You are on page 1of 51

Conceptos Fundamentales

de MikroTik RouterOS
v6.34.3.01
Manual de Laboratorio

ABC Xperts ®
Network Xperts ®
Academy Xperts ®

Derechos de autor y marcas registradas


Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo

Derechos de autor © por Academy Xperts


Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier
medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos
en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte
de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.34.3.01 – Manual de Laboratorio

Tabla de Contenido
Capítulo 1 ............................................................................................................................................................. 1
Laboratorio 1.1 – Configuración Inicial ............................................................................................................................. 1
Configuración del AP (Instructor) ............................................................................................................................. 1
Configuración del Cliente (Alumno) .......................................................................................................................... 4
Laboratorio 1.2 – SNTP Client.......................................................................................................................................... 7
Configuración del CPE ............................................................................................................................................. 7
Laboratorio 1.3 – SNTP Server ........................................................................................................................................ 8
Configuración NTP-Server ....................................................................................................................................... 8
Configuración NTP-Client ......................................................................................................................................... 9
Capítulo 2 ........................................................................................................................................................... 10
Laboratorio 2 – Enrutamiento Estático ........................................................................................................................... 10
Capítulo 3 ........................................................................................................................................................... 14
Laboratorio 3.1 - Bridge y Slave ..................................................................................................................................... 14
Configuración SLAVE (Switch) ............................................................................................................................... 14
Configuración BRIDGE ........................................................................................................................................... 14
Capítulo 4 ........................................................................................................................................................... 16
Wireless .......................................................................................................................................................................... 16
Capítulo 5 ........................................................................................................................................................... 24
Administración de Red ................................................................................................................................................... 24
Capítulo 6 ........................................................................................................................................................... 27
Firewall ........................................................................................................................................................................... 27
Reglas de Firewall input ......................................................................................................................................... 27
Reglas de Firewall Forward .................................................................................................................................... 28
Reglas de NAT ....................................................................................................................................................... 29
Capítulo 7 ........................................................................................................................................................... 31
QoS ................................................................................................................................................................................ 31
Mangle .................................................................................................................................................................... 31
Capítulo 8 ........................................................................................................................................................... 33
Objetivos y Conceptos previos a túneles IPIP ................................................................................................................ 33
Proceso Túnel IPIP ................................................................................................................................................. 35
Laboratorio 8.1 – Túnel IP-IP ......................................................................................................................................... 36
Laboratorio 8.2 – Túnel EoIP.......................................................................................................................................... 38
Objetivos y Conceptos previos a túneles PPTP ............................................................................................................. 40
Laboratorio 8.3 – Túnel PPTP (R1 Server – R2 Client).................................................................................................. 41
Laboratorio 8.4 – Túnel PPTP (R1 Client – R2 Server).................................................................................................. 44
Laboratorio 8.5 – Bridge a través de un túnel PPTP usando BCP ................................................................................. 46

Academy Xperts i
RouterOS v6.34.3.01 – Laboratorios Capítulo 1

Capítulo 1
Laboratorio 1.1 – Configuración Inicial
Objetivo:
• Realizar la configuración a través de línea de comandos
• Armar el primer laboratorio, el mismo que se utilizará durante los días de capacitación MTCNA.
• Comprender los parámetros de configuración básicos y dar salida a Internet a un router MikroTik.
Escenario:

wlan1
10.1.1.2/30 eth1
Internet 192.168.71.254/24

192.168.71.1/24
wlan1
wlan1
10.1.1.6/30
eth1
10.1.1.5/30 192.168.72.254/24

192.168.72.1/24

eth1
wlan1 192.168.73.254/24
10.1.1.10/30

Diagrama elaborado por:

ACADEMY XPERTS 192.168.73.1/24


Figura Detalle ID de alumno

0-1 Laboratorio de Configuracion Inicial

Configuración del AP (Instructor)


Configuración de R1
1. Establecer la conexión WAN a internet a través de la interface ether1 por medio de una configuración dhcp-
client
/ip dhcp-client add interface=ether1 disabled=no

2. El Instructor debe comprobar que el dhcp-client entregó el DNS


/ip dns print
servers:
dynamic-servers: 172.16.1.1
allow-remote-requests: no
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s

Academy Xperts 1
RouterOS v6.34.3.01 – Laboratorios Capítulo 1

3. El Instructor debe activar Allow Remote Request


/ip dns set allow-remote-requests=yes

4. El Instructor debe comprobar que el dhcp-client entregó la ruta por default de manera automática
/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 172.16.1.1 1
1 ADC 172.16.1.0/26 172.16.1.57 ether1 0

5. El Instructor debe crear un Security Profile para habilitar la seguridad


/interface wireless security-profiles add name=Clave mode=dynamic-keys \
authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2- \
pre-shared-key=mikrotik

6. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada)


/interface wireless set wlan1 disabled=no

7. El Instructor debe configurar la tarjeta Wireless para que el R1 actúe como AP (Access Point). En este punto el
AP utilizará el Security Profile que se configuró en el paso 6. Se usará la banda 2GHz-b/g/n
/interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n channel-width=20mhz \
ssid=MikroTik_MTCNA radio-name=NombreAP security-profile=Clave

Academy Xperts 2
RouterOS v6.34.3.01 – Laboratorios Capítulo 1

8. El Instructor debe configurar la regla de NAT para que las redes privadas (clientes/alumnos) puedan salir a
Internet. En el parámetro out-interface se especifica la interfaz por donde R1 sale a internet (en este caso
ether1). El parámetro que se encargará de enmascarar/ocultar la red privada es action=masquerade
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

9. Asignación de direcciones IP
• Cada participante deberá trabajar con un grupo de direcciones específicas para las interfaces Wireless y LAN.
• El instructor debe asignar un número a cada estudiante con el cual deberá validar las subredes entregadas en
base a la siguiente tabla (Tabla L0-1.1)

LAN IP wlan1 IP wlan1


ID ID de red IP ether1 IP Laptop (estudiante) (trainer) Gateway DNS1 DNS2
1 192.168.71.0/24 192.168.71.254/24 192.168.71.1/24 10.1.1.2/30 10.1.1.1/30 10.1.1.1 10.1.1.1 8.8.8.8
2 192.168.72.0/24 192.168.72.254/24 192.168.72.1/24 10.1.1.6/30 10.1.1.5/30 10.1.1.5 10.1.1.5 8.8.8.8
3 192.168.73.0/24 192.168.73.254/24 192.168.73.1/24 10.1.1.10/30 10.1.1.9/30 10.1.1.9 10.1.1.9 8.8.8.8
4 192.168.74.0/24 192.168.74.254/24 192.168.74.1/24 10.1.1.14/30 10.1.1.13/30 10.1.1.13 10.1.1.13 8.8.8.8
5 192.168.75.0/24 192.168.75.254/24 192.168.75.1/24 10.1.1.18/30 10.1.1.17/30 10.1.1.17 10.1.1.17 8.8.8.8
6 192.168.76.0/24 192.168.76.254/24 192.168.76.1/24 10.1.1.22/30 10.1.1.21/30 10.1.1.21 10.1.1.21 8.8.8.8
7 192.168.77.0/24 192.168.77.254/24 192.168.77.1/24 10.1.1.26/30 10.1.1.25/30 10.1.1.25 10.1.1.25 8.8.8.8
8 192.168.78.0/24 192.168.78.254/24 192.168.78.1/24 10.1.1.30/30 10.1.1.29/30 10.1.1.29 10.1.1.29 8.8.8.8
9 192.168.79.0/24 192.168.79.254/24 192.168.79.1/24 10.1.1.34/30 10.1.1.33/30 10.1.1.33 10.1.1.33 8.8.8.8
10 192.168.80.0/24 192.168.80.254/24 192.168.80.1/24 10.1.1.38/30 10.1.1.37/30 10.1.1.37 10.1.1.37 8.8.8.8
11 192.168.81.0/24 192.168.81.254/24 192.168.81.1/24 10.1.1.42/30 10.1.1.41/30 10.1.1.41 10.1.1.41 8.8.8.8
12 192.168.82.0/24 192.168.82.254/24 192.168.82.1/24 10.1.1.46/30 10.1.1.45/30 10.1.1.45 10.1.1.45 8.8.8.8
13 192.168.83.0/24 192.168.83.254/24 192.168.83.1/24 10.1.1.50/30 10.1.1.49/30 10.1.1.49 10.1.1.49 8.8.8.8
14 192.168.84.0/24 192.168.84.254/24 192.168.84.1/24 10.1.1.54/30 10.1.1.53/30 10.1.1.53 10.1.1.53 8.8.8.8
15 192.168.85.0/24 192.168.85.254/24 192.168.85.1/24 10.1.1.58/30 10.1.1.57/30 10.1.1.57 10.1.1.57 8.8.8.8
16 192.168.86.0/24 192.168.86.254/24 192.168.86.1/24 10.1.1.62/30 10.1.1.61/30 10.1.1.61 10.1.1.61 8.8.8.8
17 192.168.87.0/24 192.168.87.254/24 192.168.87.1/24 10.1.1.66/30 10.1.1.65/30 10.1.1.65 10.1.1.65 8.8.8.8
18 192.168.88.0/24 192.168.88.254/24 192.168.88.1/24 10.1.1.70/30 10.1.1.69/30 10.1.1.69 10.1.1.69 8.8.8.8
19 192.168.89.0/24 192.168.89.254/24 192.168.89.1/24 10.1.1.74/30 10.1.1.73/30 10.1.1.73 10.1.1.73 8.8.8.8
20 192.168.90.0/24 192.168.90.254/24 192.168.90.1/24 10.1.1.78/30 10.1.1.77/30 10.1.1.77 10.1.1.77 8.8.8.8

