se corrigió un problema de IPFIX packet timestamp • Se corrigió un problema un incorrecto flujo de secuencia IPFIX trafficgen • Se agregó la configuración del contador de paquete por stream (per stream packet count) • Se muestra los contadores de los paquetes fuera de orden (out-of-order packet counters) en stats printouts tunnel • Se corrigió un problema de comunicación vía Túnel al mismo router si fastpath estaba activo • Se corrigió un problema de ipv6 link-local address cuando se agregaba para gre • Se incrementó el MRRU mínimo a 1500 para interfaces PPP • El ipv6 link-local address se genera ahora desde tunnel local-address usb •
Se agregó soporte para el dongle ethernet SMSC95XX USB en mipsbe
usermanager • Se corrigió un problema de caída en el pago paypal users • Se corrigió un problema de chequeo de política de script contra las políticas de usuario (user) cuando se ejecutan los scripts webfig • No se cae si el radius server no tiene las claves de encriptación (encryption keys) • Se corrige un problema de firma de certificado winbox • Se agrega el autorefresh para los vecinos BFD • Se agregó soporte para el campo de comentario para el menú switch vlan • Se agregó el parámetro default-authentication para los modos wireless station • Se agregó el campo src-address para el destino (target) traffic-flow • Se ajusta dinámicamente el campo on-event dependiendo del tamaño de la ventana • Se ajustaron los valores permitidos para el campo http-proxy • Se deshabilitó el MRRU por default para las interfaces PPP • Se muestra el actual-mtu para los túneles en las ventanas de interface • Se corrigen problemas de desconexión cuando no se abren ventanas durante un tiempo para el modo no-seguro • Se corrigen los campos multiline de solo lectura para no muestren las nuevas líneas de caracteres • Se corrige que el firewall muestre el salto (jump) a los destinos desde los filter chains • Se oculta la configuración de control del flujo ethernet (ethernet flow control settings) para las interfaces que no lo soportan • Se remueve el menu health menu de los dispositivos que no lo soportan
Academy Xperts
10
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
• • • •
Se remueve el campo L2MTU de las interfaces PPP Se remueve el campo L2MTU de las configuraciones PPP server binding Se remueve el botón no configurado del campo L2MTU Se muestra el firmware-type en la ventana routerboard
wireless • Se muestra la bandera DFS en la información de país (country) • Se mejoró el driver de soporte para RB953, hAP ac, wAP ac • Se envía deauth a los frames de datos en el modo scan • Se actualizó las configuraciones del país brazil
v6.36.3, 05/Septiembre/2016, 08:09 arp •
Se corrigió un problema que ocasionaba que los frames Ethernet salieran por una interface equivocada
fastpath • Se corrigió un problema de caída de Kernel en la interface cuando se la deshabilitaba o removía (disable/remove) fetch • Se corrigió un problema de un bug con archivos incompletos en el modo https ipsec • No enviaba a bitácora (registro) una incompatibilidad crítica de authtype • Se corrigió un problema de impresión en el terminal de un parámetro xauth pppoe • Se corrigió un problema de caída de Kernel ocasionado por el dial-on-demand cuando se utilizaba fastpath • Se corrigió un problema de chequeo del L2MTU en la interface master, que podía resultar en asumir que la interface master puede manejar un paquete 14 bytes más grande que lo que realmente puede manejar (se presenta en la v6.36) simple queues • Se corrigió un problema en que generaba una carga innecesaria/adicional del CPU vlan •
No se permite crear una nueva interface VLAN con un MTU más grande que el L2MTU
tile •
Se corrigió una rara caída de Kernel cuando se conectaba un dispositivo USB
v6.36.2, 22/Agosto/2016, 12:54 arm •
Se muestra la frecuencia del CPU en la opción resources del menú principal
capsman • Se corrigió un problema de actualización de política ccr/crs • Se corrigió un problema en la función de reporte de información del SFP + interface DDMI. La información ahora se refresca en intervalos regulares conntrack • Se corrigió un problema de tiempo de visualización en IPv6 • Se corrigió un problema cuando se removían las conexiones ICMPv6 dns • • •
Se evita que se graben innecesarias direcciones dinámicas de server Se permite que se configuren los parámetros query-server-timeout y query-total-timeout únicamente con valores mayores a 0 Se corrigió un problema de bloqueo cuando el dynamic dns server recibía una dirección 0.0.0.0
export • Se actualizó los valores por default en el menú de configuración /system routerboard settings partitions • Se corrigió un problema de caída en la re-partición, cuando no hay suficiente espacio libre sstp •
Se corrigió un problema de desconexión en la transmisión en sistemas multi-núcleo
switch • Se corrigió un problema en la carga de configuración en los switches CRS winbox Academy Xperts
11
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
•
Se hace que el tipo de encolamiento (queue type) por default del queue tree sea queue-type=dafault-small
v6.36.1, 05/Agosto/2016, 09:39 address-list • Permite que los nombres DNS contengan el símbolo “_” address-list • Chequea por duplicados cuando se utiliza un nombre de dominio en en campo address bridge • Se corrige una falla de kernel cuando se utilizaba action=set-priority en el firewall de bridge
dns •
Se evita que se guarden entradas estáticas innecesarias en storage
email • Se incrementa el tiempo que la herramienta email puede utilizar para enviar un mensaje export • Se remueven “log-prefix” inecesarios cuando se ejecuta un export del firewall firewall • Se corrigió las reglas basadas en tiempo en las modificaciones de time/timezone log • lte •
Se corrigió un problema donde los registros (logs) que se cargaban desde el disco después de hacer un reboot no tenían los tópicos correctos Se corrigió un problema de acceso a la actualización de tecnología
ovpn • Se agregó una ruta de excepción especial para el mismo túnel cuando se utiliza add-default-route ping •
Se corrigió un problema en que se congelaban las interfaces que no estaban corriendo
resource • Se corrigió un problema de free-memory que se reportaba después de hacer disk eject snmp • Se corrigió un problema de corrupción de paquete cuando se utilizaban múltiples trap-targets tile •
Se corrigió un problema de caída de kernel cuando fastpath estaba activo
traffic-flow • Se corrigió una falla de kernel cuando el traffic-flow targets utilizaba un mtu pequeño
Academy Xperts
12
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
upnp • • vrrp •
Se corrigió un problema del dst-port en la regla de nat, haciéndolo visible nuevamente Se actualizó el servicio upnp para hacerlo que funcione con otras implementaciones UPnP (por ejemplo Skype) Se corrigió un problema en la transición al estado backup cuando se utilizaban el modo ipv6 y prioridades iguales
webfig • Se permite que el usuario cambie la clave. Esto se averió en v6.36 x86 •
Se corrigió un problema de caída cuando la interface igmp-proxy se vuelve “not-running” cuando estaba pasando tráfico
Academy Xperts
13
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
Qué es RouterBOARD? Es una familia de soluciones de hardware con circuitos diseñados por MikroTik para responder a las necesidades de los clientes a nivel mundial. Todas las placas RouterBOARD operan con el sistema operativo RouterOS. Esta división de hardware se caracteriza por incluir su sistema operativo RouterOS y actualizaciones de por vida. Estos dispositivos tienen la ventaja de tener una excelente relación costo/beneficio comparados con otras soluciones en el mercado.
Arquitecturas Soportadas:
Soluciones Integradas • • •
Estos productos se proporcionan completos con carcasas y adaptadores de corriente. Listo para usar y pre configurados con la funcionalidad más básica. Todo lo que necesitas hacer es conectarlo y conectarse a Internet o a una red corporativa.
RouterBOARD solamente Son pequeñas placas madres que se venden "tal cual". Se debe elegir el modelo y solicitar adicionalmente, adaptador de corriente y las interfaces, todo esto por separado. Es ideal para el montaje de sistemas/implementaciones propietarias. Enclosures Son cubiertas para interiores/exteriores, sirven para albergar los dispositivos RouterBOARD. La Selección se realiza en base a: • • •
Localización prevista El modelo del RouterBOARD El tipo de conexiones necesarias (USB, antenas, etc.).
Interfaces • •
Módulos Ethernet, fibra SFPs, o tarjetas de radio inalámbricas para ampliar la funcionalidad de los dispositivos RouterBOARD y PCs con RouterOS. Una vez más, la selección se basa según las necesidades.
Accesorios Abarca toda la gama de dispositivos adicionales para los productos MikroTik, tales como: adaptadores de corriente, soportes, antenas e inyectores PoE.
Programa Made For MikroTik (MFM) Este programa consta de dos partes: “Mikrotik Certified Integrators” y “Mikrotik Certified Accessories” http://www.mikrotik.com/mfm Accesorios Certificados MikroTik (MikroTik Certified Accesories) Son hechos por empresas homologadas de MikroTik, y que hacen los accesorios específicamente para productos MikroTik. Esto incluye productos compatibles con RouterBOARD, antenas externas y otros productos. Integrador Certificado MikroTik (MikroTik Certified Integrator) Son empresas que hacen soluciones basados en un RouterBOARD MikroTik y RouterOS. Estos productos incluyen en el ensamblado de dispositivos CPE/AP, preinstalación de antenas integradas y soluciones para montaje en rack con RouterOS.
Por qué trabajar con un router integrado? Con este tipo de solución se puede atender muchas necesidades. • •
Los routers integrados proveen poca o ninguna expansión, ya que vienen con una configuración de hardware fija (WiFi, puertos ethernet, memorias on-board, puertos USB) Esta es una solución simple, pero muy sólida para muchas necesidades.
Academy Xperts
14
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
Nomenclatura de los productos RouterBOARD Los nombres de los routers son elegidos según características, y basados en una nomenclatura establecida. La abreviatura para RouterBOARD es RB Para complementar información se puede ir al siguiente link http://wiki.mikrotik.com/wiki/Manual:Product_Naming Formato para la nomenclatura de los productos:
Nombre de la tarjeta (board name) Actualmente existen 3 tipos de nombres de tarjetas: •
•
•
Número de 3 dígitos o El primer dígito representa la serie o El segundo dígito indica el número de interfaces cabeladas potenciales (Ethernet, SFP, SFP+) o El tercer dígito indica el número de interfaces wireless potenciales (tarjetas embebidas, y slots mPCI y mPCIe) Usando una palabra (word).- Los nombres que actualmente se usan son: o OmniTIK o Groove o SXT o SEXTANT o METAL o Si la tarjeta (board) sufre un cambio fundamental en el hardware (como por ejemplo un CPU completamente diferente) se agregará una revisión de versión al final Nombres excepcionales.- Las tarjetas 600, 800, 1000, 1100, 1200, 2011 representan de forma independiente las series, o tienen más de 9 interfaces cableadas, por lo que los nombres fueron simplificados a cientos totales o el año de desarrollo.
Características de la Tarjeta Las características de la tarjeta siguen a continuación de la sección Nombre de la Tarjeta (sin espacios o guiones), excepto cuando el nombre de la tarjeta es una palabra. Entonces las carácterísticas de la tarjeta se separan por un espacio. Las características que actualmente se usan son las siguientes. Están listadas en el orden en que son mayormente usadas • • • • • • • • • •
U : USB P : Power Injection con Controlador i : Puerto simple Power Injector sin Controlador A : Más memoria (y usualmente el nivel de licencia más alto) H : Un CPU más potente G : Gigabit (puede incluir U, A, H si no se usa con L) L : Edición Light (ligera) S : Puerto SFP (uso legacy – dispositivos SwitchOS) e : Tarjeta de extensión PCIe x : Donde N es el número de núcleos (core) de CPU (x2, x9, x16, x36, x72, etc.)
Detalles de la tarjeta Wireless Embebida Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
•
•
•
•
Banda (band) o 5 : 5 GHz o 2 : 2.4 GHz o 52 : Dual band. 5 GHz y 2.4 GHz Potencia por chain (power per chain) o (not used) - Normal - Services” Desactivar o Activar los servicios requeridos
Acceso a los Servicios IP • • •
Hacer doble clic en un servicio Si es necesario, especificar que host o subredes pueden acceder a los servicios Es una muy buena práctica de seguridad el limitar ciertos servicios a los administradores de red.
Administración de los respaldos (backup) de las configuraciones Los backup de configuración se pueden utilizar para realizar copias de seguridad de la configuración de un RouterOS MikroTik en un archivo binario, que puede ser almacenada en el router o descargado a través de FTP para su uso futuro. La opción restore (restauración) se puede utilizar para recuperar la configuración del router, tal y como era en el momento de la creación de la copia de seguridad, a partir de un archivo de backup. La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la pantalla de la consola o a un archivo de texto, que se puede descargar desde el router mediante el protocolo FTP. Tipos de Backups • •
Backup Binario Comando export
Backup Binario • • •
Realiza un respaldo completo del sistema Incluye contraseñas y usuarios Los archivos de backup serán guardados por defecto en el mismo router.
Se recomienda que el archivo backup se guarde en una PC o en una unidad externa ya que resultaría ilógico que se guarde en el mismo dispositivo. Se pueden generar “n” archivos de backup, y se guarda por defecto, con nombre del host, año, fecha, hora.
Academy Xperts
37
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
Comando export • • •
Se puede visualizar la configuración completa o parcial Se usa el comando compact para mostrar la configuración no predeterminada La sentencia print permite visualizar la configuración parcial o total. Si se ingresa en la página principal únicamente el comando export, entonces se respalda toda la configuración del router /export file = nombre_del_archivo
•
El comando export NO respalda los usuarios del router. /ip firewall filter export # oct/18/2016 21:58:17 by RouterOS 6.37.1 # software id = PEVF-794H # /ip firewall filter Add action=Accept chain=input comment=”default configuration” disabled=no \ Protocol=icmp Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=established Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=related Add action=drop chain=input comment=”default configuration” disabled=no \ Protocol=ethernet-gateway
Guardar archivos de Backup •
•
Una vez que se han generado los archivos de respaldo, se recomienda copiarlos en un servidor o Por medio de SFTP en la forma recomendada o FTP (Se lo habilita en el menú IP Services o Arrastrar y Soltar usando la ventana Files Dejar los archivos de respaldo en el router no es una buena práctica o al menos no es algo recomendado. Los routers no hacen respaldos en cintas o en CDs.
Licencias RouterOS Los dispositivos RouterBOARD vienen pre-instalados con una licencia RouterOS. Esto significa que si compra un dispositivo RouterBOARD no se debe hacer nada respecto a la licencia. En cambio, cuando se trabaja con sistemas X86 (por ejemplo, PCs), ahí si se necesita obtener una clave de licencia (license key). La clave de licencia (license key) es un bloque de símbolos que necesitan copiarse desde su cuenta en mikrotik.com, o desde el email que usted recibe. Ejemplo de License Key recibido por email License key for your router, -----BEGIN MIKROTIK SOFTWARE KEY-----------LlCoU6wx6QFaGCbTieJCgAcloa4cPrF776F/9=Dxk+0+vZ39KBonqfyXrfBdrng3ajK/zFGr8KtgAcU gcwHLNA== -----END MIKROTIK SOFTWARE KEY-------------Ejemplo de License Key desde la cuenta en mikrotik.com
Se puede copiar la clave en cualquier lugar en la ventana terminal, o haciendo click en “Paste key” en el menú de Licencias de Winbox. Es necesario/requerido hacer un reboot para que la clave (key) tenga efecto (se active).
Academy Xperts
38
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
El esquema de licenciamiento de RouterOS se basa en el número de SoftwareID que está asociado al medio de almacenamiento (HDD, NAND). La información también se puede leer desde la consola del CLI /system license print software-id: 5ATP-QYIX nlevel: 4 features:
Niveles de Licencias Tenemos 6 tipos de licencias cuyas principales diferencias se muestran en la tabla a continuación: • • • • • •
Nivel 0 (L0) : Demo (24 Horas) Nivel 1 (L1) : Free (Muy limitada) Nivel 3 (L3) : Es una licencia solo para estaciones Wireless o WISP CPE (Cliente WiFi, cliente o CPE). Para arquitecturas x86 la licencia Nivel 3 no pude ser adquirida de forma individual. Si se desea ordenar más de 100 licencias L3, se debe escribir un correo a
[email protected] Nivel 4 (L4) : WISP (Requeridos para un Access Point) Nivel 5 (L5) : WISP (Mas Capacidades) Nivel 6 (L6) : Controlador ( Capacidades ilimitadas)
Datos importantes sobre las Licencias: • • • •
• •
El nivel de licencia determina las capacidades permitidas en un Router RouterBOARD viene con una licencia pre-instalada, la misma que varía dependiendo del tipo de arquitectura del RouterBOARD. Para un sistema X86 deben adquirirse las licencias. Una licencia es válida solo para un equipo La licencia Nivel 2 (L2) fue una licencia transicional entre el formato de licencia old-legacy (pre v2.8). Estas licencias ya no están disponibles. Si usted posee este tipo de licencia L2, la misma trabajará, pero al hacer el upgrade usted tendrá que comprar una nueva licencia. El protocolo dinámico BGP está incluido en la Licencia Nivel 3 (L3) únicamente para los RouterBOARDs. Para activar BGP en otros dispositivos se necesitará una licencia L4 o superior. Todas las licencias: o Nunca expiran o Incluyen soporte gratis vía email por 15 a 30 días o Pueden usar un número ilimitado de interfaces o Las Licencias únicamente son válidas para una sola instalación o Las licencias vienen con una capacidad de upgrade de software ilimitado
Academy Xperts
39
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
Realizando un Upgrade desde RouterOS v3 (2009) *** Este tópico se desarrollará en la próxima versión del manual Usos Típicos: • • • •
Nivel 3: CPE, Clientes Wireless Nivel 4: WISP Nivel 5: Amplio WISP Nivel 6: infraestructuras internas ISP (Cloud Core)
Cambio de Niveles de Licencias • •
No se puede actualizar el nivel de licencia. Si se desea usar un nivel de Licencia diferente, entonces se debe comprar el nivel apropiado/requerido. Se debe tener mucho cuidado cuando se compre la licencia, ya que se debe elegir el nivel de licenciamiento adecuado. Por qué no se puede cambiar el nivel de licencia (hacer upgrade)? Un ejemplo práctico sería actualizar el motor de un vehículo de 2L a 4L, para lo cual se requiere pagar la diferencia. Por este motivo no se puede cambiar de niveles de licenciamiento fácilmente. Esta es una política usada por muchas compañías de software.
Uso de las Licencias Se puede formatear o hacer un re-flash al drive? Formatear, y hacer una re-imagen del drive con herramientas que no son MikroTik (por ejemplo, DD y Fdisk) destruirán su licencia. Se debe actuar con cautela y contactar al soporte de MikroTik antes de hacer esto. No se recomienda ya que el soporte de MikroTik podría negar su requerimiento para reemplazar una licencia. Por este motivo MikroTik provee las herramientas Netinstall o la instalación por CD. Con Cuántas computadoras se puede usar la licencia? Al mismo tiempo, la licencia de RouterOS se puede usar únicamente en un solo sistema. La licencia está ligada al HDD (disco duro) en donde se instala. Sin embargo, se puede mover el HDD a otro sistema de cómputo. No se puede mover la licencia a otro HDD. Si se formatea o se sobre escribe el HDD con la licencia RouterOS, se borrará todo el contenido del drive, y se deberá adquirir una nueva licencia. Si de forma accidental se removió la licencia, debe contactar al equipo de soporte para ayuda. Se puede usar el HDD para algún a actividad diferente que RouterOS? No se puede Se puede mover la licencia a otro HDD? Si su HDD actual se destruye, o ya no puede ser usado, se puede transferir la licencia a otro HDD. Para ejecutar esta actividad, se deberá solicitar una clave (key) de reemplazo que costará 10 USD. Qué es la clave de reemplazo? Es una clave especial que es emitida por el Equipo de Soporte MikroTik si es que usted accidentalmente perdió la licencia. El soporte de MikroTik decide si es o no su culpa de forma directa. Esta clave de reemplazo cuesta 10 USD y tiene las mismas características que la que perdió. Es posible que antes de que el equipo de soporte emita la clave, pueda pedirle prueba de que el viejo drive en verdad en verdad está dañado. En algunos casos esto puede implicar que deba enviar el drive muerto a MikroTik. Nota: Se puede emitir únicamente una clave de reemplazo por cada clave original. No se puede usar el procedimiento de reemplazo de clave dos veces para una sola clave. En estos casos se debe adquirir una nueva key. Para una revisión más detallada sobre Licenciamiento, le recomendamos visitar el siguiente link: http://wiki.mikrotik.com/wiki/Manual:License
NetInstall Es un programa que se ejecuta en el computador que corre el sistema operativo Windows y que permite instalar RouterOS MikroTik en una PC o en un RouterBOARD a través de una red Ethernet. El dispositivo debe ser compatible con el arranque desde Ethernet, y debe haber un enlace Ethernet directo desde el computador donde tenemos el Netinstall al dispositivo de destino. Uso de Netinstall • • •
Reinstalación del RouterOS para recuperación del sistema Reinstalación del RouterOS tras perdida de contraseña Para descargar Netinstall: http://www.mikrotik.com/download
Academy Xperts
40
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
Procedimientos para usar Netinstall Para RouterBOARDs sin el puerto COM • •
• • • •
Nos conectamos a un computador por medio del puerto Ethernet1 o Configurar una dirección IP y máscara de subred estática al computador Iniciar Netinstall o Presionar el botón Net booting y escribir una dirección IP al azar pero que esté en la misma subred que el computador
En la sección Packages, debe hacer click en Browse y seleccionar un directorio que contenga un archivo NPK válido. Presionar el botón reset en el router hasta que el LED de actividad (ACT) se quede apagado o El router aparecerá en la sección Routers/Drivers Seleccionamos la versión del RouterOS requerido desde la sección Packages o Presionar el botón install La barra de progreso se tornará azul mientras se transfiere los archivos NPK
Academy Xperts
41
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
•
Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de acceso a internet en el puerto Ethernet1
•
Usar el MAC-Winbox para conectare al equipo con configuración en blanco.
•
Hacer una copia de seguridad de la configuración y reiniciar el sistema o
•
Importante para la gestión de un acceso adecuado de los archivos.
Si el problema era de una contraseña perdida, vuelva a realizar la configuración desde cero. o
Importante para la gestión de un acceso adecuado de los archivos.
Para RouterBOARDs con el puerto COM •
Comenzar igual que antes o PC en la Ethernet1 con una direcciones estática o Conectar desde el puerto serial del PC al puerto COM del RouterBOARD o Iniciar Netinstall ( configurar parámetros de Net Booting) o Seleccionar directorio con archivos NPK válidos o Reiniciar el router o Presionar Enter, cuando se le solicite para entrar en la configuración o Podemos presionar “o” para reiniciar el dispositivo o Podemos presionar “e” para Ethernet o Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router)
El router aparecerá en la sección Routers/Drivers Se selecciona la versión del RouterOS requerido desde la sección Packages • •
Hacer click en Keep old configuration Presionar el botón install
La barra de progreso se tornará azul mientras se transfiere los archivos NPK • • • • • • • •
Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de acceso a internet en el puerto 1 Ahora usted puede usar Winbox para conectarse o Aquí se encontrará la opción Keep old configuration Reiniciar el router Presionar Enter, cuando se le solicite para entrar en la configuración Podemos presionar “o” para reiniciar el dispositivo Podemos presionar “e” para Ethernet Podemos presionar “n” para desconectar el puerto Ethernet o Si te olvidas de esto, siempre el router se iniciara desde la Ethernet Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router)
Recursos adicionales Wiki http://wiki.mikrotik.com/wiki/Manual:TOC • •
•
Aquí se encontrará información acerca del RouterOS Todos los comandos del RouterOS o Explicación o Sintaxis o Ejemplos Consejos y trucos adicionales
Academy Xperts
42
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
Tiktube http://www.tiktube.com/ • • • •
Recursos en videos sobre varios temas Presentados por Trainers, Partners, IPSs, etc. Se encontrará diversas presentaciones Los videos están en varios lenguajes
Foros de Discusión http://forum.mikrotik.com/ • • • •
Moderado por el personal de MikroTik Es un foro de discusiones sobre diversos temas Aquí se puede encontrar una gran cantidad de información Se puede encontrar una solución a su problema
Soporte MikroTik • • •
Mail:
[email protected] Instrucciones para solicitar soporte: http://www.mikrotik.com/support.html El apoyo de Mikrotik si el router fue comprado a fábrica es de: o 15 días (nivel licencia 4) o 30 días (nivel 5 Licencia y el nivel 6)
Distribuidores/Soporte • • •
El distribuidor mayorista/reseller proporcionará soporte siempre y cuando el router haya sido comprado a él Se pueden contratar a Consultores Certificados para necesidades especiales http://www.mikrotik.com/consultants
Academy Xperts
43
RouterOS v6.37.1.01 – Capítulo 1 – RouterOS
Preguntas de repaso del Capítulo 1 1.
Cuál es la cantidad mínima de memoria RAM, y de espacio en disco que se requiere para instalar RouterOS?
2.
Hasta qué capacidad de memoria RAM se reconoce en los dispositivos Cloud Core?
3.
Hasta qué capacidad de memoria RAM se reconoce en los dispositivos que no son Cloud Core?
4.
Cuáles son los diferentes medios de almacenamiento que soporta RouterOS?
5.
Cuál es la versión de Kernel de Linux en la que está basado el RouterOS 6.x?
6.
Cuáles son las arquitecturas soportadas por RouterOS?
7.
Cuál es la IP por defecto que usan los routers MikroTik cuando viene configurado de fábrica?
8.
Enumere las diferentes formas de accesar a un router MikroTik
9.
Cuáles son las formas de acceso en forma segura a un router MikroTik?
10. Cuáles son los parámetros para la configuración cuando se ingresa por puerto serial? 11. Cuáles son las maneras de realizar un Upgrade del RouterOS? 12. Qué hace la opción Check For Updates? 13. Es importante realizar la actualización del RouterBoot? Por qué? 14. Cuál es la diferencia entre backup y export? 15. Cuáles son los usos típicos de los diferentes niveles de licencias RouterOS? 16. Para qué se usa el NetInstall? 17. A través de qué puerto funciona el NetInstall? Funciona a través de otros puertos? 18. Que función tiene la opción Keep Old Configuration en NetInstall?
Laboratorio – Capítulo 1
Academy Xperts
44
RouterOS v6.37.1.01 – Capítulo 2 – Ruteo Estático
Capítulo 2: Ruteo Estático Conceptos de Ruteo El ruteo (routing) es un proceso en la capa 3 del modelo OSI. El ruteo define por donde va a ser enviado el tráfico. Es necesario para que puedan comunicarse entre sí diferentes subredes.
Routing o enrutamiento Es la función de buscar un camino entre todos los posibles en una red de paquetes cuyas topologías poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero será definir qué se entiende por mejor ruta y en consecuencia cuál es la métrica que se debe utilizar para medirla Los parámetros que se manejan son: Métrica de la red Puede ser, por ejemplo, el número de saltos necesarios para ir de un nodo a otro. Aunque ésta no es una métrica óptima ya que supone el valor 1 para todos los enlaces, es sencilla y suele ofrecer buenos resultados. Otro tipo de métrica es la medición del retardo de tránsito entre nodos vecinos, en la que la métrica se expresa en unidades de tiempo y sus valores no son constantes sino que dependen del tráfico de la red. Mejor Ruta Entendemos por mejor ruta aquella que cumple las siguientes condiciones: • • •
Consigue mantener acortado el retardo entre pares de nodos de la red. Consigue ofrecer altas cadencias efectivas independientemente del retardo medio de tránsito Permite ofrecer el menor costo.
El criterio más sencillo es elegir el camino más corto, es decir la ruta que pasa por el menor número de nodos. Una generalización de este criterio es el de coste mínimo. En general el concepto de distancia (o coste de un canal) es una medida de la calidad del enlace basado en la métrica que se haya definido. En la práctica se utilizan varias métricas simultáneamente. Pregunta: Cuales son los motivos por los cuales estos dispositivos no se pueden comunicar entre si en el siguiente escenario? (Fig.M2-1)
Academy Xperts
45
RouterOS v6.37.1.01 – Capítulo 2 – Ruteo Estático
Respuesta: No se comunicarán, porque cada computador o dispositivo, se encuentra en un segmento de red distinto. Para que puedan verse entre sí, tienen estas opciones (Fig.M2-1): • •
Tendrán que pertenecer a un mismo segmento de red todos los computadores Colocar un router configurado con los parámetros adecuados para que se comuniquen las subredes.
Etiquetas de Rutas Las rutas tienen varios estados los cuales son identificados por letras. En este curso, nosotros tendremos que familiarizarnos con estos términos, por ejemplo: • • • • •
X : Deshabilitada A : Activa D : Dinámica C : Conectada S : Static (estática)
Significado de las etiquetas de rutas más comunes: En la sección de Router Flags del wiki de mikrotik, podremos apreciar más etiquetas: http://wiki.mikrotik.com/wiki/Manual:IP/Route
Academy Xperts
46
RouterOS v6.37.1.01 – Capítulo 2 – Ruteo Estático
Rutas Estáticas • • •
Las tablas de enrutamiento de los nodos se configuran de forma manual y permanecen inalterables hasta que no se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a los cambios de las condiciones de la red es nula. Las rutas estáticas que existen sobre un router son creados y conocido por ese router. Pero, qué pasará si usted necesita llegar a una subred que existe en otro router? Cabe recalcar que una ruta estática es una forma manual de reenviar el tráfico a subredes desconocidas
Ejercicio 2.1 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.1
Ejercicio 2.2 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.254
Propiedades generales •
check-gateway (arp | ping; Default: "").- Periódicamente (cada 10 segundos) se chequea el gateway enviando ya sea un ICMP echo request (ping) o un ARP request (arp). Si no se recibe respuesta del gateway en 10 segundos, se solicita un tiempo de espera (request times out). Después de dos timeouts el gateway se considera inalcanzable (unreachable).- Después de recibir una respuesta del gateway se considera alcanzable (reachable) y el contador de timeout se resetea.
Academy Xperts
47
RouterOS v6.37.1.01 – Capítulo 2 – Ruteo Estático
• •
•
•
•
• •
•
•
•
•
comment (string; Default: "").- Es la descripción de una ruta particular distance (integer[1..255]; Default: "1").- Valor usado en la selección de ruta. Las rutas con valores de distancia más pequeños tendrán preferencia. Si no se especifica el valor de esta propiedad, entonces el valor default depende del protocolo de ruteo: § connected routes: 0 (rutas conectadas) § static routes: 1 (rutas estáticas) § eBGP: 20 § OSPF: 110 § RIP: 120 § MME: 130 § iBGP: 200 dst-address (IP prefix; Default: 0.0.0.0/0).- Prefijo IP de la ruta, especifica las direcciones destino para la que esta ruta puede ser utilizada. La parte netmask de esta propiedad especifica cuántos de los bits más significantes en la dirección del paquete destino deben coincidir con este valor. Si existen varias rutas activas que coinciden con la dirección destino del paquete, entonces se utilizará la más específica (el que tenga el valor de netmask más grande). gateway (IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "").- Arreglo de direcciones IP o nombres de interface. Específica a cuál host o interface deberían ser enviados los paquetes. Las rutas conectadas y las rutas con tipo blackhole, unreachable o prohibit no tienen esta propiedad. Usualmente el valor de esta propiedad es una dirección IP sencilla de un gateway que puede alcanzado directamente a través de una de las interfaces del router. Las rutas ECMP tienen más de un valor de gateway. El valor puede ser repetido varias veces. pref-src (IP; Default: "").- Cuál de las direcciones IP locales se utilizará para los paquetes originados localmente que son enviados a través de esta ruta. El valor de esta propiedad no tiene efecto en los paquetes reenviados. Si el valor de esta propiedad se configura con una dirección IP que no es la dirección local de este router, entonces la ruta se volverá inactiva. Si no se configura el valor pref-src, entonces para los paquetes originados localmente que son enviados usando esta ruta, el router elegirá una dirección local anexada a la interface de salida que coincida con el prefijo destino de la ruta. route-tag (integer; Default: "").- Valor del atributo la etiqueta de ruta para RIP u OSPF. Para RIP los únicos valores válidos son 0..4294967295 routing-mark (string; Default: "").- Nombre de la tabla de ruteo que contiene esta ruta. No se configura por default porque es el mismo que la tabla principal de ruteo. Los paquetes que son marcados por el firewall con este valor de routing-mark serán ruteados usando las rutas de esta tabla, a menos que sean anulados por las reglas de políticas de ruteo. No se puede usar más de 250 routing-mark por router. scope (integer[0..255]; Default: "30").- Usado en la resolución del nexthop. La ruta puede resolver el nexthop únicamente a través de las rutas que tienen scope menor o igual al target-scope de esta ruta. El valor por default depende del protocolo de ruteo: § connected routes: 10 (si la interface está corriendo) § OSPF, RIP, MME routes: 20 § static routes: 30 § BGP routes: 40 § connected routes: 200 (si la interface NO está corriendo) target-scope (integer[0..255]; Default: "10").- Utilizado en la resolución del nexthop. Este es el valor máximo de scope para una ruta a través del cual un nexthop de esta ruta puede ser resuelto. Para iBGP el valor se configura por default en 30. type (unicast | blackhole | prohibit | unreachable; Default: unicast).- Rutas que no especifican nexthop para los paquetes, pero que el cambio desarrollan alguna otra acción en los paquetes que tienen un tipo diferente del usual unicast. § blackhole – esta ruta descarta silenciosamente los paquetes § unreachable – envía el mensaje ICMP Destination Unreachable (código 1) a la dirección origen del paquete § prohibit – envía el mensaje ICMP Destination Unreachable (código 13) a la dirección origen del paquete vrf-interface (string; Default: "10").- Nombre de la interface VRF
Propiedades de solo-lectura •
• •
gateway-status (array).- Arreglo de gateways, estados de los gateway y cuál interface es usada para reenvío. Sintaxis del estado IP de la interface, por ejemplo 10.5.101.1 reachable bypass-bridge. El estado puede ser unreachable, reachable o recursive. ospf-metric (integer).- Usado para la métrica OSPF para una ruta en particular. ospf-type (string)
Ventajas del Enrutamiento Estático • • •
Hace más sencilla la configuración en redes pequeñas que lo más probable es que no crezca. Limita el uso de recursos del router (memoria, CPU) El administrador podrá entender fácilmente la configuración cuando la red no es compleja.
