Вы находитесь на странице: 1из 144

Conceptos Fundamentales

de MikroTik RouterOS
v6.34.3.01
Libro de Estudio

ABC Xperts ®
Network Xperts ®
Academy Xperts ®

Derechos de autor y marcas registradas


Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo

Derechos de autor © por Academy Xperts


Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier
medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos
en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte
de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.34.3.01 – Libro de Estudio

Tabla de Contenido
Introducción ......................................................................................................................................................... v
Resumen .......................................................................................................................................................................... vi
Audiencia .......................................................................................................................................................................... vi
Organización .................................................................................................................................................................... vi
Convenciones usadas en este libro................................................................................................................................. vii
Comentarios y preguntas ................................................................................................................................................ vii
Un poco de Historia (Costa Rica) ................................................................................................................................... viii
Cubriendo un País con MikroTik. ........................................................................................................................... viii
Capítulo 1: RouterOS .......................................................................................................................................... 1
Sobre MikroTik ................................................................................................................................................................. 1
¿Qué es RouterOS? ......................................................................................................................................................... 1
Característica de RouterOS ............................................................................................................................................. 2
Qué hay de nuevo en la Versión 6 ................................................................................................................................... 4
Detalle de cambios en las tres últimas versiones de RouterOS....................................................................................... 7
Qué es RouterBOARD? ................................................................................................................................................. 13
Arquitecturas Soportadas: ...................................................................................................................................... 13
Programa Made For MikroTik (MFM) ............................................................................................................................. 13
Por qué trabajar con un router integrado?...................................................................................................................... 13
Nomenclatura de los productos RouterBOARD ............................................................................................................. 14
Nomenclatura de los productos CloudCoreRouter ......................................................................................................... 15
Nomenclatura de los productos CloudCoreSwitch ......................................................................................................... 15
Ingresando al Router por Primera vez............................................................................................................................ 16
WebFig - Ingreso por Web Browser ............................................................................................................................... 16
Skins ....................................................................................................................................................................... 17
Quickset .................................................................................................................................................................. 18
WinBox ........................................................................................................................................................................... 19
RoMON........................................................................................................................................................................... 20
Secrets ................................................................................................................................................................... 21
Peer Discovery ....................................................................................................................................................... 21
Aplicaciones ........................................................................................................................................................... 21
Otras formas de acceso: SSH y Telnet .......................................................................................................................... 22
Acceso por puerto serial (puerto de Consola) ........................................................................................................ 22
Bootloader .............................................................................................................................................................. 22
Consola Serial / Terminal Serial ............................................................................................................................. 23
Configuración Básica o dejar el router en Blanco? ........................................................................................................ 23
Actualizando el router ..................................................................................................................................................... 24
Cómo hacer un Upgrade ........................................................................................................................................ 25
Actualización automática ........................................................................................................................................ 26
RouterBoot firmware Upgrade ................................................................................................................................ 26
Administración de usuarios en un RouterOS ......................................................................................................... 27
Administración de servicios en un RouterOS (IP Services) ........................................................................................... 27
Administración de los respaldos (backup) de las configuraciones ................................................................................. 28
Comando export ..................................................................................................................................................... 28
Guardar archivos de Backup .................................................................................................................................. 28
Licencias RouterOS........................................................................................................................................................ 28
Niveles de Licencias ............................................................................................................................................... 29
Cambio de Niveles de Licencias ............................................................................................................................ 30
Uso de las Licencias ............................................................................................................................................... 30
NetInstall......................................................................................................................................................................... 31
Procedimientos para usar Netinstall ....................................................................................................................... 31
Recursos adicionales ..................................................................................................................................................... 33
Preguntas de repaso del Capítulo 1 ............................................................................................................................... 35
Laboratorio – Capítulo 1 ................................................................................................................................................. 35
Capítulo 2: Ruteo Estático ................................................................................................................................ 36
Conceptos de Ruteo ....................................................................................................................................................... 36
Routing o enrutamiento .......................................................................................................................................... 36
Etiquetas de Rutas ................................................................................................................................................. 37
Significado de las etiquetas de rutas más comunes: ............................................................................................. 37
Rutas Estáticas............................................................................................................................................................... 38
Propiedades generales ........................................................................................................................................... 39
Propiedades de solo-lectura ................................................................................................................................... 40
Configurando la Ruta por Defecto .................................................................................................................................. 41
Gestión de Rutas Dinámicas .......................................................................................................................................... 41

Academy Xperts i
RouterOS v6.34.3.01 – Libro de Estudio

Preguntas de repaso del Capítulo 2 ............................................................................................................................... 42


Laboratorio – Capítulo 2 ................................................................................................................................................. 42
Capítulo 3: Bridge.............................................................................................................................................. 43
Conceptos de Bridging ................................................................................................................................................... 43
Usando Bridges .............................................................................................................................................................. 44
Creando un Bridge ......................................................................................................................................................... 45
Preguntas de repaso del Capítulo 3 ............................................................................................................................... 45
Laboratorio – Capítulo 3 ................................................................................................................................................. 45
Capítulo 4: IEEE 802.11 (Wireless) .................................................................................................................. 46
Conexión Inalámbrica ..................................................................................................................................................... 46
IEEE 802.11 ................................................................................................................................................................... 46
Frecuencias y bandas: ........................................................................................................................................... 46
802.11b/g ................................................................................................................................................................ 46
802.11a ................................................................................................................................................................... 47
Problema del Nodo Oculto ............................................................................................................................................. 48
Diversidad Espacial ................................................................................................................................................ 49
basic-rates / supported-rates .......................................................................................................................................... 49
HT chains ....................................................................................................................................................................... 50
802.11n - Data Rates ..................................................................................................................................................... 50
802.11ac - Data Rates.................................................................................................................................................... 51
Tipos de Modulación ...................................................................................................................................................... 52
Modo de Frecuencia (frequency-mode) ......................................................................................................................... 52
Rate Flapping ................................................................................................................................................................. 52
Configuración básica de un Access Point (AP) .............................................................................................................. 53
Perfil de Seguridad (Security profile) .............................................................................................................................. 54
Configuración básica de una Estación (client/station) .................................................................................................... 55
Filtrado por MAC address............................................................................................................................................... 55
Access-list .............................................................................................................................................................. 55
Parámetros adicionales: ......................................................................................................................................... 56
Connect-list: ............................................................................................................................................................ 56
Default-authentication ............................................................................................................................................. 57
Default-forwarding .................................................................................................................................................. 57
WPA, WPA2 ................................................................................................................................................................... 57
Protocolos Wireless propietarios de MikroTik ................................................................................................................ 58
NV2 (Nstreme Version 2) ....................................................................................................................................... 58
Herramientas de monitoreo ............................................................................................................................................ 58
Wireless scan ......................................................................................................................................................... 58
Snooper .................................................................................................................................................................. 59
Registration table .................................................................................................................................................... 59
Redes inalámbricas en Modo Bridge.............................................................................................................................. 59
Preguntas de repaso del Capítulo 4 ............................................................................................................................... 60
Laboratorio – Capítulo 4 ................................................................................................................................................. 60
Capítulo 5: Network Management .................................................................................................................... 61
ARP / RARP ................................................................................................................................................................... 61
Modos ARP ............................................................................................................................................................ 62
Tabla ARP .............................................................................................................................................................. 63
Sintaxis ARP ........................................................................................................................................................... 63
Servidor / Cliente DHCP ................................................................................................................................................. 63
DHCP Server Setup ............................................................................................................................................... 65
DHCP Client ........................................................................................................................................................... 67
Gestión de Asignaciones ................................................................................................................................................ 67
Preguntas de repaso del Capítulo 5 ............................................................................................................................... 68
Laboratorio – Capítulo 5 ................................................................................................................................................. 68
Capítulo 6: Firewall............................................................................................................................................ 69
Conceptos básicos de Firewall ....................................................................................................................................... 69
¿Cómo funciona un firewall? .................................................................................................................................. 69
Mapa de Protocolos ................................................................................................................................................ 75
Flujo de Paquetes........................................................................................................................................................... 75
Connection Tracking y sus Estados ............................................................................................................................... 77
TCP-States ............................................................................................................................................................. 78
Estados de las Conexiones (connection-state) ...................................................................................................... 78
Estructura: chains y acciones ......................................................................................................................................... 78
Filtrado Firewall en acción ...................................................................................................................................... 79
Consejos Básicos y trucos ..................................................................................................................................... 79

Academy Xperts ii
RouterOS v6.34.3.01 – Libro de Estudio

Filtrado por Parámetros .......................................................................................................................................... 79


Filter actions ................................................................................................................................................................... 79
Protegiendo tu router (input)........................................................................................................................................... 80
Protegiendo a todos los clientes (forward) ..................................................................................................................... 80
Address-list conceptos básicos ...................................................................................................................................... 80
Source NAT .................................................................................................................................................................... 81
masquerade & src-nat ............................................................................................................................................ 81
Destination NAT ............................................................................................................................................................. 82
dst-nat & redirect .................................................................................................................................................... 83
scripts ............................................................................................................................................................................. 83
Preguntas de repaso del Capítulo 6 ............................................................................................................................... 84
Laboratorio – Capítulo 6 ................................................................................................................................................. 84
Capítulo 7: QoS.................................................................................................................................................. 85
Simple Queue (Cola simple)........................................................................................................................................... 85
Burst ............................................................................................................................................................................... 86
Limitación de Tráfico ...................................................................................................................................................... 87
PCQ ................................................................................................................................................................................ 88
Preguntas de repaso del Capítulo 7 ............................................................................................................................... 90
Laboratorio – Capítulo 7 ................................................................................................................................................. 90
Capítulo 8: Túneles ........................................................................................................................................... 91
Introducción .................................................................................................................................................................... 91
RouterOS y Túneles ....................................................................................................................................................... 92
/ppp profile (perfiles de usuario) ..................................................................................................................................... 92
/ppp secret (base de datos de usuario) .......................................................................................................................... 94
/ppp active (usuarios activos) ......................................................................................................................................... 94
/ppp aaa (AAA remoto) ................................................................................................................................................... 95
/ppp client (cliente PPP) ................................................................................................................................................. 95
/ip pool ............................................................................................................................................................................ 96
PPPoE ............................................................................................................................................................................ 97
Operación PPPoE .................................................................................................................................................. 97
Tipos de paquetes utilizados .................................................................................................................................. 98
MTU ........................................................................................................................................................................ 99
pppoe client (Cliente PPPoE) ................................................................................................................................. 99
Status ..................................................................................................................................................................... 99
Scanner ................................................................................................................................................................ 100
Configuración del Server PPPoE (Concentrador de Acceso) .............................................................................. 100
PPTP ............................................................................................................................................................................ 102
PPTP Client (cliente pptp) .................................................................................................................................... 104
PPTP Server (servidor pptp) ................................................................................................................................ 104
L2TP ............................................................................................................................................................................. 105
L2TP Client (cliente l2tp) ...................................................................................................................................... 105
L2TP Server (servidor l2tp) .................................................................................................................................. 106
Clientes y servidores SSTP .......................................................................................................................................... 106
Clientes y Servidores OpenVPN .................................................................................................................................. 107
Configuración de Rutas entre redes ............................................................................................................................. 107
Preguntas de repaso del Capítulo 8 ............................................................................................................................. 108
Laboratorio – Capítulo 8 ............................................................................................................................................... 108
Capítulo 9: Herramientas RouterOS .............................................................................................................. 109
E-mail ........................................................................................................................................................................... 109
Send Email ........................................................................................................................................................... 109
Netwatch....................................................................................................................................................................... 110
Ping .............................................................................................................................................................................. 112
Formato de la cabecera (header) ICMP ............................................................................................................... 112
Mensajes de Control ICMP ................................................................................................................................... 112
MAC ping .............................................................................................................................................................. 115
Traceroute .................................................................................................................................................................... 115
Profiler (Carga del CPU)............................................................................................................................................... 116
Torch ............................................................................................................................................................................ 118
Graphing (Gráficos) ...................................................................................................................................................... 119
Interface Graphing ................................................................................................................................................ 121
Queue Graphing ................................................................................................................................................... 121
Resource Graphing .............................................................................................................................................. 121
Graphics en WinBox ............................................................................................................................................. 122
SNMP ........................................................................................................................................................................... 122
Configuración rápida ............................................................................................................................................ 122

Academy Xperts iii


RouterOS v6.34.3.01 – Libro de Estudio

SNMP dentro del mapa de Protocolos TCP/IP ..................................................................................................... 123


Community (Comunidad) ...................................................................................................................................... 124
Management information base (MIB) ................................................................................................................... 125
Identificadores de Objetos (OID - Object identifiers) ............................................................................................ 125
Traps .................................................................................................................................................................... 125
SNMP write ........................................................................................................................................................... 126
System identity ............................................................................................................................................................. 126
IP Neighbor................................................................................................................................................................... 127
IP Neighbor discovery .......................................................................................................................................... 128
Ponerse en contacto con Soporte MikroTik.................................................................................................................. 129
Supout.rif .............................................................................................................................................................. 129
Supout.rif Viewer .................................................................................................................................................. 129
Registros (logging) del sistema y registros de depuración ........................................................................................... 131
Configuración del Logging .................................................................................................................................... 131
Actions .................................................................................................................................................................. 132
Tópicos ................................................................................................................................................................. 133

Academy Xperts iv
RouterOS v6.34.3.01 – Libro de Estudio

Introducción
MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema operativo de red
altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al
mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico
y multi-núcleo, este hardware es el RouterBOARD.
A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes
por nuestros racks, siendo Cisco el referente, sin embargo siempre había representado un costo más o menos importante a
la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP.
No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios
emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y
RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica
(Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y
gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas.
Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del
networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su
internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y
medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD.
Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino
que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de
fabricantes y costos de implementación.
Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar
en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente
importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.