10. Asignar dirección IP a la Wlan1 del AP (Dependiendo de los requerimientos)


/ip address add address=10.1.1.1/30 interface=wlan1 comment=Estudiante1
/ip address add address=10.1.1.5/30 interface=wlan1 comment=Estudiante2
/ip address add address=10.1.1.9/30 interface=wlan1 comment=Estudiante3
/ip address add address=10.1.1.13/30 interface=wlan1 comment=Estudiante4
/ip address add address=10.1.1.17/30 interface=wlan1 comment=Estudiante5

Academy Xperts 3
RouterOS v6.34.3.01 – Laboratorios Capítulo 1

Configuración del Cliente (Alumno)


11. Configuración Wlan (Estudiante)
1. Hacer un reset a toda la configuración del router
/system reset-configuration no-defaults=yes

2. Verificar que el instructor ha configurado una red Wireless con los correspondientes parámetros de autenticación
y encriptación.
• SSID: MikroTik_MTCNA
• Autenticación: WPA PSK y/o WPA2 PSK
• Cifrado: AES
• WPA1 y/o WPA2 Pre-Shared key: mikrotik
3. Configurar la tarjeta Wireless del Estudiante
/interface wireless security-profiles add authentication-types=wpa2-psk mode=dynamic-keys \
name=ClaveCPE wpa2-pre-shared-key=mikrotik

/interface wireless set wlan1 mode=station-bridge band=2ghz-b/g/n channel-width=20mhz \


ssid=MikroTik_MTCNA radio-name=NombreAlumno security-profile=ClaveCPE

Academy Xperts 4
RouterOS v6.34.3.01 – Laboratorios Capítulo 1

4. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada)


/interface wireless set wlan1 disabled=no

5. El estudiante debe estar conectado al AP del instructor. Debe verificar revisando en la tabla de registro y obtener
un resultado similar al siguiente:
/interface wireless registration-table print
# INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME
0 wlan1 NombreAP E4:8D:8C:88:9A:B1 yes -42dBm@1Mbps 1Mbps 1m32s

6. Asignar IP a interface wlan


1. El estudiante debe configurar la dirección IP correspondiente a la wlan1 de acuerdo a la Tabla L0-1.1 y basado en
la asignación entregada por el instructor.
/ip address add address=10.1.1.2/30 interface=wlan1

2. Verificar por medio de ping que puede llegar al AP (interface wlan) del Instructor. Para esto deberá hacer ping a la
IP de la subred /30 correspondiente.

7. Configurar la ruta por default


1. El estudiante debe configurar la ruta por default (0.0.0.0/0) para poder salir a Internet. Para esto deberá
especificar la IP del Gateway correspondiente según la Tabla L0-1.1
/ip route add dst-address=0.0.0.0/0 gateway=10.1.1.1

2. Verificar por medio de ping que puede llegar a una dirección IP pública, por ejemplo, a la IP 8.8.8.8.

Academy Xperts 5
RouterOS v6.34.3.01 – Laboratorios Capítulo 1

8. Configurar el DNS
1. El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres de dominio.
Para esto deberá especificar la IP de los servidores DNS1 y DNS2 correspondientes según la Tabla L0-1.1. Es
importante también configurar el router para que actúe como caché DNS (allow-remote-requests).
/ip dns set servers=10.1.1.1,8.8.8.8 allow-remote-requests=yes

2. Verificar por medio de ping que puede resolver un nombre de dominio, por ejemplo google.com

9. Configurar interface Ether1 del router e Interface Ethernet de Laptop Estudiante


1. El estudiante debe configurar la interface Ether1 en base la dirección asignada según la Tabla L0-1.1.
/ip address add address=192.168.71.254/24 interface=ether1

2. El estudiante debe configurar la regla de src-nat para poder permitir que su laptop salga a internet.
/ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade

3. El estudiante debe configurar los parámetros de la tarjeta de red Ethernet de su laptop

Academy Xperts 6
RouterOS v6.34.3.01 – Laboratorios Capítulo 1

4. Verificar por medio de ping que puede llegar desde la laptop a la dirección IP de la interface Ether1 de su router

Laboratorio 1.2 – SNTP Client


Objetivo:
• Configurar el router MikroTik para que tenga actualizada la fecha y hora.
Configuración del CPE
Si la clase no dispone de un servidor NTP (Network Time Protocol), entonces los clientes/alumnos deben conectarse a un
servidor NTP externo. En este laboratorio se usarán los servidores NTP de Google.
1. Cada alumno debe obtener las direcciones IP de los servidores NTP de Google, para esto deberá hacer un ping a
time1.google.com y time2.google.com
/ping time1.google.com
SEQ HOST SIZE TTL TIME STATUS
0 216.239.32.15 56 41 209ms
1 216.239.32.15 56 41 199ms

/ping time2.google.com
SEQ HOST SIZE TTL TIME STATUS
0 216.239.32.15 56 41 209ms
1 216.239.34.15 56 41 199ms

2. Cada alumno debe configurar el SNTP-Client especificando las direcciones IP de los NTP servers
/system ntp client set enabled=yes primary-ntp=216.239.32.15 secondary-ntp=216.239.34.15

3. Cada alumno debe configurar el Time Zone Name en el cual Debe indicar la ubicación donde se encuentra.
Academy Xperts 7
RouterOS v6.34.3.01 – Laboratorios Capítulo 1

/system clock set time-zone-name=América/Guayaquil

4. Verificar que se posee la hora y zona horario correctas.

Laboratorio 1.3 – SNTP Server

192.168.96.0/16

192.168.96.4/16 192.168.96.5/16

NTP-Server NTP-Client
Diagrama elaborado por:

ACADEMY XPERTS
Figura Detalle ID de alumno

0-1.2 NTP Sever

Configuración NTP-Server
1. Configurar la zona horaria en el NTP-Server
/system clock set time-zone-name=América/Guayaquil

2. Configurar con una ntp-client el NTP-Server


/system ntp client
set enabled=yes primary-ntp=216.239.32.15 secondary-ntp=216.239.34.15

Academy Xperts 8
RouterOS v6.34.3.01 – Laboratorios Capítulo 1

3. Habilitar el NTP-Server
/system ntp server set enabled=yes manycast=yes

Configuración NTP-Client
1. Configurar zona Horaria
/system clock set time-zone-name=América/Guayaquil

2. Configurar SNTP-Client
/system ntp client set primary-ntp=192.168.96.4 enabled=yes

Academy Xperts 9
RouterOS v6.34.3.01 – Laboratorios Capítulo 2

Capítulo 2
Laboratorio 2 – Enrutamiento Estático
Objetivo:
• Trabajar en equipo. Se deben armar grupos de 4 estudiantes
• Comunicar varias redes LAN
• Esquema basado en enrutamiento estático
• Comprender los términos dst-address, gateway
Escenario:
• Los equipos deben estar SIN configuración
• Luego de configurar los routers basados en el diagrama, se debe realizar ruteo estático. El tráfico deberá fluir en
sentido horario

E1

ether3 ether4
10.1.1.1/30 10.2.2.1/30

10.1.1.0/30 10.2.2.0/30
ether3 ether4
10.1.1.2/30 10.2.2.2/30

E3
E2

ether4 ether3
10.4.4.2/30 10.3.3.2/30
10.4.4.0/30 10.3.3.0/30

E4

ether3 ether4
10.4.4.1/30 10.3.3.1/30
Diagrama elaborado por:

ACADEMY XPERTS
Figura Detalle ID de alu mno

0-2 Laboratorio de Ruteo Estatico

Parte 1. Poner direcciones IP


Configuración de E1
1. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E1
/ip address add address=10.1.1.1/30 comment=E1-E2 interface=ether3
/ip address add address=10.2.2.1/30 comment=E1-E3 interface=ether4

2. Realizar proceso de RUTEO para que el router E1 pueda alcanzar a las redes (10.3.3.0/30; 10.4.4.0/30). Para
ello debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario.
El Gateway para el E1 será 10.2.2.2
/ip route add distance=1 dst-address=10.3.3.0/30 gateway=10.2.2.2
/ip route add distance=1 dst-address=10.4.4.0/30 gateway=10.2.2.2

Academy Xperts 10
RouterOS v6.34.3.01 – Laboratorios Capítulo 2

Configuración de E2
1. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E2
/ip address add address=10.1.1.2/30 comment=E2-E1 interface=ether3
/ip address add address=10.4.4.2/30 comment=E2-E4 interface=ether4

2. Realizar proceso de RUTEO para que el router E2 pueda alcanzar a las redes (10.3.3.0/30; 10.2.2.0/30). Para
ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario.
El Gateway para el E2 será 10.1.1.1
/ip route add distance=1 dst-address=10.3.3.0/30 gateway=10.1.1.1
/ip route add distance=1 dst-address=10.2.2.0/30 gateway=10.1.1.1