Academy Xperts
48
RouterOS v6.37.1.01 – Capítulo 2 – Ruteo Estático
Limitantes del Enrutamiento Estático • • • • •
La configuración y el mantenimiento son prolongados. Requiere configuraciones manuales para poder alcanzar nuevas sub redes. La configuración es propensa a errores, especialmente en redes extensas. No se adapta bien con las redes en crecimiento, el mantenimiento se torna cada vez más complicado, en lo que respecta al tema de escalabilidad. Requiere un conocimiento completo de toda la red para una correcta implementación.
Cómo crear rutas estáticas Para agregar rutas estáticas: • • • •
Menu: IP à Routes + (Add) Especificar subred y mascara de subred Especificar Gateway (el siguiente salto)
Ejercicio 2.3 (Fig.M2-5): Ejemplo de Enrutamiento Estático Cómo llego desde la Red A hasta la Red C?
Solución Ejercicio 2.3 Router 1 /ip route add distance=1 dst-address=172.31.4.0/24 gateway=10.1.1.2 Router 2 /ip route add distance=1 dst-address=172.31.4.0/24 gateway=10.2.2.6
Configurando la Ruta por Defecto La ruta 0.0.0.0/0 es conocida como la ruta por defecto. Es el destino a donde se enviará todo el tráfico a subredes desconocidas. También es una ruta estática, y puede ser creada por el administrador o creada automáticamente por el router. /ip route add gateway=a.b.c.d
Gestión de Rutas Dinámicas Como se mencionó antes, las rutas dinámicas son agregadas automáticamente por el proceso de enrutamiento, no por el administrador. No se puede gestionar las rutas dinámicas, debido a que es un proceso automatizado realizado por el router. En algunos casos la ruta puede llegar a ser " inalcanzable " si la interfaz física está apagada o caida (down). Esto puede ocurrir cuando la interfaz esta deshabilitada o la PC se encuentra desconectada de la red.
Academy Xperts
49
RouterOS v6.37.1.01 – Capítulo 2 – Ruteo Estático
Ejercicio 2.4 (Fig.M2-6): Implementación de Enrutamiento Estático En el siguiente caso de estudio se desea implementar una solución de enrutamiento estático. Se desea que la RED-A (192.168.0.0/24), pueda llegar a la RED-C (192.168.2.0/24). Asuma que los enlaces inalámbricos ya están previamente configurados.
Solución Ejercicio 2.4 Router 1 /ip route add distance=1 dst-address=192.168.2.0/24 distance=1 gateway=10.10.0.2 /ip route add distance=1 dst-address=192.168.2.0/24 distance=2 gateway=10.10.0.3 Router 2 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.2.2 Router 3 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.1.2
Preguntas de repaso del Capítulo 2 1.
Cuáles son las diferentes etiquetas de rutas en RouterOS? Qué significa cada una?
2.
Cuando existen varias rutas activas que coinciden con una dirección destino, que ruta se utilizará?
3.
Cuáles son los valores por default de distancia de los diferentes protocolos de ruteo?
4.
Es posible gestionar las rutas dinámicas? Por qué?
Laboratorio – Capítulo 2
Academy Xperts
50
RouterOS v6.37.1.01 – Capítulo 3 – Bridge
Capítulo 3: Bridge Conceptos de Bridging El bridge trabaja en la capa 2 del modelo OSI. EL bridge Ethernet trabaja con el protocolo CSMA/CD, el cual le permite sensar y escuchar la red antes de transmitir. Cuando algunos equipos al mismo tiempo transmiten, se generan colisiones que hacen que la red colapse.
Un puente de red o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Este interconecta segmentos de red (o divide una red en segmentos) haciendo la transferencia de datos de una red hacia otra con base en la dirección física de destino de cada paquete. El termino bridge, formalmente, responde a un dispositivo que se comporta de acuerdo al estándar IEEE 802.1D En definitiva, un bridge conecta segmentos de red formando una sola subred (permitir conexión entre equipos sin necesidad de routers). Funciona a través de una tabla de direcciones MAC detectadas en cada segmento al que está conectado. Cuando detecta que un nodo de un segmento está intentando transmitir datos a un nodo del otro segmento, el bridge copia la trama hacia la otra subred, teniendo la capacidad de desechar la trama (filtrado) en caso de no tener dicha subred con destino. Para conocer por donde enviar cada trama que le llega (encaminamiento) incluye un mecanismo de aprendizaje automático (autoaprendizaje) por lo que no necesitan configuración manual. Los bridge usan una tabla de reenvío para enviar tramas a lo largo de los segmentos de la red. Si una dirección de destino no se encuentra en la tabla, la trama es enviada por medio de inundación (flooding) a todos los puertos del bridge excepto por el que llego. Por medio de este envío masivo de tramas, el dispositivo de destino recibirá el paquete y responderá, quedando así registrada la dirección destino como una entrada de la tabla. Dicha tabla incluye tres campos: dirección MAC, interface a la que está conectada y la hora a la que llego la trama (a partir de este campo y la hora actual se puede saber si la entrada está vigente en el tiempo). El bridge utilizará esta tabla para determinar qué hacer con las tramas que le llegan.
Ejemplo 1 Todos los ordenadores pueden comunicarse entre sí (Fig.M3-3). Todos tienen que esperar a que el resto de equipos dejen de transmitir para así poder transmitir los datos.
Academy Xperts
51
RouterOS v6.37.1.01 – Capítulo 3 – Bridge
Ejemplo 2 (Fig.M3-4). • • •
Todos los equipos todavía se comunican entre sí. Todos los equipos ahora solo comparten la mitad del cable Todavía tienen que esperar a que el resto de equipos terminen de transmitir, pero el grupo es la mitad del tamaño ahora.
Usando Bridges Por defecto, en los routers MikroTik, los puertos Ethernet están asociados (esclavos) a un puerto maestro. Ventajas: • •
No necesita configuración previa. Conmutación rápida (a través de chip switch, no en software)
Desventajas: • • • •
No hay visibilidad del tráfico de los puertos de esclavos. No conviene si se utiliza SNMP para monitorear el uso de puertos. No se limita el número de reenvíos mediante broadcast Difícilmente escalable para redes muy grandes El procesado y almacenamiento de datos introduce retardos
Mediante la eliminación de configuración maestro (master) y esclavo (slave), se debe utilizar una interfaz bridge para vincular a los puertos requeridos en una sola LAN. Ventajas: •
Completa visibilidad de todas las estadísticas de puerto de los puerto involucrados
Desventajas: •
La función de switch se hace a través de software, por lo que provee una velocidad de transferencia de paquetes menos óptima
Academy Xperts
52
RouterOS v6.37.1.01 – Capítulo 3 – Bridge
Creando un Bridge
Agregando puertos al bridge • •
La adición de puertos definirá cuales puertos van a pertenecer a la misma subred Se puede agregar diferentes tecnologías, tales como una interfaz WiFi
Haciendo Bridge con redes Wireless • •
Lo mismo se puede hacer con interfaces Wireless Veremos acerca de este tema en el siguiente módulo.
Preguntas de repaso del Capítulo 3 1.
En qué capa del modelo OSI trabaja el bridge?
2.
Cuáles son las ventajas de usar bridge?
3.
Cuáles son las desventajas de usar bridge?
Laboratorio – Capítulo 3 Academy Xperts
53
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
Capítulo 4: IEEE 802.11 (Wireless) Conexión Inalámbrica La comunicación inalámbrica (sin cables) es aquella en la que la que el emisor y el receptor no se encuentra unidos por un medio de propagación físico, sino que se utiliza la modulación de ondas electromagnéticas a través del espacio. En este sentido, los dispositivos físicos sólo están presentes en los emisores y receptores de la señal, entre los cuales encontramos: antenas, computadoras portátiles, PDA, teléfonos móviles, etc.
IEEE 802.11 El estándar IEEE 802.11 define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. Los protocolos de la rama 802.x definen la tecnología de redes de área local y redes de área metropolitana. Recuerde: El MikroTik RouterOS opera en 5GHz (802.11a/n/ac) y 2.4GHz (802.11b/g/n)
Frecuencias y bandas:
802.11b/g • •
2.4GHz, Ancho de Banda 22MHz, 54Mbps Rango de Frecuencia en Canales 1, 6 y 11 no se sobreponen o no se produce el efecto de overlapping
Academy Xperts
54
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
802.11a El estándar 802.11a utiliza el mismo juego de protocolos de base que el estándar original, opera en la banda de 5 GHz y utiliza la multiplexacion por división de frecuencias (OFDM) con una velocidad máxima de 54 Mbit/s, lo que lo hace un estándar práctico para redes inalámbricas con velocidades reales de aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbit/s.El estándar 802.11a tiene 12 canales que no se sobreponen, 8 para red inalámbrica y 4 para conexiones punto a punto. No puede interoperar con equipos del estándar 802.11b, excepto si se dispone de equipos que implementen ambos estándares.
Academy Xperts
55
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
Problema del Nodo Oculto El problema del nodo oculto (tambien llamado problema de terminal oculto) se produce cuando un nodo es visible desde un punto de acceso inalámbrico (AP), pero no es visible desde otros nodos que se comunican con ese mismo AP. Esto conduce a dificultades en la subcapa de control de acceso al medio. Cada nodo está dentro del tango de comunicación del AP, pero los nodos no se pueden comunicar uno con otro ya que no tienen una conexión física entre ellos. La tecnología de transmisión wireless trabaja en un esquema en que si más de un usuario remoto transmite datos al AP al mismo tiempo, es difícil para el punto de acceso distinguir entre los dos transmisores. Cuando se creó el estándar 802.11 los protocolos que se diseñaron para prevenir este problema asumieron que todos los usuarios y nodos deberían estar en las proximidades del AP y podrían escuchar la transmisión de cada uno de los otros nodos. Por ejemplo, supongamos que los nodos A y B son laptops inalámbricas que se conectan a un AP (Access Point) y que el nodo A empieza a enviar datos al AP al mismo tiempo que el nodo B. El nodo A es lo suficientemente inteligente como para escuchar en el momento exacto que está enviando los datos con el fin de garantizar que cuenta con las ondas de radio claras y libres. Si se oye algún otro transmisor al mismo tiempo, puede detener el envío de datos, o, en otros casos, el nodo B puede ser el que detenga su envío de datos. El mecanismo exacto utilizado para determinar el orden de detención de envío de datos es similar a la regla de parada de cuatro vías (four-way stop). Estas reglas son necesarias para evitar una colisión y permitir que cada nodo para enviar sus datos sin obstáculos. Se puede decir entonces, que el estándar 802.11 está diseñado de tal forma que si un nodo escucha que otro nodo está hablando, detiene su envío de datos para evitar que se produzca un caos cuando múltiples nodos rtansmitiendo al mismo tiempo. Esto debería cumplirse para cada nodo en la red. Todo este esquema funciona bien si los nodos remotos se encuentran relativamente cercanos al AP y pueden “verse” entre si. El problema aparece cuando los nodos se alejan bastante del AP y la distancia (mayor a 50 metros) impide que los nodos (por ejemplo A y B) que ahora debn usar antenas direccionales (debido a la distancia), puedan escuchar uno al otro. El resultado es que dichos nodos no pueden llegar a conocer al otro y por lo tanto no pueden detener el envío de datos cuando ambos transmiten simultáneamente. En términos técnicos, los nodos A y B están fuera de rango uno de otro y no puden detectar una colisión mientras transmiten. Es decir, en etse caso el protocolo CSMA/CD (carrier sense multiple access with collision detection) no trabaja y ocurren colisiones lo que ocasiona que los datos que se reciben en el AP estén corruptos.
Para resolver este problema del nodo oculto se implementa una solución basada en el handshaking IEEE 802.11 RTS/CTS en conjunto con el esquema CSMA/CA (carrier sense multiple access with collision avoidance). Sin embargo RTS/CTS no presenta una solución completa e incluso puede afectar el throughput considerablemete, aunque se puede hacer uso de ACKs (acknowledgments) desde las estaciones para ayudar. Otros métodos que se pueden emplear para resolver el problema del nodo oculto son los siguientes: • • • •
Incrementar la potencia de transmisión de los nodos Mover el nodo Utilizar un software que mejore el protocolo Usar diversidad espacial
Incrementar la potencia de transmisión de los nodos Esta opción puede ayudar a resolver el problema del nodo oculto haciendo que aumente la cobertura alrededor de cada nodo, abarcando todos los otros nodos. Esta configuración permite que los nodos no-ocultos puedan detectar o escuchar al
Academy Xperts
56
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
nodo oculto. Si los nodos no-ocultos pueden escuchar el nodo oculto, entonces el nodo oculto ya no lo estará. Las redes WLAN (Wireless LAN) utilizan el protocolo CSMA/CA, y esto hace que los nodos esperen su turno antes de comunicarse con el AP. Esta solución sólo funciona si se aumenta la potencia de transmisión en los nodos que están ocultos. Si se aumenta la potencia de transmisión únicamente en el AP, no se va a resolver todo el problema, ya que normalmente los nodos ocultos son los clientes (laptops, dispositivos móviles), y no el propio AP, por lo que los clientes aún no serán capaces de escuchar a los demás. Incluso, aumentar la potencia de transmisión del AP puede empeorar el problema, porque va a poner nuevos clientes dentro del rango del AP y por lo tanto agregar nuevos nodos a la red que están ocultos de otros clientes. Mover el nodo Al mover el nodo los nodos-ocultos podrían verse entre si. El objetivo es proveer la cobertura adecuada que cubra el área oculta. Es posible que reqiuera puntos de acceso (AP) adicionales. Software que mejore el protocolo Existen varias implementaciones de protocolos que básicamente lo que hacen es implementar una estrategia de polling o token-passing. En este caso, un equipo master (generalmente el AP) hace un polling dinámicamente a los clientes para obtener la data. Los clientes no están permitidos de enviar datos sin la invitación del master. Esta estrategia elimina el problema del nodo oculto pero incrementa la latencia y puede disminuir el throughput.
Diversidad Espacial También conocido como Diversida de Antena es uno de los varios esquema Wireless que usa dos o más antenas para mejorar la calidad y confiabilidad de un enlace wireless. En ambientes indoor (oficinas, restaurantes, edificios) y ambientes urbanos no existe una línea de vista (LOS= line-of-sight) claramente definida y lo que sucede es que la señal se refleja entre múltiples rutas antes de que sea recibida. Cada uno de estos rebotes puede introducir cambios de fase, retardos de tiempo (delay), atenuaciones y distorsiones que puede interferir en la antena de recepción. La diversidad de antena es especialmetne efectiva para mitigar estas situaciones de múltiples rutas. Esto se debe a que las múltiples antenas ofrecen varios receptores para la misma señal. Cada antena experimentará un ambiente de interferencia distinto. De esta manera, si una antena experimenta un desvanecimiento de la señal (deep fade), es muy probable que la otra antena reciba suficiente señal, pudiendo proveer un enlace robusto. El esquema de diversidad de antena requiere una integración y hardware adicional en comparación con sistemas que manejan una sola antena. Esto también requiere una mayor demanda de procesamiento en el receptor. La confiablidad de enlace es mayor (usando diversidad espacial) y disminuye en forma efectiva los abandonos (drop-out) y las pérdidas de desconexión.
basic-rates / supported-rates • • •
basic-rates: son las tasas de velocidad mínima que un cliente debería soportar al momento de conectarse a un AP. Para que haya comunicación entre el AP y el Cliente, ambos deberán tener el mismo Basic-rate. supported-rates: estas son las tasas de velocidad que un cliente puede llegar o soportar. Los data-rates son soportados según el estándar usado como tenemos a continuación: o 802.11b : 1 a 11Mbps o 802.11a/g : 6 a 54Mbps o 802.11n : 6 a 300Mbps, dependiendo de factores como el canal, ancho de banda (20 o 40 MHz), y el número de salidas o antenas (MikroTik las conoce como CHAINS)
HT chains • •
Hace referencia a una antena de radio Son usados para el protocolo 802.11n y es un factor de rendimiento configurable.
Academy Xperts
57
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
802.11n - Data Rates Protocolo en el cual la velocidad real de transmisión podría llegar a los 300 Mbps (lo que significa que las velocidades teóricas de transmisión serían aún mayores), y debería ser hasta 10 veces más rápida que una red bajo los estándares 802.11a y 802.11g, y unas 40 veces más rápida que una red bajo el estándar 802.11b
Academy Xperts
58
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
802.11ac - Data Rates
Academy Xperts
59
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
Tipos de Modulación Las técnicas de modulación digital fundamentales están basadas en Keying. Keying es una familia de formas de modulación donde la señal de modulación toma un número específico (predeterminado) de los valores en todo momento. El objetivo de la modulación es transmitir una señal digital a través de un canal analógico. El nombre deriva de la clave de código Morse utilizado para la señalización telegráfica. La modulación es la técnica general de convertir una señal para transmitir información. Cuando un mensaje digital tiene que ser representado como una forma de onda analógica, se utiliza la técnica el término “keying” (o modulación digital). El “keying” se caracteriza por el hecho de que la señal de modulación tendrá un número limitado de estados (o valores) en todo momento, para representar los estados digitales correspondientes (comúnmente cero y uno, aunque esto puede depender del número de símbolos utilizados). https://en.wikipedia.org/wiki/Keying_(telecommunications) • • • •
PSK (phase-shift keying) – se utiliza un número finito de fases o BPSK (Binary PSK), utiliza M=2 símbolos o QPSK (Quadrature PSK), utiliza M=4 símbolos FSK (frequency-shift keying) – se utiliza un número finito de frecuencias ASK (amplitude-shift keying) – se utiliza un número finito de amplitudes QAM (quadrature amplitude modulation) – se utiliza un número finito de al menos 2 fases y al menos 2 amplitudes
En QAM, una señal “inphase” (“I”) y una señal de fase de cuadratura (“Q”) son modulados en amplitud, con un número finito de amplitudes, y luego son sumados. Puede visualizarse como un sistema de dos canales, donde cada canal utiliza ASK. La señal resultante es equivalente a una combinación de PSK y ASK.
Modo de Frecuencia (frequency-mode) Esta opción nos permitirá elegir el modo en el cual nuestro router va a trabajar, respetando las siguientes limitaciones: • • • •
regulatory-domain: Esta sección limita los canales usados y la potencia de TX, basado en las regulaciones de cada país o del estándar. manual-txpower: Igual que el anterior pero sin la restricción de potencia de TX. superchannel: Ignorará todas las restricciones. country: Frecuencias y potencias de TX, limitados y regulados por cada país. Usando el parámetro no-countryset, se podría configurar los parámetros de frecuencia y potencia según canales aprobados por la FCC.
Rate Flapping Se conoce como Rate Flapping a la variación muy notable (o inestabilidad) en las velocidades alcanzadas, con respecto al tiempo. Si esta variación se produce en períodos cortos de tiempo, afecta al desempeño del enlace ya que cada cambio de velocidad (data rate) implica el uso de un esquema de modulación diferente y por lo tanto los paquetes deben ser retransmitidos. Se puede resolver este tipo de problemas disminuyendo la tasas soportadas (supported-rates). La estrategia que se debe aplicar es analizar el data-rate más bajo (entre los valores en que está fluctuando en enlace) y adoptarlo como el máximo data-rate (en tasas soportadas). Asumiendo que los data-rate varían entre 36 Mbps y 54 Mbps (según el siguiente gráfico)
La solución es reducir las tasas soportadas haciendo que el máximo valor sea 36 Mbps (según la siguiente imagen): Academy Xperts
60
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
Configuración básica de un Access Point (AP) Para configura un AP debemos conocer los siguientes parámetros • • • • •
mode: AP bridge band: Esta opción se seleccionará basada en la capacidad de los AP y clientes. Si el AP soporta múltiples bandas (ej. B/G/N) se debe seleccionar la que ofrece mejores características. frequency: Cualquiera que defina el instructor o habilitada para usarse (De este tema se hablara más adelante) ssid: El nombre del identificador de la red inalámbrica generada. wireless-protocol: Basado en los equipos (AP y clientes) usados. En este caso usaremos 802.11
Perfil de Seguridad (Security profile) POR FAVOR no olvidar configurar el security-profile. • •
Ayudará a fomentar una mayor seguridad en nuestros equipos. No se recomienda usar por ningún motivo una conexión inalámbrica sin security-profile ya que deja la red propensa a un ataque o infiltración. Para crear un security-profile o Menu: Wireless à Security Profile o Click en Add (+) o Name : nombre del profile o Mode : Tipo de autenticación usada. o Authentication types : Método de autenticación usada en la conexión o Ciphers : Métodos de cifrado.
Academy Xperts
61
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
Ahora ya se puede usar el security-profile creado. Se debe regresar a la ventana de Wireless y se selecciona el securityprofile creado. NOTA: Se pueden crear hasta 128 AP Virtuales por interfaz inalámbrica. •
•
Ahora vamos a revisar la red inalámbrica a la cual nos vamos a conectar, con herramientas que las encontraremos en la sección principal de Interface Wlan1> Wireless. Una de estas herramientas es Snooper: o Click en “Snooper” o Procederemos con la inspección. o ¡Ten cuidado! Esto desconectará la interfaz WLAN y clientes asociados Al momento de ingresar en snooper lo que observaremos es lo siguiente o Click en “Snooper” start o Tenga cuidado, ya que todos los clientes asociados a su red se desconectarán de la red inalámbrica. o Usted tendrá una vista completa de frecuencias y otros parámetros para analizarlos. o Seleccionamos un canal de frecuencia libre para nuestra red inalámbrica
Configuración básica de una Estación (client/station) • • •
mode: station band: la misma usada en el AP. frequency: no es un parámetro importante para el cliente.
Academy Xperts
62
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
• • •
ssid: El SSID al cual el equipo STATION se va a conectar wireless-protocol: Se coloca el mismo usado en el AP, en este caso usamos 802.11 Crearemos un security-profile igual al creado en el AP, para que al momento que se inicie la negociación de autenticación, el AP acepte al router en modo STATION.
Filtrado por MAC address Es un mecanismo adicional para limitar las conexiones inalámbricas de los clientes. Para agregar y poder realizar esta limitación, nos dirigimos a nuestro AP, y en “registration” que es la lista de los usuarios registrados, seleccionamos a los clientes deseados, abrimos los detalles con doble click al cliente y damos click en la sección de “copy to access list”
•
Ya podemos ver una nueva entrada en la sección «access-list»
Access-list Las listas de acceso se usan en los AP para restringir las conexiones a clientes específicos y controlar sus parámetros de conexión. Hay que tener en cuenta lo siguiente: • • •
Las Reglas serán comprobadas secuencialmente Sólo se aplicara la primera regla que coincida con todos los parámetros. Si la opción "Default Authentícate" (en la pestaña " Wireless " en "Interface - > WLAN" de pantalla) no se encuentra habilitado, los dispositivos que no corresponden a una regla de la lista de acceso serán rechazados.
Parámetros adicionales: •
Authentication Option este ítem le dirá al router que compruebe el "security- profile " para determinar si la conexión se debe permitir. Si no coinciden la autenticación, siempre fallará el acceso.
Academy Xperts
63
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
•
Forwarding u opción de reenvío le dirá al router permita a los clientes del AP llegar a la otra sin la ayuda de otros APs (evitando así las reglas del firewall que pueda tener). Para mayor seguridad , deje sin marcar
•
AP Tx limitantes y restricción de data rate desde el AP hacia el cliente o Si se establece muy bajo, esto ocasionara problemas de conexión. Siempre se realizan pruebas antes de ponerlas en práctica. Client TX límites y restricciones de data rate desde el cliente hacia el AP o Extensión propietaria son soportadas únicamente por clientes RouterOS. o También siempre se realizan pruebas antes de ponerlas en práctica.
•
Connect-list: Esta opción es para clientes. Asigna propiedades, basado en potencia de señal y configuraciones de seguridad, que cada AP tiene sobre los clientes. Tomar en cuenta que: • • • • •
• •
Las Reglas son revisadas secuencialmente. Se aplica solamente cuando se tiene coincidencia en los parámetros. Si la opción “Default Authenticate” (“Wireless” -> “Interface -> wlan”)si está habilitada en los connect-list, los clientes se conectaran o serán aceptados con respecto a parámetros basados en potencia de la señal o configuraciones de seguridad Nota de Interés: si en el campo SSID (en la sección station connect rule) está vacío, El cliente podría conectarse a cualquier SSID únicamente realizando un match. En la Interfaz Wlan el campo SSID también deberá estar vacío!
Nota de Interés: si el campo SSID (en la sección station connect rule) está vacío, el cliente podría conectarse a cualquier SSID únicamente realizando un match . En la Interfaz Wlan el campo SSID también deberá estar vacío!
Academy Xperts
64
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
Default-authentication • •
Si el AP no tiene ninguna lista de acceso, y default-authenticate no está marcada, los clientes nunca se conectarán. Si la estación no tiene ninguna connect list , y default-authenticate no está marcada , nunca se conectará a un AP.
Default-forwarding •
Especifica el comportamiento del re-envío de paquetes de clientes que ya han sido verificados en la access-list. o Si esta opción está habilitada, se permitirán comunicaciones en capa 2 entre clientes. o Si esta deshabilitada la comunicación se realizara en capa 3 y serán influenciados bajos las reglas del firewall.
WPA, WPA2 WiFi Protected Access, llamado también WPA (en español «Acceso WiFi protegido») es un sistema para proteger las redes inalámbricas (WiFi); creado para corregir las deficiencias del sistema previo, Wired Equivalent Privacy (WEP). Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). • •
WiFi Protected Access (1 y 2) Estos protocolos fueron creados después de la creación de WEP debido a que se encontraron debilidades en el mismo.
Es apropiado configurar WPA, ya que es muy seguro, pero lo recomendable es WPA2 debido que ofrece mayor seguridad WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante una clave compartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red. • • •
Se usa en remplazo de WEP ya que es muy inseguro. Usa TKIP como protocolo de cifrado o Este protocolo genera una nueva Key por cada paquete enviado. Actualmente ya se esta dejando de usar la versión 1 debido a que también se han encontrado debilidades.
Un inconveniente encontrado en la característica agregada al Wi-Fi llamada Wi-Fi Protected Setup (también bajo el nombre de QSS) permite eludir la seguridad e infiltrarse en las redes que usan los protocolos WPA y WPA2. • •
MikroTik no USA WPS porque lo considera demasiado inseguro. En la actualizad se han encontrado debilidades en WPS, como por ejemplo ataques de fuerza bruta.
WPA2 •
Usa CCMP para reemplazarlo como un protocolo de cifrado.
Academy Xperts
65
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
• •
o Basado en AES o Mas robusto que TKIP Es reglamentario que todos los dispositivos WiFi sean certificados. Esta orden esta desde 2006 Se debe utilizar para lograr mayores tasas de bits, en redes que se circunscriben a 54Mbps.
Protocolos Wireless propietarios de MikroTik NV2 (Nstreme Version 2) • • • •
Protocolo propietario de MikroTik Funciona únicamente con chips inalámbricos Atheros 802.11. Este protocolo esta basado en TDMA (Time Division Multiple Access) lo que le permite abarcar mas estaciones en lugar de CSMA (Carrier Sense Multiple Access) Se utiliza para mejorar el rendimiento a través de largas distancias
TDMA es un método de acceso al canal por medio compartido de redes. Permite que varios usuarios/estaciones compartan la misma frecuencia del canal dividiendo la señal en diferentes intervalos de tiempo. Los usuarios transmiten en una rápida sucesión, uno tras otro, cada uno con su propio espacio de tiempo. Esto permite que varias estaciones compartan el mismo medio de transmisión (ej: canal de radio frecuencia) mientras que se utiliza sólo una parte de la capacidad del canal. Los beneficios más importantes de NV2 son los siguientes: • • • • • • • • •
Aumento de la velocidad Baja latencia No hay limitaciones de distancia Más conexiones de los clientes en entornos de PTM. Acepta mas clientes en ambientes punto a multi-punto (soporta hasta 511 clientes) Mayor control en latencia, logrando parámetros muy bajos. Reduce el retardo en Propagación. Reduce el polling overhead. No hay penalización por largas distancias. A partir de RouterOS v5.0beta5 puede se configurar NV2 en el menú Wireless. Soporte de anchos de canal de 5/10/20/40 MHz
Para realizar la conexión usando NV2 en el lado de AP se necesita seleccionar wireless-protocol=nv2, e igualmente en el equipo cliente. En la actualidad, con 802.11n y NV2 puede obtener aproximadamente 97Mbps de tráfico UDP y TCP 94Mbs tráfico a través de RB711 en una dirección usando un solo chain. Enlace más largo del mundo sin usar amplificador El enlace WiFi más largo sin usar amplificador es un enlace de 304 kilómetros alcanzado por CISAR (Centro Italiano de Actividades de radio). • • • • • • •
2007-06-16, Monte Amiata (Toscana) a Monte Limbara (Cerdeña) Frecuencia: 5765 MHz IEEE 802.11a (WiFi), ancho de canal de 5 MHz Radio: Ubiquiti Networks XR5 Equipo inalámbrico: MikroTik RouterOS con RouterBOARD, optimizado con Nstreme Longitud: 304 kilómetros (189 millas). Antena de 120 cm. 35 dBi estimado
https://en.wikipedia.org/wiki/Long-range_Wi-Fi
Herramientas de monitoreo Hay varias herramientas que le ayudarán en el análisis de lo que está en el aire para que pueda elegir la frecuencia con la menor interferencia.
Wireless scan Esta es una herramienta muy útil, ya que nos muestra de manera simple las redes inalámbricas vecinas: • • •
Frecuencia usada, Banda, SSID, Señal y otros. Iniciamos Scan dándole clic en start. Esta herramienta detecta, conexiones inalámbricas vecinas, las conexiones clientes son descartadas.
Academy Xperts
66
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
Snooper El uso del Snooper fue diseñado para ser una herramienta eficiente que le ayudará a supervisar con un detalle mejorado los router vecinos. Proporciona un detallado mejorado de los router vecinos
Registration table Muestra inmediatamente todos los clientes que se lograron registrar a nuestra red inalámbrica: • • • •
Nos entrega información de los clientes conectados en modo Station. Usado en puntos de accesos (AP). Podemos ver el estado de conexiones realizadas. NOTA: Los comentarios que aparecen por encima de las estaciones son para dar mayor información de su función y son definidas por el usuario o administrador, por lo general se basan en información del “access-list”.
Redes inalámbricas en Modo Bridge • • • •
El AP en RouterOS acepta a los routers MikroTik en modo station-bridge para que trabaje en Capa 2 de manera segura. Se puede utilizar para ampliar una subred inalámbrica a muchos clientes. Este modo es MikroTik propietario y no se puede utilizar para conectar otros dispositivos de marca. Cabe recalcar que este modo es un método seguro para usar bridge de L2 y se deberá utilizarse siempre que existan razones suficientes para no utilizar el modo de estación-WDS
Ejercicio en Clases
Academy Xperts
67
RouterOS v6.37.1.01 – Capítulo 4 – Wireless
Con toda la explicación realizada, ya se encuentra en capacidad de conectarse a una red inalámbrica. Trabajar en parejas, un estudiante en modo AP y el otro en modo STATION, con las configuraciones realizas en el diagrama, y realice las siguientes pruebas, (el valor de “x” será definían por el instructor): • • •
Búsqueda de la red del AP mediante herramientas, SCAN y SNOOPER. Conectividad entre el AP y STATION, use la herramienta PING. Prueba de filtrado por MAC
Preguntas de repaso del Capítulo 4 1.