Mauro Escalante
CEO Academy Xperts
CEO Network Xperts

Academy Xperts v
RouterOS v6.34.3.01 – Libro de Estudio

Resumen
Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de
certificación, pero que resultan claves para el correcto entendimiento de la materia.
La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y
www.youtube.com/abcxperts
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es
invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el
material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas
que optan por leer un libro y estudiar a su propio ritmo.
Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de
RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción.
Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía
de autoestudio MikroTik.

Audiencia
Las personas que leen este libro deben estar familiarizados con:
• Operaciones de red en Capa 2
• Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP
Este libro está dirigido a:
• Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a:
§ Redes Corporativas
§ Clientes WISP e ISP
• Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes
corporativa y PYMES
• Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario
(Help Desk)

Organización
Este libro consta de 8 capítulos. Al final de cada capítulo existe una lista de que resume las ideas principales. El apéndice
proporciona material de referencia de utilidad,
Capítulo 1, MikroTik, RouterOS y RouterBOARD
Una rápida revisión sobre quien es MikroTik, el desarrollo del hardware RouterBOARD, y la base de su sistema operativo
RouterOS en el kernel de Linux. Se enumeran todas las nuevas características que hacen a la versión 6.x.El contenido de
este capítulo se apoya en los videos tutoriales de nuestro canal de conocimiento ABCxperts (http://www.abcxperts.com) en
la plataforma YouTube (http://www.youtube.com/abcxperts).
Capítulo 2, Ruteo Estático
Trabajar en ruteo estático es muy sencillo en el RouterOS, sin embargo es muy importante fortalecer los conceptos y
comprender los diferentes parámetros asociados con esta tarea. Los instructores (MikroTik Trainer Partners) deben fortalecer
este entendimiento con ejercicios de laboratorio y prácticas teóricas. En nuestro canal de YouTube
(http://www.youtube.com/abcxperts) tenemos video basados en Webinars específicamente sobre Conceptos de Ruteo,
Subnetting, y VLSM.
Capítulo 3, Bridge
Una revisión del concepto de bridge, ventajas y desventajas.
Capítulo 4, Wireless
El mundo de Wireless en RouterOS es sumamente extenso y versátil, sin embargo en este capítulo del curso se sientan las
bases para poder realizar enlaces básicos y de mediana envergadura para punto-punto y punto-multipunto. En este capítulo
se revisan temas como la seguridad Wireless, filtrado por MAC (address-list y access-list), HT chains, rate flapping, etc.
Capítulo 5, Network Management
RouterOS es un sistema operativo que provee diferentes herramientas de administración y monitoreo. En este capítulo se
revisarán temas como ARP, DHCP Server, DHCP Cliente, Herramientas de RouterOS (email, netwatch, ping, traceroute,
profiler, IP neighbors)
Capítulo 6, Firewall
La función Firewall de RouterOS es sumamente poderosa y en esta sección se tratará de cubrir las opciones y acciones más
importantes destinadas a proteger el router y la red, así como también las formas de proveer acceso a recursos de LAN a
través de un dispositivo que da la cara a Internet o red externa. Existen decenas de parámetros y situaciones entre las que
se revisarán: Flujo de paquetes, Connection Track, Chains, Actions, Filtros, NAT (src-nat, dst-nat), Mangle.
Capítulo 7, Colas Simples y QoS
Si bien es cierto las Colas Simples (simple-queues) son “simples”, sin embargo proporcionan una posibilidad casi ilimitada
para realizar una verdadera implementación de calidad de servicio (QoS) de la mano con las reglas de Mangle. Colas simples

Academy Xperts vi
RouterOS v6.34.3.01 – Libro de Estudio

tiene sus limitaciones sobre la eficiencia de la asignación de ancho de banda, pero en los ejercicios que se desarrollen se
podrá emular una estructura jerárquica que podrá ser mejorada en el curso de Control de Tráfico Avanzado.
Capítulo 8, Túneles
Por qué son necesarios los túneles? Cómo entender las interfaces virtuales que se generan? Cómo interconectar dos o más
redes remotas a través de internet? Viajan los datos en forma segura o están expuesto en la nube? Este capítulo enseña
cómo crear los diferentes tipos de túneles PPP en RouterOS. Se revisarán los parámetros y esquema de configuración de
túneles: PPPoE, PPTP, L2TP, SSTP y OVPN

Convenciones usadas en este libro


En este libro se utilizarán las siguientes convenciones tipográficas:
Itálicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso
de términos técnicos
Courier new
Indica direcciones IP y ejemplos de línea de comando
Courier new en itálica
Indica texto que puede ser reemplazado
Courier new en negrita
Indica datos de entrada del usuario

Este icono significa un consejo, sugerencia, o una nota general.

Este icono indica una advertencia o precaución.

Comentarios y preguntas
Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección:
Network Xperts S.A.
Av. Juan T. Marengo y J. Orrantia
Edificio Professional Center, Piso 5, Ofic. 507
Guayaquil, ECUADOR
+593-4-600-8590
+593-9-9535-2132

A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información
adicional:
http://cursos.abcxperts.com

Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
libro@abcxperts.com

Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros
Websites y canal de YouTube
http://www.abcxperts.com
http://www.academyxperts.com
http://www.youtube.com/abcxperts

Academy Xperts vii


RouterOS v6.34.3.01 – Libro de Estudio

Un poco de Historia (Costa Rica)


Cubriendo un País con MikroTik.
En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing.
Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2
Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps.
En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas
bajo la misma marca MikroTik y su sistema operativo RouterOS.
Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron
formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o
se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A (REICO).
Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones
inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de
80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para alcanzar una cobertura de
más del 80% del territorio y a más del 90% de la población.
La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales,
turísticos, comerciales, etc.
Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus
más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK.
REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con
grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica
en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro,
Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa
Rica 2014.

Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico
sobre los inicios de MikroTik en Latinoamérica.

Academy Xperts viii


RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Capítulo 1: RouterOS
MikroTik, RouterOS y RouterBOARD

Sobre MikroTik
MikroTik es una compañía fundada en 1995 en Riga, capital de Latvia, creada para desarrollar routers y sistemas
inalámbricos para Proveedores de Servicios de Internet (ISP – Internet Service Provider)

En 1997 MikroTik creó el sistema de software RouterOS que proporciona estabilidad, control y flexibilidad para todos los
tipos de interfaces de datos y ruteo
En el 2002 MikroTik decidió fabricar su propio hardware y de esta forma nace el RouterBOARD. MikroTik tiene distribuidores
en muchas partes del mundo, y clientes probablemente en casi todos los países del planeta.
Páginas de interés:
www.mikrotik.com Website oficial
www.routerboard.com Página oficial de los productos RouterBOARD
wiki.mikrotik.com Portal de documentación
tiktube.com Portal de videos
mum.mikrotik.com Eventos y conferencias del MikroTik User Meeting
forum.mikrotik.com Foro de soporte oficial

¿Qué es RouterOS?
MikroTik RouterOS es el sistema operativo del hardware MikroTik RouterBOARD, que tiene las características necesarias
para un ISP: Firewall, Router, MPLS, VPN, Wireless, HotSpot, Calidad de Servicio (QoS), etc.
RouterOS es un sistema operativo independiente basado en el kernel de Linux v3.3.5 que proporciona todas las funciones
en una instalación rápida y sencilla, con una interfaz fácil de usar.
RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles con x86, como tarjetas embebidas y
sistemas miniITX. RouterOS soporta computadores multi-core y multi CPU. Soporta tambien Multiprocesamiento Simétrico
(SMP: Symmetric MultiProcessing). Se puede ejecutar en los motherboards Intel más recientes y aprovechar los nuevos
CPUs multicore.
Multiprocesamiento Simétrico
Es una arquitectura de Software y Hardware donde dos o más procesadores idénticos son conectados a una simple memoria
compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son controlados por una simple instancia
del OS (Sistema Operativo), en el cual todos los procesadores son tratados en forma igualitaria, sin que ninguno sea
reservado para propósitos especiales.
En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos, tratándolos como
procesadores separados.
El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo. Soporta una gran
variedad de interfaces de red, incluyendo tarjetas Ethernet de 10 Gigabit, tarjetas wireless 802.11a/b/g/n/ac y módems 3G y
4G.

Academy Xperts 1
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Fechas de liberación de las versiones de RouterOS


• v6 - May 2013
• v5 - Mar 2010
• v4 - Oct 2009
• v3 - Ene 2008

Característica de RouterOS
Soporte de Hardware
• Compatible con arquitectura i386
• Compatible con SMP (multi-core y multi-CPU)
• Requiere un mínimo de 32MB de RAM (reconoce hasta máximo 2GB, excepto en los dispositivos Cloud Core, donde
no existe un máximo)
• Soporta los medios de almacenamiento IDE, SATA, USB y flash, con un mínimo de 64MB de espacio. Incluye
HDDs, tarjetas CF y SD, y discos SDD
• Tarjetas de red soportadas por el kernel de Linux v3.3.5 (PCI, PCI-X)
• Soporte de configuración de Chip de Switch:
o http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
• Compatibilidad de diferentes tipos de interfaces y dispositivos. Existe una lista de compatibilidad que alimentada
por los usuarios en el siguiente link:
o http://wiki.mikrotik.com/wiki/Supported_Hardware
Instalación
• Netinstall: Instalación basada en red desde una tarjeta de red habilitada con PXE o EtherBoot.
o http://wiki.mikrotik.com/wiki/Manual:Netinstall
• Netinstall: Instalación a un drive secundario montado en Windows
• Instalación basada en CD
Configuración
• Acceso basado en MAC para configuración inicial. http://wiki.mikrotik.com/wiki/Manual:First_time_startup
• WinBox: herramientas de configuración gráfica (GUI) independiente para Windows.
o http://wiki.mikrotik.com/wiki/Manual:Winbox
• WebFig: Interface de configuración avanzada basada en web
• Poderosa interface de configuración basada en Línea de Comandos (CLI: command line) con capacidades de
scripting integrado, accesible a través de terminal local, consola serial, telnet y ssh.
o http://wiki.mikrotik.com/wiki/Manual:Scripting
• API: una forma de crear sus propias configuraciones y aplicaciones de monitoreo.
o http://wiki.mikrotik.com/wiki/Manual:API
Respaldo y Restauración (Backup/Restore)
• Copia de seguridad se configuración binaria
• Exportar e Importar la Configuración en formato de texto legible
Firewall
• Filtrado basado en el estado del paquete (Statefull filtering)
• Source NAT y Destination NAT.
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
• NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp).
o http://wiki.mikrotik.com/wiki/Manual:IP/Services#Service_Ports
• Marcas internas: mark-connection, mark-routing y mark-packet
• Filtrado basado en dirección IP y rango de direcciones, puerto y rango de puertos, protocolo IP, DSCP y muchos
más.
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
• Listas de direcciones (Address lists).
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list
• Filtros de Capa 7 personalizados.
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
• Soporte para IPv6.
o http://wiki.mikrotik.com/wiki/Manual:IPv6_Overview
• PCC: clasificador basado en conexión, utilizado en configuraciones de balanceo de carga.
o http://wiki.mikrotik.com/wiki/Manual:PCC
Ruteo (Routing)
• Ruteo Estático
• Virtual Routing and Forwarding (VRF).
o http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding

Academy Xperts 2
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

• Ruteo basado en políticas (Policy based routing)


• Interface de ruteo. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Routes_with_interface_as_a_gateway
• Ruteo ECMP. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Multipath_.28ECMP.29_routes
• Protocolos de ruteo dinámico IPv4: RIP v1/v2, OSPFv2, BGP v4
• Protocolos de ruteo dinámico IPv6: RIPng, OSPFv3, BGP
• Bidirectional Forwarding Detection ( BFD).
o http://wiki.mikrotik.com/wiki/Manual:Routing/BFD
MPLS
• Static Label bindings para IPv4
• Label Distribution protocol para IPv4.
o http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS
• Túneles de Ingeniería de Tráfico RSVP.
o http://wiki.mikrotik.com/wiki/Manual:MPLS/TE_Tunnels
• Autodescubrimiento y señalización basado en VPLS MP-BGP
• MP-BGP basado en MPLS IP VPN
• Es el siguiente link se puede revisar la lista completa de las características de MPLS
VPN
• IPsec: túnel y modo de transporte, certificado o PSK, protocolos de seguridad AH y ESP. Soporte de encriptación
por hardware en RouterBOARD 1000.
o http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
• Point to point Tunneling (OpenVPN, PPTP, PPPoE, L2TP, SSTP)
• Características avanzadas de PPP (MLPPP, BCP)
• Soporte para túneles simples ( IPIP, EoIP) IPv4 e IPv6
• Soporte para túnel 6to4 (IPv6 sobre red IPv4)
• VLAN: soporte para IEEE802.1q Virtual LAN, Soporte de Q-in-Q.
o http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
• VPNs basadas en MPLS.
o http://wiki.mikrotik.com/wiki/Manual:RouterOS_features#MPLS
Wireless
• Cliente y Access Point inalámbrico IEEE802.11a/b/g
• Soporte completo para IEEE802.11n
• Protocolos propietarios Nstreme y Nstreme2
• Protocolo NV2. http://wiki.mikrotik.com/wiki/Manual:Nv2
• Wireless Distribution System (WDS)
• Virtual AP
• WEP, WPA, WPA2
• Control por Lista de Acceso (Access List)
• Roaming de cliente Wireless
• WMM. http://wiki.mikrotik.com/wiki/Manual:WMM
• Protocolo HWMP+ Wireless MESH.
o http://wiki.mikrotik.com/wiki/Manual:Interface/HWMPplus
• Protocolo de ruteo wireless MME.
o http://wiki.mikrotik.com/wiki/Manual:Routing/MME
DHCP
• DHCP server por interface
• DHCP client y relay
• Arrendamiento de direcciones IP (leases) DHCP estáticas y dinámicas
• Soporte RADIUS
• Opciones personalizadas de DHCP
• Delegación de prefijo DHCPv6 (DHCPv6-PD)
• Cliente DHCPv6
HotSpot
• Acceso Plug-n-Play a la red
• Autenticación de clientes de red locales
• Contabilización de usuarios (Users Accounting)
• Soporte RADIUS para Autenticación y Contabilización
QoS
• Sistema Hierarchical Token Bucket ( HTB) QoS con CIR, MIR, burst y soporte de prioridades.
o http://wiki.mikrotik.com/wiki/Manual:HTB
• Colas Simples (Simple Queues) para implementación de QoS básico para una solución rápida y simple
• Entrega equitativa de ancho de banda al cliente en forma dinámica ( PCQ).

Academy Xperts 3
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

o http://wiki.mikrotik.com/wiki/Manual:PCQ
Proxy
• Servidor proxy para almacenamiento en caché de HTTP
• Proxy Transparente HTTP
• Soporte de protocolo SOCKS.
o http://wiki.mikrotik.com/wiki/Manual:IP/SOCKS
• Entradas estáticas DNS.
o http://wiki.mikrotik.com/wiki/Manual:IP/DNS
• Soporte para almacenamiento en caché en un drive separado
• Soporte para Proxy Padre (parent proxy)
• Lista de Control de Acceso (access control list)
• Lista de almacenamiento en caché (caching list)
Herramientas
• Ping, traceroute
• Test de ancho de banda (Bandwidth test), ping flood
• Packet sniffer, torch
• Telnet, ssh
• E-mail y herramientas de envío SMS
• Herramientas de ejecución de Scripts automatizados
• CALEA. http://wiki.mikrotik.com/wiki/CALEA
• Herramienta File Fetch.
o http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
• Generador avanzado de tráfico
Características adicionales
• Soporte para Samba.
o http://wiki.mikrotik.com/wiki/Manual:IP/SMB
• Soporte para OpenFlow.
o http://wiki.mikrotik.com/wiki/Manual:OpenFlow
• Bridging: spanning tree protocol (STP, RSTP), bridge firewall y MAC natting.
• Herramienta de actualización de Dynamic DNS
• NTP client/server y sincronización con sistema GPS.
o http://wiki.mikrotik.com/wiki/Manual:System/Time#SNTP_client
• Soporte para VRRP v2 y v3.
o http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP
• SNMP
• M3P: MikroTik Packet Packer Protocol para enlaces Wireless y Ethernet
• MNDP: MikroTik neighbor discovery protocol, soporta CDP (Cisco discovery protocol)
• Autenticación y Contabilización RADIUS
• TFTP server. http://wiki.mikrotik.com/wiki/Manual:IP/TFTP
• Soporte para interface Sincrónica (Farsync cards only) (Se removió en la versión v5.x)
• Asincrónico: serial PPP dial-in/dial-out, dial on demand
• ISDN: dial-in/dial-out, soporte para128K bundle, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial on demand

Qué hay de nuevo en la Versión 6


Novedades Generales
• Drivers y Kernel actualizados a linux-3.3.5
• Soporte inicial para OpenFlow. http://wiki.mikrotik.com/wiki/Manual:OpenFlow
• Nuevas características para pantallas táctiles LCD.
o http://wiki.mikrotik.com/wiki/Manual:LCD_TouchScreen
• Método de login mac-cookie para el HotSpot (mayormente usado en teléfonos inteligentes).
o http://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction#MAC_Cookie
• Opciones configurables del kernel en el menú /ip settings y /ipv6 settings (ip forward, filtros rp etc.)
• El timeout del ARP puede ser cambiado en /ip settings
• El Neighbor discovery puede ser deshabilitado por default en las interfaces dinámicas en el menú /ip neighbor
discovery settings
• Para habilitar/deshabilitar el descubrimiento (discovery) en la interface se debe usar el comando /ip neighbor
discovery set (interface number/name) discover=yes/no
• Muestra el last-logged-in en la lista de usuarios
• GRE soporta todos los protocolos de encapsulación, no solo IPv4 e IPv6
• La etiqueta ‘Slave’ se muestra en las interfaces que están en bridge, bonding o grupo de switch
• El cliente SSH provee la nueva propiedad output-to-file, muy útil cuando se realiza scripting.
• Soporte para API sobre TLS (SSL). http://wiki.mikrotik.com/wiki/Manual:API

Academy Xperts 4
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

• API se encuentra habilitado por default


• DNS reintenta las búsquedas con TCP si se reciben resultados truncados
• DNS rota los servidores únicamente en falla
• DNS cache guarda en bitácora los requerimientos de los tópicos "dns" y "packet";
• WebFig ahora soporta autenticación RADIUS (vía MS-CHAPv2).
o http://wiki.mikrotik.com/wiki/Manual:Webfig
• Se agregó un nuevo parámetros en Web Proxy: max-cache-object-size
• Se incrementó el contador de conexiones Max client/server en el Web Proxy
• Si el cliente NTP está habilitado, el log muestra la hora y fecha correctas cuando el router ha realizado un reboot
• Trunking 802.1Q con el chip de switch Atheros.
o http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

OpenFlow: Es la primera interfaz de comunicaciones estándar definida entre las capas de control y forward de una
arquitectura SDN. Permite el acceso directo y la manipulación del plano de forward de los dispositivos de red tales como
switches y routers, tanto físicos como virtuales (basados en hypervisor)
El OpenFlow basado en tecnologías SDN, permite direccionar el consumo de ancho de banda, adaptar la red a las
necesidades cambiantes del negocio, y reducir las complejidad de las operaciones y de la administración.
https://www.opennetworking.org/sdn-resources/openflow
SDN = Software-Defined Networking. Es la separación del <plano de control> de la red del <plano de forwarding.> Un <plano
de control> controla diferentes dispositivos.
https://www.opennetworking.org/sdn-resources/sdn-definition
Mac-Cookie: es una nueva función HotSpot, diseñado para mejorar la accesibilidad de los teléfonos inteligentes,
computadoras portátiles y otros dispositivos móviles. Si tenemos activado esto podremos:
• Primer inicio de sesión correcto. Mac cookie mantiene un registro de nombre de usuario y la contraseña de la
dirección MAC si solo hay un HotSpot con tales MAC.
Aparece un nuevo Host. HotSpot chequea si hay un registro de cookies mac para la dirección y los registros.
PPP
• SSTP puede forzar una encriptación AES en lugar del RC4 por default
• El profile de PPP provee ahora los parámetros bridge-path-cost y bridge-port-priority
• Secrets muestra la fecha y hora de last-logged-out
• HotSpot y PPP ahora soportan múltiples address-lists
• Únicamente se crean 2 reglas de mangle mss para todas las interfaces PPP
Firewall
• Nuevos comparadores (matchers) de interfaces all-ether, all-wireless, all-vlan, all-ppp
• Comparador con prioridad
• Nuevas opciones en change-dscp: from-priority y from-priority-to-high-3-bits
• Nuevas acciones de mangle: snif-tzsp, snif-pc
Wireless
• Opciones de Canales Wireless: se puede crear una lista de canales personalizados.
o http://wiki.mikrotik.com/wiki/Manual:Wireless_Advanced_Channels
DHCP
• El cliente DHCP ahora soporta opciones personalizadas
• El cliente DHCP v4 ahora tiene la opción special-classless para el parámetro add-default-route
• Se puede agregar la opción (Option 82) de información del agente relay.
o http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay
• Soporte de la opción DHCPv6 DNS
• Soporte de DHCPv6 Relay
• Soporte de ruta enmarcada DHCP server RADIUS
• Opción de configuración por entrega de IP (lease) DHCP
IPsec
• Se mejoró significativamente la configuración Road Warrior cuando se usa con el soporte Mode Configuration.
• Soporte Mode Conf (unity split include, address pools, DNS)
• IPsec peer puede ser configurado como pasivo: no iniciará una negociación ISAKMP SA
• Soporte Xauth ( xauth PSK e Hybrid RSA)
• Plantilla de políticas: permite generar una política solo si src/dst address, protocol y proposal coinciden con la
plantilla
• Peer groups
• Se puede usar Multiple peers con la misma dirección IP.
• Para los peers con un sistema especificado de dirección IP completo se auto-iniciará una negociación ISAKMP SA.