Configuración de E3
1. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E3
/ip address add address=10.2.2.2/30 comment=E3-E1 interface=ether4
/ip address add address=10.3.3.2/30 comment=E3-E4 interface=ether3

2. Realizar proceso de RUTEO para que el router E3 pueda alcanzar a las redes (10.1.1.0/30; 10.4.4.0/30). Para
ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario.
El Gateway para el E3 será 10.3.3.1
/ip route add distance=1 dst-address=10.1.1.0/30 gateway=10.3.3.1
/ip route add distance=1 dst-address=10.4.4.0/30 gateway=10.3.3.1

Configuración de E4
1. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E4
/ip address add address=10.4.4.1/30 comment=E4-E2 interface=ether3
/ip address add address=10.3.3.1/30 comment=E4-E3 interface=ether4

Academy Xperts 11
RouterOS v6.34.3.01 – Laboratorios Capítulo 2

2. Realizar proceso de RUTEO para que el router E4 pueda alcanzar a las redes (10.1.1.0/30; 10.2.2.0/30). Para
ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario.
El Gateway para el E4 será 10.4.4.2
/ip route add distance=1 dst-address=10.1.1.0/30 gateway=10.4.4.2
/ip route add distance=1 dst-address=10.2.2.0/30 gateway=10.4.4.2

Paso Final
1. Probar conectividad entre todos.
2. Adicionalmente hacer que entre las PC’s se puedan realizar ping entre ellas.

Enrutamiento estático
- Cuál es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la dirección 192.168.1.1

Diagrama elaborado por:

ACADEMY XPERTS
Figura Detalle ID de alumno

0-2.2 Ruteo Estatico

- Cuál es el gateway que seguirá el paquete cuando la estación 172.161.1 realiza un ping a la dirección 192.168.1.254

Diagrama elaborado por:

ACADEMY XPERTS
Figura Detalle ID de alu mno

0-2.3 Ruteo Estatico

Academy Xperts 12
RouterOS v6.34.3.01 – Laboratorios Capítulo 2

- Como llego desde la Red A hasta la Red C

Diagrama elaborado por:

ACADEMY XPERTS
Figura Detalle ID de alumno

0-2.4 Ruteo Estatico

Academy Xperts 13
RouterOS v6.34.3.01 – Laboratorios Capítulo 3

Capítulo 3
Laboratorio 3.1 - Bridge y Slave
Objetivos:
• Poner en práctica los conceptos vistos en este capítulo sobre Bridge, Puerto Master y Slave
Escenario:
• Configurar la interface ether2 como esclavo (slave) de la interface principal (ether1). Asignar una dirección IP
que esté dentro del mismo rango en nuestra PC y verificar que tenemos salida a Internet
• Crear un bridge. Agregar las interfaces ether3 y ether4 en este bridge. Poner un direccionamiento diferente
en la interface bridge, y por último poner una IP que esté dentro del mismo rango que el bridge en nuestra PC y
verificar conectividad.

Diagrama elaborado por:

ACADEMY XPERTS
Figura Detalle ID de alumno

0-3 Laboratorio de Bridge

Configuración SLAVE (Switch)


Parte 1. Configurar puerto ether3
1. Cada alumno debe configurar la interface ethe2 como esclavo de la interface ether1. Para ello la interface ether2
debe declara a la interface ether1 como master-port
/interface ethernet set ether2 master-port=ether1

2. Cada alumno debe cambiar su cable de red hacia la interface ether2 en su respectivo router. Luego debe cambiar el
ultimo octeto en la dirección IP que tiene en su laptop, por la siguiente dirección IP:
Dirección IP 192.168.71.1 por .100
Mascara de subred 255.255.255.0
Puerta de enlace predeterminada 192.168.71.254
Servidor DNS Preferido 192.168.71.254
3. Probar conectividad en el Computador

Configuración BRIDGE
1. Cada alumno debe crear un bridge al cual le pondrá por nombre LAN2
/interface bridge add name=LAN2

Academy Xperts 14
RouterOS v6.34.3.01 – Laboratorios Capítulo 3

2. Debe agregarse las interfaces ether3 y ether4 al bridge llamado LAN2


/interface bridge port add interface=ether3 bridge=LAN2
/interface bridge port add interface=ether4 bridge=LAN2

3. Se asigna una dirección IP a la interface bridge (LAN2)


/ip address add address=192.168.111.254/24 interface=LAN2

4. Cada alumno debe configurar una dirección IP en su laptop que pertenezca al mismo rango del direccionamiento que
se acaba de definir en el bridge. Por ejemplo:
Dirección IP 192.168.111.1
Mascara de subred 255.255.255.0
Puerta de enlace predeterminada 192.168.111.254
Servidor DNS Preferido 192.168.111.254
5. Realizar pruebas de navegación en el computador

Academy Xperts 15
RouterOS v6.34.3.01 – Laboratorios Capítulo 4

Capítulo 4
Wireless
Objetivos:
• Poner en práctica los conceptos básicos de wireless
• Aprender a configurar un enlace wireless entre (AP – CPE)
• Para el CPE practicar: Las tres formas de conectarse a un AP (connect-list, Scan, y SSID)
• Para el AP practicara: Accelist-list (Password, Time)
Escenario:
1. Formar grupos de dos personas el E1 va ser AP y debe tener salida a internet por medio del nuevo direccionamiento
que se crea en el RP y el cual es enviado atreves del Switch
2. El E2 va ser CPE el cual debe conectarse al AP usando los métodos de conexión al AP descritos en los objetivos.

Trainer

wlan1: 10.1.1.x/30

SSID:MikroTik_MTCNA
Clave: mikrotik
SSID: Grupo#x
wlan1: 10.1.1.x/30 Clave: mikrotik
wlan1:
Ether4: 10.2.1.1/30
172.16.1.1/30
Ether4:
E1 172.16.1.2/30 E2-AP wlan1:
10.2.1.2/30
E3-CPE
Ether4:
192.168.70.1/24

IP: 192.168.70.254
Diagrama elaborado por:
MS: 255.255.255.0
ACADEMY XPERTS G: 192.168.70.1
Figura Detalle ID de alumno
D: 192.168.70.1
0-4 Laboratorio deWireless

Configuración Estudiante 1
Parte 1. Verificar que el Router del estudiante 1 tenga salida a internet
Parte 2. Configurar dirección IP para la conexión con el Router del Estudiante 2
/ip address add address=172.16.1.1/30 interface=ether4

Configuración Estudiante 2 (Resetear el Router antes de iniciar)


1. Pondremos la dirección IP en el ether4 para la conexión con el Router del estudiante 1
/ip address add address=172.16.1.2/30 interface=ether4

Academy Xperts 16
RouterOS v6.34.3.01 – Laboratorios Capítulo 4

2. Crear Ruta por defecto 0.0.0.0/0 Gateway 172.16.1.1


/ip route add gateway=172.16.1.1

3. Configurar DNS
/ip dns set servers=172.16.1.1,8.8.8.8 allow-remote-requests=yes

4. Configurar NAT
/ip firewall nat add chain=srcnat out-interface=ether4 action=masquerade

5. Verificar conectividad a internet (ping 8.8.8.8 y ping google.com)

6. Crear Security-Profiles y Configurar tarjeta wireless en modo ap-bridge para que el Router del estudiante 3 se pueda
conectar.
/interface wireless security-profiles add name=Clave mode=dynamic-keys \
authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm \ wpa2-
pre-shared-key=laboratorio4

7. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada)


/interface wireless set wlan1 disabled=no

/interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n channel-width=20mhz \


ssid=Grupo1 radio-name=NombreAlumno security-profile=Clave

Academy Xperts 17
RouterOS v6.34.3.01 – Laboratorios Capítulo 4

8. Configurar dirección IP en la interfaz wlan1 del Router del alumno dos para la conexión con el Router del alumno 3.
/ip address add address=10.2.1.1/30 interface=wlan1

Configuración Estudiante 3 (Resetear el Router antes de iniciar)


9. Configurar la tarjeta Wireless del Estudiante
/interface wireless security-profiles add name=ClaveCPE mode=dynamic-keys \
authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm \ wpa2-
pre-shared-key=laboratorio4

/interface wireless set wlan1 mode=station-bridge band=2ghz-b/g/n channel-width=20mhz \ ssid=Grupo1


radio-name=NombreAlumno security-profile=ClaveCPE

10. El Instructor debe habilitar la tarjeta Wireless (por default viene deshabilitada)
/interface wireless set wlan1 disabled=no

Academy Xperts 18
RouterOS v6.34.3.01 – Laboratorios Capítulo 4

11. Verificar que los equipos se hayan conectado entre si


/interface wireless registration-table print
# INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME
0 wlan1 NombreAlumno E4:8D:8C:88:9A:B1 yes -47dBm@1Mbps 11Mbps 6m59s

12. Configurar dirección IP en el interfaz wlan1


/ip address add address=10.2.1.2/30 interface=wlan1

13. Verificar por medio de ping que puede llegar al AP (interface wlan) del Estudiante 2. Para esto deberá hacer ping a la
IP de la subred /30 correspondiente.