Cuáles son las bandas/frecuencias en la que trabaja el MikroTik RouterOS?
2.
Cuáles son los canales que no se sobreponen en 802.11b/g?
3.
Cuál es el ancho de canal estándar para 802.11b/g y para 802.11a?
4.
Cuál es la diferencia entre basic- rates y supported-rates?
5.
Cuáles son los parámetros que se requieren conocer para configurar un equipo como AP?
6.
Cuáles son los parámetros que se requieren conocer para configurar un equipo como Station?
7.
Para que se usa el Access List?
8.
Para que se usa el Connect List?
9.
Cuál tipo de autenticación es mejor?
10. Cuál tipo de encriptación es mejor? 11. Cuáles son los protocolos propietarios de MikroTik? 12. Cuáles son los beneficios de Nstreme y NV2?
Laboratorio – Capítulo 4
Academy Xperts
68
RouterOS v6.37.1.01 – Capítulo 5 – Network Management
Capítulo 5: Network Management ARP / RARP http://www.protocols.com/pbook/tcpip3/#ARP https://en.wikipedia.org/wiki/Address_Resolution_Protocol TCP/IP utiliza el ARP (Addres Resolution Protocol) y el RARP (Reverse Address Resolution Protocol) para inciar el uso de del direccionamiento de internet en una red Ethernet (u otra) que usa su propio Control de Acceso al Medio (MAC: Medium Access Control). ARP permite que un host se comunique con otros hosts cuando únicamente se conoce la dirección de internet de sus vecinos. ARP dentro del mapa de Protocolos TCP/IP
Estructura de la cabecera ARP/RARP
Es un protocolo de la capa de enlace de datos responsable de encontrar la dirección de hardware (MAC Ethernet) que corresponde a una dirección IP determinada. Para ello se envía un paquete ARP-request a la dirección de broadcast (difusión) de la red (broadcast MAC=FF FF FF FF FF FF) que contiene la dirección IP por la que se pregunta, y se espera a que ese dispositivo (u otro) responda (con un ARP-reply) con la dirección MAC Ethernet que le corresponde. Cada máquina mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la dirección de internet ser independiente de la dirección Ethernet, pero esto solo funciona si todas los dispositivos lo soportan. • • •
ARP se lo conoce como Protocolo de resolución de direcciones Es un mecanismo que relaciona las direcciones IP (Capa 3) con las direcciones MAC (Capa 2) Se utiliza normalmente como un proceso dinámico, pero se puede configurar de forma estática en ciertas situaciones donde la seguridad lo requiere
Academy Xperts
69
RouterOS v6.37.1.01 – Capítulo 5 – Network Management
ARP se utiliza en 4 casos referentes a la comunicación entre 2 hosts: 1. 2. 3. 4.
Cuando 2 hosts están en la misma red y uno quiero enviar un paquete a otro. Cuando 2 host están sobre redes diferentes y deben usar un Gateway/router para alcanzar otro host. Cuando un router necesita enviar un paquete a un host a través de otro router. Cuando un router necesita enviar un paquete a un host de la misma red.
Modos ARP Se pueden configurar varios modos de ARP en la interface: 1.
2. 3. 4.
disabled: Si esta característica estea como arp=disabled, los ARP requests de los clientes no serán respondidos por el router. Por lo tanto, una entrada estática de ARP debe ser agregada a los clientes también. Por ejemplo, las direcciones IP y MAC del router, debe añadirse a los host. enabled: Este modo se activa de forma predeterminada en todas las interfaces. El protocolo ARP descubrirá automáticamente y las nuevas entradas dinámicas se añadirá a la tabla ARP. proxy-arp: Este funcionamiento puede ser muy útil, por ejemplo, si desea asignar direcciones IP a un dial-in (PPP, PPPoE, PPTP) y que sean desde el mismo espacio de direcciones tal como se utiliza para conectarnos a una LAN. reply-only: El router solo responderá a solicitudes ARP (ARP requests) que se han ingresado manualmente o que se hayan declarado com estáticas. Una tabla ARP muestra todas las entradas ARP y la interface desde la cual se aprendió la dirección
Ventajas de usar ARP La principal ventaja del uso de la técnica ARP Proxy es que se puede agregar a un solo enrutador en la red, esto permite que no se distorsione las tablas de encaminamiento de los otros enrutadores de la red. Es recomendable que el ARP Proxy sea utilizado en redes donde los hosts IP no se encuentran configurados con ninguna puerta de enlace predeterminada. Desventajas de usar ARP Los anfitriones no tienen ni idea de los detalles físicos de la red y suponen que es una red plana la cual llega a cualquier destino con tan solo hacer una solicitud ARP. Pero como todo le ARP tiene su desventaja las cuales son: • • • •
Aumenta la cantidad de trafico ARP en su segmento Posee grandes tablas ARP para manejar la asignación de direcciones IP a MAC La seguridad puede ser expuesta. Un host puede simular ser otro host con el fin de interceptar los paquetes, eso es llamado “spoofing” No funciona para redes que no utilicen el protocolo ARP para la resolución de direcciones.
Academy Xperts
70
RouterOS v6.37.1.01 – Capítulo 5 – Network Management
Tabla ARP • •
•
La tabla ARP muestra todas las entradas ARP y las interfaces desde la cual ellos lo aprendieron. La tabla ARP provee: o La dirección IP de los dispositivos conocidos o Las direcciones MAC asociadas a los dispositivos conocidos o Las interfaces de donde fueron aprendidas las direcciones Se puede agregar entradas estática en la tabla ARP para proporcionar una mayor seguridad en la red o Se pueden evitar ataques de ARP poisoning / ARP spoofing o Requiere mucho trabajo y planificación
Sintaxis ARP 1. Ver la tabla ARP /ip arp print Flags: X – disabled, I – invalid, H – DHCP, D – Dynamic, P – published # ADDRESS MAC-ADDRESS INTERFACE 0 172.16.2.222 11:22:33:44:55:66 LAN Etiquetas en la tabla ARP: X = Deshabilitado, R = Corriendo, S = Esclavo 2. Agregar una entrada estática /ip arp add address=172.16.2.222 mac-address=11:22:33:44:55:66 interface=LAN 3. Configuración de un modo ARP: /interface ethernet set ether4 arp=proxy-arp /interface ethernet print Flags: X – disabled. R – running, S – Slave # NAME MTU MAC-ADDRESS ARP 0 S ether1 1500 D4:CA:6D:5C:E2:F2 enabled 1 RS ether2 1500 D4:CA:6D:5C:E2:F3 enabled 2 RS ether3 1500 D4:CA:6D:5C:E2:F4 enabled 3 RS ether4 1500 D4:CA:6D:5C:E2:F5 proxy-arp 4 S ether5 1500 D4:CA:6D:5C:E2:F6 enabled
MASTER-PORT
SWITCH
none none none none
switch1 switch1 switch1 switch1
Servidor / Cliente DHCP El protocolo DHCP (protocolo de configuración dinámica de host) se utiliza para la fácil distribución de direcciones IP en una red. El RouterOS MikroTik incluye ambas partes: Servidor / Cliente. El router soporta un servidor DHCP individual por cada interfaz Ethernet. El servidor MikroTik cumple con las funciones principales que es la de brindar a un cliente asignaciones de una dirección IP con su respectiva máscara IP, como también la dirección de la puerta de enlace (gateway) y la del servidor DNS. La interfaz que aloja el servidor DHCP debe tener su propia dirección IP y que a la vez no debe estar incluida en el pool de direcciones que los clientes van a recibir cuando lo soliciten.
Academy Xperts
71
RouterOS v6.37.1.01 – Capítulo 5 – Network Management
El proceso para de asignaciones de una dirección IP para un cliente es el siguiente: 1. 2. 3. 4.
El cliente envía un broadcast DHCP-DISCOVER El server envía un broadcast DHCP-OFFER El cliente envía un broadcast DHCP-REQUEST El server envía un broadcast DHCP-ACK
DHCP dentro del mapa de Protocolos TCP/IP
DHCP Server Setup La interfaz que va ser configurada como DHCP- Server debe tener su propia dirección y al mismo tiempo esa dirección no debe ser incluida en el pool de dirección. Un pool es un rango de direcciones que estarán disponibles para los clientes
Academy Xperts
72
RouterOS v6.37.1.01 – Capítulo 5 – Network Management
En la ventana de DHCP-Server, se presiona el botón DHCP Setup y luego se sigue con los requisitos que se piden: 1.
Interfaz a la que va ser asignado el servidor DHCP
2.
Dirección de red:
3.
Puerta de enlace:
4.
Pool de direcciones para los clientes DHCP
5.
DNS servers (Más de uno se pueden configurar)
Academy Xperts
73
RouterOS v6.37.1.01 – Capítulo 5 – Network Management
6.
Tiempo de asignaciones
7.
Luego de a ver definido el tiempo de asignaciones presionamos siguiente y con ellos habremos terminado el proceso. En la ventana podremos ver el DHCP server Creado.
En esta configuración automática (ejecutando el DHCP Setup) se generan los siguientes parámetros: • • •
Se crea un pool de direcciones: un grupo de direcciones para asignar a los clientes Se crea el servidor DHCP: su nombre y parámetros (como la interfaz que aceptara solicitudes de los clientes) Se crea el espacio de direcciones: la dirección IP de red y varios parámetros
DHCP puede ser usado para configurar opciones tales como: • • •
42: NTP Servers 70: POP3-Servers http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml
Nota importante: si usted tiene un ambiente en bridge, el servidor DHCP debe estar configurado en la interfaz de bridge. Si se cnfigura el DHCP Server en un puerto que forma parte del bridge, el servidor DHCP no funcionará. Configuraciones por línea de comando /ip dhcp-server setup Select interface to run DHCP server on Dhcp server interface: ether4 Select network for DHCP address Dhcp address space: 192.168.20.0/24 Select gateway for given network Gateway for dhcp network: 192.168.20.1 Select pool of ip addresses given out by DHCP server Addresses to give out: 192.168.20.2-192.168.20.254 Select DNS servers Dns server: 8.8.8.8 Select lease time Lease time: 3d Para agregar configuraciones opcionales de DHCP /ip dhcp-server Option add name=46-node-type code=46 value=0x0008 Para ver por línea de comandos los Servidores DHCP que hay en un router /ip dhcp-server print Flags: X – disabled, I – invalid # NAME INTERFACE RALAY ADDRESS-POOL 0 dhcp1 ether3 0.0.0.1 dhcp_pool2 1 dhcp2 ether4 dhcp_pool3
LEASE-TIME ADD-ARP 3d 3d
/ip dhcp-server network set dhcp-option=46-node-type numbers=1 Para asignar un servidor WINS para la red se haría de la siguiente manera /ip dhcp-server network set wins-server=172.16.2.100 numbers=1 Para ver las opciones anteriormente configuradas /ip dhcp-server network print # ADDRESS GATEWAY 0 192.168.10.0/24 192.168.10.1 1 192.168.20.0/24 192.168.20.1
Academy Xperts
DNS-SERVER 8.8.8.8 8.8.8.8
WIN-SERVER 8.8.4.4 172.16.2.100
DOMAIN
74
RouterOS v6.37.1.01 – Capítulo 5 – Network Management
/ip dhcp-server option print # NAME CODE VALUE 0 46-node-type 46 0x008
RAW-VALUE 008
DHCP Client Permite que una interface Ethernet pueda solicitar una dirección IP •
•
Un DHCP Server remoto nos suministrará o Dirección IP o Mascara y Gateway o Direcciones de DNS server El DHCP Client nos suministrará estas opciones o Hostname o ID de cliente (en este caso, la dirección MAC)
Para configurar un DHCP client en un interfaz por línea de comando /ip dhcp-client add interface=ether2 dhcp-options=clientid, hostname Para configurar un DHCP client en un interfaz por medio de la venta DHCP Client
Sintaxis DHCP Client Para configurar una interfaz como DHCP-Client /ip dhcp-client add interface=ether5 dhcp-options=clientid, hostname Para ver y activar un DHCP client /ip dhcp-client print /ip dhcp-client enable numbers=1 Para ver las direcciones IP asignadas /ip address print
Gestión de Asignaciones El comando /ip dhcp-server lease provee información acerca de los DHCP Client y asignaciones. /ip dhcp-server lease print Flags: X – disabled, R – Radius, D – Dynamic, B – blocked # ADDRESS MAC-ADDRESS HO SER.. RA 0 D 192.168.3.254 78:84:3C:9E:BE:4A Da dhcp1 • • • •
Nos mostrará las gestiones estáticas y dinámicas Se puede convertir una IP asignada dinámicamente en estática o Puede ser muy útil para cuando un dispositivo necesita mantener la misma dirección IP o ¡Ten cuidado! Se cambia la tarjeta de red, se pondrá una nueva dirección Un servidor DHCP podría ser obligado a correr únicamente con direcciones estáticas Los clientes solo recibirán las direcciones IP pre configurados o Evalúe su situación y la necesidad de hacer esto. Requerirá mucho trabajo para grandes redes.
Para ver asignaciones de DHCP /ip dhcp-server lease print Flags: X – disabled, R – Radius, D – Dynamic, B – blocked 0 address=192.168.3.254 mac-address=78:84:3C:9E:BE:4A client-id=”1:78:84:3C:9e:4A” server=dhcp1 dhcp-option”” status=bound expires-after=2d23h59m38s last-seen=22s active-address=192.168.3.254 active-mac-address=78:84:3C:9E:BE:4ª active-client-id=”1:78:84:3C:9e:4A” active-server=dhcp1 hostname=”Darwin”
Academy Xperts
75
RouterOS v6.37.1.01 – Capítulo 5 – Network Management
Preguntas de repaso del Capítulo 5 1.
Para qué sirve el protocolo ARP?
2.
Cuáles son los modos ARP que se pueden configurar en las interfaces de un MikroTik?
3.
Cuáles son las ventajas y desventajas de usar ARP?
4.
Cuál es el proceso de que siguen el cliente y server en la negociación DHCP?
5.
Qué parámetros se requieren cuando se ejecuta el DHCP Setup?
6.
Qué información le provee el DHCP Server al Cliente?
7.
Qué información le provee el DHCP Cliente al DHCP Server?
8.
De qué forma se pueden convertir las asignaciones dinámicas de DHCP en estáticas?
9.
Cuáles son las herramientas de administración más importantes que provee el RouterOS
10. Cuáles son los diferentes tipos de acciones que se pueden crear en /system logging?
Laboratorio – Capítulo 5
Academy Xperts
76
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Capítulo 6: Firewall Conceptos básicos de Firewall Un firewall es un dispositivo o sistema de seguridad de red que permite (en base a un conjunto de reglas) controlar el tráfico que ingresa y sale a la red. Generalmente un firewall crea una barrera entre una red que se considera segura (usualmente la red interna o LAN) y otra red que se asume no es segura (comúnmente red externa, y/o Internet). El firewall filtra el tráfico entre dos o más redes. Los routers que gestionan el tráfico entre redes contienen componentes de firewall, y de igual manera algunos firewalls pueden desempeñar ciertas funciones de ruteo, pudiendo incluso proveer servicios de túneles (VPN), asignación de direcciones pro DHCP, y otros.
•
• • • • • •
•
En la actualidad, un firewall es una herramienta indispensable para proteger nuestra conexión a Internet. El hecho de hacer uso de una conexión a Internet puede ser causa de múltiples ataques a nuestro equipo de cómputo desde el exterior, cuanto más tiempo estemos en línea, mayor es la probabilidad de que la seguridad de nuestro sistema se vea comprometida por un intruso desconocido. Por lo tanto, ya no solamente es necesario tener instalado y actualizado un software antivirus y un software antispyware sino también es totalmente recomendable mantener instalado y actualizado un software de firewall. Un firewall es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red privada. Pueden implementarse firewalls en hardware, software o en ambos. Los firewalls se utilizan con frecuencia para impedir que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet. El firewall MikroTik protege al equipo frente a ataques de Internet, contenidos Web peligrosos, análisis de puertos y otros comportamientos de naturaleza sospechosa. El Firewall implementa filtrado de paquetes y de este modo provee funciones de seguridad, que son usadas para administrar los datos que fluyen hacia, desde, y a través del router: Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes conectadas directamente y al router en sí mismo. Y también sirve como un filtro para el tráfico de salida. RouterOS funciona como un Stateful Firewall, lo cual significa que desarrolla una inspección del estado de los paquetes, y realiza el seguimiento del estado de las conexiones de red que viajan a través del router RouterOS también soporta: Source y Destination NAT o NAT o Helpers para las aplicaciones populares o UPnP El firewall provee marcado interno de conexiones, Routing y paquetes.
¿Cómo funciona un firewall? El Firewall opera usando reglas. Esta tiene 2 opciones: • •
The matcher : Todas las condiciones tienes que ser verificadas y deben coincidir, para poder aplicar. The Action : Una vez que todos los parámetros coinciden y pasa la primera verificación, se procede con la acción.
El matcher analiza y compara estos siguientes parámetros: • • • • • • • •
Source MAC address IP addresses (network or list) y address types (broadcast, local, multicast, unicast) Port o port range Protocol Protocol options (ICMP type y code fields, TCP flags, IP options) Interface por donde el paquete llega o sale DSCP byte Y muchos mas…
Academy Xperts
77
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Listado de Puertos más Conocidos https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Well-known_ports
Academy Xperts
78
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Academy Xperts
79
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Academy Xperts
80
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Academy Xperts
81
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
RouterOS puede filtrar por: • • • •
Dirección IP, rango de direcciones, puerto, rango de puertos Protocolo IP, DSCP y otros parámetros Soporta Listas de Direcciones estáticas y Dinámicas Puede hacer match de paquetes por patrón en su contenido, especificado en Expresiones Regulares, conocido como Layer 7 matching
El Firewall de RouterOS también soporta IPv6 Un firewall constituye una especie de barrera delante de nuestro equipo, esta barrera examina todos y cada uno de los paquetes de información que tratan de atravesarlo. En función de reglas previamente establecidas, el firewall decide qué paquetes deben pasar y cuáles deben ser bloqueados. Muchos tipos de firewalls son capaces de filtrar el tráfico de datos que intenta salir de nuestra red al exterior, evitando así que los diferentes tipos de código malicioso como caballos de Troya, virus y gusanos, entre otros, sean efectivos. El firewall actúa de intermediario entre nuestro equipo (o nuestra red local) e Internet, filtrando el tráfico que pasa por él. Un firewall, como ya se ha descrito, intercepta todos y cada uno de los paquetes destinados a nuestro equipo y los procedentes de él, realizando este trabajo antes de que algún otro servicio los pueda recibir. De lo anterior podemos concluir que un firewall puede controlar todas las comunicaciones de un sistema a través de Internet. Se dice que un puerto de comunicaciones está abierto si el sistema devuelve una respuesta al llegar un paquete de petición de establecimiento de conexión. En caso contrario el puerto se considera cerrado y nadie puede conectarse a él. El punto fuerte de un firewall reside en que al analizar cada paquete que fluye a través del mismo, puede decidir si lo deja pasar en uno u otro sentido, y puede decidir si las peticiones de conexión a determinados puertos deben responderse o no. Los firewalls también se caracterizan por su capacidad para mantener un registro detallado de todo el tráfico e intentos de conexión que se producen (lo que se conoce como un log). Estudiando los registros o logs es posible determinar los orígenes de posibles ataques y descubrir patrones de comunicación que identifican ciertos programas maliciosos. Sólo los usuarios con privilegios administrativos pueden acceder a estos registros, pero es una característica que se le puede exigir a estas aplicaciones. http://wiki.mikrotik.com/wiki/Firewall
Academy Xperts
82
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Mapa de Protocolos
Flujo de Paquetes Todas las comunicaciones de Internet se realizan mediante el intercambio o flujo de paquetes o datos, que son la unidad mínima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino, independientemente de donde se encuentren las máquinas que se comunican, debe llevar anexada la información referente a la dirección IP de cada máquina en comunicación, así como el puerto a través del que se comunican. La dirección IP de un dispositivo lo identifica de manera única dentro de una red. Los puertos de comunicación también son una parte muy importante de la que el Firewall deberá verificar y controlar también, debido a que la mayoría de comunicaciones se realizan bajo protocolos los cuales realizan el envió de paquetes mediante puertos tales como: TCP es el protocolo de comunicación que garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron. TCP usa el concepto de número de puerto para identificar a las aplicaciones emisoras y receptoras. Cada lado de la conexión TCP tiene asociado un número de puerto (de 16 bits sin signo, con lo que existen 65536 puertos posibles) asignado por la aplicación emisora o receptora. Los puertos son clasificados en tres categorías: bien conocidos, registrados y dinámicos/privados. Los puertos bien conocidos son asignados por la Internet Assigned Numbers Authority (IANA), van del 0 al 1023 y son usados normalmente por el sistema o por procesos con privilegios. Las aplicaciones que usan este tipo de puertos son ejecutadas como servidores y se quedan a la escucha de conexiones. Algunos ejemplos son: FTP (21), SSH (22), Telnet (23), SMTP (25) y HTTP (80). Los puertos registrados son normalmente empleados por las aplicaciones de usuario de forma temporal cuando conectan con los servidores, pero también pueden representar servicios que hayan sido registrados por un tercero (rango de puertos registrados: 1024 al 49151). Los puertos dinámicos/privados también pueden ser usados por las aplicaciones de usuario, pero este caso es menos común. Los puertos dinámicos/privados no tienen significado fuera de la conexión TCP en la que fueron usados (rango de puertos dinámicos/privados: 49152 al 65535, recordemos que el rango total de 2 elevado a la potencia 16, cubre 65536 números, del 0 al 65535) User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas (Encapsulado de capa 4 Modelo OSI), este protocolo no garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron. UDP utiliza puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud de 16 bits, por lo que el rango de valores válidos va de 0 a 65.535. El puerto 0 está reservado, pero es un valor permitido como puerto origen si el proceso emisor no espera recibir mensajes como respuesta. • • •
Los puertos 1 a 1023 se llaman puertos bien conocidos y en sistemas operativos tipo Unix enlazar con uno de estos puertos requiere acceso como súper usuario. Los puertos 1024 a 49.151 son puertos registrados. Los puertos 49.152 a 65.535 son puertos efímeros y son utilizados como puertos temporales, sobre todo por los clientes al comunicarse con los servidores.
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers Academy Xperts
83
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Para facilitarnos el entendimiento • • •
MikroTik ha creado diagramas para ayudarnos a la configuración avanzada en el flujo de paquetes. Es bueno estar familiarizado con ellos para saber qué está pasando con los paquetes y en qué orden irán. Para este curso, se analizara superficialmente y de manera simple los gráficos.
http://wiki.mikrotik.com/wiki/Packet_Flow
Diagrama de flujo de paquetes en Bridge o Capa 2 (MAC) En este diagrama la parte de Ruteo se encuentra simplificada como un cuadro (Layer 3)
Diagrama de flujo de paquetes en Ruteo o Capa 3 (IP) En este diagrama la parte de Bridge se encuentra simplificada como un cuadro (Bridging)
Cambios en RouterOS v6 Los cambios realizados en el Flujo de Paquetes de la versión 6 de RouterOS se muestran en los elementos marcados en roj en la siguiente imagen:
Academy Xperts
84
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Ejemplo de flujo de paquetes •
El siguiente ejemplo ayudara a ilustrar mejor el flujo de paquetes: Realice un Ping hacia (nodo no existente) sobre la interfaz de su router LAN a través de su WAN interface o IP no asignada a ningún equipo : 172.16.x.x o IP asignada a un cliente : 192.168.x.x o IP asignada para WAN (ether1 o wlan1) : 172.16.x.x
Configuración previa al análisis de flujo de paquetes /ip firewall filter add action=log chain=input log-prefix=Filter-input protocol=icmp add action=log chain=output log-prefix=Filter-output protocol=icmp add action=log chain=forward log-prefix=Filter-forward protocol=icmp /ip add add add add add
firewall mangle action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp action=log chain=output log-prefix=Mangle-output protocol=icmp action=log chain=input log-prefix=Mangle-input protocol=icmp action=log chain=forward log-prefix=Mangle-forward protocol=icmp action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp
/ip firewall nat add action=log chain=srcnat log-prefix=srcnat protocol=icmp add action=log chain=dstnat log-prefix=dstnat protocol=icmp Ejecutar el PING Realizamos la ejecución del ping hacia las redes definidas al comienzo de la practica en clases: •
Ejemplo: ping 192.168.3.2
De ahí procedemos con la revisión de los LOGs para verificar que información podemos obtener. Ping entrante. ===PREROUTING=== Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 ===FORWARD===
Academy Xperts
85
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 ===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 ===OUTPUT=== Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 ===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3>172.16.2.100, len 88
Connection Tracking y sus Estados El Connection Tracking administra la información de las conexiones activas. Antes de crear filtros o reglas en el firewall, es importante conocer qué tipo de tráfico está pasando a través del router. El Connection Tracking mostrará una información como la que se presenta a continuación:
•
El uso de connection-tracking permite el seguimiento de las conexiones UDP, aunque UDP sea stateless. Como tal, el firewall de MikroTik puede filtrar sobre los “estados” UDP.
Recuerde: En caso de que se deshabilite el connection-tracking por cualquier motivo, las siguientes funciones dejaran de funcionar: • •
•
NAT Firewall o connection-bytes, connection-mark o connection-type, connection-state o connection-limit, connection-rate o layer7-protocol, p2p o new-connection-mark, tarpit p2p matching en cola simple
Entonces podemos definir que sin el connection-tracking el servidor de seguridad sólo utilizará criterios básicos, tales como (pero no limitados a): • • •
Direcciones de origen y de destino Protocolos Los puertos de origen y de destino o Dentro y fuera de las interfaces
Academy Xperts
86
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
TCP-States Los TCP-States son (asumiendo que hay una conexión desde un punto A hacia B): • • • • •
established: Se establece una sesión TCP con el host remoto, proporcionando una conexión abierta donde se pueden intercambiar datos time-wait: Tiempo de espera para asegurar que el host remoto ha recibido un acuse de recibo (ACK) de su solicitud de finalización de conexión (después se "cierra") close: Representa a la espera de una solicitud de finalización de conexión del host remoto. syn-sent: Cuando un Client-A se encuentra en espera para un matching connection request, después de haber enviado la solicitud. syn-received: Cuando un Client-B se encuentra en la espera de una confirmación de un connection request acknowledgement cuando ambos puntos ya recibieron un connection request.
Estados de las Conexiones (connection-state) Primer paquete será "nuevo“en las conexión, el resto de paquetes se puede aceptar como establecido si no se alcanza el valor UDP-timeout. •
•
•
•
new – es el primer paquete UDP, TCP que pasa en la sincronización de paquetes. o Es el primer paquete que puede establecer una entrada en el conection tracking. o Es el primer paquete en sincronizar en TCP. o Es el primer paquete UDP. established – Cuando pasa el resto de paquetes UDP o TCP o Los paquetes de conexiones ya conocidos o El resto de la comunicación UDP, si la tasa de paquetes puede mantenerse antes de un UDP timeout related – Cuando se crea una conexión basada en una ya existente. o Conexión que se crea por otra conexión ya establecida. o Por ejemplo: la conexión de datos de la TFP que son creados por primera instancia por una conexión FTP. o Es esencial para una conexión relacionada primero ser establecida. invalid – paquete TCP inválido o no relacionado con el conection-traking. o Cualquier paquete con estado desconocido o Es buena idea dejarlos o realizarle un DROP.
Estructura: chains y acciones •
•
• • •
Un chain: es una agrupación de reglas basado en los mismos criterios. Hay tres cadenas predeterminadas en función de criterios predefinidos. o input: El tráfico que va al router o forward: El tráfico que va a través del router o output: El tráfico procedente del router Por ejemplo, se puede implementar un chain pasado en: o Basado en el criterio: todo el tráfico del icmp. o Basado en tráficos provenientes de puertos Ethernet, por ejemplo: Ether2 hacia una red LAN remota o una red bridge. Los usuarios definen los chains, y estos mismos son creados dependiendo de los parámetros que se puedan comparar, y si desean pueden realizar un «jump» para una vez que el match ha sido confirmado, se realizara un salto hacia otra regla en el firewall, esto se los define en «jump target» Una acción dicta lo que va a realizar el filtro o regla cuando los paquetes aplican con todas las condiciones para ser filtrado. Los paquetes se comprueban secuencialmente contra de las reglas existentes en la cadena de firewall actual hasta que se produce una coincidencia. (Cuando se tenga el # significa que respetará un orden: primero uno si coinciden, se aplica la acción, y de ahí pasara a la siguiente si se encuentra habilitada esa opción, en caso contrario hasta ahí llegara el análisis)
Filtrado Firewall en acción Se puede aprovechar la seguridad de un firewall de diferentes maneras tales como: • • •
Confiar en la seguridad de nuestra LAN, ya que lo proveniente de la WAN es lo inseguro. Bloqueamos todos y permitimos únicamente en lo que estamos de acuerdo. Permitiremos todo y bloquearemos únicamente lo que causa problemas.
Consejos Básicos y trucos • • •
Antes de realizar cambios en el firewall ingresemos en “modo seguro” Después de realizar configuraciones y cambios en las reglas firewall, se aconseja probar las debilidades: una herramienta recomendada: ShieldsUP Antes de comenzar se recomienda escribir en texto plano o en papel una descripción sencilla de las políticas que se quiere aplicar. o Una vez que las entiende y está de acuerdo con ellos, se procede con ingreso al router.
Academy Xperts
87
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
o
• • •
Añadir las siguientes reglas progresivamente, una vez que esté satisfecho con las reglas básicas ingresadas. o Si se es nuevo en el área de seguridad, lo recomendable es que no ingrese reglas que apunten en todas direcciones, suficiente con hacer lo básico, pero hay que hacerlo bien. Es una buena idea poner fin a sus cadenas con las reglas "catch-all" y ver lo que se puede haber perdido. Usted necesitará dos reglas "catch-all", uno de "log" y uno de "drop" para todo tráfico sin precedentes. Ambos deben basarse en los mismos parámetros comparados para que sea útil para usted. Una vez que vea lo que llega a las reglas "catch-all", puede agregar nuevas reglas basadas en el comportamiento deseado por el firewall.
Filtrado por Parámetros • •
Antes de decidir en tomar una acción en el firewall, primero hay que identificarlo. Nosotros tenemos muchos parámetros por el cual podemos comparar.
Filter actions Una vez realizada el match con todos los parámetros de una regla, y coinciden, entonces se realizara una acción. El firewall de MikroTik tiene las 10 siguientes acciones: accept: Acepte el paquete. El Paquete ya no pasaría a la siguiente regla de firewall. add-dst-to-address-list: dirección destino, después de hacer match el paquete pasa a la siguiente regla. add-src-to-address-list: dirección origen. Después de hacer match el paquete pasa a la siguiente regla. drop: el paquete es desechado. Después de hacer match el paquete pasa a la siguiente regla. jump: jump es definido por el usuario y sirve para saltar a una regla en específico, definido por el jump-target. Después de hacer match el paquete pasa a la siguiente regla definida en jump-target. 6. log: añade un mensaje en los logs con la siguiente información: in-interface, out-interface, src-mac, protocol, src-ip:port->dst-ip:port y length of the packet. Después de hacer match el paquete pasa a la siguiente regla. 7. passthrough: si esta opción está marcada, habilitará la opción de ignorar resta regla y pasar a la siguiente (muy útil para estadísticas de red). 8. reject: desecha los paquetes icmp y envía un mensaje definido por el usuario el paquete no pasa a la siguiente regla. 9. return: pasa el control del filtro de nuevo, en donde se originó el filtro anterior. Después de hacer match el paquete pasa a la siguiente regla (únicamente si la regla anterior no ocasiona que se deseche el paquete y pare el match). 10. tarpit: captura y retiene los paquetes TCP (replicas con SYN/ACK para paquetes entrantes TCP SYN). Después de hacer match el paquete pasa a la siguiente regla. 1. 2. 3. 4. 5.