Academy Xperts 5
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

• generate-policy puede ahora tener un valor port-strict que usará el puerto del peer's proposal
• La dirección origen (source address) de la fase 1 se puede ahora configurar
Certificados
• Las claves CA (CA keys) ya no son almacenados, cada operación CA ahora requiere un CA passphrase válido. Se
usa el parámetro set-ca-passphrase para que el servidor SCEP almacene la clave CA (CA key) en forma
encriptada
• Para los certificados marcados como trusted=yes, CRL se actualizará automáticamente una vez por hora desde
las fuentes HTTP
• IPsec y SSTP respetan los CRLs
• Soporte para server/cliente SCEP
• El administrador de certificados puede ahora emitir certificados firmados por sí mismo.
Ruteo (Routing)
• Nuevo parámetro use-dn en OSPF. Obliga a ignorar el DN bit en los LSAs.
• Se cambió la lógica de propagación BGP MED. Ahora se descarta cuando se envía una ruta con non-empty
AS_PATH a un par externo
• Las rutas conectadas se vuelven inactivas cuando la interface se cae. Esto significa que los protocolos de ruteo
dinámico detendrán la distribución de las rutas conectadas que no tengan la etiqueta Active.
Colas (Queues)
• Se mejoró el desempeño del uso de las colas simpes (simple queues)
• Se mejoró la administración de las colas (/queue simple y /queue tree), permitiendo el manejo de decenas de
miles de colas
• Las entradas de /queue tree con parent=global se ejecutan en forma separada de las /queue simple y antes
de las /queue simple
• Se crean por default los tipos de encolamiento (queue types): pcq-download-default y pcq-upload-default
• Las colas simples (simple queues) tienen configuraciones de prioridad separados para download/upload/total
• Los padres global-in, global-out, global-total en /queue tree se reemplazan con global que es el equivalente a global-
total en la versión 5
• Las colas simples se ejecutan en un lugar diferente: al final de los chains postrouting y local-in
• Los parámetros target-addresses e interface en colas simples se unen en un solo parámetro destino, ahora
soporta múltiples interfaces para una sola cola
• El parámetro dst-address en las colas simples se cambia a dst y ahora soporta una interface como destino
Exportar una configuración compacta
• Ahora por default la configuración se exporta en modo compacto
• Para realizar un export completo de la configuración se debe usar el parámetro verbose
/export verbose file=myConfig
Herramientas
• Soporte FastPath. http://wiki.mikrotik.com/wiki/Manual:Fast_Path
• Se renombró en e-mail el tls a start-tls y se agregó como un parámetro configurable
• La herramienta Fetch ahora tiene soporte para HTTPS.
o http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
• Se agregó soporte de la cabecera IPv6 al generador de tráfico(traffic generator)
• Reproducción de archivos pcap dentro de la red usando el nuevo comando trafficgen inject-pcap
• La NAND Flash puede ser particionada en los routerboards y se pueden instalar versiones separadas de RouterOS
en cada una de las particiones.
o http://wiki.mikrotik.com/wiki/Manual:Partitions

Academy Xperts 6
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Detalle de cambios en las tres últimas versiones de RouterOS


Para una revisión del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link:
http://abcxperts.com/index.php/bitacora-de-cambios
Número de Versión 6.34.3 6.34.2 6.34.1 6.34
Fecha Emisión Wed, 09/Mar/2016 Thu, 18/Feb/2016 Tue, 02/Feb/2016 Fri, 29/Jan/2016
Hora de Emisión 10:03 6:31 14:08 10:25
# Días transcurridos 20 16 4 32
desde versión anterior
address-list Se removió
apropiadamente del drop-
down los address-list no
usados
arm Se corrigió los módulos de
modem USB en ARM
bgp vpls Se corrigió la inicialización
después del reboot

bridge firewall Se corrigió un chequeo de


chain (roto desde v6.33.2)

Se corrigió un problema de
caída cuando la regla jump
apuntaba a un chain
personalizado que estaba
deshabilitado
btest Se incrementó
significativamente el
desempeño del Bandwidt
Test TCP
capsman Se corrigió un mensaje de
stop de la contabilización
(accounting) radius
Se usa el nombre CAP en
la bitácora (log) cuando se
elimina/borra un remote-
cap (wireless-cm2)
CCR1072 Se corrigió un problema Se agregó soporte para
de tráfico de los puertos módulos SFP S-RJ01
SFP+ 1-4 o 5-8 donde
todos se deshabilitaban
cerm Permite firmar certificados
CAs importados creados
con RouterOS
Se muestra la última fecha
de actualización (update)
crl
chr (Cloud Hosted Router) Se corrigió un problema Se corrigió una limitación en Se hace que el perfil de
de caida cuando se high rate herramientas trabaje en
usaba la opción de 64bit x86
firewall de capa 7 (layer 7
firewall)
Se implementó un soporte
de prueba para diferentes
líneas/niveles de velocidad
CHR
Se corrigió la licencia para
AWS (Amazon Web
Services) y soluciones
similares
Se corrigió la importación
del SSH key en AWS
console Se corrigió un problema en
que una regla de firewall
deshabilitada
incorrectamente hacía
coincidencia (matching) con
"invalid flag"
Se corrigió una caída
cuando se creaba una
variable que contenía "?"
CRS212 Se corrigió un problema de
enlace en la interface
ether1 a 1 Gbps
default config Se corrigió un problema en
hAP lite con un wireless
dhcpv6 server Se agregó la opción binding
server=all

Academy Xperts 7
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Número de Versión 6.34.3 6.34.2 6.34.1 6.34


Se reemplazó la opción
delay con la opción
preference
dhcpv6 client Se corrigió un indicio pd (pd Se corrigió un problema en
hint) con direcciones vacías add route/address
Se corrigió un problema en
remove cuando un cliente
volvía a aparecer luego de
hacer un restart
Se corrigió un problema de
chequeo del ia lifetime

Se corrigió un problema
con el estado stopped
(detenido)
dns Se corrigió un problema en
ua situación en que los
servidores DNS dinámicos
podrían desaparecer
dude Se actualizó a la última Los reportes de "mi muerte"
revisión del Release (my death) han sido
Candidate (v6.35rc11) exagerados grandemente

(cambios discutidos aquí: Se agregó el paquete dude


http://forum.mikrotik.com/view RouterOS par las
topic.php?f=8&t=104395) arquitecturas Tile y x86
(CHR, Cloud Hosted
Router)
Paquete incluido por default
para todas las imágenes
CHR
Trabajo inicial en la
integración de dude con
RouterOS
fastpath Se muestran los
contadores fp en el monitor
agregado en /nterface
Se corrigió un problema de
bloqueo en el cual podría
haber un reboot contínuo
(reboot loop) que se
introdujo en v6.34rc20
Se corrigió un problema de
caída de kernel en on/off
fetch Se corrigió un problema Se corrigió un problema de
en la descarga TTFP cierre después de 30
segundos
firewall Se agregó el soporte de
inversión para la opción
"limit"
Se agregó la coincidencia
(matching) de bit rate para
la opción "limit"
Se mejoró el desempeño
para la opción "limit"
No se permite agregar una
nueva regla antes del built-
in (revertido)
Se actualizó el SIP Helper
para los telçefonos Cisco
más nuevos
ftp Se hace que las políticas
de grupo de usuario read /
write estén al tanto
gre Se corrigió un problema
de falla de memoria

hotspot Se agregó los parámetros


html-directory-override y
recognize para el usuario
hostspot por default
Se corrigió un problema en
el export de un usuario
prueba (trial) default
Se corrigió una falla de
memoria en requerimientos
HTTPs
Se muestran los eventos de
cookie add/remove en
hotspot, debug log

Academy Xperts 8
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Número de Versión 6.34.3 6.34.2 6.34.1 6.34


Se permiten entradas
estáticas con la misma
MAC en múltiples servers
hotspot
No se remueve el mac-
cookie en caso de que
ocurra un radius timeout
Se agregó la opción de
límites por byte para
usuarios de prueba (trial)
por default
Se corrigió un problema de
login por mac-cookie
cuando se hacía roaming
entre servidores hotspot
Se agregó html-directory-
override para el directorio
read-only en un usb flash

Se agregaron las variables


uptime, byte y packet
counter para el script de
logout
Se agregó la opción para
hacer login manualmente
desde el CLI
Se corrigió un problema del
análisis de trial-uptime
desde el CLI hacia el
Winbox/Webfig
interfaces Se corrigieron las
estadísticas que eran más
pequeñas que 8x
ipsec Se corrigió la visualización en Se corrigió un problema de
consola del algoritmo peer falla del kernel después
aes enc que el tunel subyacente ha
sido desabled/enabled
Se asegura de que la
política dinámica siempre
tiene la etiqueta dynamic

Se corrigió unproblema en
la Phase2 hmac-sha-256-
128 truncation len desde 96
a 128. Esto rompería la
compatibilidad con todas
las versiones previas y con
cualquier otra compatible
por software usando
sha256 hmac para Phase2
Se prioriza los proposals
Soporte para múltiples
grupos DH para Phase1
Se mejoró el desempeño
TCP en los CCRs

Se permite especificar my-


id address en el modo
principal
Se corrigió un problema de
flushing en los SAs activos
l2tp Ipsec peer & policy algunas
veces no eran removidas
después que se
deshabilitaba la interface l2tp

lcd Se corrigió un problema


en la pantalla de
seguridad en que no
mostraba las direcciones
IP en los CCR
ldp Se corrigió un problema
con la longitud máxima
MPLS PDU
licensing Se corrigió un problema en
que algunas claves viejas
de 7 símbolos no se podian
actualizar

Academy Xperts 9
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Número de Versión 6.34.3 6.34.2 6.34.1 6.34


log Se intenta no perder los Se reabre el archivo de log
mensajes de disco y alertar si si es borrado
se pierde alguno

LTE Se corrigió las bandas Soporte de puerto serial


permitidas para RBSXTLTE3- para DellWireless 5570
7
Se mejoró el desempeño
del manejo DHCP en
interfaces que no lo
soportan
Se asegura de que ambas
tarjetas LTE miniPCI-e son
reconocidas
Se agregó soporte para
múltiple E3372 en el mismo
dispositivo
Se corrigió la información
del comando para el
modem Cinterion EHS5-E

mac-telnet Se corrigió un problema


con el backspace cuando
se digita el username en el
login
mipsle Caído el soporte de
arquitectura (la última
versión totalmente
soportada v6.32.x)
mpls El forwarding de VRF sobre
túnel TE paraba de trabajar
después de un BGP peer
reset
modem Se agregó soporte wpd-
600n ppp
net Se mejoró el soporte de las
estadísticas de la interface
64bit
No se rompe la conexión
cuando la interface es
agregada al bridge
Se corrige la estadísticas
de los contadores que
saltan a 4G
netinstall Se corrigió un problema Se corrigió un problema
de negociación de enlace que aplicaba la
para diferentes módulos configuración por default
SFP
Se ordenan los paquetes
por nombre
packing Se corrigió un problema de
checksum tcp/udp cuando
se usaba un empaquetado
simple
ppp Se corrigió un problema Se hace que el CoA trabaje
de caida de PPP correctamente con el
address-list
Se corrigió un raro
problema de caida de
kernel (apareció en v6.33)
No permite nombres de
secrets ppp vacíos
pptp Se corrigió un problema de
caída del kernel cuando se
recibía un paquete
fragmentado con cabecera
fragmentada
proxy Se almacena error.html en
flash si es que está
disponible
queue tree Se mejoró el cálculo del
límite de las colas
anidadas

quickset Soporte de modo CAP en


todos los paquetes wireless
existentes
romon Permite ver la identidad del
dispositivo si es más largo
que 31 caracteres

Academy Xperts 10
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Número de Versión 6.34.3 6.34.2 6.34.1 6.34


