Instalacion y Configuracion de Un Servidor Mikrotik

 

REDES Y TELEPROCESOS

TEMA: INSTALACION Y CONFIGURACION DE MICROTICK Y CONFIGURACION DE SERVICIOS.

NOMBRE: JORGE N. SISNIEGUES OBLITAS CUI:20050420

1 

 

Contenido INTRODUCCIÓN ............................................................................................................................. ............................................................................................................................. 3 I PARTE. ......................................................................................................................................... ......................................................................................................................................... 4 INSTALACIÓN DE MICROTICK ............................................................................................. ........................................................................................................ ........... 4 CONFIGURACIÓN DE MICROTICK ............................................................................ .................................................................................................. ...................... 7 II parte ......................................................................................................................................... ......................................................................................................................................... 16 HotSpot. ...................................................................................................................................... ...................................................................................................................................... 16 Unión de dos redes LAN .................................................................... .............................................................................................................. .......................................... 21 Configuración PPPoE Server para su Red ................................................................... .................................................................................... ................. 28 Conclusiones .............................................................. ............................................................................................................................... ................................................................. 32 Recomendaciones antes de usar pppoe ..................................................................................... 33 Bibliografia .................................................................................................................................. .................................................................................................................................. 34

2 

 

INTRODUCCIÓN

Hoy por hoy la realidad nos dice que las redes informáticas, se han vuelto indispensables, tanto a las personas como organizaciones. Les da oportunidad de interactuar con el resto del mundo, ya sea por motivos comerciales, personales o emergencias. La optimización en el uso de los sistemas informáticos es uno de los elementos de interacción y desarrollo que rige los destinos de la ciencia informática. La aparición de las plataformas de interconexión de equipos de computación o redes informáticas. Las mismas resultan ser uno de los elementos tecnológicos más importantes al momento de definir un sistema informático en una organización. Entre las principales las ventajas que le brinda a una empresa el uso de redes informáticas, podemos detallar algunas: compartir recursos especialmente información (datos), proveer la confiabilidad, permite la disponibilidad de programas y equipos para cualquier usuario de la red que así lo solicite sin importar la localización física del recurso y del usuario. Permite al usuario poder acceder a una misma información i nformación sin problemas llevándolo de un equipo a otro. o tro. También es una forma de reducir los costos operativos, compartiendo recursos de hardware y/o de software entre las diversas computadoras de su empresa.

3 

 

I PARTE. INSTALACIÓN DE MICROTICK 1.  1.  Bootear la PC para que haga boot desde el CD-ROM

2.  2.  Instalando Después que haya booteado seleccionaremos los paquetes que queremos instalar, se puede ver los que están marcados con una X son los escogidos. Para esto nos ayudaremos con las teclas direccionales y con la barra espaciadora los seleccionaremos. Los paquetes que están seleccionados en la imagen son los que suelo instalar en los servidores. 3.  3.  Una vez que hayamos seleccionado vamos a proceder a instalar el mikrotik, para ello presionamos la tecla "i" en ese proceso apareceran preguntas a las cuales daremos a explicar

4 

 

Do you want to keep old configuration? [y/n]: ¿Desea mantener la configuración anterior? Presionamos la tecla 'n'

Warning: all data in the disk will be erased! Continue? [y/n]: Advertencia: todos los datos en el disco serán eliminados! ¿Continuar? 4.  4.  Presionamos la tecla "y" para que empiece a particionar y formatear el disco o unidad de almacenamiento. Este proceso puede demorar dependiendo de la capacidad capac idad del disco que se haya elegido para hacer la instalación. Una vez que termine el proceso los lo s paquetes seleccionados se instalarán automáticamente y al finalizar tedremos el mensaje:

5.  5.  Retiramos el CD de instalacion de la PC y presionamos la tecla 'enter' para que el PC reinicie y el sistema cargue directamente del disco duro. Al prender la PC aparecerá este mensaje:

It is recomended to check your disk drive for errors, but it may take a while (~1min for 1Gb). It can be done later with "/system check-disk". Do you want to do it now? [y/N]  

Es recomendable comprobar que su unidad de disco esté libre de errores,  pero puede tomar algún tiempo (~1min para 1Gb).  puede hacerse más tarce con "/sistem check-disk". 