Protegiendo tu router (input)
• •
El chain=input analiza todo el tráfico entrante al router. Al aplicar una regla chain=input, se controla el ingreso de información al router
MikroTik da las siguientes sugerencias para el Input Asumiendo que la interfaz ether1 está conectada a una WAN insegura. • • • • • •
Aceptar el tráfico de icmp-echo-reply (si se desea tener replica de ping sobre internet, esto es útil cuando manejamos servidores) Desechar todo el tráfico icmp-echo-request (Cuando no deseamos que nos hagan ping otro dispositivo. Con esto evitamos estar en la mira de ataques como smurf attack u otros) Aceptar todo el tráfico entrante establecido y relacionado. Desechar todo el tráfico inválido. Realizar un Log de todo el resto del tráfico Desechar todo el resto de tráfico.
Protegiendo a todos los clientes (forward) •
El trafico forward es el tráfico que pasa a través del router.
Academy Xperts
88
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
MikroTik da las siguientes sugerencias para el Forward Asumiendo que la interfaz ether1 está conectada a una WAN insegura. • • • •
Aceptar todo el tráfico forward establecido y relacionado. Desechar todo el tráfico inválido. Hacer Log de todo el resto del tráfico (para verificar si es que algún paquete importante ha sido bloqueado) Desechar todo el resto de tráfico.
Address-list conceptos básicos address-list se usa para agrupar direcciones IP. Ayuda a simplificar la cantidad de reglas creadas en el router. •
¿Qué es mejor? Aplicar 10 reglas aplicadas a 10 IPs o aplicar 1 sola regla a un solo grupo de IPs.
Los grupos de address-list pueden representar: • • •
Grupo de administradores, departamentos, Hackers Lo que sea que se dese clasificar
Pueden ser usados por Filter, Mangle, y NAT. La creación puede realizarse de manera automática con la acción de firewall: add-src-to-address-list o add-dst-to-address-list. Con esto se facilita aplicar acciones en grupo en Firewall Filter, Mangle o NAT. • Esta puede ser una gran vía para poder facilitar el bloqueo de IP. add action=add-src-to-address-list address-list=blacklist chain=input comment=nombre_lista in-interface=interface Para visualizar listas existentes: /ip firewall address-list print Para crear listas permanentes /ip firewall address-list add address=1.2.3.4 list=hackers Crear listas a través de reglas firewall creadas: /ip firewall filter add action=add-dst-to-address-list address-list=temp-list address-listtimeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24 /ip firewall nat add action=add-src-to-address-list address-list=NAT-AL chain=srcnat /ip firewall mangle add action=add-dst-to-address-list address-list=DST-AL address-listtimeout=10m chain=prerouting protocol=tcp
Academy Xperts
89
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Source NAT
El Network Address Translation (NAT) permite a los hosts de una red LAN, comunicarse con redes externas •
•
Source NAT (srcnat) traduce las direcciones IP (de una LAN) a direcciones IP públicas cuando se accede al Internet. También realiza la traducción de IP pública a privada cuando el tráfico se genera desde la WAN hacia una LAN. Las direcciones IP que no son Públicamente Ruteables, son direcciones IP que no pueden ser usados en Internet. o Estas direcciones privadas son: § 10.0.0.0/8 § 172.16.0.0/12 § 192.168.0.0/16
masquerade & src-nat El primer chain para NAT es srcnat. Es usado para aplicar acciones a los datos salientes del router. Al igual que los filtros de firewall, las reglas de NAT tienen algunas propiedades y acciones (13 acciones). La primera y más básica acción de NAT es action=masquerade. masquerade reemplaza la dirección IP origen en paquetes por otra IP determinada (ejemplo una privada a publica) para facilitar el enrutamiento. •
Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por la dirección de la interfaz externa (WAN)
chain=src-nat permite realizar cambios en dirección IP y puerto origen de los paquetes a unos especificados por el administrador de la red Ejemplo de uso: Dos empresas (alfa y beta) se han fusionado, pero hay un problema en sus redes locales ya que ambas redes utilizan el mismo espacio de direcciones (por ejemplo, 172.16.0.0/16.). Ellos no desean cambiar sus segmentos de red, ya que todos los dispositivos en la empresa (impresoras, proyectores, copiadoras, etc.) tienen direcciones asignadas e implicaría pérdida de tiempo. Solución: Orientándonos al concepto de NAT, lo único que se requerirá son reglas básicas de NAT con src-nat y posiblemente reglas de dst-nat, independientemente que las redes locales de cada una sean iguales.
Academy Xperts
90
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Destination NAT
• •
action=dst-nat es una acción usada en chain=dstnat para re direccionar el tráfico entrante hacia una diferente IP o puerto. Ejemplo de aplicación: Se tiene una granja de servidores (Web, Mail y SSH) y solo una dirección IP pública en el router de borde. Se desea acceder desde del exterior hacia cada servidor en forma independiente.
Academy Xperts
91
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
dst-nat & redirect • • •
action=redirect cambia el puerto destino del tráfico hacia un puerto del propio router. Ejemplo de aplicación: Todo tráfico http (TCP, puerto 80) va a ser reenviado al web proxy del router por TCP puerto 8080. Este concepto en otros dispositivos se lo conoce como port-forwarding
Sintaxis NAT Agregar regla masquerade /ip firewall nat add action=masquerade chain=srcnat Cambiar el source IP address add chain=srcnat src-address=192.168.0.109 action=src-nat to-addresses=10.5.8.200 Destination NAT. Redirecciona todo el tráfico WEB (TCP, port 80) hacia el web proxy del router sobre el port 8080 add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
scripts • • •
Es un archivo de órdenes, o archivo de procesamiento por lotes. Es un programa usualmente simple, que por lo regular se almacena en un archivo de texto plano. Usualmente es usado en MikroTik para automatizar tareas. Se puede realizar la automatización con scheduler.
Ejemplo de scripts ------------ PORT SCAN ------------:global portscannerip; :if ([:len [/ip firewall address-list find list=port_scanners]]>0) do= { :log error "------IP's dectada como ATAQUE PORTSCANNER------"; :foreach i in [/ip firewall address-list find list=port_scanners] do={ :set portscannerip [/ip firewall address-list get $i address]; :log error $portscannerip }; } --------------- cpu LOAD ------------":if \(\[ /system resource get cpu-load \] \ >= 90 \) do={ /system reboot; }"
Academy Xperts
92
RouterOS v6.37.1.01 – Capítulo 6 – Firewall
Preguntas de repaso del Capítulo 6 1.
Cómo funciona un firewall (matcher y action)?
2.
Cuál es el número total de puertos disponibles para TCP/UDP?
3.
Cómo se clasifican estos puertos?
4.
Para qué sirve el Connection Tracking?
5.
Qué funcionalidades dejan de trabajar si se deshabita el Connection Tracking?
6.
Cuáles son los diferentes TCP-States que se presentan en el Connection Tracking?
7.
Cuáles son los 4 connection-states en firewall?
8.
Cuales son las principales acciones el /ip firewall filter?
9.
Cuándo se usa chain=input?
10. Cuándo se usa chain=forward? 11. Que tipos de direcciones se puede definir en el Address List? 12. Explique la diferencia entre los chain SRCNAT y DSTNAT
Laboratorio – Capítulo 6
Academy Xperts
93
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
Capítulo 7: Colas Simples y QoS Las colas se utilizan para limitar y priorizar el tráfico: • • • • • •
Limitar la velocidad para ciertas direcciones IP, subredes, protocolos, puertos y otros parámetros Limitar el tráfico peer-to-peer Priorizar el flujo de algunos paquetes sobre otros Configurar el tráfico Burst para una navegación (browsing) más rápida Aplicar diferentes límites basados en tiempo Compartir el tráfico disponible de manera equitativa entre usuarios, o dependiendo de la carga del canal
La implementación de colas en RouterOS se basa en HTB (Hierarchical Token Bucket). HTB permite crear una estructura de cola jerárquica y determina las relaciones entre las colas. En RouterOS, hasta la v5.x, estas estructuras jerárquicas se las puede encontrar en 4 lugares diferentes: • • •
•
global-in – Representa a todas las interfaces de entrada en general (INGRESS queue). Las colas unidas a globalin aplican al tráfico que es recibido por el router antes del filtrado de paquetes. global-out – Representa a todas las interfaces de salida en general (EGRESS queue). global-total – Representa a todas las interfaces juntas de entrada y de salida (en otras palabras, es la agregación de global-in y global-out). Se utiliza en los casos en que los clientes tienen un límite único para ambas, subida y bajada (upload y download). – Representa una interface de salida en particular. Únicamente el tráfico que se designa para salir a través de esta interface pasará esta cola HTB.
Existen dos formas diferentes de configurar colas en RouterOS: • •
/queue simple (colas simples) – Diseñado para facilitar la configuración de las tareas de gestión de colas simples y cotidianas (tales como la limitación de un solo cliente de upload/download, limitación de tráfico p2p, etc.). /queue tree (árbol de colas) – Para implementar tareas de encolamiento avanzadas (tales como políticas de priorización global, limitaciones de grupos de usuarios). Se requiere el flujo de paquetes marcados en /ip firewall mangle.
Principios de limitación de velocidad La limitación de velocidad se utiliza para controlar la velocidad de flujo de tráfico enviado o recibido en una interfaz de red. El tráfico en el que la tasa es menor o igual a la tasa especificada se envía, mientras que el tráfico que supera la tasa se descarta o se retrasa. La limitación de velocidad se puede realizar en dos formas: • •
Descartar todos los paquetes que exceden el límite de velocidad – Limitación de velocidad (dropper o shaper) (Limitador de velocidad al 100% cuando el tamaño de la cola = 0) Retardo de los paquetes que exceden el límite de velocidad específico en la cola y transmiten cuando es posible – Igualar la velocidad (scheduler) (Igualación tasa al 100% cuando el tamaño de la cola=ilimitado)
La siguiente figura explica la diferencia entre la limitación de velocidad y la ecualización de tasa:
Como se puede ver en el primer caso todo el tráfico es superior a la tasa específica y es descartado. En el otro caso el tráfico excede tasa específica y se retrasa en la cola y se transmite más tarde, cuando sea posible, pero tenga en cuenta que el paquete sólo puede ser retrasado hasta que la cola no esté llena. Si no hay más espacio en el tope de la cola, los paquetes se descartan.
Academy Xperts
94
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
Para cada cola se pueden definir dos límites de tasa: •
•
CIR (Committed Information Rate = Velocidad de Información Comprometida) – (limit-at en RouterOS) En el peor escenario, el flujo recibirá esta cantidad de tasa de tráfico, independientemente de otros flujos de tráfico. En cualquier momento dado, el ancho de banda no debe caer por debajo de esta tasa comprometida. MIR (Maximum Information Rate = Máxima Velocidad de Información) – (max-limit en RouterOS) En el mejor escenario, velocidad máxima de datos disponible para el flujo, si está libre cualquier parte del ancho de banda.
Simple Queues (Colas Simples) Sub-menu: /queue simple La forma más sencilla de limitar la velocidad de datos para direcciones y / o subredes IP específicas, es usar colas simples. También puede utilizar las colas simples para crear aplicaciones avanzadas de QoS. Tienen características integradas útiles: • • • • •
Colas de tráfico peer-to-peer Aplicación de reglas de colas en intervalos de tiempo elegidos Prioridades Uso de múltiples marcas de paquetes de /firewall ip mangle Shaping (programación) de tráfico bidireccional (un límite para el total de subida + bajada)
Hasta la v5.x de RouterOS, un elemento de configuración en /queue simple puede crear de 0 a 3 colas separadas (una cola en global-in, una cola en global-out y una cola en global-total). Si todas las propiedades de una cola tienen valores por defecto (no hay límites establecidos, tipo de cola es por defecto), y la cola no tiene hijos, entonces no se crea realmente. De esta manera, por ejemplo, la creación de colas global-total se puede evitar si únicamente se utiliza limitación basada en upload/download. A partir de la v6.x únicamente existe global Las colas simples se ejecutan en un orden secuencial. cada paquete debe pasar por cada cola hasta que cumpla las condiciones. Esto quiere decir que en el caso de que se tengan 1,000 reglas de colas simples (queue simple), para que un paquete pueda alcanzar el final de cola (la cola número 1,000) tendrá que pasar a través de las 999 colas previas antes de que llegue a su destino. Ejemplo de configuración Asumamos que tenemos topología como la de la red como en la Figura siguiente y queremos limitar la bajada y la subida para la red privada (upload = 256kbps, download = 512kbps). Agregue una regla de cola simple, la cual limitará el tráfico de bajada a 512kbps y subida a 256kbps para la red 10.1.1.0/24, configurada en la interface Ether2: /queue simple add name=private target=10.1.1.0/24 max-limit=256K/512K interface=ether2 En este caso la declaración funciona bien incluso si indicamos solamente uno de los parámetros: target= o interface=, porque ambos definen dónde y para cuál tráfico se implementará esta cola. Para chequear la configuración: /queue simple print Flags: X - disabled, I - invalid, D - dynamic 0 name="private" target=10.1.1.0/24 dst-address=0.0.0.0/0 interface=ether2 parent=none direction=both priority=8 queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s total-queue=default-small
Academy Xperts
95
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
El parámetro max-limit reduce el ancho de banda máximo disponible. El valor max-limit=256k/512k significa que los clientes de la red privada recibirán máximo 512kbps para descarga y 256 kbps para subida. El target permite definir la fuente de direcciones IP a la que se aplicará la regla de colas. Si se desea excluir el servidor de que tenga límite, se debe agregar una cola para sin ninguna limitación (max-limit = 0/0, significa que no hay limitación). Se debe mover esta regla al principio de la lista, ya que los elementos de las cola simples se ejecutan en orden uno por uno. Si el router encuentra una regla que satisface ciertos paquetes, las siguientes reglas ya no se comparan: /queue simple add name=server target=10.1.1.1/32 max-limit=0/0 interface=ether2
Identificadores de Flujo • •
target (multiple choice: IP address/netmask) : Lista de rangos de direcciones IP que serán limitadas por esta cola. interface (Name of the interface, or all) : Parámetro válido hasta v5.x. Identifica la interface en el que el objetivo (target) está conectado. Esta opción es útil cuando no es posible especificar las direcciones objetivo (target).
Nota Importante: A partir de RouterOS v6 estos valores se combinan en la opción target donde se puede especificar cualquiera de los anteriores. target es para ser visto desde la perspectiva del objetivo. Si desea limitar la capacidad de carga de sus usuarios, debe configurar target-upload. Cada una de estas dos propiedades se puede utilizar para determinar en cual dirección es subida (upload) y cual de bajada (download). Debe tener cuidado al configurar ambas opciones para la misma cola. En caso de que se apuntan a direcciones opuestas la cola no funcionará. Si no se especifica ni el valor del objetivo ni de la interface, la cola no será capaz de hacer diferencia entre carga y descarga, y limitará todo el tráfico en dos veces. Otras Propiedades • • • • • •
• •
•
name (Text) : Identificador de cola único que puede ser usado valor de opción padre para otras colas direction (One of both, upload, download, none; default: both) : (solo hasta V5.x) Permite habilitar la limitación unidireccional de colas simples (deshabilita la otra dirección) both – Limita el tráfico de la descarga y la subida upload – Limita únicamente el tráfico hacia el objetivo (target) download - Limita únicamente el tráfico desde el objetivo (target) time (TIME-TIME,sun,mon,tue,wed,thu,fri,sat - TIME es el tiempo local, todos los nombres de días son opcionales; default: not set) : permitirá especificar el momento en que la cola determinada estará activa. El router debe tener las configuraciones de tiempo correctas. dst-address (IP address/netmask) : Permite seleccionar únicamente streams específicos (desde target address a este destination address) para limitar lo que es target y lo que es dst, y lo que es upload y lo que no es. p2p (one of all-p2p, bit-torrent, blubster, direct-connect, edonkey, fasttrack, gnutella, soulseek, winmx; default: not set) : (solo hasta V5.x) Permite seleccionar los paquetes NO encriptados de un particular p2p para limitar el ancho de banda packet-marks (Comma separated list of packet mark names): Permite usar los paquetes marcados en /ip firewall mangle. Revisar el diagrama de flujo de paquete de RouterOS. Es necesario marcar los paquetes antes de las colas (antes de la cola global-in HTB) o la limitación de la descarga (download) del target no funcionará. El único chain de mangle antes de global-in es prerouting.
Nota Importante: En RouterOS v6 se eliminan las opciones direction y p2p, pero se puede usar mangle para sustituirlas. Adicionalmente dst-address se une en la nueva opción target
Academy Xperts
96
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
Propiedades HTB •
•
• • • • • •
parent (Name of parent simple queue, or none) : Asignan esta cola como una cola hijo para el target seleccionado {{{...}}}. La cola target puede ser la cola HTB o cualquier otra cola simple creada. Con la finalidad de que el tráfico alcance a las colas hijos, la cola padre debe capturar todo el tráfico necesario. priority (1..8) : Prioriza una cola hijo sobre otra cola. Este parámetro no trabaja en colas padres (si la cola tiene por lo menos un hijo). Uno (1) es la prioridad más alta, y ocho (8) es la prioridad más. La cola hijo con la prioridad más alta tendrá oportunidad de alcanzar su max-limit antes que una cola hijo con prioridad más. La prioridad no tiene nada que ver con los bursts. queue (SOMETHING/SOMETHING) : Elige el tipo de cola upload/download. Los tipos de colas pueden ser creados en /queue type. limit-at (NUMBER/NUMBER) : Representa la tasa de datos normal de upload/download que se garantiza al target max-limit (NUMBER/NUMBER) : Tasa de datos máxima de upload/download que es permitida que un target pueda alcanzar burst-limit (NUMBER/NUMBER) : Tasa de datos máxima de upload/download que se puede alcanzar mientras el burst está activo burst-time (TIME/TIME) : Período de tiempo, en segundos, sobre el cual se calcula la tasa de datos promedio de datos upload/download. (Este parámetro NO ES el tiempo actual del burst) burst-threshold (NUMBER/NUMBER) : Cuando la tasa de datos promedio está por debajo de este valor, se permite el burst, tan pronto como la tasa promedio de datos alcanza este valor el burst se niega. (básicamente este es un switch burst on/off). Para un comportamiento óptimo de burst, este valor debe estar sobre el valor del limit-at y bajo el valor de max-limit
A continuación, las opciones correspondientes a la cola global-total HTB: • • • • • •
total-queue (SOMETHING/SOMETHING): Corresponde a la cola total-limit-at (NUMBER/NUMBER): Corresponde al limit-at total-max-limit (NUMBER/NUMBER): Corresponde al max-limit total-burst-limit (NUMBER/NUMBER): Sorresponde al burst-limit total-burst-time (TIME/TIME): Corresponde al burst-time total-burst-threshold (NUMBER/NUMBER): Corresponde al burst-threshold
Academy Xperts
97
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
Las buenas prácticas sugieren que: • •
La suma de los valores de los limit-at de los hijos debe ser menor o igual que el max-limit del padre. El max-limit de cada hijo debe ser menor que el max-limit del padre. De esta manera se dejará algo de tráfico para las otras colas hijos, y será capaz de conseguir tráfico sin luchar por ella con otras colas hijos.
Estadísticas • • • • • • • • • •
rate (read-only/read-only): Promedio de la tasa de datos de la cola en bytes por segundo packet-rate (read-only/read-only): Promedio de la tasa de datos de la cola en paquetes por segundo bytes (read-only/read-only): Número de bytes procesados por esta cola packets (read-only/read-only): Número de paquetes procesados por esta cola queued-bytes (read-only/read-only): Número de bytes esperando en la cola queued-packets (read-only/read-only): Número de paquetes esperando en la cola dropped (read-only/read-only): Número de paquetes perdidos borrows (read-only/read-only): Paquetes que sobrepasaron su valor limit-at (y que estaban sin usar y se quitaron de otras colas) lends (read-only/read-only): Paquetes que pasaron el valor bajo el limit-at, o si la cola es un padre, la suma de todos los paquetes prestados al hijo pcq-queues (read-only/read-only): Número de substreams PCQ, si el tipo de cola (queue type) es PCQ
A continuación, las opciones correspondientes a la cola global-total HTB: • • • • • • • • • •
total-rate (read-only): Corresponde a la velocidad (rate) total-packet-rate (read-only): Corresponde al packet-rate total-bytes (read-only): Corresponde a bytes total-packets (read-only): Corresponde a packets total-queued-bytes (read-only): Corresponde a queued-bytes total-queued-packets (read-only): Corresponde a queued-packets total-dropped (read-only): Corresponde a dropped total-lends (read-only): Corresponde a lends total-borrows (read-only): Corresponde a borrows total-pcq-queues (read-only): Corresponde a pcq-queues
Tipos de Colas (Queue Types) Sub-menu: /queue type En este sub-menú se listan los tipos de colas creados por default y permite añadir nuevos tipos creados por el usuario
Academy Xperts
98
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
Por default RouterOS crea los siguientes tipos de colas pre-definidos: /queue type print 0 name="default" kind=pfifo pfifo-limit=50 1 name="ethernet-default" kind=pfifo pfifo-limit=50 2 name="wireless-default" kind=sfq sfq-perturb=5 sfq-allot=1514 3 name="synchronous-default" kind=red red-limit=60 red-min-threshold=10 red-max-threshold=50 redburst=20 red-avg-packet=1000 4 name="hotspot-default" kind=sfq sfq-perturb=5 sfq-allot=1514 5 name="only-hardware-queue" kind=none 6 name="multi-queue-ethernet-default" kind=mq-pfifo mq-pfifo-limit=50 7 name="default-small" kind=pfifo pfifo-limit=10 Nota importante: A partir de la versión v5.8 existe una nueva cola por default: only-hardware-queue. Todos los RouterBOARDs tendrán este nuevo tipo de encolamiento configurado como la cola de interface por default. only-hardware-queue deja la interface únicamente con un buffer de anillo descriptor transmisor de hardware que actúa como una cola por sí mismo. Usualmente al menos 100 paquetes pueden ser encolados para transmitir en el “transmit descriptor ring buffer”. El tamaño del “transmit descriptor ring buffer” y la cantidad de paquetes que pueden ser encolados en él, varía para diferentes tipos de MACs ethernet. Al no tener cola de software es especialmente beneficioso en sistemas SMP, ya que elimina el requisito para sincronizar el acceso a la misma desde diferentes CPUs/núcleos que son costosos. multi-queue-ethernet-default puede ser beneficioso en sistemas SMP con interfaces Ethernet que tienen soporte para múltiples colas de transmisión y tienen una compatibilidad de controladores Linux para múltiples colas de transmisión. Al tener la cola de un software para cada cola de hardware podría haber menos tiempo gastado para sincronizar el acceso a ellos. Nota Importante: Al tener la posibilidad de configurar only-hardware-queue se requiere apoyo en el driver de Ethernet por lo que sólo está disponible para algunas interfaces de Ethernet en su mayoría que aparecen en los RouterBOARDs. Nota Importante: La mejora only-hardware-queue y multi-queue-ethernet-default está presente únicamente cuando no hay una entrada /queue tree con una interface particular como padre. Tipos de colas Los tipos de cola o encolamiento (scheduling) describen cuál paquete será transmitido en la siguiente línea. RouterOS soporta varios algoritmos de encolamiento: • • • •
BFIFO, PFIFO, MQ PFIFO RED SFQ PCQ
PFIFO, BFIFO y MQ PFIFO Estas disciplinas de encolamiento están basada el algoritmo FIFO (First-In First-Out, Primero que entra primero que sale).La diferencia PFIFO y BFIFO es que el primero está medido en paquetes y el segundo en bytes. Cada paquete que no puede ser encolado (si es que la cola está llena), es descartado. Los tamaños de colas grandes pueden incrementar la latencia, pero utilizan mejor el canal. Estas colas usan los parámetros pfifo-limit y bfifo-limit. mq-pfifo es PFIFO con soporte para múltiples colas de transmisión. Esta cola es beneficiosa en sistemas SMP con interfaces Ethernet que tienen soporte para múltiples colas de transmisión y tienen una compatibilidad de controladores Linux para múltiples colas de transmisión. mq-pfifo usa el parámetro mq-pfifo-limit.
Academy Xperts
99
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
RED Random Early Drop es un mecanismo de encolamiento que trata de evitar la congestión de la red controlando el tamaño promedio de la cola. El tamaño promedio de la cola se compara con dos umbrales: un umbral mínimo (minth) y un umbral máximo (maxth). Si el tamaño promedio de la cola (avgq) es menor que el umbral mínimo, ningún paquete es descartado. Cuando el tamaño promedio de la cola es mayor que el umbral máximo, todos los paquetes entrantes se descartan. Pero si el tamaño promedio de la cola está entre los umbrales mínimos y máximos los paquetes se descartaron al azar con probabilidad Pd, donde la probabilidad es exacta en función del tamaño promedio de la cola: Pd = Pmax(avgq – minth)/ (maxth - minth) Si la cola promedio crece, la probabilidad de abandonar los paquetes entrantes también crece. Pmax es el radio, que puede ajustar la probabilidad de descarte de paquetes abruptamente, (en el caso más simple Pmax puede ser igual a uno. El siguiente diagrama muestra la probabilidad de descarte de paquetes en el algoritmo RED.
Academy Xperts
100
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
SFQ Stochastic Fairness Queuing (SFQ) está asegurada por algoritmos de hashing y round-robin. Un flujo de tráfico puede ser identificado por 4 opciones (src-address, dst-address, src-port y dst-port), por lo que estos paquetes son usados por el algoritmo de hashing SFQ para clasificar los paquetes en uno de los 1024 posibles sub-streams.
El algoritmo de round-robin empezará a distribuir el ancho de banda disponible a todos los sub-streams, en cada ronda se entrega sfq-allot bytes de tráfico. La cola completa SFQ puede contener 128 paquetes y hay 1024 sub-streams disponibles.
Academy Xperts
101
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
SFQ es conocido como Estocástico (Stochastic) porque en realidad no se asigna una cola para cada flujo, tiene un algoritmo que divide el tráfico sobre un número limitado de colas (1024) utilizando un algoritmo de hashing.
PCQ Per Connection Queuing (PCQ) es similar a SFQ, pero tiene características adicionales. Es posible elegir identificadores de flujo (desde dst-address | dst-port | src-address | src-port). Por ejemplo, si se clasifica el flujo por src-address en la interface local (interface con los clientes), cada sub-stream PCQ será una subida de un cliente particular. Se puede asignar una limitación de velocidad a los sub-streams con la opción pcq-rate. Si pcq-rate=0 los sub-streams dividirán equitativamente el tráfico disponible.
Propiedades Las propiedades que inician con un nombre de tipo de encolamiento particular, se aplican únicamente a un tipo particular. Por ejemplo, todas las propiedades que inician con PCQ, aplican únicamente al tipo de cola PCQ. • • • • • • • • • • • • •
bfifo-limit (integer [1000..4294967295]; Default: 15000) – Máximo número de bytes que la cola FIFO puede mantener. Se aplica si el tipo es BFIFO. kind (bfifo | mq-pfifo | none | pcq | pfifo | red | sfq; Default: ) – Clase especial de tipo de cola. mq-pfifo-limit (integer [1..4294967295]; Default: 50) – Límite multi-queue PFIFO. name (string; Default: ) – Nombre descriptivo del tipo de cola pcq-burst-rate (integer [0..4294967295]; Default: 0) – Máxima tasa de datos de upload/download que puede ser alcanzada mientras el burst para el substream es permitido pcq-burst-threshold (integer [0..4294967295]; Default: 0) – Este es el valor del switch burst on/off pcq-burst-time (time; Default: 10s) – Período de tiempo, en segundos, sobre el cual se calcula la tasa de datos promedio. (Este NO es el tiempo real del burst) pcq-classifier (lista de src-address|dst-address|src-port|dst-port; Default: "") – Selección de identificadores de sub-stream pcq-dst-address-mask (integer [0..32] | IPNetmask; Default: 32) – Tamaño de la red IPv4 que será usada como un identificador dst-address sub-stream pcq-dst-address6-mask (integer [0..128]; Default: 128) - Tamaño de la red IPv6 que será usada como un identificador dst-address sub-stream pcq-limit (integer [1..4294967295]; Default: 50) – Tamaño de cola de un simple sub-stream (en kilobytes) pcq-rate (integer [ 0..4294967295]; Default: 0) – Máxima tasa de datos disponible de cada substream pcq-src-address-mask (integer [0..32] | IPNetmask; Default: 32) - Tamaño de la red IPv4 que será usada como un identificador src-address sub-stream
Academy Xperts
102
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
• • • • • • • • • •
pcq-src-address6-mask (integer [0..128]; Default: 128) - Tamaño de la red IPv6 que será usada como un identificador src-address sub-stream pcq-total-limit (integer [1..4294967295]; Default: 2000) – Tamaño total de la cola de todos los sub-streams (en kilobytes) pfifo-limit (integer [ 1..4294967295]; Default: 50) – Máximo número de paquetes que la cola PFIFO puede mantener. Aplica si el tipo es PFIFO. red-avg-packet (integer [ 1..65535]; Default: 1000) – Usado por RED para el cálculo del tamaño promedio de la cola (para la traducción de packet a byte) red-burst (integer [0..4294967295 ]; Default: 20) – Número de paquetes permitidos para bursts de paquetes cuando no hay paquetes en la cola red-limit (integer [0..4294967295 ]; Default: 60) – Límite de cola RED en paquetes red-max-threshold (integer [0..4294967295 ]; Default: 50) – El tamaño de cola promedio en el cual la probabilidad de marcar el paquete es la más alta. red-min-threshold (integer [0..4294967295 ]; Default: 10) – Tamaño promedio de la cola en bytes. sfq-allot (integer [0..32767]; Default: 1514) – Cantidad de datos en bytes que pueden ser enviados en una ronda round-robin sfq-perturb (integer [0..4294967295 ]; Default: 5) – Cuan frecuente debe ser refrescada la función hash
PCQ se introdujo para optimizar los sistemas de calidad de servicio masivos, donde la mayoría de las colas son exactamente las mismas para los diferentes sub-streams. Por ejemplo, un sub-stream puede ser de descarga (download) o de subida (upload) para un cliente en particular (IP) o para una conexión con un servidor. El algoritmo PCQ es muy simple, en un primer momento se utiliza clasificadores seleccionados para distinguir un sub-stream de otro, entonces se aplica un tamaño de la cola FIFO individual y limitación en todos los sub-streams, luego se agrupa todos los sub-streams y se aplica una limitación y tamaño de cola global. Parámetros de PCQ: • • • •
pcq-classifier (dst-address | dst-port | src-address | src-port; default: "") – Selección de identificadores de substream pcq-rate (number) – Máxima tasa de datos disponible de cada substream pcq-limit (number) – Tamaño de cola de un simple sub-stream (en KB) pcq-total-limit (number) – Cantidad máxima de data encolada en todos los sub-streams (en KB)
Por lo tanto, en vez de tener 100 colas con limitación de 1,000 Kbps para descarga (download), podemos tener una sola cola PCQ con 100 sub-streams. Ejemplos de clasificación Para entender mejor la clasificación tomaremos una lista de 18 streams de paquetes con una dirección y puerto específico, hacia una dirección y puerto específico. Entonces vamos a elegir un clasificador y dividir los 18 streams de paquetes en substreams PCQ
Academy Xperts
103
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
Ejemplos de PCQ Rate Aquí es posible ver qué sucede si se especifica o no el PCQ-rate. Es importante notar que si ambos límites (pcq-rate y maxlimit) no se especifican, el comportamiento de la cola puede ser impreciso. Por lo tanto, se sugiere fuertemente tener por lo menos una de estas opciones configuradas.