RouterBOARD Permite hacer un print de la
version del factory-firmware
en el menú routerboard

sfp Se corrigió un problema en


los puertos 10G en modo
1G (apareció en v6.34rc1)

smb Se corrigió un problema de


caída cuando se cambiaba
un usuario que tenía una
sesión abierta

smips Detecta apropiadamente


los boards smpis para
Winbox & Webfig

snmp Se agregó un OID desde


UCD MIB para un total cpu
load OID
1.3.6.1.4.1.2021.11.52.0
ssh Se corrigió un problema Se corrigió un problema de Se corrigió la
de caida cuando fallaba estancamiento de conexión contabilización (accounting)
la lectura SCP de un usuario activo
Se hace que trabaje el export Se corrigió un posible
verbose problema de caída de
kernel
Se hace que las políticas
de grupo de usuario read /
write estén al tanto
sstp sstp- Permite ECDHE cuando
server PFS está habilitado
Permite limitar la versión
TLS a únicamente v1.2

switch Se hace que por default "sa-


learning=yes" cuando se
agrega las reglas Ingress
VLAN Translation
tile Se corrigió una posible falla Se corrigió un problema en
de kernel con el watchdog que IPsec se congelaba
timer deshabilitado después de las
ocasionado por ataques actualizaciones SA
DDoS
Se asegura de que los
módulos SFP RJ45 que
usan la configuración
forzada a 1G FD, trabajen
correctamente después de
un reboot del sistema

timezone Utiliza el alias de zonas


horarias atrasadas
traffic-monitor Se corrigió las estadísticas
que eran más pequeñas
que 8x
trafficgen Se corrigió un problema en
el queel traffic-generator no
podía iniciar por segunda
ocasión sin un reboot
tunnels Se corrigió una queja sobre
un loop que se generaba
después de
aproximadamente 248 días
Se corrigió un problema en
keep-alive (apareció en
v6.34rc)
upnp Se corrigió un problema en
que se perdía la opción in-
interface en reglas dst-nat
dinámicas
Se agregó un comentario
para reglas dst-nat
dinámicas para informar
qué host/programa lo
requería
ups Se corrigió la espera de
restauración de la potencia
AC en modo de hibernación
(hibernate)

Academy Xperts 11
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Número de Versión 6.34.3 6.34.2 6.34.1 6.34


usb Se habilita el módulo serial
ch341
userman4 Se intenta cargar archivos
firmados del db path first
usermanager Se corrigió una caída del
web page del usermanager
vrrp Se asegura que VRRP
obtiene su estado en el
bootup
webfig Se corrige un problema en
el puerto del switch en que
se perdía el valor "auto" del
"default vlan id"
Se corrigió un problema en
la opción connection-bytes
del firewall
Reconoce apropiadamente
CHR
Se corrigió el orden de la
columna de versión en ip
neighbors list
winbox Se permite configurar Se agregó el campo factory- Se corrige un posible busy-
múltiples dh-groups firmware a loop en v2.x con las últimas
system/routerboard versiones 6.34rc
No muestra los estados Se corrigió un problema al Se agrega extra items
(estatus) del ventilador en grabar la diercción email automáticamente a campos
el enfriamiento pasivo en multi-line si al menos uno
los CCR1009 de ellos es requerido
Se corrigió el typo en Se corrigió la visualización Se implementó
"echo reply" del campo multi value (por completament el cliente
ejemplo los puertos del IPv6 DHCP
webproxy)
Se corrigió las opcione Se actualizó la etiqueta
son configuradas en el blocked si el user cambió el
menú /routing ospf campo blocked en dhcp-
interface server-lease
Muestra apropiadamente el
route-dinstinguisher para
bgp vpn4
Muestra el nombre del
DHCP Server en DHCP
Leases
Se corrigió los nombres de
los tabs para que
correspondan a la consola
Se muestra únicamente los
puertos actuales de switch-
cpu en switch setting
combobox
Se corrigió el orden de la
columna de versión en ip
neighbors list
Se permite especificar
amsdu-limit & amsdu-
threshold en tarjetas wifi
11n
Se agregó las
configuraciones multicast-
buffering & keepalive-
frames a las interfaces
wireless
Se incluye FP en los
nombres de columnas fast-
path
Se muestra el Common-
Name de los certificados en
la lista de certificados
Se agrega las unidades a
los campos de PCQ queue

wireless Se agregó soporte para los


botones WPS en hAP y
hAPac Lite
wlan Se agregó el país United
States3
www Se corrigió una caida del
www

Academy Xperts 12
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Qué es RouterBOARD?
Es una familia de soluciones de hardware con circuitos diseñados por MikroTik para responder a las necesidades de los
clientes a nivel mundial. Todas las placas RouterBOARD operan con el sistema operativo RouterOS.
Esta división de hardware se caracteriza por incluir su sistema operativo RouterOS y actualizaciones de por vida. Estos
dispositivos tienen la ventaja de tener una excelente relación costo/beneficio comparados con otras soluciones en el
mercado.

Arquitecturas Soportadas:
Arquitectura Series
mipsbe CRS, RB4xx, RB7xx, RB9xx, RB2011, SXT, OmniTik, Groove, METAL, SEXTANT
mipsle RB1xx, RB5xx, RB Crossroads
ppc RB3xx, RB600, RB800, RB1xxx
x86 PC / x86, RB230
arm RB3011
tile CCR
smips hAP lite
Soluciones Integradas
• Estos productos se proporcionan completos con carcasas y adaptadores de corriente.
• Listo para usar y pre configurados con la funcionalidad más básica.
• Todo lo que necesitas hacer es conectarlo y conectarse a Internet o a una red corporativa.

RouterBOARD solamente
Son pequeñas placas madres que se venden "tal cual". Se debe elegir el modelo y solicitar adicionalmente, adaptador de
corriente y las interfaces, todo esto por separado. Es ideal para el montaje de sistemas/implementaciones propietarias.
Enclosures
Son cubiertas para interiores/exteriores, sirven para albergar los dispositivos RouterBOARD. La Selección se realiza en base
a:
• Localización prevista
• El modelo del RouterBOARD
• El tipo de conexiones necesarias (USB, antenas, etc.).
Interfaces
• Módulos Ethernet, fibra SFPs, o tarjetas de radio inalámbricas para ampliar la funcionalidad de los dispositivos
RouterBOARD y PCs con RouterOS.
• Una vez más, la selección se basa según las necesidades.
Accesorios
Abarca toda la gama de dispositivos adicionales para los productos MikroTik, tales como: adaptadores de corriente, soportes,
antenas e inyectores PoE.

Programa Made For MikroTik (MFM)


Este programa consta de dos partes: “Mikrotik Certified Integrators” y “Mikrotik Certified Accessories”
http://www.mikrotik.com/mfm
Accesorios Certificados MikroTik (MikroTik Certified Accesories)
Son hechos por empresas homologadas de MikroTik, y que hacen los accesorios específicamente para productos MikroTik.
Esto incluye productos compatibles con RouterBOARD, antenas externas y otros productos.
Integrador Certificado MikroTik (MikroTik Certified Integrator)
Son empresas que hacen soluciones basados en un RouterBOARD MikroTik y RouterOS. Estos productos incluyen en el
ensamblado de dispositivos CPE/AP, preinstalación de antenas integradas y soluciones para montaje en rack con RouterOS.

Por qué trabajar con un router integrado?


Con este tipo de solución se puede atender muchas necesidades.
• Los routers integrados proveen poca o ninguna expansión, ya que vienen con una configuración de hardware fija
(WiFi, puertos ethernet, memorias on-board, puertos USB)
• Esta es una solución simple, pero muy sólida para muchas necesidades.

Academy Xperts 13
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Nomenclatura de los productos RouterBOARD


Los nombres de los routers son elegidos según características, y basados en una nomenclatura establecida. La abreviatura
para RouterBOARD es RB
Para complementar información se puede ir al siguiente link http://wiki.mikrotik.com/wiki/Manual:Product_Naming
Formato para la nomenclatura de los productos:

Nombre de Características Tarjeta wireless Características de la Tipo de Tipo de


- - -
la tarjeta de la tarjeta embebida Tarjeta Wireless Conector Enclosure

Nombre de la tarjeta (board name)


Actualmente existen 3 tipos de nombres de tarjetas:
• Número de 3 dígitos
o El primer dígito representa la serie
o El segundo dígito indica el número de interfaces cabeladas potenciales (Ethernet, SFP, SFP+)
o El tercer dígito indica el número de interfaces wireless potenciales (tarjetas embebidas, y slots mPCI y
mPCIe)
• Usando una palabra (word).- Los nombres que actualmente se usan son:
o OmniTIK
o Groove
o SXT
o SEXTANT
o METAL
o Si la tarjeta (board) sufre un cambio fundamental en el hardware (como por ejemplo un CPU
completamente diferente) se agregará una revisión de versión al final
• Nombres excepcionales.- Las tarjetas 600, 800, 1000, 1100, 1200, 2011 representan de forma independiente las
series, o tienen más de 9 interfaces cableadas, por lo que los nombres fueron simplificados a cientos totales o el
año de desarrollo.
Características de la Tarjeta
Las características de la tarjeta siguen a continuación de la sección Nombre de la Tarjeta (sin espacios o guiones), excepto
cuando el nombre de la tarjeta es una palabra. Entonces las carácterísticas de la tarjeta se separan por un espacio. Las
características que actualmente se usan son las siguientes. Están listadas en el orden en que son mayormente usadas
• U : USB
• P : Power Injection con Controlador
• i : Puerto simple Power Injector sin Controlador
• A : Más memoria (y usualmente el nivel de licencia más alto)
• H : Un CPU más potente
• G : Gigabit (puede incluir U, A, H si no se usa con L)
• L : Edición Light (ligera)
• S : Puerto SFP (uso legacy – dispositivos SwitchOS)
• e : Tarjeta de extensión PCIe
• x<N> : Donde N es el número de núcleos (core) de CPU (x2, x9, x16, x36, x72, etc.)
Detalles de la tarjeta Wireless Embebida
Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
Banda Potencia por chain Protocolo Número de Chains

• Banda (band)
o 5 : 5 GHz
o 2 : 2.4 GHz
o 52 : Dual band. 5 GHz y 2.4 GHz
• Potencia por chain (power per chain)
o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g
o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g
o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g
o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g
• Protocolo (protocol)
o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g
o n : para tarjetas con soporte 802.11n
o ac : para tarjetas con soporte 802.11ac
• Número de Chains (number_of_chains)
o (not used) : single chain
o D : dual chain
o T : triple chain

Academy Xperts 14
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Tipo de Conector (connector type)


• (not used) : únicamente una opción de conector en ese modelo
• MMCX : conector de tipo MMCX
• u.FL : conector de tipo u.FL
Tipo de Enclosure (enclosure type)
• (not used) : Tipo de enclosure principal para un producto
• BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal
ya viene en el case
• RM : enclosure para montar en rack (rack-mount enclosure)
• IN : enclosure para interiores (indoor enclosure)
• OUT : enclosure para exteriores (outdoor enclosure)
• SA : enclosure para antena sectorial (sector antenna enclosure)
• HG : enclosure para antena de alta ganancia (high gain antenna enclosure)
• EM : memoria extendida (extended memory)
Ejemplo: Decodificar la siguiente nomenclatura RB912UAG-5HPnD
• RB : RouterBOARD
• 912 : Board de la serie 9na, con 1 interface cableada (Ethernet) y 2 interfaces wireless (embebida y miniPCIe)
• UAG : Tiene puerto USB, más memoria y puerto Gigabit Ethernet
• 5HPnD : Tiene una tarjeta embebida de 5GHz, de alta potencia, dual chain, con soporte 80211n.