¿Quiere hacerlo ahora?

5 

 

6.  6.  Presionamos "N" Saldrá el siguiente pantallazo en la que te pregunta el password, dejamos en blanco ya que por defecto el mikrotik no tiene password.

Login: admin Password:

7.  7.  Una vez que hemos entrado observaremos una notificación del servidor que nos dice que nuestro sistema no tiene licencia, y que tenemos menos de 24 horas para probarlo.

6 

 

CONFIGURACIÓN DE MICROTICK En esta etapa vamos a configurar las interfaces que se encuentran tanto en nuestra PC como en el RouterBoard de Mikrotik. Para poder observar todas las interfaces seleccionaremos del comando que se encuentra en la izquierda la opción "interfaces"

El esquema de la red será la siguiente:

7 

 

Configurando Configur ando la WAN

Antes de configurar la WAN vamos a ver más sobre las opciones que tiene una interfaz en el Mikrotik: Como primer punto uno podrá ver que por defecto tiene un nombre de la interface llamado "ether1" "ether2" etc, en este campo vamos a poder escribir el nombre de la interfaz a nuestro antojo. Este paso es una gran ayuda debido a que vamos a poder reconocer de forma rápida las interfaces. Además existen otros datos, tales como, saber si existe un cable de red conectado en ese puerto o saber si esta habilitado

8 

 

Ahora vamos a la interface llamada "ether1" y le cambiamos el nombre a "WAN"

Ahora vamos a la interface llamada "ether2" y le cambiamos el nombre a "LAN"

Listo ahora colocaremos las IPs a la WAN y a LAN, L AN, para ello entraremos a IP y después a Address para ello

9 

 

Para la WAN colocaremos la siguiente IP 192.168.1.200/24

Para la LAN colocaremos la siguiente IP 192.168.10.1/24

El uso de /24 indica la máscara de red que tiene la d dirección irección IP, por si no lo sabías sirve par paraa delimitar el ámbito de una red. Te permite que todos los grupos de direcciones IP que pertenecen a la misma mascara de red están en una misma red y por lo tanto son una misma unidad. En este caso la máscara de red es 255.255.255.0.

10 

 

Bueno hasta el momento tenemos las IPs seleccionadas y mencionadas ahora nos falta "natearlas", para este caso la línea que nos provee internet es el equipo ADSL (puede ser Zyxel) cuyo IP es 192.168.1.1, pero nosotros vamos a crear nuestra propia red cuyo IP del mikrotik es 192.168.10.1, entonces nuestras IPs de nuestra nueva red serán de la forma192.168.10.X donde X toma valores de [2 hasta el 254].

11 

 

Chain, seleccionamos scrnat. Aunque siempre está así por defecto cuando se crea una nueva regla. Out. Interface, seleccionaremos nuestra interfaz WAN.

12 

 

Ahora enmascaramos nuestra interfaz WAN

Ahora nos falta decirle al mikrotik que el internet viene del router 192.168.1.1, que para este caso es del router ADSL

13 

 

En la ventana Route List, se observa que hay 2 reglas que nosotros no agregamos (esto es normal) Vamos a prepararnos para agregar la puerta de enlace que usará nuestro servidor Mikrotik, vamos a la pestaña Routes y agregamos una nueva regla (+).

14 

 

Gateway, aquí sólo colocaremos la puerta de enlace del router ADSL (192.168.1.1 para este caso), con esto le estamos diciendo al servidor de dónde llega el internet para repartirlo.

Con esto la interfaz de red LAN debería de tener internet si conectamos los cables correctamente. Ahora lo único que nos falta es configurar las tarjetas de red de los clientes. Teniendo en cuenta que nuestra nueva puerta de enlace es 192.168.10.1, entonces el cliente debería de tener esta configuración de acuerdo a ese rango de red.