Academy Xperts
104
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
Nueva implementación de PCQ (a partir de la v5.0RC5) PCQ fue reescrito en la v5.0RC4 para optimizarlo con alto rendimiento tanto en Mbps y PPS (paquetes por segundo). Esta implementación utiliza adecuadamente todas las nuevas características de Linux Kernel, esto hace que PCQ sea más rápido y que demande menos recursos. Tan pronto como se activa un nuevo stream se obtendrá ¼ de la tasa con más alta prioridad. Si el rate=0 el sub-stream no tendrá esta característica (ya que ¼ de 0 es 0) Es necesario conocer esto por una buena razón: Asumamos que la tasa del sub-stream es 10Mbps, por lo que en el momento en que el nuevo sub-stream solicite tráfico obtendrá primero 2500k de tráfico sin limitación. Esto puede resultar en una mayor velocidad que lo que se espera como resultado en programas como Speedtest.net. Para evitar asegurarse que Speedtest.net no es el primer programa que utiliza el ancho de banda que se ejecuta en el PC. También a partir de la v5.0RC5, PCQ tiene las siguientes características: •
PCQ Burst para sub-streams. PCQ tiene una implementación de burst idéntica a Simple Queues y Queue Tree
Parámetros PCQ: • • •
pcq-burst-rate (number) – Máxima tasa de datos de upload/download que se alcanzará mientras es burst para el sub-stream es permitido pcq-burst-threshold (number) – Este es el valor de burst en el switch on/off pcq-burst-time (time) – Período de tiempo, en segundos, sobre el cual se calcula la tasa de datos promedio. (Este NO es el tiempo actual de burst)
PCQ también permite utilizar diferentes tamaños de redes IPv4 e IPv6 como identificadores de sub-stream. Antes estaba cerrada a una dirección IP única. Esto se hace principalmente para IPv6 como clientes desde el punto de vista ISP estarán representados por red /64, pero los dispositivos en la red de los clientes serán /128. PCQ se puede utilizar para ambos de estos escenarios y mucho más. Parámetros PCQ: • • • •
pcq-dst-address-mask (number) – Tamaño de la red IPv4 que se usará como identificador address pcq-src-address-mask (number) – Tamaño de la red IPv4 que se usará como identificador address pcq-dst-address6-mask (number) – Tamaño de la red IPv6 que se usará como identificador address pcq-src-address6-mask (number) – Tamaño de la red IPv6 que se usará como identificador address
del sub-stream dstdel sub-stream srcdel sub-stream dstdel sub-stream src-
Interface Queue Sub-menu: /queue interface Antes de enviar datos a través de una interfaz, ésta es procesada por la cola. Este submenú lista todas las interfaces disponibles en RouterOS y permite cambiar el tipo de cola para determinada interfaz. Nota Importante: No se puede agregar nuevas interfaces a este menú. La lista es generada automáticamente.
Propiedades • •
interface (string) – Nombre de la interface a la cual se aplica la cola. Es un parámetro de solo-lectura. queue (string; Default:) – Tipo de cola asignado a una interface en particular.
Academy Xperts
105
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
Burst Burst es una característica que permite satisfacer los requerimientos de cola para ancho de banda adicional, incluso si la tasa requerida es más grande que el MIR (max-limit) durante un periodo de tiempo limitado El burst puede ocurrir sólo si el consumo promedio (average-rate) de la cola, de los últimos segundos del burst-time es más pequeño que el burst-threshold. El burst se detendrá si el consumo promedio (average-rate) de la cola de los últimos segundos del burst-time es más grande o igual al burst-threshold
El mecanismo del burst es simple: si el burst es permitido, el valor del max-limit se reemplaza por el valor del burst-limit. Cuando el burst está deshabilitado el valor del max-limit permanece sin cambio. • • • • •
burst-limit (NUMBER) – Máxima tasa de datos upload/download que se puede alcanzar mientras el burst es permitido burst-time (TIME) – Período de tiempo, en segundos, sobre el cual se calcula la tasa promedio (Este NO es el tiempo de burst actual) burst-threshold (NUMBER) – Este es el valor del switch on/off del burst average-rate (read-only) – Cada 1/n partes del burst-time, el router calcula la tasa de datos promedio de cada clase sobre los últimos segundos burst-time actual-rate (read-only) – Tasa de transferencia de tráfico actual de la cola
El burst es una de las mejores formas de incrementar el desempeño HTTP Los Bursts son usados para permitir altas tasas de datos por un período corto de tiempo • •
Si una tasa de datos promedio es menor que el burst-threshold, el burst puede ser usado (la tasa de datos actual puede alcanzar el burst-limit) La tasa de datos promedio se calcula de los últimos segundos de burst-time
La tasa de datos promedio (average data rate) se calcula de la siguiente forma: El burst-time se divide en N períodos • •
El router calcula la tasa de datos promedio de cada clase sobre esos pequeños períodos Note que el actual burst-period no es igual al burst-time. Puede ser varias veces más corto que el burst-time dependiendo del histórico de los parámetros max-limit, burst-limit, burst-threshold, y actual data rate
•
longest-burst-time = burst-threshold * burst-time / burst-limit
Burst (primeros 16 segundos)
Academy Xperts
106
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
Burst (siguientes 16 segundos)
Bursting - Como trabaja • • •
El bursting está permitido mientras el average-rate este abajo el burst-threshold El bursting será limitado a la velocidad especificada por burst-limit El average-rate es calculado con un promedio de 16 muestras (actual-rate) sobre varios segundos del burst-time o Si burst-time está en 16 segundos. Continuación, se toma una muestra cada segundo o Si burst-time está en 8 segundos, continuación, se toma una muestra cada medio segundo.
Cuando el burst-time está definido con 16 segundos
Cuando el burst-time está definido con 8 segundos
Academy Xperts
107
RouterOS v6.37.1.01 – Capítulo 7 – Colas Simples y QoS
Sintaxis Agregar una simple Queue (cola simple) /queue simple add max-limit=2M/2M name=queue1 target=192.168.3.0/24 Agregar una simple Queue con Bursting /queue simple add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s limit-at=1M/1M max-limit=2M/2M name=queue2 target=192.168.3.0/24 Tip Usted puede haber notado que los iconos de cola cambian de color de acuerdo al uso. El color tiene un significado. • • •
Verde: 0 – 50% de ancho de banda disponible Amarillo: 51 – 75% de ancho de banda disponible Red: 76 – 100% de ancho de banda disponible
Preguntas de repaso del Capítulo 7 1.
Cuáles pueden ser los principales problemas en las redes de datos?
2.
Por qué son útiles las colas?
3.
En qué se basa la implementación del QoS en MikroTik RouterOS?
4.
Cuáles son las principales diferencias entre Queue Simple y Queue Tree?
5.
Que tipo de servicio de red es recomendado para aplicar el burst?
6.
Cómo trabaja el burst?
7.
Cuáles son las características más importantes del PCQ?
8.
Cuáles son las principales herramientas de monitoreo que encontramos en RouterOS?
Laboratorio – Capítulo 7
Academy Xperts
108
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
Capítulo 8: Túneles PPP Introducción Los túneles son una forma de ampliar una red privada a través de una red pública, como Internet. A los Túneles también se les conoce como VPNs (redes privadas virtuales). •
El concepto de seguridad se asocia con VPN. Es recomendable ya que no se desea que el tráfico de los usuarios vaya a través de redes que no son seguras
Se conoce como túnel o tunneling a la técnica que consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel de información dentro de una red de computadoras. El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la redirección de tráfico, etc. La técnica de tunelizar se suele utilizar para trasportar un protocolo determinado a través de una red que, en condiciones normales, no lo aceptaría. Otro uso de la tunelización de protocolos es la creación de diversos tipos de redes privadas virtuales. El establecimiento de dicho túnel se implementa incluyendo una PDU (unidad de datos de protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH. Así, el protocolo A es encapsulado dentro del protocolo B, de forma que el primero considera al segundo como si estuviera en el nivel de enlace de datos. Ejemplos de protocolos tunelizados • • • • • • • •
L2TP (Layer 2 Tunneling Protocol) MPLS (Multiprotocol Label Switching) PPTP (Point-to-Point Tunneling Protocol) PPPoE (point-to-point protocol over Ethernet) PPPoA (point-to-point protocol over ATM) IPSec (Internet Protocol security) IEEE 802.1Q (Ethernet VLANs) 6to4 (IPv6 over IPv4 as protocol 41)
Túneles PPP dentro del mapa de Protocolos TCP/IP
Academy Xperts
109
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
RouterOS y Túneles
MikroTik RouterOS provee funcionalidad escalable de Autenticación, Autorización y Contabilización •
AAA = Authentication Authorization Accounting (Contabilización)
La autenticación local se logra usando una Base de Datos de Usuario y una Base de Datos de Perfil (profile). La configuración del usuario está compuesta por el registro del respectivo usuario (tomado de la Base de Datos de Usuario), el ítem asociado de la Base de Datos de Perfil (profile) y el ítem en la base de datos de Perfil en cual está configurado como default para un servicio dado al que el usuario está autenticando. Las configuraciones del Perfil por default de la base de Datos del Perfil, tienen la prioridad más baja, mientras que las configuraciones de los registros de acceso de usuario de la Base de Datos de Usuario tiene la más alta prioridad con la única excepción de que siendo una dirección IP particular toma precedencia sobre los Pools de direcciones IP en las configuraciones local-address y remote-address. El soporte para la autenticación RADIUS le proporciona al ISP o al administrador de red la habilidad para manejar el acceso y la contabilidad de usuarios PPP desde un solo servidor a través de una gran red. MikroTik RouterOS tiene un Cliente RADIUS que puede autenticar conexiones PPP, PPPoE, PPTP, L2TP e ISDN. Los atributos recibidos del servidor RADIUS invalidan las configuraciones del Perfil (profile) por default, pero si algunos parámetros no son recibidos, entonces son tomados del Perfil por default respectivo
/ppp profile (perfiles de usuario) Los perfiles PPP se utilizan para definir los valores por default de los registros de usuario que se almacenan en el submenu /ppp secret. Las configuraciones /ppp secret de la Base de Datos de Usuario invalidan las configuraciones /ppp profile correspondientes, excepto que las direcciones IP simples siempre tienen precedencia sobre los Pool de direcciones IP cuando se especifican como parámetros en local-addres o remote-address.
Los PPP profiles representan los parámetros de configuración para ser utilizado por los clientes PPP, pero no limitados a: • Dirección IP o Pool de direcciones (remotas o locales) • Compresión • Cifrado /ppp profile (example from a client) add change-tcp-mss=yes name=Profile-external\ use-compression=yes use-encryption=yes use-vj-compression=no /ppp profile (example from a server) add change-tcp-mss=yes local-address=192.168.222.1\ name=Profile-external remote-address=192.168.222.2 use-compression=yes\ use-encryption=yes use-vj-compression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=Profile-internal\ remote-address=Pool-VPN use-compression=yes use-encryption=yes use-vj-compression=no Parámetros •
address-list (string; Default: ) .- Especifica el nombre del address-list a donde se agregarán las direcciones asignadas PPP
Academy Xperts
110
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
• •
• • • • •
• • •
•
•
• • • •
•
•
bridge (string; Default: ) .- Nombre de la interface bridge a la que se agregará la interface ppp como un puerto esclavo. Ambos puntos finales del tunel (server y cliente) deben estar en un bridge para que esto funcione. change-tcp-mss (yes | no | default; Default: default) .- Permite cambiar la configuración de la conexión MSS o yes : ajusta el valor de la conexión MSS o no : no ajusta el valor de la conexión MSS o default : obtiene este valor del perfil por default de la interface comment (string; Default: ) .- Campo para escribir un comentario dhcpv6-pd-pool (string; Default: ) .- Nombre del Pool Ipv6 que se usará para el servidor DHCPv6-PD creado dinámicamente cuando los clientes se conectan. dns-server (IP; Default: ) .- Dirección IP del server DNS que se suministra a los clientes PPP idle-timeout (time; Default: ) .- Especifica la cantidad de tiempo luego del cual el enlace se terminará si es que no hay actividad presente. incoming-filter (string; Default: ) .- Nombre del chain de firewall para paquetes entrantes. El chain especificado obtiene el control para cada paquete que viene del cliente. El chain PPP debería ser agregado manualmente, y también deberían agregarse las reglas con action=jump jump-target=ppp a otros chains relevantes para que esta característica funcione. local-address (IP address | pool; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se asigna la dirección a la interface PPP local name (string; Default: ) .- Nombre del Perfil PPP only-one (yes | no | default; Default: default) .- Define si es que un usuario está permitido tener más de una conexión a la vez. o yes – Un usuario NO está permitido tener más de una conexión al mismo tiempo o no – El usuario está permitido a tener más de una conexión a la vez o default – Obtiene este valor del Perfil por default de la Interface outgoing-filter (string; Default: ) .- Nombre del chain de firewall para paquetes salientes. El chain especificado obtiene el control para cada paquete que va hacia el cliente. El chain PPP debería ser agregado manualmente, y también deberían agregarse las reglas con action=jump jump-target=ppp a otros chains relevantes para que esta característica funcione. rate-limit (string; Default: ) .- La limitación de velocidad desde el punto de vista del router se presenta en la siguiente forma (rx es el tráfico de subida del cliente, y tx es el tráfico de bajada del cliente): o rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/txburst-threshold] [rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/txrate-min]]]] o Todas las velocidades están medidas en bits-por-segundo (bps), a menos que le siga el sufijo k (kilobits por segundo) o el sufijo M (megabits por segundo) o Si no se especifica el tx-rate, entonces el rx-rate sirve también como tx-rate o Lo mismo aplica para tx-burst-rate, tx-burst-threshold y tx-burst-time. Si rx-burstthreshold y tx-burst-threshold no se especifican (but burst-rate está especificado), rx-rate y tx-rate se utilizan como burst thresholds. o Si rx-burst-time y tx-burst-time no se especifican, se utiliza 1s como default. La prioridad toma los valores 1..8, donde 1 representa a la prioridad más alta, y 8 la prioridad más baja. o Si rx-rate-min y tx-rate-min no se especifican, entonces se utilizan los valores rx-rate y tx-rate o Los valores de rx-rate-min y tx-rate-min no pueden exceder a los valores rx-rate y tx-rate. remote-address (IP; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se asigna la dirección a la interface PPP remota remote-ipv6-prefix-pool (string | none; Default: none) .- Asigna el prefijo del Pool IPv6 al cliente e instala la correspondiente ruta IPv6. session-timeout (time; Default: ) .- Especifica el máximo tiempo de conexión que se puede establecer. Por default no se configura límite de tiempo. use-compression (yes | no | default; Default: default) .- Especifica si se usa compresión o no. Esta configuración no afecta los túneles OVPN o yes – Habilita la compresión de datos o no – Deshabilita la compresión de datos o default – Obtiene este valor del Perfil por default de la Interface use-encryption (yes | no | default | require; Default: default) .- Especifica si se usa encriptación o no. Esta configuración no afecta los túneles OVPN o yes – Habilita la encriptación de datos o no – Deshabilita la encriptación de datos o default – Obtiene este valor del Perfil por default de la Interface use-ipv6 (yes | no | default | require; Default: default) .- Especifica si se permite IPv6. Por default se habilita si es que el paquete IPv6 está instalado. o yes – Habilita el soporte IPv6 o no – Deshabilita el soporte IPv6
Academy Xperts
111
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
•
•
•
o default – Obtiene este valor del Perfil por default de la Interface o require – Requiere explícitamente soporte IPv6 use-mpls (yes | no | default | require; Default: default) .- Especifica si es que se permite MPLS sobre PPP o yes – Habilita el soporte MPLS o no – Deshabilita el soporte MPLS o default – Obtiene este valor del Perfil por default de la Interface o require – Requiere explícitamente soporte MPLS use-vj-compression (yes | no | default; Default: default) .- Especifica si es que se usa el algoritmo de compresión de cabecera Van Jacobson o yes – Habilita la compresión de cabecera Van Jacobson o no – Deshabilita la compresión de cabecera Van Jacobson o default – Obtiene este valor del Perfil por default de la Interface wins-server (IP address; Default: ) .- Permite especificar la dirección IP del servidor WINs para suministrar a los clientes
Notas Importantes •
Existen dos Perfiles por Default que no pueden ser removidos:
/ppp profile print Flags: * - default 0 * name="default" use-compression=no use-vj-compression=no use-encryption=no only-one=no change-tcp-mss=yes 1 * name="default-encryption" use-compression=default use-vj-compression=default use-encryption=yes only-one=default change-tcp-mss=default • •
• •
Se debe usar el algoritmo de compresión Van Jacobson únicamente si es necesario, ya que se reducen las comunicaciones en canales malos o congestionados. Los argumentos incoming-filter y outgoing-filter agregan reglas de jump dinámicas al chain PPP, donde el argumento jump-target será igual al argumento incoming-filter o outgoing-filter en /ppp profile. Por lo tanto, el chain PPP debe ser agregado manualmente antes de que se cambien estos argumentos. El parámetro only-one se ignora si se usa la autenticación RADIUS Si hay más de 10 conexiones PPP simultáneas, se recomienda apagar (off) la propiedad change-mss, y usar una regla general de cambio MSS en la tabla de mangle, para reducir la utilización del CPU.
/ppp secret (base de datos de usuario) La Base de Datos de Usuario PPP almacena los registros de acceso de usuario PPP con el perfil de usuario PPP asignado a cada usuario. Los PPP secrets se encuentran en PPP servers y también podemos especificar los parámetros básicos y necesarios para autenticar a un cliente, tales como: • • • •
Nombre: Identificación del usuario Contraseña: contraseña del usuario Servicio: el protocolo que está dando servicio (si de dejan en “any” el PPP secret autenticara al usuario a través de algunos de estos servicios (PPPoE, L2TP, PPTP, etc.)) Perfil: el subconjunto de configuración que utilizara este usuario. Los perfiles permiten parámetros a ser utilizados por muchos usuarios sin tener que volver a escribir todo cada vez.
Los clientes no utilizan PPP secrets como credenciales de autenticación. Se especifican en la interfaz del cliente PPP bajo los parámetros de “Usuario” y “Contraseña” /ppp secret add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal
Academy Xperts
112
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
Parámetros •
• • • • • • • • • •
•
•
caller-id (string; Default: ) .- Para PPTP y L2TP, este parámetro es la dirección IP desde la cual un cliente debe conectarse. Para PPPoE es la dirección MAC (escrito en letras mayúsculas) desde la cual un cliente debe conectarse. Para ISDN es el número del caller (que puede o no puede ser provisto por el operador) desde el cual el cliente debe llamar. comment (string; Default: ) .- Una corta descrición del usuario disabled (yes | no; Default: no) .- Permite especificar si se usará un secret limit-bytes-in (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede subir (upload) en una sesión limit-bytes-out (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede descargar (download) local-address (IP address; Default: ) .- Dirección IP que será configurada localmente en la interface PPP name (string; Default: ) .- Nombre usado para la autenticación password (string; Default: ) .- Contraseña (password) usada para la autenticación profile (string; Default: default) .- Especifica qué perfil se utilizará remote-address (IP; Default: ) .- Especifica la dirección IP que se asignará a la interface PPP remota remote-ipv6-prefix (IPv6 prefix; Default: ) .- Prefijo IPv6 asignado al cliente PPP. El prefijo se agrega a la lista de prefijo ND que permite la configuración automática de direcciones sin estado en una interface PPP. Esta opción está disponible desde la v5.0 routes (string; Default: ) .- Especifica las rutas que aparecen en el server cuando el cliente se conecta. El formato de la ruta es dst-address gateway metric (por ejemplo 10.1.0.0/24 10.0.0.1 1). Se peude especificar varias rutas separando con comas. Este parámetro será ignorado por OpenVPN service (any | async | isdn | l2tp | pppoe | pptp | ovpn | sstp; Default: any) .- Especifica el tipo de servicio que un usuario específico podrá utilizar.
/ppp active (usuarios activos) Este submenú permite minitorear los usuarios activos o usuarios conectados. Representa el estado actual de las conexiones.
Útil para depurar y verificar el funcionamiento correcto de sus túneles. • /ppp active print mostrará todos los usuarios conectados actualmente • /ppp active print stats mostrará los bytes y paquetes recibidos /ppp active print detail Flags: R - radius 0 name=”alain” service=pppoe caller-id=”28:D2:44:2C:06:EE”\ address=192.168.5.100 uptime=3m56s encoding=”MPPE128 statefull” session-id=0x81B00044\ limit-bytes-in=0 limit-bytes-out=0 1 name=”Pod4-external” service=pppoe caller-id=”D4:CA:6D:8E:1ª:97”\ address=192.168.222.2 uptime=37s encoding=”MPPE128 stateless” session-id=0x81B00045\ Academy Xperts
113
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
limit-bytes-in=0 limit-bytes-out=0 /ppp active print Flags: R – radius # NAME 0 alainpppoe 1 Pod4-exte... pppoe
SERVICE CALLER-ID 28:D2:44:2C:06:EE D4:CA:6D:8E:1ª:97
ADDRESS 192.168.5.100 192.168.222.2
UPTIME 4m12s 53s
ENCODING MPPE128 statefull MPPE128 stateless
Parámetros • • • • • • • •
• • •
address (IP address) .- La dfirección IP que el cliente obtiene del server bytes (integer) .- Cantidad de bytes transferidos a través de esta conexión. La primera representa la cantidad de tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de tráfico recibido. caller-id (string) .- Para PPTP y L2TP es la dirección IP desde la que el cliente está conectado. Para PPPoE es la dirección MAC desde la que el cliente está conectado. encoding (string) .- Muestra la encriptación y codificación (separado con “/” si es asimétrico) que está siendo usado en esta conexión. limit-bytes-in (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al router limit-bytes-out (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al cliente name (string) .- Nombre de usuario proporcionado en la fase de autenticación packets (integer/integer) .- Cantidad de paquetes transferidos a través de esta conexión. La primera representa la cantidad de tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de tráfico recibido. service (async | isdn | l2tp | pppoe | pptp | ovpn | sstp) .- Tipo de servicio que el usuario está usando session-id (string) .- Muestra el identificador de cliente único uptime (time) .- Tiempo de actividad del usuario
/ppp aaa (AAA remoto) Las configuraciones en este menú permiten sonfigurar la contabilización (accounting) y autenticación (authentication) RADIUS. La base de datos de usuario RADIUS se consulta únicamente si el nombre usuario (username) requerido no se encuentra en la base de datos de usuario local
Parámetros • • •
accounting (yes | no; Default: yes) .- Habilita la contabilización (accounting) RADIUS interim-update (time; Default: 0s) .- Intervalo de tiempo de actualización interino use-radius (yes | no; Default: no) .- Habilita la autenticación de usuario vía RADIUS. Si no se encuentra le entrada en la base de datos Secret Local, entonces el cliente será autenticado vía RADIUS.
/ppp client (cliente PPP)
Parámetros •
add-default-route (yes | no; Default: no) .- Especifica si se agrega la ruta por default para encaminar todo el tráfico sobre el túnel.
Academy Xperts
114
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
• • • • • • • • • • • • • •
• • • • • • • • • •
allow (pap | chap | mschap1 | mschap2; Default: pap,chap,mschap1,mschap2) .- Especifica los protocolos permitidos a usar para la autenticación apn (string; Default: ) .- Nombre del Access Point (APN = Access Point Name) del Proveedor de Servicio comment (string; Default: ) .- Nombre que describe el item data-channel (integer; Default: 0) .- Especifica cuál de los canales de puertos es usado para transferir datos. default-route-distance (integer; Default: 1) .- A partir de la v6.2, configura el valor distancia aplicado para la ruta por default creada automáticamente, si es que también se ha seleccionado add-default-route dial-command (string; Default: "ATDT") .- Comando dial que se va a usar. Por default se configura el modo del tono de marcado dial-on-demand (yes | no; Default: no) .- Habilita/deshabilita dial on demand disabled (yes | no; Default: yes) .- Especifica si es que la interface esta deshabilitada o no. Por default está deshabilitada info-channel (integer; Default: 0) .- Especifica cuál de los canales de puerto (por channels) se utiliza para info keepalive-timeout (integer [0..4294967295]; Default: 30s) .- Keepalive timeout PPP en segundos max-mru (integer; Default: 1500) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface PPP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1500) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface PPP estará habilitada para enviar sin fragmentación de paquetes modem-init (string; Default: "") .- String de inicialización del modem mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel. name (string; Default: ) .- Nombre descriptivo de la interface null-modem (yes | no; Default: no) .- Habilita/deshabilita el modo null-modem (cuando está habilitado, no se envían cadenas de inicialización al modem) password (string; Default: "") .- Contraseña (password) usada para autenticación phone (string; Default: "") .- Número de teléfono para marcar (dial-out) pin (string; Default: "") .- Código de Pin de las Tarjetas SIM port (string; Default: "") .- Nombre del puerto Serial o USB donde está conectado el modem profile (name; Default: default) .- Perfil PPP que se utiliza remote-address (IP Address; Default: ) .- Dirección IP remota use-peer-dns (yes | no; Default: yes) .- Usa las configuraciones DNS server del servidor remoto user (string; Default: ) .- Nombre de usuario usado para autenticación
/ip pool El Pool IP define un rango de direcciones IP que es utlizado por el Server DHCP y también por los Servers Point-to-Point. Es decir que no sólo es utilizado para DHCP, sino que también se puede utilizar para los clientes PPP y Hotspot. Útil cuando una interfaz puede dar servicio a muchos clientes. Las direcciones se asignan a partir del Pool de forma automática. Rangos de IPs son listas de direcciones IP que no se repiten entre si y que se pueden asignar a los clientes a través de servicios (DHCP, PPP, Hotspot).
Parámetros • • •
name (name) .- El nombre del Pool next-pool (name) .- Cuando la dirección se adquiere de un pool que no tiene direcciones libres, y la propiedad next-pool está configurada a otro pool, entonces la siguiente dirección se obtendrá del next-pool ranges (IP address) .- La lista de dirección IP de los rangos de dirección IP en la forma: desde1-hasta1, desde2-hasta2, …, desdeN-hastaN. Por ejemplo, 10.0.0.1-10.0.0.27,10.0.0.32-10.0.0.47
Vamos a demostrar con un ejemplo. Usted tiene 50 ordenadores de la LAN corporativa y 50 que vienen desde VPN. /ip pool add name=Pool-PC ranges=192.168.5.50-192.168.5.99 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149 Supongamos ahora que usted necesita agregar 50 equipos en el Pool de la LAN /ip pool print
Academy Xperts
115
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
# NAME RANGES 0 Pool-PC 192.168.5.50-192.168.5.99 1 Pool-VPN 192.168.5.100-192.168.5.149 /ip pool set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199 /ip pool> print # NAME RANGES 0 Pool-PC 192.168.5.50-192.168.5.99 192.168.5.150-192.168.5.199 1 Pool-VPN 192.168.5.100-192.168.5.149 Asignaciones para un servicio • •
Un Pool puede ser asignado para diferentes servicios tales como DHCP, PPP y HotSpot. Veremos la sintaxis más adelante
Pregunta: Cómo comunicamos las redes A y B?
PPPoE El protocolo PPPoE (Point to Point Protocolo ver Ethernet) proporciona una amplia administración de usuario, administración de red y beneficios de contabilización (accounting) a los ISPs y administradores de red. En muchos sitios el PPPoE se utiliza principalmente en los ISPs para controlar las conexiones de clientes por xDSL y Cable Modem, así como también por redes Ethernet planas (plain networks). PPPoE es una extensión del estándar PPP. La diferencia entre ambos esta en el medio de transporte, ya que PPPoE utiliza Ethernet en lugar de conexiones de modem serial. Generalmente PPPoE se utiliza para manejar las direcciones IP a clientes basados en autenticación por nombre de usuario (incluso si se requiere también por estación de trabajo) en lugar de la autenticación únicamente por estación de trabajo donde se utiliza direccionamiento estático o DHCP. Se recomienda no utilizar direccionamiento estático o DHCP en las mismas interfaces como PPPoE por razones de seguridad. El cliente y server PPPoE trabajan sobre: • • •
Cualquier interface Ethernet Capa 2 Wireless 802.11 (Aironet, Cisco, WaveLan, Prism, Atheros) Ethernet 10/100/1000 Mbit/s
Academy Xperts
116
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
• •
RadioLan EoIP (túnel Ethernet sobre IP)
Características principales de PPPoE • • • • • • • •
Soporte para cliente y server PPPoE Multilink PPP (MLPPP) MLPPP sobre un enlace simple (habilidad para transmitir frames de tamaño completo) Soporte para BCP (Bridge Control Protocol). Permite el envío de frames Ethernet sobre enlaces PPP Encriptación MPPE 40bits Encriptación MPPE 128 RSA Autenticación pap, chap, mschap v1, mschap v2 Soporte RADIUS para autenticación y contabilización de clientes
Nótese que cuando el servidor RADIUS está autenticando un usuario con CHAP, MS-CAHPv1 o MS-CHAPv2, el protocolo RADIUS no usa una clave compartida (shared secret), ya que esta calve compartida se utiliza únicamente en la respuesta a la autenticación. Esto significa que si se tiene una clave compartida errónea, el servidor RADIUS aceptará el requerimiento. Se puede entonces utilizar el comando /radius monitor para visualizar el parámetro bad-replies. Este valor debería incrementar cada vez que un cliente intenta conectarse. Conexiones soportadas • •
El Cliente PPPoE MikroTik RouterOS se puede conectar con cualquier servidor PPPoE (concentrador de acceso) El Servidor PPPoE MikroTik RouterOS (concentrador de acceso) se puede conectar con múltiples clientes PPPoE (los clientes pueden provenir de casi todos los sistemas operativos y la mayoría de routers)
Operación PPPoE Estados PPPoE tiene 2 estados 1)
Descubrimiento (Discovery) .- Un cliente descubre todos los concentradores de acceso disponible, y selecciona uno de ellos para establecer la sesión PPPoE. Este estado tiene cuatro pasos: a. Inicialización (initialization) b. Oferta (offer) c. Request (requerimiento) d. Confirmación de sesión (sesión confirmation) • PPPoE Discovery utiliza frames Ethernet especiales con su propio tipo de frame Ethernet (0x8863) • Para iniciar el descubrimiento, el cliente PPPoE envía un frame PADI a la dirección Ethernet broadcast FF:FF:FF:FF:FF:FF, y opcionalmente puede especificar un nombre de servicio (service name) • Cuando el server recibe el frame PADI, el server responde con un frame PADO a la dirección Ethernet unicast del Cliente. Puede haber más de un servidor en el rango broadcast del cliente. En tal caso el Cliente colecciona los frames PADO y elige uno para iniciar la sesión. En la mayoría de los casos elige el servidor que responde primero. • El Cliente envía un frame PADR a la dirección Ethernet unicast del Server que elige. Si el Server está de acuerdo en configurar una sesión con este Cliente, entonces asigna recursos para configurar una sesión PPP y asigna un número de Identificación de Sesión (Session ID). Este número se envía de retorno al Cliente en un frame PADS. Cuando el Cliente recibe el frame PADS, conoce la dirección MAC de los servidores y el Session ID, asigna los recursos y la sesión puede comenzar.
2)
Sesión (Session) .- Cuando se completa el estado Discovery, ambas partes conocen el PPPoE Session ID y la dirección MAC Ethernet de cada uno, con lo cual juntos definen la sesión PPPoE. Los frames PPPoE son encapsulados en frames de sesión PPPoE, los mismos que tienen un tipo de frame Ethernet 0x8864
Academy Xperts
117
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
Cuando el Server envía la confirmación y el Cliente la recibe, se inicia el estado de Sesión PPP que consiste de los siguientes pasos: a. Negociación LCP b. Autenticación c. Negociación IPCP, donde se le asigna una dirección IP al Cliente El Server PPPoE envía paquetes Echo-Request al Cliente para determinar el estado de la sesión, de otra forma el Server no podrá determinar que la sesión está terminada en los casos en que el Cliente termina la sesión sin enviar el paquete Terminate-Request
Tipos de paquetes utilizados PADI – PPPoE Active Discovery Initialization El Cliente PPPoE envía un paquete PADI a la dirección broadcast. Este paquete también puede poblar el campo service-name si un nombre de servicio ha sido ingresado en las propiedades de networking dial-up del cliente PPPoE. Si no se ha ingresado un service-name, este campo nos será poblado PADO – PPPoE Active Discovery Offer El Server PPPoE (Concentrador de Acceso) debe responder al PADI con un PADO si el Concentrador de Acceso está habilitado para servir el campo service-name que ha sido listada en el paquete PADI. Si ningún campo service-name ha sido listado, el Concentrador de Acceso responderá con un paquete PADO que tiene el campo service-name poblado con los nombres de servicio que el Concentrador de Acceso puede servir. El paquete PADO se envía a la dirección unicast del cliente PPPoE PADR – PPPoE Active Discovery Request Cuando se recibe un paquete PADO, el Cliente PPPoE responde con un paquete PADR. Este paquete se envía a la dirección unicast del Concentrador de Acceso. El cliente puede recibir múltiples paquetes PADO, pero el cliente responde al primer PADO válido que el cliente recibió. Si el paquete inicial PADI tiene un campo service-name en blanco, el cliente puebla el campo service-name del paquete PADR con el nombre del primer servicio que retorna en el paquete PADO. PADS – PPPoE Active Discovery Session confirmation Cuando se recibe el PADR, el Concentrador de Acceso genera una identificación de sesión única (ID) para la sesión PPP y regresa este ID al Cliente PPPoE en el paquete PADS. Este paquete es enviado a la dirección unicast del Cliente. PADT – PPPoE Active Discovery Terminate Puede ser enviado en cualquier momento después de que se establece una sesión para indicar una sesión PPPoE terminada. Puede ser enviada por el Server como por el Cliente.