Nomenclatura de los productos CloudCoreRouter


El formato para la nomenclatura de estos productos es la siguiente:
Número de Tipo de
- Lista de Puertos -
4 dígitos Enclosure

Número de 4 dígitos
• El primer dígito representa la serie
• El segundo dígito es reservado
• El tercero y cuarto dígito indican el número total de núcleos por CPU en el dispositivo
Lista de Puertos
• <n>G : número de puertos Gigabit Ethernet
• <n>S : número de puertos SFP
• <n>S+ : número de puertos SFP+
Tipo de Enclosure (enclosure type)
• (not used) : Tipo de enclosure principal para un producto
• BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal
ya viene en el case
• RM : enclosure para montar en rack (rack-mount enclosure)
• IN : enclosure para interiores (indoor enclosure)
• OUT : enclosure para exteriores (outdoor enclosure)
• SA : enclosure para antena sectorial (sector antenna enclosure)
• HG : enclosure para antena de alta ganancia (high gain antenna enclosure)
• EM : memoria extendida (extended memory)

Nomenclatura de los productos CloudCoreSwitch


El formato para la nomenclatura de estos productos es la siguiente:
Número de Tarjeta Wireless Tipo de
- Lista de Puertos - -
3 dígitos embebida Enclosure

Número de 3 dígitos
• El primer dígito representa la serie
• El segundo y tercer dígito indican el número de interfaces cableadas (Ethernet, SFP, SFP+)
Lista de Puertos
• <n>G : número de puertos Gigabit Ethernet
• <n>S : número de puertos SFP
• <n>S+ : número de puertos SFP+
Detalles de la tarjeta Wireless Embebida
Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
Banda Potencia por chain Protocolo Número de Chains

Academy Xperts 15
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

• Banda (band)
o 5 : 5 GHz
o 2 : 2.4 GHz
o 52 : Dual band. 5 GHz y 2.4 GHz
• Potencia por chain (power per chain)
o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g
o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g
o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g
o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g
• Protocolo (protocol)
o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g
o n : para tarjetas con soporte 802.11n
o ac : para tarjetas con soporte 802.11ac
• Número de Chains (number_of_chains)
o (not used) : single chain
o D : dual chain
o T : triple chain
Tipo de Enclosure (enclosure type)
• (not used) : Tipo de enclosure principal para un producto
• BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal
ya viene en el case
• RM : enclosure para montar en rack (rack-mount enclosure)
• IN : enclosure para interiores (indoor enclosure)
• OUT : enclosure para exteriores (outdoor enclosure)
• SA : enclosure para antena sectorial (sector antenna enclosure)
• HG : enclosure para antena de alta ganancia (high gain antenna enclosure)
• EM : memoria extendida (extended memory)
Por qué construir su propio Router?
Puede ayudar a solucionar una gran variedad de necesidades especificas que desea cubrir. Dependiendo del board que
use, puede tener muchas ranuras de Expansión muy útiles.
• Gran variedad de complementos.
• Configuración personalizable.

Ingresando al Router por Primera vez


Dentro de las formas que tenemos para ingresar al router están las siguientes:
• WebFig (Web Browser)
• WinBox - http://www.mikrotik.com/download
• SSH
• Telnet
• Emulador de Terminal a través de conexión serial o puerto de consola (RS-232)

WebFig - Ingreso por Web Browser


Este método de ingreso puede ser usado cuando el router ya tiene algunos parámetros previamente configurados.
Proporciona una manera intuitiva de conectarse a un router/dispositivo/PC (que tiene instalado RouterOS) únicamente
colocando en el navegador web la dirección IP asignada al router. Por defecto se utiliza 192.168.88.1
WebFig es un utilitario de RouterOS basado en Web que permite monitorear, configurar y hacer labores de troubleshooting
en el router. Está diseñado como una alternatica al WinBox ya que ambos tienen similares diseños de menú de acceso a las
opciones de RouterOS.
WebFig se puede acceder directamente desde el router, esto quiere decir que no es necesario instalar ningún software
adicional, tan solo tener un Web Browser con soporte JavaScript.
WebFig es una plataforma independiente, por lo que puede ser usado directamente desde varios dispositivos móviles sin la
necesidad del desarrollo de software específico.
Algunas de las tareas que se pueden ejecutar con WebFig son:
• Configuración – Ver y editar la configuración actual
• Monitoreo – Mostrar el estatus actual del router, información de ruteo, estadísticas de interface, registros (logs), etc.
• Troubleshooting – RouterOS provee muchas herramientas para realizar troubleshooting (como ping, traceroute,
packet sniffers, traffic generators, y otras) y todas las que puede ser usadas con WebFig.

Academy Xperts 16
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

El servicio http de RouterOS puede escuchar también en IPv6. Para acceso vía browser debe ingresar la dirección IPv6, por
ejemplo 2001:db8:1::4
Si se requiere conectar a la dirección local, se debe recordar especificar el nombre de la interface o el ID de la interface en
Windows. Por ejemplo fe80::9f94:9396%ether1

Pasos para ingresar por Web browser:


• Conecte al router con un cable Ethernet y posteriormente a su tarjeta de red.
• Abra un navegador (Mozilla, Chrome, Internet Explorer, etc.)
• Escriba en el browser la dirección IP por default: 192.168.88.1
• Si se le solicita, inicie sesión. Nombre de usuario es admin y la contraseña está en blanco por defecto.
Al momento de ingresar verá lo siguiente:

Skins
Esta herramienta permite crear interfaces má amigables par ael usuario. No puede ser considerado como una herramienta
de seguridad total, ya que si el usuario posee los suficientes derechos de acceso, podrá acceder a los recursos ocultos.
Diseño de Skins
Si el usuario tiene los permisos adecuados (es decir que el grupo tiene permisos de edición) entonces tiene acceso a botón
de Design Skin (Diseño de Skin). Los posibles operadores son:
• Hide menu – Ocutará todos los items y sus sub menús
• Hide submenu – Ocultará únicamente ciertos sub menús
• Hide tabs – Si los detalles de sub menú tienen varias pestañas, es posible ocultarlas por esta vía
• Rename menus, items – Hacer que ciertas características sean más obvias, o traducirlas a algún lenguaje
• Add note to to item (in detail view) – Agregar comentarios
• Make item read-only (in detail view) – Para campos muy sensibles en seguridad par ael usuario, los cuales
pueden ser puestos en modo de “solo lectura”
• Hide flags (en modo de vista detallada) – Mientras es posible únicamente ocultar la bandera en modo detallado,
esta bandera no será visible en la vista de lista y en modo detallado

Academy Xperts 17
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

• Add limits for field - (en modo de vista detallada) Donde está presente muestra la lista de tiempos que están
separados por coma o por newline, de valores permitidos:
§ number interval '..' por ejemplo: 1..10 mostrará los valores para los campos con números, por
ejemplo MTU size.
§ field prefix (Text fields, MAC address, set fields, combo-boxes). Si se requiere limitar la
longitud del prefijo, se debe agregar el símbolo “$” al final
• Add Tab – Se agregará una cinta gris con una etiqueta editable que separará los campos. La cinta se añadirá antes
de campo
• Add Separator – Agregará un campo horizontal de baja altura antes del campo

Quickset
Es un menú especial de configuración que permite prepara el router a través de unos pocos clicks.
Está disponible en WinBox y WebFig para:
• Dispositivos CPE (Licencia Nivel 3, una interface wireless, una interface ethernet)
• Dispositivos AP a partir de RouterOS v5.15 (Licencia Nivel 4, una interface wireless, más interfaces ethernet)

Academy Xperts 18
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

WinBox
WinBox es un utilitario propietario de MikroTik que posee una rápida y simple interface GUI que permite el acceso a los
routers con RouterOS instalado.
Es un programa binario Win32, pero también puede correr en Linux y Mac OSX usando wine
Casi todas las funciones de RouterOS están disponibles en WinBox, sin embargo algunas funciones avanzadas y
configuraciones críticas únicamente están disponibles desde consola. Por ejemplo los cambios de las direcciones MAC en
una interface.
El WinBox se puede descargar desde el sitio web de MikroTik o del router.
o http://www.mikrotik.com/download
Se puede para acceder al router a través de IP (capa 3 OSI) o MAC (capa 2 OSI).
Utilizando Winbox
• Haga clic en el ícono de WinBox, para abrir la aplicación y darle click en refresh.
• Escriba la dirección IP 192.168.88.1
• Haga clic en Conectar
• Esperar a que se cargue la interfaz completa:
• Haga clic en OK

También se puede ingresar el número del puerto después de la dirección IP, separándolo con “:”, como por ejemplo
192.168.88.1:9999
El puerto se puede cambiar en el menú de Servicios de RouterOS
Importante: Se recomienda utilizar la dirección IP siempre que sea posible. Las sesiones MAC utilizan broadcast de red y no
es 100% confiable.
Se puede utilizar el “discovery neighbor” para listar los routers disponibles. Debe hacer click en el botón “Neighbor”

Academy Xperts 19
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Si se hace click en la dirección IP entonces se realiza la conexión por Capa 3 (Layer 3). Si se hace click en la dirección MAC
entonces se realiza la conexión por Capa 2 (Layer 2).
Importante: La opción Neighbor Discovery mostrará también los dispositivos que no son compatibles con WinBox, como por
ejemplo los routers Cisco y cualquier otro dispositivo que utilice el protocolo CDP (Cisco Discovery Protocol).

RoMON
RoMON son las siglas de Router Management Overlay Network.
RoMON opera independientemente de que a configuración sea en Capa 2 o Capa 3 (L2 o L3).
A cada router en la red RoMON se le asigna su RoMON ID, el mismo que puede ser seleccionado desde el puerto de la
dirección MAC o especificado por el usuario.
El protocolo RoMON no proporciona servicios de encriptación. La encriptación se provee a nivel de la Capa de Aplicación,
por ejemplo usando SSH o a través de WinBox Seguro (Secure WinBox).

Configuración
Para que un dispositivo participe en una red RoMON, se debe habilitar la característica RoMON y se deben especificar los
puertos que participan en la red RoMON.
En RouterOS v6.28 la característica RoMON se configura en el menú /romon, después de RouterOS v6.28 se configura en
/tool romon. Contiene las siguientes configuraciones:
• enabled (yes | no; Default: no) – Habilita o deshabilita la característica RoMON
• id (MAC address; Default: 00:00:00:00:00:00) – Dirección MAC que se utiliza como ID de este router

Cuando RoMON se habilita y el ID se selecciona automáticamente, el ID se reporta en menú info:


En RouterOS v6.28:
/romon print
;;; RoMON running, ID 00:33:00:00:00:02
enabled: yes
id: 00:00:00:00:00:00

Después de RouterOS v6.28:


/tool romon print
enabled: yes
id: 00:00:00:00:00:00
secrets:
current-id: 00:33:00:00:00:02

Los puertos que participan en una red RoMON son configurados en el menú “romon port”. La lista de puerto es una lista
ordenada de entradas que coinciden ya sea con un puerto específico o todos los puertos, y especifica si el puerto (s) que
coincide está prohibido de participar en la red RoMON, y en caso de que el puerto esté permitido de participar en la red
RoMON la entrada también especifica el costo del puerto.
Es importante notar que todas las entradas puerto específico deben ubicarse sobre la entrada “wildcard” con interface=all
Por ejemplo, la siguiente lista especifica que todos los puertos, excepto ether1, participan en la red RoMON con costo 100

En RouterOS v6.28:
/romon port print
Flags: X - disabled, D - dynamic
# INTERFACE FORBID COST
0 ether1 yes 100
1 all no 100

Academy Xperts 20
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Después de RouterOS v6.28:


/tool romon port print
Flags: X - disabled, D - dynamic
# INTERFACE FORBID COST
0 ether1 yes 100
1 all no 100
Por default se crea una entrada wildcard (comodín) con forbid=no y cost=100

Secrets
Los secrets del protocolo RoMON se utilizan para la autenticación de mensajes, chequeo de integridad y prevención de
respuesta por medio de mensaje hashing que contiene MD5.
Para cada interface, si la lista de secret de la interface específica está vacía, se utiliza la lista de secret global.
Cuando se hace el envío, se aplica hash a los mensajes con el primer secret en la lista si es que la lista no está vacía y el
primero que no sea un secret vacío (empty secret, es decir que tenga un empty string = “”), de otr manera los mensajes se
envían sin aplicar hash.
Cuando se reciben, los mensajes que no se han aplicado hash simplemente se aceptan si la lista secret está vacía o si
contiene “empty secret”, los mensajes que se han aplicado hash se aceptan si es que se les ha aplicado hash con cualquier
otro secret en lista.
Este diseño permite una introducción incremental y/o cambio de secrets en la red sin interrupción del servicio RoMON y
puede ocurrir sobre el propio RoMON. Por ejemplo:
• Inicialmente todos los routers están sin secrets
• Configurar cada router, uno por uno, con secrets=””, “mysecret” . Esto hará que todos los routers continúen enviando
frames no protegidos, pero ellos estarán listos para aceptar los frames protegidos con el secret “mysecret”
• Configurar cada router, uno por uno, con secrets=“mysecret”, “” . Esto hará que todos los routers usen el secret
“mysecret” pero también continuará aceptando los frames no protegidos (de routers que todavía no han sido
cambiados)
• Configurar cada router con secrets=”mysecret” . Esto hará que todos los routers usen secret “mysecret” y también
únicamente acepte frames protegidos con “mysecret”
El cambio de secret en la red debería ser ejecutado en un esquema similar donde ambos secrets estén al mismo tiempo en
la red.
Peer Discovery
Para descubrir todos los routers en la red RoMON se debe usar el comando romon discover:

En RouterOS v6.28:
/romon discover
ADDRESS COST HOPS PATH L2MTU
00:22:00:00:00:02 200 1 00:22:00:00:00:02 1500
00:02:03:04:05:06 400 2 00:22:00:00:00:02 1500
00:02:03:04:05:06

Después de RouterOS v6.28:


/tool romon discover
ADDRESS COST HOPS PATH L2MTU
00:22:00:00:00:02 200 1 00:22:00:00:00:02 1500
00:02:03:04:05:06 400 2 00:22:00:00:00:02 1500
00:02:03:04:05:06

Aplicaciones
Se pueden ejecutar múltiples aplicaciones sobre la red RoMON
Ping
Para poder probar que se puede alcanzar a un router específico en una red RoMON, se puede usar el comando romon ping:

Academy Xperts 21
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

En RouterOS v6.28:
/romon ping 00:22:00:00:00:02
SEQ HOST TIME STATUS
0 00:22:00:00:00:02 0ms
1 00:22:00:00:00:02 1ms
2 00:22:00:00:00:02 1ms
sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms

Después de RouterOS v6.28:


/tool romon ping 00:22:00:00:00:02
SEQ HOST TIME STATUS
0 00:22:00:00:00:02 0ms
1 00:22:00:00:00:02 1ms
2 00:22:00:00:00:02 1ms
sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms

SSH
Para poder establecer una conexión de terminal seguro en una red RoMON, se puede usar el comando romon ssh, que se
provee cuando se instala el paquete security:
En RouterOS v6.28:
/romon ssh 00:22:00:00:00:02

Después de RouterOS v6.28:


/tool romon ssh 00:22:00:00:00:02

Otras formas de acceso: SSH y Telnet


Entre las herramientas IP estándar para acceder al router tenemos:
• Telnet: La comunicación se realiza en texto plano, sin cifrar (puerto 23/TCP). Es un método INSEGURO.
o Disponible en la mayoría de sistemas operativos, por terminal, línea de comandos, otros.
• SSH: Cifra la comunicación realizada entre el usuario y router (puerto 22/TCP). Es un método SEGURO.
o Hay herramientas disponibles de código libre para el acceso por ssh, ejemplo: PuTTy.
§ http://www.putty.org
Acceso por puerto serial (puerto de Consola)
Los puertos seriales (también llamados RS-232) fueron las primeras interfaces que permitieron que los equipos intercambien
información con el "mundo exterior". El término serial se refiere a los datos enviados mediante un solo hilo: los bits se envían
uno detrás del otro.
Para conectarse al router se requiere una conexión null-modem (puerto RS-232).
Importante: La configuración por defecto es cuando se accede vía serial es la siguiente:
• 115200 bps de velocidad
• 8 bits de data
• 1 bit de parada (stop)
• Sin paridad (no parity)
Bootloader
El bootloader o cargador de arranque, es un programa que se encarga de cargar y ejecutar el sistema operativo, este
cargador de arranque va a configurar el dispositivo según las opciones que se muestran a continuación:
What do you want to configure?
d - Boot delay
K - Boot key
S - Serial console
N - Silent boot
O - Boot device
U - Cpu mode
F - Cpu Frequency
R - Reset booter configuration
E - Format nand
G - Upgrade firmware
I - Board info
P - Boot protocol
B - Booter Options
T - Call debug code
L - Erase license
X - Exit setup
Your choice:

Academy Xperts 22
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Consola Serial / Terminal Serial


La interfaz de línea de comandos (CLI = Command Line Interface) es un método que permite a los usuarios dar instrucciones
a algún programa informático por medio de una línea de texto simple. Este método se usa normalmente cuando se ingresa
por PUTTY, Telnet, SSH, Terminal u otros.
/system console y /system serial-terminal son herramientas para comunicarse con otros sistemas que están
interconectados a través del puerto serial.
Terminal Serial
Nos sirve para monitorear y configurar muchos dispositivos:
• Módems
• Dispositivos de red (incluyendo routers MikroTik)
• Cualquier dispositivo que se pueda conectar a un puerto serial (asíncrono)
Consola Serial
• Configurar facilidades de acceso directo (monitor/teclado y puerto serial) que son mayormente usados para
configuraciones de recuperación
• Si no se desea usar un puerto serial para acceder a otro dispositivo o para conexión de datos a través de un modem,
se puede entonces configurarlo como una consola serial.
• Un puerto serial libre puede ser usado para acceder a otras consolas seriales de otros routers (u otros equipos
como switches) desde un router MikroTik
Special Login
Puede ser usado para acceder a otro dispositivo (ejemplo: un switch) que está conectado a través de un cable serial abriendo
una sesión telnet/ssh que lo llevará directamente a ese dispositivo sin tener que hacer login al primer RouterOS.
http://wiki.mikrotik.com/wiki/Manual:Special_Login

Configuración Básica o dejar el router en Blanco?


• Usted puede o no tener una configuración básica cuando recién ha instalado el equipo, debido a que el equipo
provee una configuración inicial, por defecto, para permitirle usar el equipo sin previa configuración definida por el
usuario.
• Usted puede optar por no tomar la configuración básica por defecto, o dejar en blanco los equipos para poderlo
configurar a gusto del cliente, usuario o administrador.
• Puede visitar el siguiente link para revisar como se comportará el dispositivo:
o http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
Configuración Básica
Dependiendo del hardware, se tendrá una configuración por defecto que puede incluir:
• Puertos WAN
• Puertos LAN
• DHCP client (WAN) y servidor (LAN)
• Reglas básicas de Firewall
• Reglas NAT
• Direccionamiento LAN IP por defecto
Al momento de tener acceso por medio de WinBox, podrá revisar la configuración por defecto por medio de una ventana
emergente inicial, que consta de opciones de visualización de configuración o de borrar configuraciones y dejar en blanco.
En cualquier momento usted puede observar la configuración por defecto, con el comando:
/system default-configuration print
• Al conectar por primera vez con WinBox, haga clic en OK. Después se revisará la opción: remove-configuration
• El router tiene la configuración básica por defecto que la muestra en una ventana

Academy Xperts 23
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Configuración en Blanco
Puede ser utilizado en situaciones en las que no se requiere la configuración básica por defecto.
• No hay necesidad de Reglas de firewall por defecto.
• No hay necesidad de Reglas de NAT por defecto
Los pasos mínimos para configurar un acceso básico a Internet (si el router no tiene una configuración básica por defecto)
• Direcciones IP de LAN
• Puerta de enlace predeterminada y servidor DNS
• Dirección IP de la WAN
• Regla de NAT (enmascaramiento)
• Cliente SNTP y la zona horaria

Actualizando el router
Cuando realizar una Actualización
Si el router MikroTik se encuentra desactualizado, podemos realizar en cualquier momento la actualización siempre y cuando
intentemos mejorar o corregir lo siguiente:
• Corregir un error conocido.
• Cuando se necesita una nueva característica.
• Mejora del rendimiento.
NOTA: Leer la lista de cambios antes de realizar un Upgrade, en especial si tiene una versión inferior a la v6.
http://wiki.mikrotik.com/wiki/Manual:RouterOS6_news
El Procedimiento
• Se requiere una planificación.
o Los pasos posiblemente tengan que hacerse en un orden preciso y con planificación previa.
• Se requiere pruebas ...
o Antes de que ponga en acción la nueva actualización, es necesario realizar pruebas en ambientes
controlados, o sino realizar un backup de la configuración anterior, como medida de contingencia en caso
de que la nueva actualización no funcione como se espera.
• Recomendaciones: Si el dispositivo funciona correctamente no se recomienda realizar un upgrade, de preferencia
mantenerse con la configuración anterior.

Antes de realizar una actualización


Es importante saber la arquitectura soportada (mipsbe, ppc, x86, mipsle, tile) en la cual se va a realizar la actualización.
Winbox indica la arquitectura del equipo.

Debe conocer qué ficheros se necesitan:


• NPK: paquete de actualización de RouterOS (siempre que se realiza un upgrade)

Academy Xperts 24
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

• ZIP: Paquetes adicionales (sobre la base de las necesidades)


• Verificar los Cambios: proceso de verificación post-actualización que valida el cambio efectuado en su dispositivo y
el correcto funcionamiento (siempre que se realiza un upgrade)

Cómo hacer un Upgrade


Existen tres maneras
• Descargar archivos y copiar en el router
• Buscar actualizaciones (System -> Packages)
• Actualizaciones automáticas (System -> Automatic Updates)
Se sugiere mantener siempre actualizado su RouterOS para mejor funcionamiento ya que siempre los desarrolladores están
añadiendo nuevas funciones y mejorando el rendimiento y la estabilidad mediante la liberación de actualizaciones.

Requisitos y sugerencias
Cuando se utiliza un dispositivo RouterBOARD, siempre se sugiere actualizar el RouterBoot bootloader, después ya se
podrá actualizar el RouterOS. Para hacer esto, ejecutar el comando
/system routerboard upgrade

Descargando los archivos


Copiar los archivos en el router por medio de la ventana File. Por ejemplo:
• routeros-mipsbe-6-28.npk
• ntp-6.28-mipsbe.npk
• Reiniciar el equipo /system reboot
• Comprobar que se realizó la actualización
Para realizar este proceso lo principal que debemos hacer es tener descargado los paquetes de actualización que
necesitamos.
• Primer paso es visitar la web: http://www.mikrotik.com y nos dirigiremos a la página de descarga (downloads).
• Una recomendación es descargar paquetes combinados en vez de solo la versión que desea, ya que en estos
paquetes combinados, vendrán con todas las funciones incluidas, tales como, paquetes adicionales para la
actualización requerida.

Academy Xperts 25
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Buscar actualizaciones
• A través del menú System / Packages
• Presionar el botón Ckeck for Updates a continuación Download & Upgrade
• Luego el equipo se reiniciará automáticamente
• Verificamos la instalación de los paquetes y el estado del router

Desde el lanzamiento del RouterOS v5.21, se añadió la actualización automática. Para actualizar la versión de RouterOS,
todo lo que se necesita hacer es hacer clic en un botón Check For Updates. Esta característica está disponible en la línea
de comandos, Winbox GUI, Webfig GUI y QuickSet.
La función de actualización automática se conecta a los servidores de descarga MikroTik, y comprueba si hay una nueva
versión de RouterOS para su dispositivo.
En caso afirmativo, se muestra una lista de cambios, y el botón de actualización se mostrará. Al hacer clic en el botón
Actualizar, los paquetes de software se descargarán automáticamente, y el dispositivo se reiniciará. Incluso si usted tiene un
sistema con paquetes personalizados instalados, solo los paquetes que usted desea tener en su equipo se descargarán. El
proceso es fácil y rápido, con el uso de los servidores FTP.