14. Configurar la ruta por default. El estudiante debe configurar la ruta por default (0.0.0.0/0) para poder salir a Internet.
Para esto deberá especificar la IP del Gateway.
/ip route add dst-address=0.0.0.0/0 gateway=10.2.1.1

15. Verificar por medio de ping que puede llegar a una dirección IP pública, por ejemplo, a la IP 8.8.8.8.

Academy Xperts 19
RouterOS v6.34.3.01 – Laboratorios Capítulo 4

16. Configurar el DNS. El estudiante debe configurar las direcciones de los DNS servers para poder resolver los nombres
de dominio. Para esto deberá especificar la IP de los servidores DNS1 y DNS2. Es importante también configurar el
router para que actúe como caché DNS (allow-remote-requests).
/ip dns set servers=10.2.1.1,8.8.8.8 allow-remote-requests=yes

17. Verificar por medio de ping que puede resolver un nombre de dominio, por ejemplo google.com

18. Configurar interface Ether4 del router e Interface Ethernet de Laptop Estudiante
/ip address add address=192.168.71.254/24 interface=ether4

19. El estudiante debe configurar la regla de src-nat para poder permitir que su laptop salga a internet.
/ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade

20. El estudiante debe configurar los parámetros de la tarjeta de red Ethernet de su laptop

21. Verificar por medio de ping que puede llegar desde la laptop a la dirección IP 8.8.8.8

Academy Xperts 20
RouterOS v6.34.3.01 – Laboratorios Capítulo 4

22. Verificar que tenga Navegación.

Configuración Estudiante 3 (Scanner)


1. Resetear tarjeta Wireless
/interface wireless reset-configuration wlan1

2. Verificar que no tenga navegación


3. Activamos la tarjeta wireless
/interface wireless set wlan1 disabled=no

4. Configuramos los parámetros necesarios para usar la opción de scanner, los cuales son:
a. Poner en modo station-bridge
b. Seleccionar el security-profiles
c. Guardar los cambios y salir
5. Daremos clic en el botón Scanner ubicado en la parte superior de la ventana Wireless Tables y buscaremos el
SSID que tiene configurado el estudiante 2 en su equipo presionando el botón Start.
Una vez que encontramos el SSID al que nos vamos a conectar lo seleccionamos y presionamos el botón Connect.

6. Verificamos que tengamos comunicación con el Router AP una vez mas


7. Verificar que tengamos navegación normal

Configuración Estudiante 3 (Connect List)


1. Resetear tarjeta Wireless
/interface wireless reset-configuration wlan1

Academy Xperts 21
RouterOS v6.34.3.01 – Laboratorios Capítulo 4

2. Configuramos los datos necesarios en la tarjeta wireless para poder usar la opción de Connect List.
a. Modo: Station bridge
b. SSID: Sin SSID
c. Seleccionar el Security profiles
d. Guardar cambios y salir.

3. Activar tarjeta Wireless


4. Iremos a la pestaña de Connect List. Para esto necesitamos que el estudiante 2 identifique cual es la Dirección
MAC de su interfaz Wlan1 y dársela al estudiante 3 para que la pueda poner en el campo MAC Address en las
configuraciones en la ventana de Connect List

5. Verificamos que tengamos comunicación con el Router AP una vez mas


6. Verificar que tengamos navegación normal

Configuración Estudiante 2 (Access List)


1. Verificamos que tengamos a E2 (CPE) registrado en nuestra tabla de registros
/interface wireless registration-table print
# INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME
0 wlan1 R2 E4:8D:8C:87:C5:14 no -42dBm@1Mbps 1Mbps 1m15s

2. Luego ya con la MAC que vemos lo trabajaremos con una regla de Access-List y le cambiaremos la clave y luego
verificaremos si E2 tiene navegación
/interface wireless access-list add mac-address=E4:8D:8C:87:C5:14 interface=wlan1 \
private-pre-shared-key=mikrotik123

Academy Xperts 22
RouterOS v6.34.3.01 – Laboratorios Capítulo 4

3. Verificar que se tiene navegación en el computador, caso contrario revisar los pasos anteriores.

Academy Xperts 23
RouterOS v6.34.3.01 – Laboratorios Capítulo 5

Capítulo 5
Administración de Red
Objetivos:
• Poner en práctica los conceptos vistos en este capitulo
• Comprender las bases y configuraciones de un DHCP
• Poder fusionar un bridge + un DHCP Server
• Y comprender las funciones de DHCP Client
Escenario:
1. Formar Grupo de dos personas E1 y E2
2. E1 se va conectar con RP vía wireless, pero con un nuevo SSID y un nuevo direccionamiento
3. E1 debe darle un nuevo direccionamiento a E2 por medio de un DHCP Server y a su vez E2 debe configurar un
DHCP Client para poder recibir ese direccionamiento.
4. Por último E2 debe crear un Bridge, poner puertos 4y5 en el bridge y crearle un nuevo direccionamiento y darle por
medio de DHCP-Server IP al computador.

Trainer

wlan1: 10.1.1.x/30

SSID:MikroTik_MTCNA Bridge: DHCP-Server


Clave: mikrotik 192.168.71.1/24
Puertos: ether2, ether3
wlan1: 10.1.1.x/30

Ether4: DHCP-Server
172.16.1.1/24
Ether4: DHCP-Client
E1 E2
Diagrama elaborado por:

ACADEMY XPERTS
Figura Detalle ID de alumno

0-5 Laboratorio De DHCP

Configuración Estudiante 1
Parte 1. Verificar que el Router del estudiante 1 tenga salida a internet
Parte 2. Configurar el DHCP-Server en la interfaz ether4 con siguiente dirección IP 172.16.1.1/24
1. Configurar dirección IP en el ether4
/ip address add address=172.16.1.1/24 interface=ether4

2. Configurar el DHCP-Server
/ip dhcp-server setup
Select interface to run DHCP server on
dhcp server interface: ether4

Select network for DHCP addresses


dhcp address space: 172.16.1.0/24
Select gateway for given network
gateway for dhcp network: 172.16.1.1

Select pool of ip addresses given out by DHCP server

Academy Xperts 24
RouterOS v6.34.3.01 – Laboratorios Capítulo 5

addresses to give out: 172.16.1.2-172.16.1.254

Select DNS servers


dns servers: 172.16.1.1

Select lease time


lease time: 10m

Configuración Estudiante 2 (Resetear el Router antes de iniciar)


Parte 1. Configurar la interfaz ether4 como DHCP-Client
/ip dhcp-client add interface=ether4 disabled=no

Parte 2. Verificar que se entregó la dirección IP a la interfaz ether4


Parte 3. Activar Allow remote requests en la ventana de DNS
/ip dns set allow-remote-requests=yes
Parte 4. Crear un bridge y asignarle una DHCP-Server
1. Crear Bridge
/interface bridge add name=DHCP-Server

2. Agregar los puertos al bridge


/interface bridge port add interface=ether2 bridge=DHCP-Server
/interface bridge port add interface=ether3 bridge=DHCP-Server

Academy Xperts 25
RouterOS v6.34.3.01 – Laboratorios Capítulo 5

3. Asignar dirección IP al bridge


/ip address add address=192.168.71.1/24 interface=DHCP-Server

4. Crear DHCP-Server para la interfaz bridge “DHCP-Server”


/ip dhcp-server setup
Select interface to run DHCP server on
dhcp server interface: DHCP-Server

Select network for DHCP addresses


dhcp address space: 192.168.71.0/24
Select gateway for given network
gateway for dhcp network: 192.168.71.1

Select pool of ip addresses given out by DHCP server


addresses to give out: 192.168.71.2-192.168.71.254

Select DNS servers


dns servers: 192.168.71.1

Select lease time


lease time: 10m
5. Configurar NAT
/ip firewall nat add chain=srcnat out-interface=ether4 action=masquerade
6. Verificar que la laptop haya recibido la dirección IP automáticamente.
7. Verificar que pueda navegar

Academy Xperts 26
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Capítulo 6
Firewall
Objetivos:
- Poner en práctica los conceptos vistos en este capítulo.
- Proteger a un equipo MIKROTIK con las reglas principales para protección.
- Configurar reglas NAT para ciertos tipos de redireccionamientos en una RED
- Poner en práctica las términos address-list y Layer7 protocol
Escenario:
1. Deben tener la red activa, se recomienda restaurar la configuración Principal y trabajarla hay.
2. Todas las reglas afectaran solo a sus propias LAN

Diagrama elaborado por:

ACADEMY XPERTS
Figura Detalle ID de alumno

0-6 Laboratorio de Firewall

Reglas de Firewall input


Tarea 1: Reglas Básicas de Filter Input
1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas
que administren su router. En el caso de este ejercicio las direcciones serán: la IP de su laptop (la IP del comando
a continuación es solo un ejemplo), y la red WAN Wireless
/ip firewall address-list
add address=192.168.100.254 list="IPs permitidas Administrar Router"
add address=10.1.1.1-10.1.1.63 list="IPs permitidas Administrar Router"