15 

 

II parte

HotSpot. Mikrotik User Manager Billing + Hotspot Veamos sin esta instalado el paquete usermanager si no está instalado pues procedemos a instalarla para comprobar que esta instalado podemos ingresar al winbox .

SYSTEM

16 

/

PACKAGES

 

Luego activamos el Radius Server del mikrotik en direccion le asignamos el IP del servidor billing en el caso que sea el mismo mikrotik entonces seria 127.0.0.1 osea localhost Luego elegimos el servicio que queremos activar en este caso hotspot luego el password de conexion entre servidores.

El puerto escucha del servidor Radius activamos por defecto 1700

17 

 

Vamos a HOTSPOT y seteamos en Server Profile , activamos la opcion Use Radius y accounting para enlazar el Hotspot a nuestro servidor Radius.

Luego Para ingresar a configurar al Usermanager necesitamos tener una clave de acceso para eso en new terminal creamos un usuario : admin y un passwd : 1234

Luego entramos por web al user manager en nuestro caso es local seria la IP del servidor mikrotik http://192.168.1.1/userman entramos

18 

con

el

user

y

pass

creado

 

Luego Ponemos las mismas credenciales creadas en el Radius Server

19 

 

Luego Creamos Los perfiles para asignacion de ancho de banda y horarios

aqui asignamos el ancho de banda

20 

 

en este ejemplo estamos creando planes de 1MB tanto para bajada como subida

Bien como veras es sencillo la configuración entonces ya podemos crear usuarios en la pestaña USER para que ya se conecten.

Unión de dos redes LAN Inicialmente configuramos básicamente dos Mikrotik en los dos lugares y armamos una VPN IPSEC para que cree un túnel seguro y como este protocolo enruta de manera nativa, en pocos minutos teniamos conexión entre las dos oficinas. o ficinas. Este cliente en su sucursal tenía una conexión a Internet muy inestable y eso nos trajo problemas con IPSEC. Se desconectaba solo y a veces no volvía a conectarse hasta no reiniciar los dos routers. Luego de buscar una solución a este problema, dimos con que configurando una VPN PPTP gateway-to-gateway, esta era menos proclive a desconectarse ante fallas de la conexión a Internet y ademas soportaba reconexión automática. Las direcciones IP que muestro a continuación son solo de ejemplo, si las reemplazan por las que ustedes tengan funcionaría de igual manera. Pueden copiar los comandos, reemplazar los nombres de las interfaces y las IP con el Bloc de notas, mediante Winbox abren "New Terminal", pegan ahí lo copiado y listo, cabe aclarar que para que se establezca la comunicación entre las dos redes, estas tienen que tener diferentes rangos de IP.

Configurando la VPN PPTP gateway-to-gateway Router1 (Casa central):

21 

 

Configuramos las IP en las interfaces: LAN: /ip address add address=10.0.0.254/24 broadcast=10.0.0.255 comment="" disabled=no interface=lan network=10.0.0.0 En este caso la conexión a Internet es por cablemodem así que la interfaz de "WAN" obtiene IP mediante el "dhcp-client". Muy importante en este es que queden las opciones "add-default-route=yes" y "use-peerdns=yes". La primera setea la ruta por defecto y la segunda permite que se usen los DNS del ISP. /ip dhcp-client add add-default-route=yes comment="" default-route-distance=0 disabled=no interface=wan use-peer-dns=yes use-peer-ntp=yes Los DNS. Tiene que estar la opción "allow-remote-requests=yes" para que el router actúe como DNS cache y los equipos de la red puedan resolver nombres de dominio en IPs. /ip dns set allow-remote-requests=yes allow-remote-requests=yes Configuramos el "masquerade" para que haga NAT de las IP de la LAN por la IP publica hacia Internet. /ip firewall nat add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan Protegemos básicamente el router. /ip firewall filter add action=accept chain=input comment="" connection-state=established disabled=no add action=accept chain=input comment="" connection-state=related disabled=no add action=accept chain=input comment="" disabled=no protocol=udp add action=drop chain=input c hain=input comment="" connection-state=invalid disabled=no Router2 (Sucursal) /ip address add address=10.0.1.254/24 broadcast=10.0.1.255 comment="" c omment="" disabled=no interface=lan network=10.0.1.0 /ip dhcp-client add add-default-route=yes comment="" default-route-distance=0 disabled=no interface=wan use-peer-dns=yes use-peer-ntp=yes