MTU Típicamente el frame Ethernet más grande que se puede transmitir sin fragmentación es 1500 bytes. El protocolo PPPoE agrega 6 bytes de overhead y el campo PPP agrega 2 bytes más, dejando 1492 bytes para el datagrama IP. Por lo tanto los valores máximos de MTU y MRU para PPPoE no deben ser mayores a 1492. Las pilas TCP tratan de evitar la fragmentación, por lo que usan un MSS (Maximum Segment Size). Por default el MSS es elegido como el MTU de la interface saliente menos el tamaño usual de las cabeceras IP y TCP (40 bytes), lo cual resulta en 1460 bytes para una interface Ethernet. Desafortunadamente puede haber enlaces intermedios con un MTU más bajo el cual puede ocasionar fragmentación. En tal caso, la pila TCP ejecuta un path MTU discovery. Los routers que no pueden pasar el datagrama sin fragmentación se supone que abandonarán/rechazarán (drop) el paquete y enviarán un mensaje ICMP-Fragmentation-Required al host origen. Cuando el host recibe este paquete ICMP, intenta disminuir el MTU. Esto debería funcionar en un esquema ideal, sin embargo en el mundo real muchos routers no generan los datagramas fragmentation-requiered, y también muchos firewalls abandonan/rechazan (drop) todos los datagramas ICMP. La solución para este problema es ajustar el MSS si es que es demasiado grande. Por default el RouterOS agrega reglas de mangle para interceptar los paquetes TCP SYN y silenciosamente ajusta cualquier opción MSS anunciando la que será apropiada para el enlace PPPoE.
Academy Xperts
118
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
pppoe client (Cliente PPPoE)
Propiedades • • • • •
• • • • •
• • • • • •
ac-name (string; Default: "") .- Nombre del Concentrador de Acceso. Este campo puede ser dejado en blanco y el cliente se conectará a cualquier Concentrador de Acceso en el dominio de broadcast. add-default-route (yes|no; Default: no) .- Habilita/Deshabilita si es que se agregará automáticamente la ruta por default. allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de autenticación permitidos. Por default todos los métodos están permitidos. default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route dial-on-demand (yes | no; Default: no) .- Se conecta al Concentrador de Acceso únicamente cuando se genera tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada mientras la conexión no está establecida interface (string; Default: ) .- Nombre de la interface en la cual correrá el cliente keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit mrru (disabled | integer 512..65535; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel name (string; Default: ) .- Nombre de la interface PPPoE. Se genera automáticamente por el RouterOS si es que no se especifica. password (string; Default: "") .- Contraseña (password) usado para la autenticación profile (name; Default: default-encryption) .- Especifica el perfil por default para la conexión definida en /ppp profiles service-name (string; Default: "") .- Especifica el nombre de servicio configurado en el Concentrador de Acceso. Puede ser dejado en blanco para conectarse a cualquier Server PPPoE use-peer-dns (yes|no; Default: no) .- Habilita/Deshabilita la obtención de las configuraciones DNS desde su peer user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPPoE service-name • •
El service-name puede ser visto como el SSID de 802.11, lo que significa que es el nombre de red que el cliente este buscando. A diferencia del SSID, si el cliente no especifica uno, el concentrador de acceso (servidor PPPoE) enviara todos los service-names que administre. El cliente responderá al primero que llegue.
Status El comando /interface pppoe-client monitor mostrará el estatus PPPoE actual Propiedades • • • • • •
ac-mac (MAC address) .- La dirección MAC del Concentrador de Acceso al que el Cliente está conectado ac-name (string) .- Nombre del Concentrador de Acceso active-links (integer) .- Número de las conexiones MLPPP unidas (‘1’ si no se está usando MLPPP) encoding (string) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado en esta conexión. local-address (IP Address) .- Dirección IP asignada al cliente remote-address (IP Address) .- Dirección IP remota asignada al Server (por ejemplo la dirección del Gateway)
Academy Xperts
119
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
• • • •
•
mru (integer) .- MRU efectivo del enlace mtu (integer) .- MTU efectivo del enlace service-name (string) .- Nombre del servicio utilizado status (string) .- Estatus actual del enlace. Los valores disponibles son: • dialing (marcando) • verifying password... (verificando contraseña) • connected (conectado) • disconnected (desconectado) uptime (time) .- Tiempo de conexión mostrado en días, horas, minutos y segundos.
Scanner A partir de la v3.21 RouterOS agregó la herramienta PPPoE Scanner. Esta herramienta permite escanear todos los servidores PPPoE activos en el dominio de broadcast. /interface pppoe-client scan
Propiedades • • •
service (string) .- Nombre del servicio configurado en el Server mac-address (MAC) .- Dirección MAC del Server detectado ac-name (string) .- Nombre del Concentrador de Acceso
Academy Xperts
120
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
Notas importantes En Windows, algunas instrucciones de conexión pueden usar la forma donde el phone number, por ejemplo, MikroTik_AC\mt1, se especifica para indicar que MikroTik_AC es el nombre del Concentrador de Acceso (AC), y mt1 es el nombre del servicio. La especificación del MRRU significa que se habilita MP (Multilink PPP) sobre un enlace simple. Este protocolo se utiliza para dividir los paquetes grandes en paquetes más pequeños. En Windows esto se puede habilitar en la pestaña Networking, botón Configuración, opción “Negociar multi-link para conexiones de enlace simple”. El MRRU en Windows está codificado en 1614. Esta configuración es útil para resolver fallas de PathMTU Discovery. La configuración MP debe estar habilitada en ambas partes.
Configuración del Server PPPoE (Concentrador de Acceso) /interface pppoe-server server
El Server PPPoE (Concentrador de Acceso) soporta múltiples servers para cada interface, con diferentes nombres de servicio (service-name). El Throughput del Server PPPoE ha sido probado a 160 Mbps en un CPU Celeron 600. El uso de CPUs de mayor velocidad debería incrementar proporcionalmente el Throughput. El nombre del Concentrador de Acceso y el nombre del servicio PPPoE son usados por los clientes para identificar el concentrador de acceso al cual se quieren registrar. El nombre del concentrador de acceso es el mismo que la identidad del router que se muestra antes del command prompt. La identidad se puede configurar en /system identity Es importante recordar que, si no se especifica un nombre de servicio en Windows XP, únicamente usará un servicio sin nombre. Por lo tanto, si se desea atender clientes Windows XP, se debe dejar el nombre de servicio vacío. Propiedades • • • •
•
•
• •
• •
authentication (mschap2 | mschap1 | chap | pap; Default: "mschap2, mschap1, chap, pap") .- Algoritmo de autenticación. default-profile (string; Default: "default") .- Perfil de usuario por default que se va a utilizar interface (string; Default: "") .- Interface a la que los clientes se conectan keepalive-timeout (time; Default: "10") .- Define el período de tiempo (en segundos) después del cual el router inicia el envío de paquetes keepalive cada segundo. Si es que no existe tráfico y no arriban respuestas keepalive en ese período de tiempo (por ejemplo, 2*keepalive-timeout), el cliente que no responde se proclama como desconectado. max-mru (integer; Default: "1480") .- Maximum Receive Unit. El valor óptimo es el MTU de la interface en la que el túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe configurar el MTU en 1480 para evitar la fragmentación de paquetes. max-mtu (integer; Default: "1480") .- Maximum Transmission Unit. El valor óptimo es el MTU de la interface en la que el túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe configurar el MTU en 1480 para evitar la fragmentación de paquetes. max-sessions (integer; Default: "0") .- Número máximo de clientes que el Concentrador de Acceso puede atender. 0 (cero) significa que no hay limitantes. mrru (integer: 512..65535 | disabled; Default: "disabled") .- Tamaño máximo del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el túnel MTU, será divido en múltiples paquetes, permitiendo el tamaño completo de los paquetes IP o Ethernet que serán enviados a través del túnel. one-session-per-host (yes | no; Default: "no") .- Se permite únicamente una sesión por host (determinado por la dirección MAC). Si un host intenta establecer una nueva sesión, la anterior será cerrada. service-name (string; Default: "") .- El nombre de servicio PPPoE. El servidor aceptará clientes a los cuales envía el mensaje PADI con service-names que concuerden con esta configuración o si el campo de service-name en el mensaje PADI no está configurado.
Academy Xperts
121
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
Notas importantes El valor por default de 10 segundos del parámetro keepalive-timeout es adecuado en la mayoría de los casos. Si se configura este parámetro como 0 (cero), el router no desconectará a los clientes hasta que ellos explícitamente hagan logout o hasta que el router reinicie. Para resolver este problema, se puede utilizar la propiedad one-session-per-host. Como punto importante de seguridad recuerde que no debe asignar una dirección IP a la interface en la cual se recibirán los requerimientos PPPoE. La especificación del MRRU significa que se habilita MP (Multilink PPP) sobre un enlace simple. Este protocolo se utiliza para dividir los paquetes grandes en paquetes más pequeños. En Windows esto se puede habilitar en la pestaña Networking, botón Configuración, opción “Negociar multi-link para conexiones de enlace simple”. El MRRU en Windows está codificado en 1614. Esta configuración es útil para resolver fallas de PathMTU Discovery. La configuración MP debe estar habilitada en ambas partes. PPPoE Server (Servidor PPPoE) /interface pppoe-server Una interface se crea por cada túnel establecido al servidor dado. Las interfaces estáticas se agregan administrativamente si es que existe la necesidad de referenciar el nombre de la interface en particular (en reglas en firewall u otro lugar) creada para el usuario en particular. Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP Server • •
Las interfaces estáticas se agregan administrativamente si es que existe una necesidad para referenciar el nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en particular. Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre. Si existe problema se debe configurar el valor one-session-per-host.
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario es seguro usar la configuración dinámica. Es importante notar que en ambos casos los usuarios PPP deben ser configurados apropiadamente. Las entradas estáticas no reemplazan la configuración PPP. Propiedades • • • • • • • •
encoding (read-only: text) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado en esta conexión. mru (integer) .- MRU del cliente mtu (integer) .- MTU del cliente name (name) .- Nombre de la interface remote-address (read only: MAC address) .- Dirección MAC del cliente conectado service (string) .- Nombre del servicio al que el usuario está conectado uptime (time) .- Tiempo que el cliente ha estado conectado user (name) .- Nombre del usuario conectado (debe estar presente en la base de datos de usuario)
Creando un PPPoE server • • • • •
Un PPPoE server es el dispositivo que ofrece el servicio de tunelización Permite a los clientes obtener un servicio de VPN seguro a la capa 3 a través de la infraestructura de la capa 2. Usted no puede llegar a un servidor PPPoE a través de routers. Ya que es un protocolo de capa 2, el servidor solo se puede llegar a través del mismo dominio de difusión Ethernet a la que los clientes pertenecen. Antes de crear el servidor, creamos los parámetros de configuración que usted requiere tales como: o IP Pool o PPP profiles PPP secrets Crear la interfaz de servidor de la interfaz física frente a los clientes Ejemplo:
/ip pool add name=Pool-PC ranges=192.168.5.50-192.168.5.99, 192.168.5.150-192.168.5.199 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149 /ppp profile add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \ remote-address=192.168.222.2 use-compression=yes use-encryption=yes \ use-vj-compression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1\ name=Profile-internal remote-address=Pool-VPN use-compression=yes\ use-encryption=yes use-vj-compression=no /ppp secret
Academy Xperts
122
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal /interface pppoe-server server add authentication=mschap2 default-profile=Profile-external disabled=no \ interface=ether1 mrru=1600 service-name=PPPoE-external add authentication=mschap2 default-profile=Profile-internal disabled=no \ interface=ether5 mrru=1600 service-name=PPPoE-internal Tip: Usted puede dejar un puerto Ethernet sin un puerto maestro, un bridge o una dirección IP y el cliente que está conectado a este puerto pueden conseguir todavía el acceso a Internet si el servidor PPPoE (y el cliente PPPoE) está configurado correctamente. Direcciones Point-to-Point • • •
Direcciones desde /ppp secret tienen prioridad sobre /ppp profile, y ellos tienen prioridad sobre /ip pool. Tanto las direcciones locales y remotas pueden ser únicas o de un Pool Direcciones estáticas o direcciones por medio de DHCP no se deben utilizar en interfaces de clientes PPPoE.
Creando Clientes PPPoE en un RouterOS • • •
Si desea utilizar un perfil diferente que el de por defecto, crearlo primero. Crear la interfaz de cliente en la interfaz de cara al ISP Ya está!
Ejemplo /ppp profile add change-tcp-mss=yes name=Profile-external use-compression=yes \ use-encryption=yes use-vj-compression=no /interface pppoe-client add ac-name=" " add-default-route=yes allow=mschap2 default-route-distance=1\ dial-on-demand=no disabled=no interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=disabled name=Client-PPPoE password=pod4-123 profile=Profile-external service-name=" " usepeer-dns=no user=Pod4-external Habilite la interfaz del cliente. Tip El router no tendría que ser configurado con un cliente DHCP en la interfaz WAN y esto aún funcionará si el servidor PPPoE está en la misma infraestructura de capa 2 como puerto WAN.
PPTP PPTP es un túnel seguro para transportar tráfico IP usando PPP. PPTP encapsula PPP en líneas virtuales que corren sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP. Los clientes PPTP están disponibles en casi todos los sistemas operativos, incluso en Windows. RouterOS soporta Multilink PPP (también conocido como MP, MLPPP, MPPP, MLP, o Multilink) con lo cual se provee un método para esparcir el tráfico a través de múltiples conexiones PPP distintas. En una simple línea PPP los frames no pueden arribar fuera de orden, pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP. Por este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. MP es un ejemplo de tecnología de agregación de enlace. MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP. •
•
MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño. o MRRU = Maximum Received Reconstructed Unit o El MRRU es similar al MTU (Maximum Transmission Unit), pero solo se aplica a los paquetes Multilink. o El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar. o Por default el MRRU es 1500 bytes, pero se puede configurar un diferente de MRRU si el equipo con el que va a conversar permite/acepta ese nuevo valor. La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar frames Ethernet a través de enlaces PPP.
De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. Para esto se necesita que el Bridge tenga una dirección MAC o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC. PPTP incluye contabilización (accounting) y autenticación (authentication) PPP para cada conexión PPTP. La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local RouterOS soporta los tipos de encriptación • •
MPPE 40bit RC4 MPPE 128bit RC4
El tráfico PPTP utiliza • •
TCP puerto 1723 IP protocol GRE
Academy Xperts
123
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
o o
GRE = Generic Routing Encapsulation GRE = IP protocol ID 47
PPTP puede ser usado con la mayoría de firewalls y routers habilitando TCP 1723 y GRE (protocolo 47). De esta manera el tráfico puede ser ruteado a través del firewall o router. Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura a través de una conexión enmascarada (NATeada). PPTP es un protocolo de túnel que utiliza la información y direccionamiento del enrutamiento IP, para ligar a los clientes a los servidores PPTP. • •
La definición del servidor PPTP es casi lo mismo que para PPPoE, excepto que ninguna interfaz tiene que ser especificada. El cliente se define casi de la misma manera como un cliente PPPoE, excepto que una dirección IP tiene que ser especificada para el servidor.
Consejo: Se debe desbloquear el puerto 1723 en el firewall del router (el servidor PPTP) para que pueda llegar con su túnel. Es un túnel seguro para el transporte de trafico IP mediante PPP. La encapsulación de PPTP en líneas virtuales que corren sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point-to-Point Encryption) para hacer enlaces cifrados. El objetivo de este protocolo es hacer conexiones seguras bien administradas entre los routers, así como entre los router clientes PPTP. Clientes están disponibles para y/o incluido en casi todos los sistemas operativos incluyendo Windows). Se crea una interfaz para cada túnel establecido con el servidor dado. Hay dos tipos de interfaces en la configuración de PPTP. • •
Las interfaces estáticas se añaden administrativamente si hay una necesidad de hacer referencia al nombre de la interfaz en particular (en las reglas de firewall) creados por el usuario en particular. Las interfaces dinámicas se añaden a esta lista de forma automática cada vez que se conecta un usuario y su nombre de usuario no coincide con ninguna entrada estática existente.
Interfaces dinámicas aparecen cuando un usuario se conecta y desaparecen una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en el servidor de seguridad), así que si necesitas reglas persistentes para ese usuario, crear una entrada estática para el usuario, de lo contrario es seguro usar configuración dinámica. El siguiente ejemplo muestra como conectar un ordenar a un red de oficina remota a través de una túnel PPTP encriptado, dando ese equipo una dirección IP de la misma red que la oficina remota tiene (sin necesidad de tender un bridge sobre túneles EoIP)
El router de la oficina está conectado a internet a través de ether1. Las estaciones de trabajo están conectados a ether2. Las portátiles están conectadas a internet, y puede alcanzar IP publica del router de la oficina (en nuestro ejemplo es 192.168.80.1) Primer paso es crear un usuario /ppp secret add name=Laptop service=pptp password=123 local-address=10.1.101.1\ remote-address=10.1.101.100 /ppp secret print detail Flags: X – disabled 0 name=”Laptop” service=pptp caller-id=” ” password=”123” profile=default local-address=10.1.101.1 remote-address=10.1.101.100 routes==” “ Observe que la dirección local PPTP es la misma que la dirección del router en la interfaz local y la dirección remota es del mismo rango que la red local (10.1.101.0/24). El siguiente paso es habilitar el servidor PPTP y el cliente PPTP en la computadora portátil. /interface pptp-server server set enabled=yes /interface pptp-server server print
Academy Xperts
124
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
Enabled: max-mtu: max-mru: mrru: authentication: keepalive-timeout: default-profiles:
yes 1460 1460 disabled mschap2 30 default
El cliente PPTP de la computadora portátil debe conectarse a routers IP publica que en nuestro ejemplo es 192.168.80.1 (consulte el manual respectivo sobre como configurar un cliente PPTP con el software del sistema operativo que esté utilizando). En este punto (cuando el cliente PPTP está conectado con éxito) si intenta hacer ping a cualquier estación de trabajo que forma parte de la red del ordenador portátil, el ping será el tiempo de espera debido a que el ordenador portátil está en condiciones de obtener aplicaciones de estaciones de trabajo. La solución es la creación de proxy arp en la interfaz local. /interface ethernet set Office arp=proxy-arp /interface ethernet print Flags: X – disabled, R – running # Name MTU MAC-ADDRESS ARP 0 R ether1 1500 00:30:4F:0B:7B:C1 enabled 1 R ether2 1500 00:30:4F:06:62:12 proxy-arp Luego que el proxy-arp este activado, el cliente remoto puede alcanzar con éxito todas las estaciones de trabajo en la red local detrás del router.
PPTP Client (cliente pptp)
• • • • •
• • • • •
• • • •
add-default-route (yes | no; Default: no) .- Especifica si es que se agrega una dirección remota PPTP como una ruta por default allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de autenticación permitidos connect-to (IP; Default: ) .- Dirección remota del servidor PPTP default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route dial-on-demand (yes | no; Default: no) .- Se conecta al servidor PPTP únicamente cuando se genera tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada mientras la conexión no está establecida disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está deshabilitada. keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel name (string; Default: ) .- Nombre descriptivo de la interface password (string; Default: "") .- Contraseña (password) usado para la autenticación profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
Academy Xperts
125
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
PPTP Server (servidor pptp) Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP Server • •
Las interfaces estáticas son administrativamente agregadas si es que existe una necesidad para referenciar el nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en particular. Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre)
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario es seguro usar la configuración dinámica.
Nota Importante En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la configuración PPP Parámetros • • • •
• • •
authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2) .- Especifica los métodos de autenticación que el servidor aceptará default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará enabled (yes | no; Default: no) .- Define si es que el servidor PPTP está habilitado o no keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive no recibe ningún paquete, se enviará paquetes keepalive cada segundo por cinco veces. Si el server no recibe respuesta del cliente, entonces se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los mensajes “LCP missed echo reply” y luego se desconectará. max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel
L2TP L2TP es un protocolo de túnel seguro para transportar tráfico IP usando PPP. L2TP encapsula PPP en líneas virtuales que corren sobre IP, frame Relay y otros protocolos (que no son soportados actualmente por MikroTik RouterOS) L2TP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. El propósito de este protocolo es permitir que los extremos PPP y Capa 2 residan en diferentes dispositivos interconectados por una red conmutada de paquetes (packet-switched network) Con L2TP, un usuario tiene una conexión en Capa 2 a un concentrador de acceso – LAC (ejemplo: manco de módems, ADSL DSLAM, etc.), y el concentrador entonces hace túneles de frames PPP individuales al Servidor de Acceso de Red (NAS = Network Access Server). Esto permite que el procesamiento real de paquetes PPP sea separado de la terminación del circuito de Capa 2. Desde la perspectiva del usuario, no existe diferencia funcional entre tener que el circuito en Capa 2 termine en un NAS directamente o usando L2TP. Puede ser útil usar L2TP únicamente como cualquier otro protocolo de túnel con o sin encriptación. El estándar L2TP establece que la forma más segura de encriptar datos es usar L2TP sobre IPsec (este es el modo por default para cliente Microsoft L2TP) ya que todos los paquetes de control y datos de L2TP de un túnel aparecen como paquetes de datos UDP/IP homogéneos para el sistema IPsec.
Academy Xperts
126
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
Se soporta Multilink PPP (MP) para poder proveer MRRU (la habilidad para transmitir paquetes de 1500 y más grandes) y Bridging sobre enlaces PPP (usando BCP=Bridge Control Protocol, el cual permite enviar frames Ethernet sobre enlaces PPP). De esta forma es posible configurar Bridging sin EoIP. El bridge debería tener ya sea una dirección MAC administrativa o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC. L2TP incluye autenticación (authentication) y contabilización (accounting) PPP para cada conexión L2TP. Una completa autenticación y contabilización de cada conexión puede ser realizada a través de un cliente RADIUS o localmente. Métodos de encriptación soportados • •
MPPE 40bit RC4 MPPE 128bit RC4
El protocolo L2TP utiliza el protocolo UDP para los paquetes de control y de datos. El puerto UDP 1701 se utiliza únicamente para establecer el enlace, el tráfico adicional puede utilizar cualquier puerto UDP (que puede o no ser el 1701). Esto significa que L2TP puede ser usado con la mayoría de firewalls y routers (incluso con NAT) tan solo habilitando que el tráfico UDP sea ruteado a través del firewall o del router.
L2TP Client (cliente l2tp)
• • • • • •
• • • • •
• • • •
add-default-route (yes | no; Default: no) .- Especifica si es que se agrega una dirección remota L2TP como una ruta por default allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de autenticación permitidos connect-to (IP; Default: ) .- Dirección remota del servidor L2TP coment (string; Default: ) .- Breve descripción del túnel default-route-distance (byte; Default:) .- Desde la v6.2 se configura el valor de distancia aplicado para la ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route dial-on-demand (yes | no; Default: no) .- Se conecta únicamente cuando se genera tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada mientras la conexión no está establecida disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está deshabilitada. keepalive-timeout (integer [1..4294967295]; Default: 60s) .- Desde l av6.0rc13, el keepalive timeout en segundos max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel name (string; Default: ) .- Nombre descriptivo de la interface password (string; Default: "") .- Contraseña (password) usado para la autenticación profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
Academy Xperts
127
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
L2TP Server (servidor l2tp) Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración L2TP Server • •
Las interfaces estáticas son agregadas administrativamente si es que existe una necesidad para referenciar el nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en particular. Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre)
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario es seguro usar la configuración dinámica.
Nota Importante En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la configuración PPP Parámetros • • • •
• • •
authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2) .- Especifica los métodos de autenticación que el servidor aceptará default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará enabled (yes | no; Default: no) .- Define si es que el servidor L2TP está habilitado o no keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive-timeout no recibe ningún paquete, se enviará paquetes keepalive cada segundo, por cinco veces. Si el server no recibe respuesta del cliente, entonces se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los mensajes “LCP missed echo reply” y luego se desconectará. Este parámetro está disponible a partir de las versiones v5.22 y v6rc3 max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel
Clientes y servidores SSTP VPN SSTP es un tipo de VPN de acceso remoto que permite una conexión VPN por SSL de HTTPS, o lo que es lo mismo encapsula trafico PPP sobre un canal SSL. Esto le permite atravesar Firewalls donde las conexiones VPN por PPTP o L2TP estén prohibidas. SSTP utilizara el puerto 443 para atravesar los firewalls y a través de SSL tenemos cifrado, autenticación y negociación de claves. • • •
Definición del servidor SSTP es casi lo mismo que para PPTP, salvo que se especifique un puerto TCP para conectarse (443 por defecto). Se usa con certificados digitales para crear Túneles sobre internet. El cliente se define casi la misma forma que un cliente PPTP, salvo que se especifique un puerto TCP a utilizar para establecer una conexión (443 por defecto).
Academy Xperts
128
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
•
Consejo: Debe permitir el puerto 443 para que su túnel pueda llegar sin problemas. Además, dejar el puerto en 443 para asegurarlo con SSL y poderlo utilizar para sus comunicaciones.
Configuración en línea de comando: /interface sstp-server server set authentication=mschap2 enabled=yes
/interface sstp-client add add-default-route=no authentication=mschap2 certificate=none connect-to=\ 192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \ keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \ password=pod4-123 profile=Profile-external user=Pod4-external \ verify-server-address-from-certificate=no verify-server-certificate=n
Academy Xperts
129
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
Clientes y Servidores OpenVPN Es una solución de conectividad basada en software libre: SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente. • • •
Sigue el mismo patrón de configuraciones anteriores, similar a SSTP. Con la única diferencia, que con esta herramienta (OPVN) nos permites crear nuestros propios certificados digitales públicos, para poder usarlos, sin tener que pagar por ellos. Una muy buena herramienta a la hora de pensar en el factor COSTO.
Configuración de Rutas entre redes Es necesaria la configuración de rutas estáticas para que exista comunicación, tomar en cuenta: • Una vez que el túnel está configurado y operativo, usted necesita rutas para mover los paquetes de un lado a otro. • La primera forma, es usar la ruta que se crea automáticamente en el router del cliente para ese túnel. /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.0.254 0 1 ADC 192.168.0.0/24 192.168.0.5 ether1 0 2 ADC 192.168.5.0/24 192.168.5.1 Bridge-PC 0 3 ADC 192.168.5.101/32 192.168.5.1 0 • La segunda opción es especificar una o múltiples rutas con PPP secret para cada cliente: /ppp secret export add name=Pod4-external password=pod4-123 profile=Profile-external \ routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal /ppp secret print Flags: X - disabled # NAME 0 Pod4-external Academy Xperts
SERVICE CALLER-ID any
PASSWORD pod4-123
PROFILE Profile-external
REMOTE-ADDRESS
130
RouterOS v6.37.1.01 – Capítulo 8 – Túneles PPP
1
alain
any
alain!!
Profile-internal
/ppp secret set 0 routes=192.168.4.0/24,10.10.2.0/24 /ppp secret export add name=Pod4-external password=pod4-123 routes=192.168.4.0/24,10.10.2.0/24 add name=alain password=alain!! profile=Profile-internal • •
profile=Profile-external
\
La tercera forma es agregar rutas estáticas a una o varias redes a través de un túnel. Este método es útil si ambos routers tienen su propia ruta por defecto, pero implica más mantenimiento y parámetros.
/ip route add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24 \ gateway=192.168.254.10 add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21 \ gateway=192.168.254.10
Preguntas de repaso del Capítulo 8 1.
Qué protocolos pueden ser tunelizados?
2.
Qué es el SECRET y qué es el PROFILE?
3.
Cuál es la principal característica del túnel PPPoE?
4.
Cuál es el puerto y el protocolo que se debe tener en cuenta para habilitar una regla en Firewall para permitir túneles PPTP?
Laboratorio – Capítulo 8
Academy Xperts
131
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Capítulo 9: Herramientas RouterOS E-mail Es una herramienta que te permite enviar un mail desde el router. Se puede utilizar, junto con otras herramientas, para enviar copias de seguridad de configuración regulares y exportar al administrador de red. La herramiena E-mail utiliza únicamente autenticación plana y encriptación TLS. No se soportan otros métodos.
Por medio de línea de comando lo podemos ver como: /tool e-mail print Address: 0.0.0.0 Port: 25 Start-tls: no From: User: Password: Propiedades /tool e-mail Este sub menú permite configurar el servidor SMTP que se utilizará • • • • •
from (string; Default: ) – Nombre o dirección email que se mostrará coom receptor password (string; Default: "") – Contraseña que se utiliza para autenticar al servidor SMTP address (IP/IPv6 address; Default: 0.0.0.0) – Dirección IP del servidor SMTP port (integer[0..65535]; Default: 25) – Puerto del servidor SMTP username (string; Default: "") – Nombre de usuario (username) utilizado para autenticar en el servidor SMTP
Importante: Si se especifican las configuraciones del server, las mismas pueden ser reemplazadas cuando se utilice el comando send.
Send Email /tool e-mail send
Este sub menú permite configurar el servidor SMTP que se utilizará • • •
body (string; Default: ) – Cuerpo (contenido) del mensaje de correo cc (string; Default: ) – Permite especificar las direcciones de correo a las que se hará una copia del mail file (string; Default: ) – Nombre del archivo que se adjuntará al mail. Únicamente se puede adjuntar un archivo
Academy Xperts
132
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
• • • • • • • •
from (string; Default: ) – Nombre o dirección de correo que aparecerá como remitente. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server password (string; Default: ) – Contraseña que se utilizará para autenticar al servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server port (integer[0..65535]; Default: ) – Puerto del servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server server (IP/IPv6 address; Default: ) – Dirección IP o IPv6 del servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server subject (string; Default: ) – Asunto del mensaje tls (yes|no; Default: yes) – Permite especificar si se utiliza encriptación TLS o no to (string; Default: ) – Dirección de correo de destino user (string; Default: ) – Nombre usuario (username) que se utiliza para autenticar al servidor SMTP. Si no se especifica este parámetro entonces se utilizará el valor de la configuración del server
Ejemplo básico #1 El siguiente ejemplo muestra cómo enviar un mail con el export de la configuración cada 24 horas 1. Configurar el servidor SMTP /tool e-mail> set server=10.1.1.1 port=25 from="
[email protected]" 2. Agregar un nuevo script llamado “export-send” /export file=export /tool e-mail send to="
[email protected]" subject="$[/system identity get name] body="$[/system clock get date] configuration file" file=export.rsc
export) \
3. Agregar un scheduler para ejecutar el script /system scheduler add on-event="export-send" start-time=00:00:00 interval=24h Ejemplo básico #2 Enviar un email al servidor usando encriptación TLS/SSL. Por ejemplo, el mail de Google requiere esta configuración: 1. Configurar el cliente para conectarse al server correcto /tool e-mail set address=173.194.77.108 set port=587 set
[email protected] set user=myuser set password=mypassword 2. Enviar el email usando el comando send con el parámetro tls=yes send
[email protected] subject="email test" body="email test" tls=yes
Netwatch Netwatch monitorea el estado de los host de la red. Lo hace mediante el envío de pings ICMP a la lista de direcciones IP especificadas. La principal ventaja de netwatch es su capacidad arbitraria de emitir comandos ante los cambios de estado del host que monitorea. Importante: netwatch ejecuta los scripts como un usuario *sys, por lo que cualquier variable global que se defina en este script de netwatch, no podrá ser leida por el scheduler u otros usuarios. Para cada entrada se puede especificar • • •
Dirección IP Intervalo del Ping Scripts Up / Down
Es muy útil para: • • • •
Ser conscientes de los fallos de red Automatizar un cambio de puerta de enlace predeterminada, por ejemplo, si el router principal falla. Solo para tener una vista rápida de lo que está pasando Cualquier otra cosa que usted puede llegar a simplificar y acelerar es su trabajo
Propiedades /tool netwatch • •
down-script (string; Default: ) – script de consola que se ejecuta una vez cuando el estado de un host cambia a down host (IP; Default: 0.0.0.0) – Dirección IP de un host que debe ser monitoreado
Academy Xperts
133
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
• • •
interval (time; Default: 1m) – Intervalo de tiempo entre pings. Si se disminuye este valor se hará que los cambios de estado más sensibles, pero puede crear tráfico innecesario y consumir recursos del sistema. timeout (time; Default: 1s) – Tiempo en segundos luego del cual el host se considera caído (down) up-script (string; Default: ) – script de consola que se ejecuta una vez cuando el estado de un host cambia a up
Ejemplo de Netwatch con estatus “UP”
Ejemplo de Netwatch con estatus “DOWN”
Ejemplo básico #1 El siguiente ejemplo ejecutará los scripts gw_1 o gw_2 que cambiará el default gateway dependiendo del estatus de uno de los gateways: /system script add name=gw_1 source={/ip route set {... [/ip route find dst 0.0.0.0] gateway 10.0.0.1} /system script add name=gw_2 source={/ip route set {.. [/ip route find dst 0.0.0.0] gateway 10.0.0.217} /system script tool netwatch add host=10.0.0.217 interval=10s timeout=998ms \ \... up-script=gw_2 down-script=gw_1 /tool netwatch print Flags: X - disabled # HOST TIMEOUT 0 10.0.0.217 997ms
Academy Xperts
INTERVAL 10s
STATUS up
134
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
/tool netwatch print detail Flags: X - disabled 0 host=10.0.0.217 timeout=997ms interval=10s since=feb/27/2003 14:01:03 status=up up-script=gw_2 down-script=gw_1 Sin los scripts, el netwach se puede utilizar como una herramienta de información para ver cuáles enlaces están operativos (up), o cuáles hosts específicos están corriendo en ese momento. En el ejemplo anterior, se cambia la ruta por default si el gateway se vuelve inalcanzable. Para esto hay 2 scripts. El script “gw_2” se ejecuta una vez cuando el estatus de host cambia a “up”. En este caso, el siguiente es el equivalente a ingresar el comando por consola: /ip route set [find dst-address="0.0.0.0/0"] gateway=10.0.0.217 El comando find retorna una lista de todas las rutas cuyo valor de dst-adress es 0.0.0.0/0 Esta es usualmente la ruta por default. Se substituye como primer argumento por el comando /ip route set, el cual cambia el gateway de esta ruta a 10.0.0.217 El script “gw_1” se ejecuta una vez cuando el estatus del host se vuelve “down”. Hace lo siguiente: /ip route set [find dst-address="0.0.0.0/0"] gateway=10.0.0.1 Cambia el default gateway si la dirección 10.0.0.217 se vuelve inalcanzable Ejemplo básico #2 Envía una notificacion email si el host 10.0.0.215 se vuelve down: /system script add name=e-down source={/tool e-mail send {... from="
[email protected]" server="159.148.147.198" body="Router down" {... subject="Router at second floor is down" to="
[email protected]"} /system script add name=e-up source={/tool e-mail send {... from="
[email protected]" server="159.148.147.198" body="Router up" {.. subject="Router at second floor is up" to="
[email protected]"} /system script tool netwatch add host=10.0.0.215 timeout=999ms \ \... interval=20s up-script=e-up down-script=e-down /tool netwatch print detail Flags: X - disabled 0 host=10.0.0.215 timeout=998ms interval=20s since=feb/27/2003 14:15:36 status=up up-script=e-up down-script=e-down
Ping Es una herramienta de conectividad básica que utiliza mensajes de ICMP Echo para determinar si un host remoto está activo o inactivo, y también para determinar el retardo de ida y vuelta cuando se comunica con dicho host remoto La herramienta ping envía un mensaje ICMP (type 8) al host remoto y espera por el mensaje ICMP echo-reply (type 0) de retorno. El intervalo entre estos eventos se conoce como “round trip”. Si la respuesta (que se conoce como “pong”) no llega hasta que finaliza el intervalo de tiempo de espera, se asume que el tiempo se ha agotado (timed-out). Otro parámetro significativo que se reporta en la herramienta ping es ttl (Time To Live), el cual disminuye en cada máquina en que el paquete es procesado. El paquete alcanzara su destino únicamente cuando el ttl sea mayor que el número de routers entre el origen y el destino. Cabecera (header) ICMP La cabecera ICMP comienza después de la cabecera IPv4 y se identifica con el número de protocolo IP '1'. Todos los paquetes ICMP tienen una cabecera de 8 bytes y la sección de datos de tamaño variable. Los primeros 4 bytes de la cabecera tienen formato fijo, mientras que los últimos 4 bytes dependen del type/code de ese paquete ICMP.