2. Crear las 4 reglas básicas en INPUT


/ip firewall filter
add chain=input comment="IN - Permitir conexiones establecidas y relacionadas" connection-
state=\
established,related
add action=drop chain=input comment="IN - Rechazar conexiones invalidas" connection-
state=invalid
add chain=input comment="IN - IPs permitidas Administrar este router" src-address-list=\
"IPs permitidas Administrar Router"
add action=drop chain=input comment="IN - Descartar todo lo demas"

Academy Xperts 27
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Tarea 2: Pruebas de validación de reglas


1. Cada estudiante debe poder ingresar vía Winbox al router de su vecino. Caso contrario el vecino debe validar su
address-list
2. El estudiante debe cambiar la dirección IP de su laptop y probar el acceso a su propio router. Puesto que la nueva
IP no está definida en el address-list no debe poder ingresar

Tarea 3: Acceso vía por Capa 2


1. Puesto que en la Tarea 2.2 no se puede ingresar, el estudiante debe tratar de ingresar por Capa 2
2. Abrir un Winbox y verificar si puede visualizar la MAC de la interface del rute a la cual está conectado
3. Escribir la MAC-address de la interface del router e intentar ingrese
Reglas de Firewall Forward
Tarea 1: Reglas Básicas de Filter Forward
1. Cada estudiante debe crear un address-list donde debe especificar las direcciones IP que estarán permitidas
navegar a Internet. En el caso de este ejercicio las direcciones serán el segmento de la red LAN (local)
/ip firewall address-list
add address=192.168.100.0/24 list="IPs permitidas navegar internet"

2. Crear las 4 reglas básicas en FORWARD


/ip firewall filter
add chain=forward comment="IN - Permitir conexiones establecidas y relacionadas" connection-
state=\
established,related
add action=drop chain=forward comment="IN - Rechazar conexiones invalidas" connection-
state=invalid
add chain=forward comment="IN - IPs permitidas navegar internet" src-address-list=\
"IPs permitidas navegar internet"
add action=drop chain=forward comment="IN - Descartar todo lo demas"

Tarea 2: Pruebas de validación de reglas


1. Cada estudiante debe poder navegar a Internet. Caso contrario debe revisar su address-list

Academy Xperts 28
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Reglas de NAT
Parte1. Regla de NAT & (action: masquerade)
1. La regla más usada por los administradores de Redes con equipos MIKROTIK
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

Parte2. Regla de NAT & (action: dstnat)


2. Regla para redireccionar un tráfico en específico a otro Servidor externo. Por ejemplo tenemos el ambiente de una red
ISP la cual tiene un servidor cache y quiere que sus clientes sean redireccionados al servidor cache. Para ello tenemos
la IP publica 201.230.102.4 y la ip de nuestro servidor de cache 192.168.0.3 (action: dst-nat)
/ip firewall nat add action=dst-nat chain=dstnat comment=DSTNAT dst-address=201.230.102.4 \
dst-port=80 protocol=tcp to-addresses=192.168.0.3 to-ports=6457

Parte 2. Action: redirect + web proxy


1. Primero activaremos el web-proxy y definimos el puerto que vamos a usar, por defecto viene el 8080
/ip proxy set enabled=yes port=8081
2. Segundo configuraremos el web proxy para redireccionar una página (www.hi5.com) al otra página
(www.academyxperts.com), esto será aplicado a nuestra LAN.
/ip proxy access add action=deny dst-host=*hi5* redirect-to=www.academyxperts.com \
src-address=200.200.200.0/24
3. Luego de a ver creado la regla de web-proxy lo que haremos ahora será redireccionarlo por medio del chain: dstnat y la
acción: redirect
/ip firewall nat add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8081

Parte 3. Action: redirect + DNS


1. Escenario: cuando se cambian los DNS en nuestros clientes (Para este caso simular cambiando los DNS de nuestra
PC por cualquier DNS)
2. Redireccionar: Que todo el tráfico DNS (53) de nuestra LAN sea redireccionados a los DNS del mismo Router RP. La
regla tiene que ser aplicada tanto como TCP como UDP de DNS.
/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53
/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53

Academy Xperts 29
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Parte 4. Address-List + Layer7 + Firewall Filter (Redes sociales)


1. Bloquearemos un conjunto de redes sociales con la opción de Layer7, luego con la opción address-List agregaremos a
quien bloquearle ese contenido de Layer7. Y por último crear la regla de Filter para bloquear y poner en marcha la regla.
/ip firewall layer7-protocol add name="redes sociales"
regexp="^.+(facebook|youtube|twitter|instagram).+\$"

/ip firewall address-list add address=192.168.10.0/24 list=LAN

/ip firewall filter add action=drop chain=forward layer7-protocol="redes sociales"


src-address-list=LAN

Academy Xperts 30
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Capítulo 7
QoS
Objetivo:
- Poner en práctica los conocimientos adquiridos en este capitulo
- Poner crear una buena calidad de servicio para una LAN
- Comprender el uso de las reglas de Mangle
Escenario:

Mangle
Parte 1. Crearemos las reglas de Mangle para poder marcar las conexiones a la cuales les vamos a asignar la calidad
de servicio.
1. En este caso analizaremos los tráfico que son sensibles en la Red tales como: HTTP, VOZ, P2P, EMAIL, Otros. Para
ello necesitamos los puertos que manejen cada uno de ellos.
/ip firewall mangle add action=mark-connection chain=prerouting comment=conn_HTTP/S \
dst-port=80,443 new-connection-mark=conn_HTTP/S protocol=tcp
/ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_HTTP/S \
new-packet-mark=conn_HTTP/S.PKT passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting comment=conn_VOZ \


dst-port=10000-20000 new-connection-mark=conn_VOZ protocol=udp
/ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_VOZ \
new-packet-mark=conn_VOZ.PKT passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting comment=conn_P2P \


new-connection-mark=conn_P2P p2p=all-p2p
/ip firewall mangle > add action=mark-packet chain=prerouting connection-mark=conn_P2P \
new-packet-mark=conn_P2P.pkt passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting comment=conn_Email \


dst-port=25,110,587,994 new-connection-mark=conn_Email protocol=tcp
/ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_Email \
new-packet-mark=conn_Email.PKT passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting comment=conn_Resto \


new-connection-mark=conn_Resto
/ip firewall mangle add action=mark-packet chain=prerouting connection-mark=conn_Resto \
new-packet-mark=conn_Resto.pkt passthrough=no

Academy Xperts 31
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Parte 2. Configurar la calidad de servicio para las siguientes conexiones que acabamos de marcar anteriormente
por medio de las reglas de Mangle.
/queue simple add max-limit=2M/2M name=INTERNET target=192.168.100.254/32
/queue simple add limit-at=768k/768k max-limit=2M/2M name=HTTP/S packet-marks=conn_HTTP/S.PKT \
parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.100.254/32
/queue simple add limit-at=256k/256k max-limit=2M/2M name=EMAIL packet-marks=conn_Email.PKT \
parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.100.254/32
/queue simple add limit-at=64k/64k max-limit=2M/2M name=RESTO packet-marks=conn_Resto.pkt \
parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.100.254/32
/queue simple add limit-at=256k/256k max-limit=2M/2M name=P2P packet-marks=conn_P2P.pkt \
parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.100.254/32
/queue simple add limit-at=512k/512k max-limit=2M/2M name=VOZ packet-marks=conn_VOZ.PKT \
parent=INTERNET queue=pcq-upload-default/pcq-download-default target=192.168.100.254/32

Academy Xperts 32
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Capítulo 8
Objetivos y Conceptos previos a túneles IPIP
Objetivos:
• Entender cuál es el obejtivo de los túneles y cómo configurarlos.
• En este ejercicio se realizará un túnel IP-IP que es uno de lo túneles más básicos.
Bases Conceptuales:
Es importante entender por qué realizamos un túnel y los elementos que formarán parte de esta importante herramienta que
permitirá interconectar a dos redes remotas separadas por la nube de Internet.
Si se desea tener comunicación entre las redes A y B (Figura 8.1.1) que están separadas por la nube de Internet, la opción
de ruteo no es viable ya que las IPs privadas 172.16.1.0/24 y 192.168.1.0/24 no son direcciones IP públicamente
ruteables. Esto significa que los routers públicos en Internet no pueden usar las IPs privadas como una red de destino (a
menos que sea para uso exclusivo & privado de cada ISP).
Por esta razón, si se desea que las redes A y B se comuniquen, se debe crear una VPN
• VPN = Virtual Private Network
• En Español = Red Privada Virtual
• También se la conoce como = Túnel
Esto se realiza creando una Interface Virtual en cada router remoto. Una vez creada esta interface, dependiendo de la
naturaleza de la misma, se podrán establecer conexiones en Capa 2 (L2) o en Capa 3 (L3).
Recuerde que las siguientes redes son Redes Privadas y NO son Públicamente Ruteables
• 10.0.0.0 /8
• 172.16.0.0 /12
• 192.168.0.0 /16

R1 Rn

172.16.1.254 200.17.1.1
200.17.1.2 190.2.15.61

Interface
virtual 190.2.15.62
RED A
172.16.1.0/24

157.100.1.1

172.16.1.1 157.100.1.2

Interface 192.168.1.0/24
Diagrama elaborado por:
virtual 192.168.1.254
ACADEMY XPERTS
Figura Detalle ID de alu mno

0-7 Esquema 192.168.1.1

Existen diferentes tipos de túneles que se usan para diferentes aplicaciones.