22 

 

/ip dns set allow-remote-requests=yes allow-remote-requests=yes /ip firewall nat add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan /ip firewall filter add action=accept chain=input comment="" connection-state=established disabled=no add action=accept chain=input comment="" connection-state=related disabled=no add action=accept chain=input comment="" disabled=no protocol=udp add action=drop chain=input c hain=input comment="" connection-state=invalid disabled=no OK, hasta acá tendríamos las dos oficinas con conexión a Internet pero nada mas. Para configurar la VPN, en Router1:

En Winbox vamos al menú PPP > Secrets. Mediante el boton "+" agregamos una cuenta. En Name ponemos "sucursal", en Password, por ej. 123456, en la lista desplegable Profile elegimos "default-encryption", en Local Address la IP de LAN del router (10.0.0.254), (10 .0.0.254), en Remote Address 10.0.0.200 y damos Apply.

En la solapa Interface en la lista desplegable del botón "+" elegimos PPTP Server. En la ventana

23 

 

que se abre en User pondremos "sucursal" que era el usuario que anteriormente creamos. Damos Apply.

Finalmente cliqueamos el botón "PPTP Server", marcamos "Enable" y nos aseguramos que en Default Profile este seleccionado "default-encryption".

En el Router2 mediante Winbox vamos al menú PPP, desde el botón "+", elegimos PPTP Client, en la ventana seleccionamos la solapa "Dial Out". En "Connect To" ingresamos la IP publica del Router1, en este caso por ejemplo sería 192.168.10.164, en User ponemos "sucursal" y en

24 

 

Password "123456". Nuevamente nos aseguramos que en Profile figure "default-encryption" y damos Apply.

25 

 

Si está todo bien, automáticamente cuando den Apply en la lista de Interface el "PPTP Client" va figurar como "Connected". Eso significa que ya está conectado al otro router mediante la VPN. Lo podemos comprobar fácilmente si desde el menu Tools le hacemos un ping a la IP de la LAN del router de Casa central (10.0.0.254) y este responde.

Ahora tenemos respuesta del Router1 hacia el Router2, pero si prueban al revés no va a funcionar. Lo que sucede en ese caso es que los paquetes IP no conocen "el camino de vuelta" por decirlo de alguna manera, entonces nosotros se lo vamos a enseñar. En el Router1 vamos a IP > Routes, con el "+" añadimos una ruta estática. En Destination ponemos la red remota (10.0.1.0/24) y en Gateway ingresamos la IP que le otorga el PPTP Server al "usuario" "sucursal" (10.0.0.200).

26 

 

De la misma manera en el Router2 agregamos una ruta estática. En Destination ponemos la red remota 10.0.0.0/24 y en Gateway la IP de LAN del Router1 (10.0.0.254). Aplicamos.

27 

 

Ahora, si hacemos ping entre los routers a sus IP de LAN van a responder los dos, igualmente si lo hacemos entre dos equipos de las 2 redes.

Configuración PPPoE Server para su Red

Hoy en día sabemos que tan t an importante es administrar a nuestros clientes optando como trabajo trabajo un servidor que nos ofrezca ofrezca mayor seguridad. Si hablamos de tener una red más segura y bien encriptado, ya estaría por demás hablar de administración de usuarios usando Hotspot o amarre por ARP. Desafortunadamente hoy en día hay programas hackers que burla la seguridad por Hotspot, siendo víctimas de la clonación de Mac. Sobre todo hay ISP que por razones de Publicidad o Marketing dejan su red Libre a la espera del portal cautivo. Esto sería presa fácil para nuestro atacante.