Formato de la cabecera (header) ICMP
Academy Xperts
135
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Mensajes de Control ICMP
Propiedades /ping [address] [properties] La herramienta ping puede usarse para para hacer ping a direcciones IP y a direcciones MAC. MAC ping funciona únicamente a dispositivos que tienen configurado el MAC ping server • • • • •
arp-ping (yes | no; Default: ) count (integer [0..4294967295]; Default: 0) – Número total de paquetes a enviar (por default se envía eternamente hasta que se interrumpe el comando). do-not-fragment (; Default: ) – Si la etiqueta do-not-fragment está configurada, los paquetes no serán fragmentados si el tamaño excede el MTU de la interface. interface (string; Default: ) – Especifica cuál interface se debe usar (requerido cuando se ping a direcciones IPv6) interval (time [10ms..5s]; Default: 1s) – Especifica cuánto tiempo se debe esperar por la respuesta. Si no se recibe respuesta dentro de 1,000 mseg, el ping mostrará el mensaje “timed-out”. Si se recibe una respuesta después de 3 ms, el programa ping esperará el resto de los 997 ms hasta que se envíe el próximo ping.
Academy Xperts
136
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
• • • •
routing-table (string; Default: main) – Especifica la tabla de ruteo que se debe usar para resolver el destino. Se utiliza en configuraciones VRF size (integer; Default: 64) – Tamaño del paquete que se va a usar. Se mide en bytes (incluye el payload y la cabecera IP) src-address (IPv4,IPv6; Default: ) – Direcciones IPv4 / IPv6 que serán utilizadas como origen de los paquetes. Sumamente útil si la respuesta se debe enviar a una dirección específica ttl (integer [1..255]; Default: ) – Permite el ajuste del parámetro TTL
Importante: Si el DNS está configurado, entonces se puede utilizar en nombre DNS como destino del ping Como usar un Ping En la ventana de Terminal del WinBox, lo podemos usar para realizar algún ping /ping www.mikrotik.com HOST SIZE TTL TIME STATUS 159.148.147.196 56 50 163ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 160ms Sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
Otros Ejemplos de ping /ping 10.1.101.3 HOST SIZE TTL TIME STATUS 10.1.101.3 56 64 3ms 10.1.101.3 56 64 10ms 10.1.101.3 56 64 7ms sent=3 received=3 packet-loss=0% min-rtt=3ms avg-rtt=6ms max-rtt=10ms /ping 10.1.101.9 HOST
sent=3 received=0 packet-loss=100%
SIZE
TTL TIME
STATUS timeout timeout timeout
También se puede hacer ping a una dirección multicast para descubrir todos los hosts que pertenecen al grupo multicast: /ping ff02::1 HOST SIZE TTL TIME STATUS fe80::20c:42ff:fe49:fceb 56 64 1ms echo reply fe80::20c:42ff:fe72:a1b0 56 64 1ms echo reply fe80::20c:42ff:fe28:7945 56 64 1ms echo reply fe80::21a:4dff:fe5d:8e56 56 64 3ms echo reply sent=1 received=4 packet-loss=-300% min-rtt=1ms avg-rtt=1ms max-rtt=3ms ping de paquetes grandes /ping 10.1.101.3 size=1600 do-not-fragment HOST SIZE TTL TIME STATUS 576 64 3ms fragmentation needed and DF set 576 64 6ms fragmentation needed and DF set sent=2 received=2 packet-loss=0% min-rtt=3ms avg-rtt=4ms max-rtt=6ms
Academy Xperts
137
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
ping por nombre DNS /ping www.google.lv HOST SIZE TTL 74.125.77.99 56 47 74.125.77.99 56 47 sent=2 received=2 packet-loss=0% min-rtt=59ms
TIME STATUS 59ms 85ms avg-rtt=72ms max-rtt=85ms
ping a dirección MAC /ping 00:0C:42:72:A1:B0 HOST SIZE TTL TIME STATUS 00:0C:42:72:A1:B0 56 0ms 00:0C:42:72:A1:B0 56 0ms sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms
MAC ping /mac-server ping /tool mac-server ping set enabled=yes
Este sub menú permite habilitar el MAC ping server Cuando se habilita el MAC ping, otros hosts en el mismo dominio de broadcast pueden usar la herramienta ping para hacer ping a la dirección MAC.
Traceroute Traceroute es una herramienta de diagnóstico de red que muestra la ruta (path) y mide el retardo del tránsito de los paquetes a través de una red IP. El histórico de la ruta se registra como el tiempo de ida y vuelta (round-trip) de los paquetes recibidos desde cada host sucesivo (nodo remoto) en la ruta (path). La suma de los tiempos medios en cada salto indica el tiempo total empleado para establecer la conexión. Traceroute procede a menos que todos los paquetes (3 paquetes) que se envían, se pierdan más de dos veces, entonces se pierde la conexión y la ruta ya no puede evaluada. Por otro lado, el ping sólo calcula los tiempos finales de ida y vuelta desde el punto de destino. Traceroute envía una secuencia de paquetes UDP (User Datagram Protocol) direccionados al host destino. También puede usar paquetes ICMP Echo Request, o paquetes TCP SYN. El valor del TTL se utiliza para determinar los routers intermedios por los cuales se está atravesando hasta llegar al destino. Los routers disminuyen en uno los valores TTL de los paquetes y descartan los paquetes cuyos valores de TTL son cero. Cuando un router recibe un paquete con ttl=0, envía de retorno un mensaje de error ICMP que indica ICMP Time Exceeded. Los valores de fecha y hora de retorno de cada router a lo largo del camino son los valores de la demora (latencia). Este valor generalmente se mide en milisegundos para cada paquete.
Academy Xperts
138
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
/tool traceroute www.mikrotik.com # ADDRESS LOSS SENT LAST 100% 3 timeout 216.113.124.190 0% 3 13.9ms 12.2
AVG
BEST
WORST
11.1
13.9
1.2
STD-DEV
STATUS
El emisor espera una respuesta dentro de un número especificado de segundos. Si un paquete no es reconocido dentro del intervalo esperado, se muestra un asterisco (*). El protocolo IP no requiere que los paquetes tomen la misma ruta hacia un destino en particular, por lo tanto los hosts que se muestran podría ser hosts que otros paquetes han atravesado. Si el host en el salto #N no contesta, el salto se omite en la salida. Más información es: https://en.wikipedia.org/wiki/Traceroute
Profiler (Carga del CPU) /tools profile
Esta herramienta muestra el uso del CPU para cada proceso que se ejecuta en el RouterOS. Ayuda a identificar cuál proceso es el que utiliza más recursos de CPU. /tool profile NAME USAGE sstp 9% ppp 0.5% ethernet 0% queue-mgmt 0% console 0.5% dns 0% winbox 0% logging 0% management 1.5% ospf 0% idle 87.5% profiling 0.5% queuing 0% routing 0% Academy Xperts
139
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
bridging unclassified
0% 0.5%
Utilización del CPU en sistemas multi-core El sistemas multi-core la herramienta permite especificar la utilización por núcleo de CPU. Por ejemplo, para ver la utilización del CPU en un segundo núcleo se debe utilizar el siguiente comando: /tool profile cpu=2 NAME CPU USAGE ethernet 1 0% kvm 1 2.5% management 1 0.5% idle 1 96.5% profiling 1 0% unclassified 1 0.5% El parámetro cpu permite especificar el número entero el cual representa el número de core (núcleo) • •
total – Este valor configura la suma del uso de todos los núcleos all – Este valor muestra los usos de cpu separadamente para cada núcleo (core) activo
Ejemplo con ambos parámetros en un sistema de dos núcleos: /tool profile cpu=all NAME CPU USAGE ethernet 1 0% kvm 0 0% kvm 1 4.5% management 0 0% management 1 0.5% idle 0 100% idle 1 93% profiling 0 0% profiling 1 2% /tool profile cpu=total NAME CPU ethernet all console all kvm all management all idle all profiling all bridging all
USAGE 0% 0% 2.7% 0% 97.2% 0% 0%
Clasificadores Profile clasifica los procesos. La mayoría de ellos se explican por si solos y no requieren una explicación detallada. • • • • • • • • • • • • • • • • • • • • • • • • • •
idle – Muestra el tiempo NO usado del CPU. Es decir idle=100% - (suma de todos los procesos de uso de cpu) ppp pppoe ppp-compression ppp-mppe ethernet – CPU usado por las interfaces ethernet cuando envían/reciben paquetes bridging encrypting – CPU utilizado por la encriptación de paquetes ipsec – IP security queuing – packet queuing firewall – Procesamiento de los paquetes en /ip firewall l7-matcher – CPU utilizado por el matcher Layer7 p2p-matcher – Tráfico peer-to-peer en /ip firewall gre – Túneles GRE eoip – Túneles EoIP m3p – MikroTik Packet Packer Protocol radius ip-pool routing sniffing traffic-accounting traffic-flow console telnet ssh ftp
Academy Xperts
140
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
tfpt www dns snmp socks web-proxy winbox metarouter-fs metarouter-net kvm profiling – CPU utilizado por la propia herramienta profiler btest – Herramienta bandwidth test logging flash – CPU utilizado cuando se escribe a la NAND disk – CPU utilizado cuando se escribe en Disk networking – Procesamiento de paquetes en el core serial usb firewall-mgmt queue-mgmt e-mail fetcher backup graphing health isdn dhcp hotspot radv - IPv6 route advertisement ntp - NTP server/client ldp mpls pim - Multicast routing protocol igmp-proxy bgp ospf rip mme synchronous – CPU utilizado por las tarjetas síncronas gps user-manager wireless dude supout.rif – CPU utilizado por el creador del archivo supout.rif management – Procesos de administración de RouterOS que no caen en los otros clasificadores. Por ejemplo, cuando se agregan rutas al kernel, mensajes internos de intercambio entre aplicaciones RouterOS, etc. unclassified – Cualquier otro proceso que no ha podido ser clasificado.
Torch El Torch es una herramienta de monitorización de tráfico en tiempo real que se puede utilizar para monitorear el tráfico a través de una interfaz. Se puede monitorear el tráfico clasificado por nombre de protocolo, dirección origen, dirección destino, puerto. La herramienta torch muestra el protocolo que se ha elegido y la tasa de datos tx/rx de cada uno de ellos.
Academy Xperts
141
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
El siguiente ejemplo monitorea el tráfico generado por el protocolo telnet, el cual pasa a través de la interface ether1: /tool torch ether1 port=telnet SRC-PORT DST-PORT TX RX 1439 23 (telnet) 1.7kbps 368bps Para ver qué protocolos se envían a través de ether1: /tool torch ether1 protocol=any-ip PRO.. TX RX tcp 1.06kbps 608bps udp 896bps 3.7kbps icmp 480bps 480bps ospf 0bps 192bps Para ver qué protocolos están enlazados al host 10.0.0.144/32 conectado a la interface ether1: /tool torch ether1 src-address=10.0.0.144/32 protocol=any PRO.. SRC-ADDRESS TX RX tcp 10.0.0.144 1.01kbps 608bps icmp 10.0.0.144 480bps 480bps
Graphing (Gráficos) Es una herramienta para monitorear en el tiempo varios parámetros RouterOS y pone los datos recogidos en gráficos. Esta herramienta puede mostrar gráficos de: • • • •
Estado de salud del RouterBOARD (voltaje y temperatura) Utilización de recursos (CPU, memoria y utilización de disco) Tráfico que pasa através de las interfaces Tráfico que pasa através de las colas simples (simple queue)
Graphing consiste de dos partes: • •
La primera parte recoge información La segunda parte muestra los datos en una página web
Para acceder a los gráficos, debe escribir en el web browser http://[Direccion_IP_Router]/graphs/ y luego elegir el gráfico que se desea visualizar.
Academy Xperts
142
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
/tool graphing • •
store-every (24hours | 5min | hour; Default: 5min) – Cuán frecuente se escriben los datos recolectados al drive del sistema page-refresh (integer | never; Default: 300) – Cuán frecuente se refresca la página de gráficos
Academy Xperts
143
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Interface Graphing /tool graphing interface Esta opción permite configurar en cuál interface las gráficas recogerán los datos de uso de ancho de banda.
Propiedades • • • • •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a la información de gráficos comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado interface (all | interface name; Default: all) – Define qué interfaces serán monitoreadas. all significa que se van a monitorear todas las interfaces. store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Queue Graphing /tool graphing queue Esta opción permite configurar en cuál cola simple (simple queue) las gráficas recogerán los datos de uso de ancho de banda.
Propiedades • • • • • •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a la información de gráficos allow-target (yes | no; Default: yes) – Define si se permite el acceso a los gráficos desde la dirección objetivo de la cola comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado simple-queue (all | queue name; Default: all) – Define qué colas serán monitoreadas. all significa que se van a monitorear todas las colas. store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Importante: Si la cola simple (simple queue) tiene un target-address=0.0.0.0/0 entonces todos estarán habilitados para acceder a los gráficos de las colas incluso si la dirección permitida se configura con una dirección específica. Esto ocurre porque los gráficos de la cola por default son accesibles también desde la dirección objetivo (target address).
Resource Graphing /tool graphing resource Esta opción permite habilitar los gráficos de los recursos del sistema.
Graphing recolecta los datos de:
Academy Xperts
144
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
• • •
Uso de CPU Uso de Memoria Uso de Disco
Propiedades • • • •
allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a la información de gráficos comment (string; Default: ) – Descripción de la entrada actual disabled (yes | no; Default: no) – Define si el ítem es usado store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Graphics en WinBox WinBox permite visualizar la misma data r ecolectada como en el web page. Debe abrir la ventana en Tools/Graphing. Luego debe hacer doble-click de lo que desea ver las gráficas
SNMP Simple Network Management Protocol (SNMP) es un protocolo de Internet estándar que se utiliza para la gestión de dispositivos en las redes IP. Puede utilizarse para graficar la información con herramientas como CACTI, MRTG o The Dude.
El soporte para la escritura en SNMP (SNMP write) está únicamente disponible para algunos OIDs. El soporte para write está disponible en los OIDs de SNMP v1, v2 o v3. Importante: SNMP responderá a la consulta en la interface SNMP que fue recibia de forzar las respuestas a tener la misma dirección que el destino de consulta enviado al router. Importante: A partir de SNMP 6.18 se implementa el OID blacklisting. El tiempo de espera del OID es 30 segundos cuando está en lista negra por 600 segundos. Configuración rápida Para habilitar SNMP en RouterOS usando CLI /snmp print enabled: no contact: location: engine-id: trap-community: (unknown) trap-version: 1 /snmp set enabled yes En la configuración previa también se puede especificar la información del contacto administrativo. Toda la data SNMP estará disponible a las comunidades configuradas en el menú community Para habilitar SNMP en RouterOS usando WinBox
Academy Xperts
145
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Propiedades generales /snmp • • •
• • •
• • •
contact (string; Default: "") – Información de contacto enabled (yes | no; Default: no) – Permite habilitar/deshabilitar el servicio SNMP engine-id (string; Default: "") – Para SNMP v3. Se puede configurar parte del sufijo del engine-id usando este argumento. Si el cliente SNMP no es capaz de detectar el valor configurado de engine-id, entonces se debe usar el siguiente prefijo hexadecimal 0x80003a8c04 location (string; Default: "") – Información de la ubicación trap-community (string; Default: public) – Especifica las comunidades configuradas en el menú community que se usarán cuando se envíe el trap trap-generators (interfaces | start-trap; Default: ) – Especifica la acción que generarán los traps: § interfaces – Cambia la interface § start-trap – Inicia el server SNMP en el router trap-interfaces (string | all; Default: ) – Lista de las interfaces que los traps van a enviar trap-target (list of IP/IPv6; Default: 0.0.0.0) – Direcciones IPv4 o IPv6 de colectores de datos SNMP que tienen que recibir el trap trap-version (1|2|3; Default: 1) – Versión del protocolo SNMP para usar el trap
Importante: El campo engine-id mantiene el valor sufijo de engine-id, usualmente los clientes SNMP deberían estar habilitados para detectar el valor, como valores SNMP, como se lee desde el router. Sin embargo existe una posibilidad de que este no sea el caso. En cuyo caso el valor engine-id tiene que ser seleccionado de acuerdo a la siguiente regla: + , Por ejemplo, si se tiene configurado 1234 como valor sufijo entonces se debe proveer 80003a8c04 + 31323334, siendo el resultado del valor hexadecimal combinado: 80003a8c0431323334
Academy Xperts
146
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
SNMP dentro del mapa de Protocolos TCP/IP
Community (Comunidad) /snmp community Esta opción permite configurar los derechos de acceso a la data SNMP. Existe poca seguridad en las versiones v1 y v2c, únicamente la cadena de texto de comunidad (username) y la habilidad para limitar el acceso por dirección IP.
A partir de SNMP v3 se han introducido mejores opciones: • •
Authorisation (User + Pass) con MD5/SHA1 Encryption con DES (y a partir de la versión v6.16 se introdujo AES) /snmp community print value-list name: public address: 0.0.0.0/0 security: none read-access: yes write-access: no authentication-protocol: MD5 encryption-protocol: DES authentication-password: ***** encryption-password: *****
Academy Xperts
147
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Advertencia: Las configuraciones por default únicamente tienen una comunidad llamada public sin configuraciones de seguridad adicionales. Estas configuraciones deben ser consideradas inseguras y deberían ser ajustadas de acuerdo al perfil de seguridad requerido. Propiedades • • • • • • • • •
address (IP/IPv6 address; Default: 0.0.0.0/0) – Direcciones desde las cuales las conexiones al servidores SNMP está permitido authentication-password (string; Default: "") – Contraseña usada para autenticar la conexión al servidor (SNMPv3) authentication-protocol (MD5 | SHA1; Default: MD5) – Protocolo que se usa para autenticación (SNMPv3) encryption-password (string; Default: "") – Contraseña usada para encriptación (SNMPv3) encryption-protocol (DES | AES; Default: DES) – Protocolo de encriptación utilizado para encriptar la comunicación (SNMPv3). AES (de acuerdo al RFC-3826) está disponible desde v6.16. name (string; Default: ) read-access (yes | no; Default: yes) – Especifica si el acceso de lectura está habilitado para esta comunidad security (authorized | none | private; Default: none) write-access (yes | no; Default: no) – Especifica si el acceso escritura está habilitado para esta comunidad
Management information base (MIB) MIB es la base de datos de información mantenida por el agente que el administrador puede consultar. Se puede descargar la versión actualizada del MIB de MikroTik RouterOS. MIBs usados en RouterOS v5.x: • • • • • • • • • • • • •
MIKROTIK-MIB MIB-2 HOST-RESOURCES-MIB IF-MIB IP-MIB IP-FORWARD-MIB IPV6-MIB BRIDGE-MIB DHCP-SERVER-MIB CISCO-AAA-SESSION-MIB ENTITY-MIB UPS-MIB SQUID-MIB
Identificadores de Objetos (OID - Object identifiers) Cada OID identifica una variable que puede ser leída vía SNMP. Aunque el archivo MIB contiene todos los valores OID necesitados, se puede visualizar la información OID individual en la consola: /interface print oid Flags: D - dynamic, X - disabled, R - running, S - slave 0 R name=.1.3.6.1.2.1.2.2.1.2.1 mtu=.1.3.6.1.2.1.2.2.1.4.1 mac-address=.1.3.6.1.2.1.2.2.1.6.1 admin-status=.1.3.6.1.2.1.2.2.1.7.1 oper-status=.1.3.6.1.2.1.2.2.1.8.1 bytes-in=.1.3.6.1.2.1.2.2.1.10.1 packets-in=.1.3.6.1.2.1.2.2.1.11.1 discards-in=.1.3.6.1.2.1.2.2.1.13.1 errors-in=.1.3.6.1.2.1.2.2.1.14.1 bytes-out=.1.3.6.1.2.1.2.2.1.16.1 packets-out=.1.3.6.1.2.1.2.2.1.17.1 discards-out=.1.3.6.1.2.1.2.2.1.19.1 errors-out=.1.3.6.1.2.1.2.2.1.20.1
Traps Los traps SNMP habilitan el router para notificar al colector de data de los cambios de interface y los cambios de estatus de servicio SNMP cuando se envían los traps. Es posible enviar traps con características de seguridad para soportar SNMPv1 (sin seguridad). SNMPv2 y variantes y SNMPv3 con encriptación y autorización. Para SNMPv2 y v3 se debe configurar una comunidad apropiada como un trap-community para habilitar las características requeridas (contraseña o encriptación/autorización).
SNMP write A partir de RouterOS v3, se soporta SNMP write para algunas funciones. SNMP write permite cambiar la configuración del router con requerimientos SNMP. Se debe considerar asegurar el acceso al router o al SNMP de los routers, cuando el SNMP y write-access están habilitados.
Academy Xperts
148
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Para cambiar las configuraciones de requerimientos SNMP, se debe usar el comando especificado a continuación, para permitir SNMP write para la comunidad seleccionada. La opción write-access para SNMP está disponible desde v3.14 /snmp community set write-access=yes System Identity Se puede cambiar la identidad de sistema del router configurando el comando SNMP snmpset -c public -v 1 192.168.0.0 1.3.6.1.2.1.1.5.0 s New_Identity • • • •
snmpset – Aplicación SNMP usada para los requerimientos SNMP SET para configurar la información en una entidad de red public – Nombre de la comunidad del router 192.168.0.0 – Dirección IP del router 1.3.6.1.2.1.1.5.0 – Valor SNMP de la identidad del router
El comando SNMPset es igual al comando RouterOS /system identity set identity=New_Identity Reboot Se puede hacer un reboot al router con el comando SNMP set. Para esto se necesita configurar el valor de reboot para la configuración SNMP, el cual no es igual a 0 snmpset -c public -v 1 192.168.0.0 1.3.6.1.4.1.14988.1.1.7.1.0 s 1 • •
1.3.6.1.4.1.14988.1.1.7.1.0 – Valor SNMP para el reboot del router s 1 – Comando snmpset para configurar el valor. El valor no debería ser igual a 0
El comando snmpset es igual al comando RouterOS /system reboot Run Script SNMP write permite ejecutar scripts en el router desde el menú script del sistema. snmpset -c public -v 1 192.168.0.0 1.3.6.1.4.1.14988.1.1.8.1.1.3.X s 1 • •
X – Número del script. La numeración empieza desde 1 s 1 – Comando snmpset command para configurar el valor. El valor no debería ser igual a 0
El mismo comando en RouterOS /system script print Flags: I - invalid 0 name="kaka" owner="admin" policy=ftp,reboot,read,write,policy, test,winbox,password,sniff last-started=jan/01/1970 01:31:57 run-count=23 source=:beep /system script run 0
System identity A pesar de que no es una herramienta, es importante para establecer la identidad del sistema • • •
No se puede establecer a 100 router y que todos tengan el mismo nombre “Mikrotik”. Esto hace casi imposible la resolución de problemas. Una vez establecido, se hará la identificación del router con el cual se está trabajando y hará mucho más simple la identificación Sintaxis /system identity print Name: Mikrotik /system identity set name=my-router /system identity print Name: my-router
Academy Xperts
149
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
IP Neighbor El protocolo MNDP (MikroTik Neighbor Discovery Protocol) permite encontrar/descubrir otros protocolos compatibles con MNDP o CDP (Cisco Discovery Protocol) que estén en el mismo dominio de broadcast en Capa 2 (Layer 2). /ip neighbor Este sub-menú enumera todos los vecinos descubiertos en el mismo dominio de broadcast (Capa 2). Muestra a cual interface está conectado el vecino, muestra su dirección IP, su dirección MAC, y varios parámetros relacionados con Mikrotik. Las listas son solo de lectura.
En este ejemplo, se pueden ver varios RouterBoard y dos routers de cisco. /ip Neighbor > print # INTERFACE ADDRESS MAC-ADDRESS IDENTITY 0 ether13 192.168.33.2 00:0C:42:00:38:9F MikroTik 1 ether11 1.1.1.4 00:0C:42:40:94:25 test-host 2 local 10.0.11.203 00:02:B9:3E:AD:E0 c2611-r1 3 local 10.1.11.47 00:0C:42:84:25:BA 11.47-750 4 local 10.0.11.254 00:0C:42:70:04:83 tsys-sw1 5 local 10.0.11.202 00:17:5A:90:66:08 c7200
VERSION 5.99 5.8 cisco 5.7 5.8 Cisco
BOARD RB1100AHx RB1000 I... RB750 RB750G I...
Propiedades • • • • • • • • • • •
address (IP) – Muestra la dirección IP más alta configurada en un dispositivo descubierto address6 (IPv6) – Muestra la dirección IPv6 más alta configurada en un dispositivo descubierto age (time) – Intervalo de tiempo desde el último paquete de descubrimiento board (string) – Modelo del RouterBOARD. Muestra únicamente los dispositivos que tienen instalado RouterOS identity (string) – Muestra la identidad de sistema interface (string) – Nombre de la interface a la cual está conectado el dispositivo que se ha descubierto interface-name (string) – Nombre de la interface en el dispositivo vecino que está conectado la mismo dominio de broadcast en Capa 2. Aplica también para equipos que corren CDP ipv6 (yes | no) – Indica si el dispositivo tiene habilitado IPv6 mac-address (MAC) – Dirección MAC del dispositivo remoto. Puede ser utilizado para conectar con mac-telnet platform (string) – Nombre de la plataforma. Por ejemplo MikroTik, Cisco, etc. software-id (string) – Software ID del RouterOS en un dispositivo remoto. Aplica únicamente a dispositivos que tienen instalado RouterOS
Academy Xperts
150
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
• • •
unpack (none|simple|uncompressed-headers|uncompressed-all) – Muestra el tipo de compresión del paquete de descubrimiento uptime (time) – Tiempo de actividad del dispositivo remoto. Muestra únicamente a los dispositivos con RouterOS instalado. version (string) – Número de versión del software instalado en un dispositivo remoto
IP Neighbor discovery /ip neighbor discovery En este menú se puede cambiar el estado de la interface para especificar si participa o no en el proceso del descubrimiento de vecino (neighbor discovery). Si se decide que la interface participe, se enviará información básica sobre el sistema y procesa los paquetes descubiertos recibidos por medio de broadcast en una red Capa 2. Se muestran las interfaces que son administradas automáticamente por el RouterOS. Los ítems no pueden ser removidos ni agregados. Las configuraciones por default dependen del tipo de interface y el estado actual. Propiedades • • • •
comment (string; Default: ) – Muestra una descripción corta disabled (yes | no; Default: ) – Especifica si el ítem se deshabilita y no participa en el proceso de enviar/recibir del descubrimiento de información. Esta opción se agregó en la versión v5.x Whether item is disabled and do not participate in sending/receiving of discovery information. Added in v5.x discover (yes | no; Default: ) - Especifica si el ítem se deshabilita y no participa en el proceso de enviar/recibir del descubrimiento de información. Esta opción se agregó en la versión v5.x para mantener la compatibilidad con scripts viejos.
/ip neighbor discovery settings Propiedades default (yes | no; Default: yes) – Especifica si se va a permitir el envío/recepción de información de descubrimiento en las interfaces dinámicas. Esta opción se agregó en la versión 6.x /ip neighbor discovery settings print default: yes default-for-dynamic: no
Academy Xperts
151
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Ponerse en contacto con Soporte MikroTik Supout.rif El archivo de soporte se utiliza para depurar MikroTik RouterOS y para resolver las preguntas de soporte más rápido. Toda la información del Router MikroTik se guarda en un archivo binario, que se almacena en el router y puede ser descargado desde el router mediante ftp. Se puede revisar el contenido de este archivo en su cuenta de MikroTik, simplemente debe ir a la sección Supout.rif y cargar el archivo. Este archivo (supout.rif) contiene la configuración del router, los registros (logs) y otros detalles que ayudarán al grupo de soporte de MikroTik para resolver su problema.
Sintaxis Lo hacemos con el siguiente comando en “Terminal” /system sup-output Created: 14% --[Q quit|D dump|C-z pause] /system sup-output Created: 100% --[Q quit|D dump|C-z pause] Una vez que se complete la carga al 100% podremos ver el archivo en “Files”
Supout.rif Viewer Para acceder al Supout.rif Viewer solo tienes que acceder a tu cuenta Mikrotik. Usted debe tener una cuenta (es una buena idea tener una de todos modos)
El primer paso es localizar y cargar el archivo que ha generado
Academy Xperts
152
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Autosupout.rif • •
Un archivo se puede generar de forma automática en caso de fallo de software (ex Kernel Panic o el sistema deja de responder durante un minuto.) Hecho a través del organismo de control (sistema)
Registros (logging) del sistema y registros de depuración RouterOS es capaz de registrar (log) diversos eventos del sistema y la información del estatus. Los registros (log) se pueden guardar en la memoria RAM de los routers, en un disco, en un archivo, pueden ser enviados por correo electrónico o incluso enviarse a un servidor remoto de registro del sistema. Este último se conoce como syslog y está acorde con el RFC 3164. Syslog corre sobre UDP 514 /log Todos los mensajes almacenados en la memoria local del router se pueden imprimir desde el menú / log. Cada entrada contiene la fecha y hora cuando se produjo el evento, los temas que pertenecen a este mensaje, y el mensaje en sí mismo. Si los registros se muestran en la misma fecha en que se agrega la entrada de registro, entonces únicamente se mostrará el tiempo.