RouterOS de MikroTik permite trabajar con túneles
• IPIP
• EoiP
• GRE
• PPP (PPP, L2TP, PPTP, EoIP, OVPN SSTP)
• IPsec

Academy Xperts 33
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Para efectos de nuestros laboratorios debe quedar muy claro que cuando levantamos un tunel a través de Internet nos
encontramos ante una nube de la cual prácticamente desconocemos todo lo que ocurre dentro (Figura 8.1.2).

R1

172.16.1.254 200.17.1.1

Internet
200.17.1.2

Interface
virtual
RED A
172.16.1.0/24

157.100.1.1

172.16.1.1 157.100.1.2

Interface 192.168.1.0/24
Diagrama elaborado por:
virtual 192.168.1.254
ACADEMY XPERTS
Figura Detalle ID de alumno

0-8 Esquema 2 192.168.1.1

Los ejercicios que desarrollaremos serán una simulación del escenario en la red pública para lo cual trabajaremos con el
router del Trainer como medio de acceso a la nube (Figura 8.1.3)
En este escenario cada estudiante trabajará con las IPs privadas (192.168.n.0/24) y las IP externas (10.1.1.m/30)
asignadas al inicio del curso.

R1

172.16.1.254 200.17.1.1
10.1.1.w/30

Internet
10.1.1.w/30

Interface 10.1.1.y/30
virtual
RED A
172.16.1.0/24

157.100.1.1

172.16.1.1
10.1.1.z/30
Interface 192.168.1.0/24
Diagrama elaborado por:
virtual 192.168.1.254
ACADEMY XPERTS
Figura Detalle ID de alumno

0-9 Esquema Curso 192.168.1.1

Academy Xperts 34
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Nota Importante: Recordar que cuando se va a crear un túnel, la única información que posee cada localidad es la IP
externa de los routers de borde de cada destino remoto (Figura 8.1.4)

R1 Router Trainer

192.168.1.254 200.17.1.1
10.1.1.w/30

Internet
10.1.1.w/30

Pptp-in1 10.1.1.y/30

RED A
192.168.1.0/24

157.100.1.1

R2
192.168.1.1
10.1.1.z/30

Diagrama elaborado por: Pptp-out1 192.168.1.0/24


192.168.1.253
ACADEMY XPERTS
Figura Detalle ID de alumno
192.168.1.2
0-17 Esquema PPTP + BCP

Proceso Túnel IPIP


Como denota el nombre de este túnel (IPIP), se creará un túnel Capa 3 (IP) sobre una conexión Capa 3 (IP).
Este tipo de túnel es muy básico y no posee autenticación ni encriptación.
Para el ejemplo en este texto usaremos las siguientes interfaces y direcciones IP (Figura 8.1.5)

R1 Router Trainer

192.168.a.254 200.17.1.1
10.1.1.w/30
10.1.1.w/30

RED A
192.168.a.0/24
Interface
virtual
Internet 10.1.1.y/30

157.100.1.1

R2
192.168.a.1
10.1.1.z/30
Interface 192.168.b.0/24
Diagrama elaborado por:
virtual 192.168.b.254
ACADEMY XPERTS
Figura Detalle ID de alu mno

0-11 Esquema IPIP 192.168.b.1

R1 (Router 1)
192.168.a.0/24 ID de red de LAN en Red A
192.168.a.1 IP de la Laptop en Red A
192.168.a.254 IP de interface LAN en R1 (ether2 en este LAB)
10.1.1.w/30 IP de interface WAN en R1 (wlan1 en este LAB)
10.1.1.x/30 IP de interface WAN en R-trainer (wlan1 en este LAB)

Academy Xperts 35
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

R2 (Router 2)
192.168.b.0/24 ID de red de LAN en Red B
192.168.b.1 IP de la Laptop en Red B
192.168.b.254 IP de interface LAN en R2 (ether2 en este LAB)
10.1.1.z/30 IP de interface WAN en R2 (wlan1 en este LAB)
10.1.1.y/30 IP de interface WAN en R-trainer (wlan1 en este LAB)

Nota Importante: Para las configuraciones en este laboratorio asumiremos los siguientes valores para a, b, w, x, y & z.
Estos valores fueron asignados previamente por el instructor al inicio del curso. Si tiene dudas por favor consulte su
entrenador.
• a=1 (192.168.1.0/24)
• b=2 (192.168.2.0/24)
• w=2 (10.1.1.2/30)
• x=1 (10.1.1.1/30)
• y=5 (10.1.1.5/30)
• z=6 (10.1.1.6/30)

Laboratorio 8.1 – Túnel IP-IP


Los pasos a seguir en este ejercicio son los siguientes:
Paso 1
R1 (Router 1) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel.
Recuerde que:
• local-address se refiere la IP externa local (R1)
• remote-address se refiere a la IP externa remota (R2)
/interface ipip add name=ipip-tunnel1 local-address=10.1.1.2 remote-address=10.1.1.6

R2 (Router 2) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel.
Recuerde que:
• local-address se refiere la IP externa local (R2)
• remote-address se refiere a la IP externa remota (R1)
/interface ipip add name=ipip-tunnel1 local-address=10.1.1.6 remote-address=10.1.1.2

Paso 2
R1 (Router 1) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada
/ip address add address=10.20.30.1/30 interface=ipip-tunnel1
R2 (Router 2) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada

Academy Xperts 36
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

/ip address add address=10.20.30.2/30 interface=ipip-tunnel1

Paso 3
R1 (Router 1) debe verificar que llega a la IP del tunel remoto ejecutando un ping
/ping 10.20.30.2
SEQ HOST SIZE TTL TIME STATUS
0 10.20.30.2 56 64 3ms
1 10.20.30.2 56 64 3ms
2 10.20.30.2 56 64 0ms
3 10.20.30.2 56 64 14ms
R2 (Router 2) debe verificar que llega a la IP del tunel remoto ejecutando un ping
/ ping 10.20.30.1
SEQ HOST SIZE TTL TIME STATUS
0 10.20.30.1 56 64 3ms
1 10.20.30.1 56 64 1ms
2 10.20.30.1 56 64 1ms
3 10.20.30.1 56 64 1ms
Paso 4
R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como
Gateway la dirección IP de la inteface del túnel IPIP remota
/ip route add dst-address=192.168.2.0/24 gateway=10.20.30.2
R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como
Gateway la dirección IP de la inteface del túnel IPIP remota
/ip route add dst-address=192.168.1.0/24 gateway=10.20.30.1
Paso 5
R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.2.254
R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.1.254

Finalmente la interconexión entre las Redes remotas A & B queda según la Figura 8.1.6

R1 Router Trainer

192.168.a.254 200.17.1.1
10.1.1.w/30
10.1.1.w/30

RED A
192.168.a.0/24
Ipip-tunel1
10.20.30.1/30
Internet 10.1.1.y/30

157.100.1.1

R2
192.168.a.1
10.1.1.z/30

Ipip-tunel1 192.168.b.0/24
Diagrama elaborado por:
10.20.30.2/30 192.168.b.254
ACADEMY XPERTS
Figura Detalle ID de alumno

0-12 Esquema IPIP 192.168.b.1

Academy Xperts 37
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Laboratorio 8.2 – Túnel EoIP


Objetivos:
• Crear un túnel EoIP y verificar que las redes remotas se encuentran en el mismo dominio de broadcast
Bases Conceptuales:
El túnel Ethernet Sobre IP (Ether Over IP) es un túnel de Capa 2 (Ethernet) sobre una conexión en Capa 3 (IP). Esto significa
que genera una dirección MAC en la interface del túnel.
Al final de este laboratorio se comprobará que efectivamente se genera un túnel de Capa 2 (Ethernet) porque se podrá
agregar la interface EoIP en un Bridge. De esta manera las redes remostas A y B estarán en el mismo dominio de broadcast,
y puesto que formarán parte del mismo Bridge también estarán dentro del mismo dominio de Colisión.
Esta última característica (formar parte del mismo dominio de Colisión) es la razón por la cual los Bridges o las redes Bridge
deben ser evitadas al máximo.
Una de las formas de constatar que ambas redes están trabajando en el mismo dominio de Broadcast es que las direcciones
IP de las laptops estén en la misma subred.
Otra forma de verificar es que a pesar de que ambas laptops tengan direcciones IP de distintas subredes, al ejecutar el
Winbox podrán ver las direcciones MAC de los routers remotos. Esto no podría ser posible si es que ambas redes no
compartieran el mismo dominio de Broadcast.
El diagrama inicial de configuración es el que se presenta en la Figura 8.2.1

R1 Router Trainer

192.168.a.254 200.17.1.1
10.1.1.w/30

Internet
10.1.1.w/30

eoip-tunel1 10.1.1.y/30

RED A
192.168.a.0/24

157.100.1.1

R2
192.168.a.1
10.1.1.z/30

Diagrama elaborado por: eoip-tunel1 192.168.b.0/24


192.168.b.254
ACADEMY XPERTS
Figura Detalle ID de alumno

0-13 Esquema EOIP 192.168.b.1

Los pasos a seguir en este ejercicio son los siguientes:


Paso 1
R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.1 (dst-address=192.168.2.0/24
gateway=10.20.30.2)
R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.1 (dst-address=192.168.1.0/24
gateway=10.20.30.1)
• Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes
• No es necesario que los Routers desactiven/eliminen los túneles IPIP
Paso 2
R1 (Router 1) debe configurar la dirección IP remota (externa) para armar el túnel. Para este tipo de túnel (EoIP) no es
obligatorio configurar la dirección IP local (externa). Sin embargo se debe configurar el tunnel-id que debe ser el mismo
en los routers que arman el túnel.
Recuerde que:
• local-address se refiere la IP externa local (R1)
• remote-address se refiere a la IP externa remota (R2)
/interface eoip add name=eoip-tunnel1 remote-address=10.1.1.2 tunnel-id=10

Academy Xperts 38
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

R2 (Router 2) debe configurar la dirección IP remota (externa) para armar el túnel.