28 

 

La autenticación por PPPOE (protocolo Punto a Punto sobre Ethernet) es un protocolo de red para la encapsulación PPP sobre una capa de Ethernet. La de poder este sistema es que primero el usuario tiene que identificarse y luego el servidor le brinda una IP dentro del POOL de IP pre configurado en el Mikrotik. Lo que es diferente con el Hotspot. Puesto que la identificación del cliente funciona asi. Primero le da la IP, dejando al descubierto nuestro POOL de IP(RANGO DE IPS) de nuestro server, como también dejando al descubierto las Mac registradas, listo para ser atacado. 1.- seleccionamos y renombramos la interface para nuestro concentrador pppoe.

29 

 

2.- crearemos un pool de ip locales para nuestro servicio pppoe

3.- creando un perfil para cada servicio pppoe

name : ponemos un nombre cualquiera Local address : seleccionamos una ip de nuestra red local Remote address : elegimos nuestro pool de ips creado anteriormente de nuestra red lo local cal Dns server : elegimos nuestros dns, preferentemente de nuestro proveedor de servicio

30 

 

4.- agregamos el concentrador pppoe sobre una ethernet

name : elegimos un nombre cualquiera Interface : seleccionamos la interface para nuestro servicio pppoe Default profile : seleccionamos el perfil creado c reado para nuestros clientes 5.- creando usuarios para pppoe server

Name : asignamos un usuario al cliente Password : asignamos una contraseña al cliente Servicio : elegimos solo el servicio pppoe Profile : elegimos el perfil creado anteriormente Local address : elegimos nuestra ip local

31 

 

Conclusiones En conclusión no es recomendable usar la administración por hotspot si es que no se tiene otro sistema de seguridad de por medio. Si hablamos de mayor seguridad, optaríamos por administrar a nuestros usuarios usando concentrados pppoe. Se definió la configuración de las interfaces. Asignando nombres, direcciones de IP a las mismas y definición de las Vlan. Se configuró el servidor de DHCP para cada una de las sub redes. En el cual se definieron los pools de ip para cada una. También la asignación direcciones del IP fijas a partir de direcciones MAC de los servidores. Se configuro un servidor PPPoE para autenticar usuarios que se deseen loguear al área de producción. El cliente de PPPoE se configuró para que la red tenga un tercer acceso a Internet mediante Adsl de backup. Se configuró un servidor de Web Proxy para optimizar la utilización de los recursos hacia Internet. En el mismo se configuro políticas de bloqueo de tráfico hacia ciertas páginas al igual que el bloqueo de descarga de ciertos archivos.

32 

 

Recomendaciones antes de usar pppoe Usar equipos en la serie Ubiquiti. Tener habilitado el Protocolo Airmax para Mayor potencial y seguridad. Tener buenos enlaces de emisor a cliente. c liente. Usar preferiblemente un rb1100 ahx2 como Administración. Pasos para configurar pppoe sobre so bre una ethernet o interface

33 

 

Bibliografia Chris Hurley, Russ Rogers, Frank Thornton, and Daniel Connelly.(2006).”Wardriving & Wireless Penetration Testing”. 1ra Edidcion. EstadosUnidos: Syngress (431 Pag.) Freeraduis 2008. “Wiki site” [04/2008] 

Mallery, John; Zann, Jason; Kelly, Patrick. ”Blindaje de Redes”. 1ra Edicion.España. Anaya Multimedia. (720 pag) Mikrotik. (2006) “MikroTik RouterOS™ v2.9 Reference Manual”, 1ra Edicion,Estados unidos:

Mikrotik SIA. (695 pag) Mikrotik

2007.

“Manual

de

referencia”.

[04/2008] Mikrotik 2008. “Mikrotik Forum”.[04/2008]  Mikrotik. 2008. “Wiki Site”.. [04/2008]  

Mrtg 2008. “Documentation “Doc umentation Site”