En el siguiente ejemplo el comando mostrará todos los mensajes donde uno de los tópicos es info y detectará nuevas entradas hasta que se presiona Ctrl+C /log print follow where topics~".info" 12:52:24 script,info hello from script -- Ctrl-C to quit. Cuando se usa print se puede utilizar el modo follow. Esto ocasionará que cada vez que cada vez que se presione la barra espaciadora en el teclado, se insertará un separador /log print follow where topics~".info" 12:52:24 script,info hello from script = = =
= = =
= = =
= = =
= = =
= = =
= = =
= = =
= = =
-- Ctrl-C to quit.
Configuración del Logging /system logging • • •
action (name; Default: memory) – Especifica una de las acciones por default del sistema, o las acciones especificadas por el usuario en el menú actions prefix (string; Default: ) – Prefijo que se puede agregar al inicio de los mensajes de registro topics (account, async, backup, bgp, calc, critical, ddns, debug, dhcp, e-mail, error, event, firewall, gsm, hotspot, igmp-proxy, info, ipsec, iscsi, isdn, l2tp, ldp, manager, mme, mpls, ntp, ospf, ovpn, packet, pim, ppp, pppoe, pptp, radius, radvd, raw, read, rip, route, rsvp, script, sertcp, state, store, system, telephony, tftp, timer, ups, warning,
Academy Xperts
153
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
watchdog, web-proxy, wireless, write; Default: info) – Registra todos los mensajes que caen en el tópico especificado o en la lista de tópicos. Se puede utilizar el carácter “!” antes del tópico para excluir los mensajes que caen ese tópico. El signo “!” es la negación lógica. Por ejemplo, si se desea registrar los eventos NTP pero sin mucho detalles se puede escribir /system logging add topics=ntp,debug,!packet
Actions /system logging action • • • • •
• • •
• • • • • •
•
bsd-syslog (yes|no; Default: ) – Especifica si se usa el bsd-syslog según se define en RFC-3164 disk-file-count (integer [1..65535]; Default: 2) – Especifica el número de archivos que se utilizarán para guardar los mensajes de registro (log). Se aplica únicamente si action=disk disk-file-name (string; Default: log) – Nombre del archivo que se usará para guardar los mensajes de registro (log). Se aplica únicamente si action=disk disk-lines-per-file (integer [1..65535]; Default: 100) – Especifica el tamaño máximo del archivo en número de líneas. Se aplica únicamente si action=disk disk-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log) en disco luego de que se han alcanzado los valores especificados en disk-lines-per-file y disk-file-count. Se aplica únicamente si action=disk email-to (string; Default: ) – Dirección email hacia donde se enviarán los registros. Se aplica únicamente si action=email memory-lines (integer [1..65535]; Default: 100) – Especifica el número de registros en el buffer de memoria local. Se aplica únicamente si action=memory memory-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log) en memoria luego de que se han alcanzado los valores especificados en memory-lines. Se aplica únicamente si action=memory name (string; Default: ) – Nombre de la acción (action) remember (yes|no; Default: ) – Especifica si se debe mantener los mensajes de registro que aún no se han mostrado en consola. Se aplica únicamente si action=echo remote (IP/IPv6 Address[:Port]; Default: 0.0.0.0:514) – Especifica la dirección IP/IPv6 del servidor de registro remoto (syslog server) y el número de puerto UDP. Se aplica únicamente si action=remote src-address (IP address; Default: 0.0.0.0) – Dirección origen que se utiliza cuando se envían paquetes al servidor remoto syslog-facility (auth, authpriv, cron, daemon, ftp, kern, local0, local1, local2, local3, local4, local5, local6, local7, lpr, mail, news, ntp, syslog, user, uucp; Default: daemon) syslog-severity (alert, auto, critical, debug, emergency, error, info, notice, warning; Default: auto) – Nivel de indicador de severidad definido en RFC-3164: § Emergency: system is unusable § Alert: action must be taken immediately § Critical: critical conditions § Error: error conditions § Warning: warning conditions § Notice: normal but significant condition § Informational: informational messages § Debug: debug-level messages target (disk, echo, email, memory, remote; Default: memory) – Facilidad de almacenamiento o destino de los mensajes de registro (log) § disk - logs are saved to the hard drive § echo - logs are displayed on the console screen § email - logs are sent by email § memory - logs are stored in local memory buffer § remote - logs are sent to remote host
Academy Xperts
154
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Importante: Las accione spor default no se pueden eliminar ni cambiar de nombre
Tópicos Cada entrada de registro (log) tiene un tópico que describe el origen del mensaje de registro. Por lo tanto puede haber más de un tópico asignado a dicho mensaje de registro. Por ejemplo OSPF depura los registros que tienen 4 diferentes tópicos: route, ospf, debug y raw. 11:11:43 route,ospf,debug SEND: Hello Packet 10.255.255.1 -> 224.0.0.5 on lo0 11:11:43 route,ospf,debug,raw PACKET: 11:11:43 route,ospf,debug,raw 02 01 00 2C 0A FF FF 03 00 00 00 00 E7 9B 00 00 11:11:43 route,ospf,debug,raw 00 00 00 00 00 00 00 00 FF FF FF FF 00 0A 02 01 11:11:43 route,ospf,debug,raw 00 00 00 28 0A FF FF 01 00 00 00 00 Lista de opciones independiente de los tópicos: • • • • • • •
critical – Las entradas de registro marcadas como críticas. Estas entradas de registro se muestran en consola cada vez que el usuario hace log in debug – Depura las entradas de registro error – Mensajes de error info – Entrada de registro informativa packet – Entrada de registro que muestra el contenido de los paquetes enviados/recibidos raw – Entrada de registro que muestra el contenido crudo (raw) de los paquetes enviados/recibidos warning – Mensaje de Advertencia.
Tópicos usados por varias facilidades de RouterOS • • • • • • • • • • • • • • • • • • • • • • • • • • •
account – Registra los mensajes generados por la opción accounting async – Registra los mensajes generados por los dispositivos asíncronos backup – Registra los mensajes generados por la opción de creación de backup bfd – Registra los mensajes generados por el protocolo Routing/BFD bgp – Registra los mensajes generados por el protocolo Routing/BGP calc – Registra los mensajes del cálculo de rutas ddns – Registra los mensajes generados por la herramienta Tools/Dynamic DNS dhcp – Registra los mensajes generados por el cliente DHCP, server y relay e-mail – Registra los mensajes generados por la herramienta Tools/email event - Registra los mensajes generados por el evento de routing. Por ejemplo, cuando una nueva ruta se ha instalado en la tabla de ruteo. Firewall - Registra los mensajes generados por el firewall cuando se configura action=log Gsm – Registra los mensajes generados por los dispositivos GSM Hotspot – Registra los mensajes relacionados con HotSpot igmp-proxy – Registra los mensajes generados con IGMP Proxy ipsec – Entradas de registro IpSec iscsi isdn l2tp – Registra los mensajes generados por Interface/L2TP cliente y servidor ldp – Registra los mensajes generados por el protocolo MPLS/LDP manager – Registra los mensajes generados por User Manager mme – mensajes de protocolo de ruteo MME mpls – Mnesajes MPLS ntp – Registra los mensajes generados por el cliente sNTP ospf – Registra los mensajes generados por el protocolo de ruteo Routing/OSPF ovpn – Registra los mensajes generados por el túnel OpenVPN pim – Registra los mensajes generados por Multicast PIM-SM ppp – Registra los mensajes generados por la opción ppp
Academy Xperts
155
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
• • • • • • • • • • • • • • • • •
pppoe – Registra los mensajes generados por PPPoE server/client pptp – Registra los mensajes generados por PPTP server/client radius – Registra los mensajes generados por RADIUS Client radvd – Registra los mensajes generados por el IPv6 radv deamon read – Mensajes de la herramienta SMS rip – Mensajes del protocolo de ruteo RIP route – Registra los mensajes generados por la opción de ruteo rsvp – Mensajes generados por el Protocolo de Reservación de Recurso (Resource Reservation Protocol) script - Registra los mensajes generados por los scripts sertcp – Registra los mensajes relacionados por la opción responsable de /ports remote-access simulator state – Mensajes de estado de routing y del cliente DHCP store – Registra los mensajes generados por la opción store system – Mensaje genéricos del sistema telephony tftp – Mensajes generados por el servidor TFTP timer – Registra los mensajes relacionados a los timers usados en RouterOS. Por ejemplo los registros (log) keepalive bgp 12:41:40 route,bgp,debug,timer KeepaliveTimer expired 12:41:40 route,bgp,debug,timer RemoteAddress=2001:470:1f09:131::1
• • • • •
ups – Mensajes generados por la herramientas de monitoreo UPS watchdog – Registra los mensajes generados por watchdog web-proxy – Registra los mensajes generados por web proxy wireless – Registra los mensajes generados por Interface/Wireless write – Mensajes de la herramienta SMS
Bandwidth Test Es una herramienta que nos permite medir el throughput de otro router MikroTik (cable o wireless) ayudando asi a descubrir redes con cuello de botella. Trabaja con los protocolos TCP y UDP para hacer los test. Nota: Bandwidth test usa bastantes recursos del router. Si queremos hacer un test real con lo que respecta al throughput de un router, deberíamos ejecutar el bandwidth test a través del router y no probarlo en el origen y destino.
Bandwidth Test Server /tool bandwidth-server Configuracion Bandwidth Server /tool bandwidth-server print enabled: yes authenticate: yes allocate-udp-ports-from: 2000 max-sessions: 100 Activar sesiones /tool bandwidth-server session print # CLIENT PROTOCOL DIRECTION 0 35.35.35.1 udp send 1 25.25.25.1 udp send 2 36.36.36.1 udp send
USER admin admin admin
Para habilitar bandwidth test sin ningún cliente /tool bandwidth-server set enabled=yes authenticate=no /tool bandwidth-server print enabled: yes authenticate: no allocate-udp-ports-from: 2000 max-sessions: 100
Bandwidth Test Client /tool bandwidth-test
Academy Xperts
156
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Propiedades • • • • • • • • •
• • • •
address (IP address | IPv6 prefix[%interface]; Default:): Dirección IP del host direction (both | receive | transmit; Default: receive): Dirección de datos flotantes duration (time; Default: ): Duración del test interval (time: 20ms..5s; Default: 1s): Retardo entre reportes (en segundos) local-tx-speed (integer 0..4294967295; Default: ): Transferencia máxima de velocidad del test (bits por segundo) local-udp-tx-size (integer: 28..64000): Tamaño de transmisión de paquetes locales en bytes password (string; Default: ""): Contraseña del usuario remoto protocol (udp | tcp; Default: udp): Protocolo a usar random-data (yes | no; Default: no): Si los datos aleatorios se ponen “yes”, la carga útil de los paquetes del test del ancho de banda tendrá datos del stream aleatorios que serán incomprensibles, de modo que estos enlaces que utilizan la compresión de datos no distorsionaran los resultados. remote-tx-speed (integer 0..4294967295; Default: ): Recibe la velocidad máxima del test (bits por segundo) remote-udp-tx-size (integer: 28..64000): Tamaño de transmisión del paquete en bytes. tcp-connection-count (integer 1..100; Default: 20): Número de conexiones TCP usadas. user (string; Default: ""): Usuario remoto
Ejemplo Ejecutar el bandwidth test por 15 segundos al host 10.0.0.32 enviando y recibiendo paquetes UDP de 1000 byte y con nombre de usuario admin para conectarse: /tool bandwidth-test 10.0.0.32 duration=15s \ \... direction=both local-udp-tx-size=1000 protocol=udp \ \... remote-udp-tx-size=1000 user=admin status: done testing duration: 15s tx-current: 272.8Mbps tx-10-second-average: 200.3Mbps tx-total-average: 139.5Mbps rx-current: 169.6Mbps rx-10-second-average: 164.8Mbps rx-total-average: 117.0Mbps lost-packets: 373 random-data: no direction: both tx-size: 1000 rx-size: 1000
Ping Speed El ping speed usa dos estandares de echo-request por Segundo. El tiempo entre los pings puede cambiar. La variación del tamaño del paquete ping hace posible aproximadamente evaluar los parámetros de conexión y la velocidad con diferente tamaño del paquete. Características Puede ser usado aproximadamente para evaluar el troughput de cualquier computador remoto, además nos ayuda a descubrir redes con cuello de botella. Academy Xperts
157
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Permite evaluar los parámetros de conexión y la velocidad con diferentes tamaños de paquetes.
Propiedades • • • •
• •
do (name) Asignación del nombre del escribir para empezar first-ping-size (integer: 32..64000; default: 32) Primer tamaño del paquete ICMP second-ping-size (integer: 32..64000; default: 1500) segundo tamaño del paquete ICMP time-between-pings (integer) El tiempo entre el primer y segundo ICMP echo-requests en segundos. Un nuevo par de paquetes ICMP nunca serán enviados antes de que el par anterior este completamente enviado y el algoritmo nunca se enviara más de dos solicitudes en un segundo Once: Especifica cual será el desempeño del ping solo una vez interval (time: 20ms..5s): Intervalo de tiempo entre dos repeticiones de ping.
SMS Permite conectarse a través de un modem GSM a un dispositivo RouterOS para así recibir y enviar mensajes sms.
Propiedades para enviar un mensaje • •
• • • •
port (string) - Nombre del puerto/lista de puerto del modem GSM esta conectado. phone-number (string) - Numero de teléfono del destinatario. Los caracteres permitidos son "0123456789*#abc". Si el primer caracter es "+" luego el tipo de numero de teléfono permitido es internacional, de lo contrario se establece como desconocido. channel (integer) - Cual canal del modem usar para luego enviar. message (string) - Contenido del mensaje. Este es codificado usando GSM 7 de codificación (UCS2 no se admite actualmente), por lo que la longitud del mensaje está limitado a 160 caracteres (caracteres ^ {} \ [] ~ smsc (string) type (string) - Si se permite la class-0, luego envía un SMS class 0. Esta es desplegada y no se almacena inmediatamente en el teléfono.
Propiedades para recibir un mensaje Antes de que un router pueda recibir SMS, es necesaria la configuración correspondiente en el menú /tool sms. • • • • • •
allowed-number (string; Default: "") - Número del remitente que se le permitirá ejecutar comandos, debe especificar el código del país, es decir. + 371XXXXXXX channel (integer; Default: 0) - Cual canal del modem usar para luego recibir. keep-max-sms (integer; Default: 0) - Numero máximo de mensajes que serán guardados. Si se permite un tamaño mas grande de lo que soporta la SIM, no se recibirán nuevos mensajes. port (string; Default: (unknown)) - Puerto del modem (el modem puede ser usado solo por un proceso /port print) receive-enabled (yes | no; Default: no) - Debe habilitarse para recibir los mensajes. secret (string; Default: "") - La contraseña secreta es obligatoria.
Ejemplo de enviar un mensaje /tool sms send usb3 "20000000" \ message="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz!@#\$%^&*(){}[]\"'~"
Academy Xperts
158
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Packet Sniffer Captura el tráfico y analiza los paquetes que van a salir y pasar a través del router. Propiedades • • • • • •
•
• • • • • • •
file-limit (integer 10..4294967295[KiB]; Default: 1000KiB) - Tamaño limite del archivo. Sniffer parara solo cuando el limite es alcanzado. file-name (string; Default: ) - Nombre del archivo como el paquete será sniffeado. filter-ip-address (ip/mask[,ip/mask] (max 16 items); Default: ) - Máximo de 16 direcciones ip se utilizan como filtro. filter-mac-address (mac/mask[,mac/mask] (max 16 items); Default: ) - Máximo 16 direcciones MAC y mascaras de direcciones MAC se utilizan como filtro. filter-port ([!]port[,port] (max 16 items); Default: ) - Máximo 16 entradas separadas por coma se utilizan como filtro. filter-ip-protocol ([!]protocol[,protocol] (max 16 items); Default: ) - Máximo 16 entradas separadas por coma se utilizan como filtros de protocolos Ip (en vez de nombres de protocolos, puede usarse el numero del protocolo). § ipsec-ah - IPsec AH protocol § ipsec-esp - IPsec ESP protocol § ddp - datagram delivery protocol § egp - exterior gateway protocol § ggp - gateway-gateway protocol § gre - general routing encapsulation § hmp - host monitoring protocol § idpr-cmtp - idpr control message transport § icmp - internet control message protocol § icmpv6 - internet control message protocol v6 § igmp - internet group management protocol § ipencap - ip encapsulated in ip § ipip - ip encapsulation § encap - ip encapsulation § iso-tp4 - iso transport protocol class 4 § ospf - open shortest path first § pup - parc universal packet protocol § pim - protocol independent multicast § rspf - radio shortest path first § rdp - reliable datagram protocol § st - st datagram mode § tcp - transmission control protocol § udp - user datagram protocol § vmtp - versatile message transport § vrrp - virtual router redundancy protocol § xns-idp - xerox xns idp § xtp - xpress transfer protocol filter-mac-protocol ([!]protocol[,protocol] (max 16 items); Default: ) - Máximo de 16 entradas separadas por comas se utilizan como filtro. Protocolos Mac pueden también ser especificados por números. § arp - Address Resolution Protocol § ip - Internet Protocol § ipv6 - Internet Protocol next generation § ipx - Internetwork Packet Exchange § rarp - Reverse Address Resolution Protocol filter-stream (yes | no; Default: yes) - Los paquetes sniffeados que son creados por el servidor sniffer serán ignorados. filter-direction (any | rx | tx; Default: ) - Especificar en que filtrado de dirección será aplicado interface (all | name; Default: all) Nombre de la interface en el cual estará ejecutándose el sniffer. all indica que sniffer, será el encargado de sniffear los paquetes en todas las interfaces. memory-limit (integer 10..4294967295[KiB]; Default: 100KiB) - Cantidad de memoria usada para almacenar los datos sniffeados. memory-scroll (yes | no; Default: yes) - Si desea reescribir mayores datos sniffeados cuando se alcanza el límite de memoria. only-headers (yes | no; Default: no) - Guardar en la memoria solo las cabeceras de los paquetes, no todo el paquete. streaming-enabled (yes | no; Default: no) - Definir si desea enviar paquetes sniffeados mediante streaming al servidor.
Academy Xperts
159
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
•
streaming-server (IP; Default: 0.0.0.0) - Tazmen Sniffer Protocol (TZSP) stream de destino.
Packet Sniffer Settings (General)
Packets
IP-Scan Permite al usuario escanear las redes basándose en los prefijos de las redes o ya sea por las configuraciones de las interfaces escucha (listen). Propiedades • • • • • •
address (string; Default: ) - Dirección Ip del dispositivo de red. mac-address (string; Default: ) - Dirección MAC del dispositivo de red. time (integer in ms; Default: ) - Tiempo de respuesta del dispositivo de red cuando es encontrado DNS (string; Default: ) - Nombre de DNS del dispositivo de red. SNMP (string; Default: ) - Nombre SNMP del dispositivo. NET-BIOS (string; Default: ) - Nombre de NET-BIOS del dispositivo, si es anunciado por el dispositivo.
Como usarlo: Cuando se usa el Ip-scan se debe de escoger que es lo que se desea escanear: • •
Prefijo IPv4 Interface del router
Academy Xperts
160
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Telnet Telnet permite conectarse remotamente a otra máquina para poder manejarla en modo terminal, pero de una manera no segura ya que la información viaja en texto plano. Propiedades •
address (string) : Dirección IP del dispositivo a conectarse
SSH Ssh también se conecta remotamente a otra máquina para manejarla, la diferencia es que se conecta mediante un interprete de comandos y la información viaja cifrada. Propiedades • •
address (string) - Dirección IP del dispositivo a conectarse user (string) - Usuario del dispositivo a conectarse
MAC Telnet Mac Telnet provee acceso a un router que no tiene permitida una dirección Ip y solamente es posible realizarlo entre dos routers MikroTik RouterOS. Propiedades •
mac-address (string) - Dirección Mac del dispositivo a conectarse
Sigwatch Monitorea el estado de los puertos seriales ligados y genera un sistema de eventos de cambio de estado. Requerimientos Sigwatch solo esta disponible en plataformas de x86 Propiedades • • • •
• • •
count (read-only: integer): cuántas veces el evento por este concepto fue provocado. El recuento se restablece en el reinicio y en la mayoría de los cambios de configuración de los elementos. log (yes | no; default: no): Si desea agregar un mensaje en forma sigwatch-item: cambio de señal [to high | to low] para facilidad del sistema-Info cada vez que se active sigwatch. name (name): Nombre del elemento sigwatch. on-condition (on | off | change; default: on): En que condición se activa la opción del elemento: § on – condición cuando el estado del pin cambia a alto. § off – condición cuando el estado del pin cambia a alto. Si el estado del pin cambia rápidamente, pudo haber disparo una sola opción por varios cambios de estado. port (name): nombre del puerto serial a monitorear script (name): script a ejecutar cuando este elemento esta funcionando signal (dtr | rts | cts | dcd | ri | dsr; default: rts) : Nombre de la señal , el numero del pin (para el conector standard de 9 pines) para monitorear. § dtr - Data Terminal Ready (pin #4) § rts - Request To Send (pin #7) § cts - Clear To Send (pin #8)
Academy Xperts
161
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
•
§ dcd - Data Carrier Detect (pin #1) § ri - Ring Indicator (pin #9) § dsr - Data Set Ready (pin #6) state (read-only: text): El ultimo estado recordado de monitoreo de signalcount (read-only: integer). Cuántas veces el evento por este concepto fue provocado. El recuento se restablece en el reinicio y en la mayoría de los cambios de configuración de los
Configuración /tool sigwatch print Flags: X - disabled # NAME 0 test
PORT SIGNAL serial1 cts
ON-CONDITION LOG change no
Wake on Lan (Activación de la Lan) Envía el MagicPacket de activación de Lan hacia cualquier dirección Mac de nuestra elección.
Fetch Copia archivos de cualquier dispositivo de red a un router Mikrotik via HTTP o FTP. También soporta el protocolo HTTPS. Permite subir archivos a locaciones remotas. Propiedades • • • • • • • • • • • •
address (string; Default: ): Dirección IP del dispositivo a copiar el archivo. ascii (yes | no; Default: no) check-certificate (yes | no; Default: no): Habilitar la validación de la cadena verdadera desde el al almacén de certificados. dst-path (string; Default: ): Destino del nombre del archivo y la ruta. keep-result (yes | no; Default: yes): Si escoge yes, se crea un archivo de entrada. mode (ftp|http|tftp {!} https; Default: http): Escoger el protocolo de conexión http, https , ftp o tftp. password (string; Default: anonymous): Contraseña, la cual es necesitada para autenticación al dispositivo remoto. port (integer; Default: ): Puerto de conexión. src-path (string; Default: ): Titulo del archivo remoto que se necesita copiar. upload (yes | no; Default: no): Si esta habilitado luego el fetch será usado para subir un archivo a un servidor remoto. Requiere los parámetros de src-path and dst-path sea autorizados. url (string; Default: ): URL apuntando a un archivo. Puede ser usado en vez de una dirección y parámetros de srcpath. user (string; Default: anonymous): Nombre del usuario, el cual se necesita para la autenticación remota.
Ejemplo de transferencia de archivo hacia otro router y con diferente nombre del archivo
Transferencia de archivo en el mismo router pero con diferente nombre del archivo
Academy Xperts
162
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Dynamic DNS Guarda el nombre de dominio apuntando hacia una dirección IP dinámica. Envía requerimientos de actualizaciones del sistema de nombre del dominio hacia un nombre de servidor, el cual tiene una zona para ser actualizada. Propiedades • • • • • • •
address (IP; Default: ) - Definir dirección IP asociada con un nombre de dominio. dns-server (IP; Default: ) - Servidor DNS envía una actualización. key (string; Default: ) - Llave de autorización para accede al servidor. key-name (string; Default: ) - Nombre de la llave de autorización (como un nombre de usuario) para acceder al servidor. name (string; Default: ) - Nombre a unir con una dirección Ip. ttl (integer; Default: ) - Tiempo de vida de ítem (en segundos). zone (string; Default: ) - Zona de DNS donde se actualizara el nombre de dominio
Para poder hacer el Dynamic DNS necesitamos tener un dominio, si no lo tenemos debemos crear uno, podemos crearlo en www.noip.com que es totalmente gratis. La prueba se lo hara con un script.
El script lo descargamos desde wiki mikrotik
Academy Xperts
163
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Agregamos el script y modificamos
usuario de my.noip.com contraseña de my.noip.com Interfaz de salida de internet
Dominio creado en my.noip.com
Agregamos un Scheduler
Academy Xperts
164
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Con el dominio que tenemos ingresamos al Winbox
También podemos ingresar por el navegador
Academy Xperts
165
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Flood Ping Envía peticiones ICMP echo hacia un host remoto de la misma manera que un ping pero este envía la siguiente petición tan pronto haya recibido una respuesta. Propiedades • • • •
Address: Dirección IP de destino del host. Size: Tamaño de cada paquete ICMP. Count: Números de paquetes ICMP. Interval: Tiempo en que el paquete es considerado como perdido en el caso de no responder.
Generator Traffic (Generador de Tráfico) Evalúa el funcionamiento del DUT (Device Under Test) y SUT (System Under Test) Genera y envía paquetes Raw sobre puertos específicos. Obtiene la latencia y los valores de jitter, rangos de tx/rx, cuenta los paquetes perdidos y detecta paquetes OOO (Fuera de orden). Parámetros Generales • • • • •
latency-distribution-scale (integer [0..28]; Default: 10) test-id (integer [0..255]; Default: 0) latency-distribution-samples (integer) latency-distribution-measure-interval (time) running (yes | no): Muestra si se inicia la herramienta de generador de servicio.
Parámetros Configuración de Puerto • • • • • •
disabled (yes | no; Default: no): Si el Puerto esta deshabilitado y no participa en la recepción y envió de paquetes. name (string; Default: ): Nombre descriptivo del Puerto. interface (string; Default: ): Nombre de la interface asociada al Puerto. dynamic (yes | no): Si el Puerto de configuración es generado automáticamente. first-header (ip | mac | raw | udp | vlan): Se señalan las primeras cabeceras de los paquetes sean enviadas fuera de la interfaz especificada. Esta es la información se puede utilizar cuando se esta creando packet templates. inactive (yes | no): Si el Puerto esta inactivo y no podrá participar en tx/rx de los paquetes.
Parámetros Packet Template (Plantilla de Paquetes) •
• •
comment (string; Default: ): Una pequeña descripción del paquete que se esta creando. § data (incrementing | random | specific-byte | uninitialized; Default: uninitialized): Especifica como se llenara la carga útil del paquete: sin inicializar los paquetes de datos (después de cabecera) es inicializado, pero no cero. Lo mas rápido. § specific-byte - trabaja junto con el establecimiento de bytes de datos. § incrementing - Los paquetes de datos llenas de "00 01 02 03", etc. § random - Los paquetes de datos llenos de bytes aleatorios. El más lento. data-byte (hex [0..FF]]; Default: 0): Byte que se usara para llenar la carga útil del paquete. interface (string; Default: ): Parámetro opcional de la plantilla del paquete. Esto es mutuamente exclusivo con la configuración del “puerto”. Especificando la interface permite al usuario no crear un Puerto de entrada para una interface en port menu. De hecho, un Puerto de entrada se crea dinámicamente. Esto es útil para realizar pruebas rápidas.
Academy Xperts
166
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
• • • •
• • • • • • • • •
• • • • • • •
ip-dscp (list of integer[0..255] (max 16 times); Default: ): DSCP solo o una lista de valores DSCP que se encuentra en la cabecera IP. ip-dst (list of IP/Netmask (max 16 times); Default: ): Lista de direcciones Ip de destino que serán usadas cuando se generen cabeceras Ip. ip-frag-off (list of integer[0..65535] (max 16 times); Default: ): Lista de fragmentación a compensar en la cabecera IP. ip-gateway (IP; Default: ): En situaciones cuando el emisor y el receptor es el mismo dispositivo es imposible determinar el próximo salto automáticamente de ip-dst. Si no se especifica ip-gateway plantilla de paquetes asumirá la dirección MAC de destino basado en ip-Gateway. ip-id (list of integer [0..65535]; Default: ) ip-protocol (list of IP protocols (max 16 times); Default: ) ip-src (list of IP/Mask (max 16 times); Default: ) ip-ttl (list of integer [0..255] (max 16 times); Default: ) mac-dst (list of MAC/MASK (max 16 times); Default: ) mac-protocol (list of mac protocols (max 16 times); Default: ) mac-src (list of MAC/MASK (max 16 times); Default: ) mac-src (list of MAC/MASK (max 16 times); Default: ): Nombre descriptivo de la plantilla. port (string; Default: ): Parámetro opcional de la plantilla del paquete. Esto sugiere que a través de un Puerto cuando un paquete generado usa esta plantilla debería ser enviado. El Puerto puede también se especificado en otros lugares como en una configuración de stream. Esto es mutuamente exclusivo en la configuración de la interface. raw-header (string (max 16 times); Default: ): Cabecera del paquete como cadena en formato hexadecimal. udp-dst-port (list of port [0..65535]/mask [0..FFFF] (max 16 times); Default: ) udp-src-port (list of port [0..65535]/mask [0..FFFF] (max 16 times); Default: ) vlan-id (; Default: ) vlan-priority (; Default: ) vlan-protocol (; Default: ) header-stack (list of ip | mac | raw | udp | vlan (max 16 times); Default: ip): Secuencia de cabeceras que un paquete generado debe tener. Actualmente es compatible con: § mac - Cabecera Ethernet (14 bytes) § vlan - Ethernet VLAN tag (4 bytes) § ip - Cabecera IPv4 (20 bytes) § udp - Cabecera UDP (8 bytes) § raw - arbitrary bytes especificado como hex string
La mayoría de los tipos de cabecera pueden estar presentes múltiples veces en la cabecera. Esto solamente puede ser solo dos cabecera Ip y una cabecera Udp por paquete. Algunas limitaciones se imponen sobre las posibles secuencias de cabeceras basado en nuestra experiencia práctica con los protocolos de red (por ejemplo, cabecera VLAN puede seguir solamente una cabecera MAC u otro encabezado VLAN). El generador de tráfico sugiere primera cabecera para una plantilla de paquete (en el menú de puerto). Pero no se hace cumplir. Parámetros Stream • • • • • • • •
disabled (yes | no; Default: no): Si el stream esta deshabilitado. mbps (integer [0..4294967295]; Default: 0): Valor en Mega bits por segundo que un stream va a tratar de generar. name (string; Default: ): Descripción del nombre del stream. num (integer [0..15]; Default: 0): packet-size (integer[1..65535] [-integer[1..65535]]; Default: 0): El tamaño de los paquetes generados en bytes. Se puede configurar el rango para la generación de paquetes de tamaño aleatorio. port (string; Default: ): Nombre del Puerto de Port menú que será usado para transmitir paquetes. pps (integer [0..4294967295]; Default: 0): Paquetes por Segundo que el stream intentara generar. tx-template (string; Default: ): Nombre de la plantilla del paquete desde los menús packet-template o raw-packettemplate usados como el origen del contenido del paquete.
Ejemplo:
Academy Xperts
167
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Configurar los puertos
Configurar los packets templates
Configurar los Streams
Academy Xperts
168
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Comenzar a Generar el Trafico
Por puertos
Por Streams
Distribución de la Latencia
Academy Xperts
169
RouterOS v6.37.1.01 – Capítulo 9 – Herramientas RouterOS
Monitor de Tráfico de Interface El trafico pasa a través de cualquier interfaz y puede asi ser monitoreada /interface monitor-traffic [id | name] Caracteristicas • • •
Estatus del tráfico en tiempo real Disponible para cada interface en la pestaña traffic También puede monitorearse desde WebFig y el CLI
Ejemplo Monitorear la ether2 y el trafico agregado. “Aggregate” se usa controlar la cantidad total de trafico manejado por el router. /interface monitor-traffic ether2,aggregate rx-packets-per-second: 9 14 rx-drops-per-second: 0 0 rx-errors-per-second: 0 0 rx-bits-per-second: 6.6kbps 10.2kbps tx-packets-per-second: 9 12 tx-drops-per-second: 0 0 tx-errors-per-second: 0 0 tx-bits-per-second: 13.6kbps 15.8kbps
Academy Xperts
170
Conceptos Fundamentales de MikroTik RouterOS por Mauro Escalante