Recuerde que:
• local-address se refiere la IP externa local (R2)
• remote-address se refiere a la IP externa remota (R1)
/interface eoip add name=eoip-tunnel1 remote-address=10.1.1.1 tunnel-id=10

Paso 3
R1 (Router 1) debe crear un Bridge, y en este bridge agregar las interfaces ether2 y eoip-tunnel1
/interface bridge add name=bridge1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=eoip-tunnel1
R2 (Router 2) debe crear un Bridge, y en este bridge agregar las interfaces ether2 y eoip-tunnel1
/interface bridge add name=bridge1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=eoip-tunnel1
Paso 4
Las laptops de las Redes A y B deben configurar una IP de la misma subred. Por ejemplo:
Laptop Red A: 192.168.1.1/24
Laptop Red B: 192.168.1.2/24
Con esta configuración ambas laptops debe poder hacer PING entre ellos. Figura 8.2.2
Note que la Laptop de la Red B (192.168.1.2) no podrá hacer PING a R2 (Router 2) ya que están en una subred diferente.

Academy Xperts 39
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

R1 Router Trainer

192.168.a.254 200.17.1.1
10.1.1.w/30

Internet
10.1.1.w/30

eoip-tunel1 10.1.1.y/30

RED A
192.168.a.0/24

157.100.1.1

R2
192.168.a.1
10.1.1.z/30

Diagrama elaborado por: eoip-tunel1 192.168.b.0/24


192.168.b.254
ACADEMY XPERTS
Figura Detalle ID de alu mno

0-14 Esquema EOIP 192.168.a.2

Objetivos y Conceptos previos a túneles PPTP


Objetivos:
• Crear un túnel PPTP, para lo cual se requerirá que R1 actúe como PPTP-Server y R2 actúe como PPTP-Client
Bases Conceptuales:
• PPTP es un túnel seguro para transportar tráfico IP usando PPP.
• PPTP encapsula el PPP en líneas virtuales que corren sobre IP.
• PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados.
El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP. Los clientes
PPTP están disponibles en casi todos los sistemas operativos, incluso en Windows.
RouterOS soporta Multilink PPP (también conocido como MP, MLPPP, MPPP, MLP, o Multilink) con lo cual se provee un
método para esparcir el tráfico a través de múltiples conexiones PPP distintas. En una simple línea PPP los frames no
pueden arrivar fuera de orden, pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP. Por
este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. MP es un
ejemplo de tecnología de agregación de enlace.
MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP.
• MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño.
o MRRU = Maximum Received Reconstructed Unit
o El MRRU es similar al MTU (Maximum Transmission Unit), pero solo se aplica a los paquetes Multilink.
o El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar.
o Por default el MRRU es 1500 bytes, pero se puede configurar un diferente de MRRU si el equipo con el
que va a conversar permite/acepta ese nuevo valor.
• La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar
frames Ethernet a través de enlaces PPP.
De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. Para esto se necesita que el Bridge
tenga una dirección MAC o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC.
PPTP incluye contabilización y autenticación PPP para cada conexión PPTP.
La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local
RouterOS soporta los tipos de encriptación
• MPPE 40bit RC4
• MPPE 128bit RC4
El tráfico PPTP utiliza
• TCP puerto 1723
• IP protocol GRE
o GRE = Generic Routing Encapsulation
o GRE = IP protocol ID 47
PPTP puede ser usado con la mayoría de firewalls y routers habiitando TCP 1723 y GRE (protocolo 47). De esta manera el
tráfico puede ser ruteado a través del firewall o router.
Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura através de una
conexión enmascarada (NATeada).

Academy Xperts 40
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Laboratorio 8.3 – Túnel PPTP (R1 Server – R2 Client)


El diagrama inicial de configuración es el que se presenta en la Figura 8.3.1

R1 Router Trainer

192.168.a.254 200.17.1.1
10.1.1.w/30

Internet
10.1.1.w/30

Pptp-in1 10.1.1.y/30

RED A PPTP Server

192.168.a.0/24

157.100.1.1

R2
192.168.a.1
10.1.1.z/30
Pptp-out1
Diagrama elaborado por: 192.168.b.0/24
192.168.b.254
ACADEMY XPERTS PPTP Client
Figura Detalle ID de alumno

0-15 Esquema PPTP 192.168.b.1

Los pasos a seguir en este ejercicio son los siguientes:


Paso 1
R1 (Router 1) debe remover los puertos (ether2 y eoip-tunnel1) agregados a Bridge1, y también debe eliminar el Bridge1
creados en el Laboratorio 8.2
R2 (Router 2) debe remover los puertos (ether2 y eoip-tunnel1) agregados a Bridge1, y también debe eliminar el Bridge1
creados en el Laboratorio 8.2
• Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes
• No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP
Paso 2
R1 (Router 1) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración:
1. Crear el PPP SECRET. El perfil/profile que se utilizará es DEFAULT (sin encriptación)
/ppp secret add name=prueba password=prueba service=pptp local-address=10.2.2.2 \
remote-address=10.3.3.3

2. Habilitar el servicio PPTP SERVER


/interface pptp-server server set enabled=yes default-profile=default

Academy Xperts 41
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Paso 3
R2 (Router 2) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración:
/interface pptp-client add name=pptp-out1 connect-to=10.1.1.2 \
user=prueba password=prueba profile=default disabled=no

Paso 4
1. R1 (Router 1) debe verificar que se ha generado una interface pptp y que se encuentra corriendo (R). Esta interface se
ha generado dinámicamente (D)
/interface pptp-server print
Flags: X - disabled, D - dynamic, R - running
# NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING
0 DR <pptp-prueba> prueba 1450 10.1.1.6 2m31s
2. R1 debe verificar el estatus de la conexión (connected)
/interface pptp-server monitor <pptp-prueba>
status: connected
uptime: 7m1s
user: prueba
caller-id: 10.1.1.6
encoding:
mtu: 1450
mru: 1450
local-address: 10.2.2.2
remote-address: 10.3.3.3
-- [Q quit|D dump|C-z pause]
Nota: El pptp-server asignó las direcciones local (local-addres) y remota (remote-address) a ambas interfaces del túnel

Paso 5
1. R2 (Router 2) debe verificar que la interface pptp-client se encuentra corriendo (R).
/interface pptp-client print
Flags: X - disabled, R - running
0 R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.1.1.2 user="prueba"
password="prueba" profile=default keepalive-timeout=60 add-default-route=no
dial-on-demand=no allow=pap,chap,mschap1,mschap2
2. R2 debe verificar el estatus de la conexión (connected)
/interface pptp-client monitor
pptp-out1 do file interval numbers
[admin@R2] > interface pptp-client monitor pptp-out1

Academy Xperts 42
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

status: connected
uptime: 12m22s
encoding:
mtu: 1450
mru: 1450
local-address: 10.3.3.3
remote-address: 10.2.2.2
-- [Q quit|D dump|C-z pause]

Paso 6
R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como
Gateway la dirección IP de la inteface del túnel PPTP remota
/ip route add dst-address=192.168.2.0/24 gateway=10.3.3.3
R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como
Gateway la dirección IP de la inteface del túnel PPTP remota
/ip route add dst-address=192.168.1.0/24 gateway=10.2.2.2
Paso 7
R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.2.254
R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.1.254

Academy Xperts 43
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Laboratorio 8.4 – Túnel PPTP (R1 Client – R2 Server)


El diagrama inicial de configuración es el que se presenta en la Figura 8.4.1

R1 Router Trainer

192.168.a.254 200.17.1.1
10.1.1.w/30

Internet
10.1.1.w/30

Pptp-out1 10.1.1.y/30

RED A PPTP Client

192.168.a.0/24

157.100.1.1

R2
192.168.a.1
10.1.1.z/30
Pptp-in1
Diagrama elaborado por: 192.168.b.0/24
PPTP Server 192.168.b.254
ACADEMY XPERTS
Figura Detalle ID de alumno

0-16 Esquema PPTP 192.168.b.1

Los pasos a seguir en este ejercicio son los siguientes:


Paso 1
R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.3 (dst-address=192.168.2.0/24 gateway=10.3.3.3)
R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.3 (dst-address=192.168.1.0/24 gateway=10.2.2.2)
• Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes
• No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP
• Es IMPORTANTE que se mantenga el túnel PPTP creado en el Laboratorio 8.3 para demostrar que un mismo router
puede actuar como Cliente y Server a la vez.
Paso 2
R2 (Router 2) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración:
1. Crear el PPP SECRET. El perfil/profile que se utilizará es DEFAULT (sin encriptación)
/ppp secret add name=prueba password=prueba service=pptp local-address=10.4.4.4 \
remote-address=10.5.5.5
2. Habilitar el servicio PPTP SERVER
/interface pptp-server server set enabled=yes default-profile=default
Paso 3
R1 (Router 1) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración:
/interface pptp-client add name=pptp-out1 connect-to=10.1.1.6 \
user=prueba password=prueba profile=default disabled=no
Paso 4
1. R2 (Router 2) debe verificar que se ha generado una interface pptp y que se encuentra corriendo (R). Esta interface se
ha generado dinámicamente (D)
/interface pptp-server print
Flags: X - disabled, D - dynamic, R - running
# NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING
0 DR <pptp-prueba> prueba 1450 10.1.1.2 1m16s
2. R2 debe verificar el estatus de la conexión (connected)
interface pptp-server monitor <pptp-prueba>
status: connected
uptime: 4m23s
user: prueba
caller-id: 10.1.1.2
encoding:

Academy Xperts 44
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

mtu: 1450
mru: 1450
local-address: 10.4.4.4
remote-address: 10.5.5.5
-- [Q quit|D dump|C-z pause]
Nota: El pptp-server asignó las direcciones local (local-addres) y remota (remote-address) a ambas interfaces del túnel
Paso 5
1. R1 (Router 1) debe verificar que la interface pptp-client se encuentra corriendo (R).
/interface pptp-client print
Flags: X - disabled, R - running
0 R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.1.1.2 user="prueba"
password="prueba" profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no
allow=pap,chap,mschap1,mschap2
2. R1 debe verificar el estatus de la conexión (connected)
/interface pptp-client monitor
pptp-out1 do file interval numbers
[admin@R2] > interface pptp-client monitor pptp-out1
status: connected
uptime: 12m22s
encoding:
mtu: 1450
mru: 1450
local-address: 10.5.5.5
remote-address: 10.4.4.4
-- [Q quit|D dump|C-z pause]

Paso 6
R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como
Gateway la dirección IP de la inteface del túnel PPTP remota
/ip route add dst-address=192.168.2.0/24 gateway=10.4.4.4
R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como
Gateway la dirección IP de la inteface del túnel PPTP remota
/ip route add dst-address=192.168.1.0/24 gateway=10.5.5.5
Paso 7
R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.2.254
R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.1.254

Nota: Al final de este ejercicio puede constatar que un mismo router puede actuar como Cliente y como Server al mismo
tiempo cuando se configuran túneles.

Academy Xperts 45
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Laboratorio 8.5 – Bridge a través de un túnel PPTP usando BCP


Objetivos:
• Interconectar 2 redes remotas (Red A y Red B) y formar una sola red Ethernet (un mismo dominio de broadcast)
• Se requiere usar encriptación para proteger la integridad de los datos.
• Esta actividad se realizará con túnel PPTP y protocolo BCP
Bases Conceptuales:
• RouterOS soporta BCP (Bridge Control Protocol) para las interfaces PPP, PPTP, L2TP y PPPoE.
• BCP permite que los paquetes pasen en Bridge a través de un enlace PPP.
• Para hacer Bridging, BCP puede utilizarse en lugar de EoIP + Túnel VPN
• Para hacer Bridging, BCP puede utilizarse en lugar de un enlace WDS en una red inalámbrica
Cuando se establece el BCP, éste constituye una parte independiente del túnel PPP. No está relacionado a ninguna dirección
IP de la interface PPP, razón por la cual el Bridging y el Routing se pueden realizar al mismo tiempo de forma independiente.
Requerimientos:
• BCP debe ser habilitado en ambos lados (PPP server y PPP cliente) para poder funcionar.
• RouterOS puede trabajar con otros dispositivos que soporte BCP de acuerdo al estándar siempre y cuando el BCP
esté habilitado.
El diagrama de configuración al que se desea llegar es el que se presenta en la Figura 8.5.1

R1 Router Trainer

192.168.1.254 200.17.1.1
10.1.1.w/30

Internet
10.1.1.w/30

Pptp-in1 10.1.1.y/30

RED A
192.168.1.0/24

157.100.1.1

R2
192.168.1.1
10.1.1.z/30

Diagrama elaborado por: Pptp-out1 192.168.1.0/24


192.168.1.253
ACADEMY XPERTS
Figura Detalle ID de alumno
192.168.1.2
0-17 Esquema PPTP + BCP

Paso 1
1. R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.4 (dst-address=192.168.2.0/24
gateway=10.5.5.5)
2. R1 (Router 1) debe eliminar la IP asignada a la interface ether2 (192.168.1.254/24)
3. R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.4 (dst-address=192.168.1.0/24
gateway=10.4.4.4)
4. R2 (Router 2) debe eliminar la IP asignada a la interface ether2 (192.168.2.254/24)
5. Después de eliminar las direcciones IP de las interfaces ether2, los estudiantes deberán ingesar por MAC Winbox a los
respectivos dispositivos.
6.
Notas importantes:
• Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes
• No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP
• No es necesario que los Routers desactiven/eliminen los túneles PPTP creados en los Laboratorios 8.3 y 8.4

Academy Xperts 46
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

Paso 2 (configuración en R1 <Router 1> en la RED A)


1. Primero se debe crear una interface Bridge, y se debe segurar que el Bridge tiene una dirección MAC. El motivo es
porque los puertos PPP no tienen dirección MAC.
/interface bridge add name=bridge_local protocol-mode=rstp
/interface bridge port add bridge=bridge_local interface=ether2
2. Debemos asegurarnos que el Bridge posee una dirección MAC. Para esto asignamos la MAC de la interface ether2 al
bridge com MAC de Administración. D4:CA:6D:E5:7F:DF es la dirección MAC de ether2 en el router del laboratorio
ejemplo. Usted debe obtener la dirección MAC de su equipo.
/interface bridge set bridge_local admin-mac=D4:CA:6D:E5:7F:DF
3. Asignamos las IP a la interface bridge_local. Se asume que la interface wlan ya tiene asignada su IP desde los
laboratorios anteriores.
/ip address add address=192.168.1.254/24 interface=bridge_local
4. En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge, por lo que la configuración del Profile
PPP es sencilla y no requiere que se asignen direcciones IP a las interfaces de túnel local y remoto. Por lo tanto solo se
va a user/password, y muy importante especificar la opción bridge en el Profile.
/ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes
/ppp secret add profile=ppp_bridge name=pruebabridge password=pruebabridge

5. Cuando se hace Bridge, el túnel PPP necesita pasar los paquetes con la cabecera de Capa 2 incluida, por lo que el
valor MTU de la interface no es suficiente. Para el caso de túneles PPTP el MTU es de 1460. Para asegurar una
operación apropiada se sugiere modificar el valor del MRRU en el router que hace de Server, po lo que se debe
especificar un valor de MRRU mayor. Recuerde que MRRU permite habilitar soporte multi-link sobre un enlace único, y
lo hace dividiendo el paquete hacia múltiples canales y por consiguiente incrementando el valor de MTU y MRRU.
/interface pptp-server server set enabled=yes mrru=1600

Paso 3 (configuración en R2 <Router 2> en la RED B)


1. Primero se debe crear una interface Bridge, y se deba segurar que el Bridge tiene una dirección MAC. El motivo es
porque los puertos PPP no tienen dirección MAC.
/interface bridge add name=bridge_local protocol-mode=rstp
/interface bridge port add bridge=bridge_local interface=ether2
2. Debemos asegurarnos que el Bridge posee una dirección MAC. Para esto asignamos la MAC de la interface ether2 al
bridge com MAC de Administración. D4:CA:6D:B4:31:19 es la dirección MAC de ether2 en el router del laboratorio
ejemplo. Usted debe obtener la dirección MAC de su equipo.
/interface bridge set bridge_local admin-mac=D4:CA:6D:B4:31:19

Academy Xperts 47
RouterOS v6.34.3.01 – Laboratorios Capítulo 8

3. Asignamos las IP a la interface bridge_local. Se asume que la interface wlan ya tiene asignada su IP desde los
laboratorios anteriores.
/ip address add address=192.168.1.253/24 interface=bridge_local
4. En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge, por lo que la configuración del Profile
PPP es sencilla. Por lo tanto es muy importante especificar la opción bridge en el Profile. Recuerde que R2 actuará
como Cliente PPTP por lo que NO necesita configurar SECRET.
/ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes

5. Se debe crear la interface pptp-client. Recuerde que se debe especificar el valor de MRRU del mismo valor al que se
especificó en el pptp-server. De esta forma se asegura que los paquetes pasen adecuadamente por el tunel PPP.
/interface pptp-client add profile=ppp_bridge mrru=1600 connect-to=10.1.1.2 user=pruebabridge
password=pruebabridge disabled=no

Pasó 4
Las laptops de las Redes A y B deben configurar una IP de la misma subred. Por ejemplo:
Laptop Red A: 192.168.1.1/24
Laptop Red B: 192.168.1.2/24
Con esta configuración ambas laptops debe poder hacer PING entre ellos.

Academy Xperts 48