Actualización automática
• Copie los archivos requeridos en uno de los routers para que sirva como fuente del archivo de actualización.
• Configurar todos los router para que apunten hacia el router interno

Objetivos
• Hacer un router como punto central de la red con las actualizaciones, que actualizará el RouterOS en otros routers.
• Subir los paquetes RouterOS necesarios para este router.
• Mostrar los paquetes disponibles
• Se selecciona y se descarga los paquetes deseados
• Reiniciar y luego verificar el estado del router
• Comprobar la versión actual
[admin@Mikrotik] > /system RouterBOARD print
RouterBoard: yes
Model: 951Ui-2HnD
Serial-number: 458802555182
Current-firmware: 3.18
Upgrade-firmware: 3.18

RouterBoot firmware Upgrade


Es una de las opciones más rápidas y seguras para realizar una actualización por medio de línea de comando utilizando el
software de Winbox.
Actualizar si es necesario (esto es un ejemplo):
/system RouterBoard Upgrade
Do you really want to Upgrade firmware? [y/n]:
Yes
Echo: system, info, critical firmware Upgrade successfully, please reboot for changes to take effect!
Reboot, yes? [y/N]:

Academy Xperts 26
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Administración de usuarios en un RouterOS


La creación de diferentes usuarios para un sistema, o en este caso para el ingreso a un RouterBOARD, es algo fundamental
para mantener nuestro sistema seguro, ya que podremos crear usuarios con diferentes prioridades.
No todos los usuarios necesariamente deben ingresar a todas las operaciones que se puedan realizar en un Router. Al
momento de la creación de un usuario podremos darle los permisos necesarios como acceso total o que sea un usuario para
solo lectura, o si se desea ser más detallado se podrá configurar los tipos de servicios a lo s que el usuario puede acceder.

Cuentas de usuario
• Se crean cuentas para:
o Administrar los privilegios
o Definir acciones permitidas para cada usuario
• Se crean grupos para:
o Tener una mayor flexibilidad cuando asignamos privilegios, ya que cuando tengamos una cierta cantidad
de usuarios y que van a tener los mismos privilegios, podremos crear un grupo con los permisos que tienen
y luego asignarle los usuarios pertenecientes a dicho grupo.

Administración de servicios en un RouterOS (IP Services)


En estas opciones encontraremos los protocolos y puertos usados por los RouterOS MikroTik. Ayuda a determinar a través
de qué puertos escucha el router MikroTik, y lo que necesita para bloquear/permitir en caso de que se quiera controlar el
acceso a los servicios determinados.
Servicios IP (IP Services)
• Administrar los servicios IP para:
o Limitar el uso de recursos (CPU, Memoria)
o Limitar las amenazas de seguridad (Puertos abiertos)
o Cambiar el puertos TCP
o Limitar las direcciones IP y subredes IP aceptadas
• Para controlar los servicios se debe ir al menú “IP -> Services”
• Desactivar o Activar los servicios requeridos

Acceso a los Servicios IP


• Hacer doble clic en un servicio
• Si es necesario, especificar que host o subredes pueden acceder a los servicios
• Es una muy buena práctica de seguridad el limitar ciertos servicios a los administradores de red.

Academy Xperts 27
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Administración de los respaldos (backup) de las configuraciones


Los backup de configuración se pueden utilizar para realizar copias de seguridad de la configuración de un RouterOS
MikroTik en un archivo binario, que puede ser almacenada en el router o descargado a través de FTP para su uso futuro.
La opción restore (restauración) se puede utilizar para recuperar la configuración del router, tal y como era en el momento
de la creación de la copia de seguridad, a partir de un archivo de backup.
La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la pantalla de la
consola o a un archivo de texto, que se puede descargar desde el router mediante el protocolo FTP.

Tipos de Backups
• Backup Binario
• Comando export
Backup Binario
• Realiza un respaldo completo del sistema
• Incluye contraseñas y usuarios
• Los archivos de backup serán guardados por defecto en el mismo router.
Se recomienda que el archivo backup se guarde en una PC o en una unidad externa ya que resultaría ilógico que se guarde
en el mismo dispositivo. Se pueden generar “n” archivos de backup, y se guarda por defecto, con nombre del host, año,
fecha, hora.

Comando export
• Se puede visualizar la configuración completa o parcial
• Se usa el comando compact para mostrar la configuración no predeterminada
• La sentencia print permite visualizar la configuración parcial o total. Si se ingresa en la pagina principal
únicamente el comando export, entonces se respalda toda la configuración del router
/export file = nombre_del_archivo
• El comando export NO respalda los usuarios del router.
/ip firewall filter export
# jan/01/2014 01:58:17 by RouterOS 5.24
# software id = PEVF-794H
#
/ip firewall filter
Add action=Accept chain=input comment=”default configuration” disabled=no \
Protocol=icmp
Add action=Accept chain=input comment=”default configuration” disabled=no \
Connection-state=established
Add action=Accept chain=input comment=”default configuration” disabled=no \
Connection-state=related
Add action=drop chain=input comment=”default configuration” disabled=no \
Protocol=ethernet-gateway
Guardar archivos de Backup
• Una vez que se han generado los archivos de respaldo, se recomienda copiarlos en un servidor
o Por medio de SFTP en la forma recomendada
o FTP (Se lo habilita en el menú IP Services
o Arrastrar y Soltar usando la ventana Files
• Dejar los archivos de respaldo en el router no es una buena práctica o al menos no es algo recomendado. Los
routers no hacen respaldos en cintas o en CDs.

Licencias RouterOS
Los dispositivos RouterBOARD vienen pre-instalados con una licencia RouterOS. Esto significa que si compra un dispositivo
RouterBOARD no se debe hacer nada respecto a la licencia.
En cambio, cuando se trabaja con sistemas X86 (por ejemplo PCs), ahí si se necesita obtener una clave de licencia (license
key).
La clave de licencia (license key) es un bloque de símbolos que necesitan copiarse desde su cuenta en mikrotik.com, o
desde el email que usted recibe.

Academy Xperts 28
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Ejemplo de License Key recibido por email


License key for your router,
-----BEGIN MIKROTIK SOFTWARE KEY------------
LlCoU6wx6QFaGCbTieJCgAcloa4cPrF776F/9=Dxk+0+vZ39KBonqfyXrfBdrng3ajK/zFGr8KtgAcU
gcwHLNA==
-----END MIKROTIK SOFTWARE KEY--------------

Ejemplo de License Key desde la cuenta en mikrotik.com

Se puede copiar la clave en cualquier lugar en la ventana terminal, o haciendo click en “Paste key” en el menú de Licencias
de Winbox. Es necesario/requerido hacer un reboot para que la clave (key) tenga efecto (se active).

El esquema de licenciamiento de RouterOS se basa en el número de SoftwareID que está asociado al medio de
almacenamiento (HDD, NAND).
La información también se puede leer desde la consola del CLI
/system license print
software-id: 5ATP-QYIX
nlevel: 4
features:

Niveles de Licencias
Tenemos 6 tipos de licencias cuyas principales diferencias se muestran en la tabla a continuación:
• Nivel 0 (L0) : Demo (24 Horas)
• Nivel 1 (L1) : Free (Muy limitada)
• Nivel 3 (L3) : Es una licencia solo para estaciones Wireless o WISP CPE (Cliente WiFi, cliente o CPE). Para
arquitecturas x86 la licencia Nivel 3 no pude ser adquirida de forma individual. Si se desea ordenar más de 100
licencias L3, se debe escribir un correo a sales@mikrotik.com
• Nivel 4 (L4) : WISP (Requeridos para un Access Point)
• Nivel 5 (L5) : WISP (Mas Capacidades)
• Nivel 6 (L6) : Controlador ( Capacidades ilimitadas)
Level number 0 (Trial mode) 1 (Free Demo) 3 (WISP CPE) 4 (WISP) 5 (WISP) 6 (Controller)
Price no key registration required volume only $45 $95 $250
Initial Config Support - - - 15 days 30 days 30 days
Wireless AP 24h trial - - yes yes yes
Wireless Client and Bridge 24h trial - yes yes yes yes
RIP, OSPF, BGP protocols 24h trial - yes(*) yes yes yes
EoIP tunnels 24h trial 1 unlimited unlimited unlimited unlimited
PPPoE tunnels 24h trial 1 200 200 500 unlimited
PPTP tunnels 24h trial 1 200 200 500 unlimited
L2TP tunnels 24h trial 1 200 200 500 unlimited
OVPN tunnels 24h trial 1 200 200 unlimited unlimited
VLAN interfaces 24h trial 1 unlimited unlimited unlimited unlimited
HotSpot active users 24h trial 1 1 200 500 unlimited
RADIUS client 24h trial - yes yes yes yes
Queues 24h trial 1 unlimited unlimited unlimited unlimited
Web proxy 24h trial - yes yes yes yes
User manager active sessions 24h trial 1 10 20 50 Unlimited
Number of KVM guests none 1 Unlimited Unlimited Unlimited Unlimited

Academy Xperts 29
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Datos importantes sobre las Licencias:


• El nivel de licencia determina las capacidades permitidas en un Router
• RouterBOARD viene con una licencia pre-instalada, la misma que varía dependiendo del tipo de arquitectura del
RouterBOARD.
• Para un sistema X86 deben adquirirse las licencias. Una licencia es válida solo para un equipo
• La licencia Nivel 2 (L2) fue una licencia transicional entre el formato de licencia old-legacy (pre v2.8). Estas licencias
ya no están disponibles. Si usted posee este tipo de licencia L2, la misma trabajará, pero al hacer el upgrade usted
tendrá que comprar una nueva licencia.
• El protocolo dinámico BGP está incluido en la Licencia Nivel 3 (L3) únicamente para los RouterBOARDs. Para
activar BGP en otros dispositivos se necesitará una licencia L4 o superior.
• Todas las licencias:
o Nunca expiran
o Incluyen soporte gratis vía email por 15 a 30 días
o Pueden usar un número ilimitado de interfaces
o Las Licencias únicamente son válidas para una sola instalación
o Las licencias vienen con una capacidad de upgrade de software ilimitado

Realizando un Upgrade desde RouterOS v3 (2009)


*** Este tópico se desarrollará en la próxima versión del manual
Usos Típicos:
• Nivel 3: CPE, Clientes Wireless
• Nivel 4: WISP
• Nivel 5: Amplio WISP
• Nivel 6: infraestructuras internas ISP (Cloud Core)
Cambio de Niveles de Licencias
• No se puede actualizar el nivel de licencia. Si se desea usar un nivel de Licencia diferente, entonces se debe
comprar el nivel apropiado/requerido. Se debe tener mucho cuidado cuando se compre la licencia, ya que se debe
elegir el nivel de licenciamiento adecuado.
• Por qué no se puede cambiar el nivel de licencia (hacer upgrade)? Un ejemplo práctico sería actualizar el motor de
un vehículo de 2L a 4L, para lo cual se requiere pagar la diferencia. Por este motivo no se puede cambiar de niveles
de licenciamiento fácilmente. Esta es una política usada por muchas compañías de software.

Uso de las Licencias


Se puede formatear o hacer un re-flash al drive?
Formatear, y hacer una re-imagen del drive con herramientas que no son MikroTik (por ejemplo DD y Fdisk) destruirán su
licencia. Se debe actuar con cautela y contactar al soporte de MikroTik antes de hacer esto. No se recomienda ya que el
soporte de MikroTik podría negar su requerimiento para reemplazar una licencia. Por este motivo MikroTik provee las
herramienta Netinstall o la instalación por CD.
Con Cuántas computadoras se puede usar la licencia?
Al mismo tiempo, la licencia de RouterOS se puede usar únicamente en un solo sistema. La licencia está ligada al HDD
(disco duro) en donde se instala. Sin embargo se puede mover el HDD a otro sistema de cómputo. No se puede mover la
licencia a otro HDD. Si se formatea o se sobre escribe el HDD con la licencia RouterOS, se borrará todo el contenido del
drive, y se deberá adquirir una nueva licencia. Si de forma accidental se removió la licencia, debe contactar al equipo de
soporte para ayuda.
Se puede usar el HDD para algún a actividad diferente que RouterOS?
No se puede
Se puede mover la licencia a otro HDD?
Si su HDD actual se destruye, o ya no puede ser usado, se puede transferir la licencia a otro HDD. Para ejecutar esta
actividad, se deberá solicitar una clave (key) de reemplazo que costará 10 USD.
Qué es la clave de reemplazo?
Es una clave especial que es emitida por el Equipo de Soporte MikroTik si es que usted accidentalmente perdió la licencia.
El soporte de MikroTik decide si es o no su culpa de forma directa. Esta clave de reemplazo cuesta 10 USD y tiene las
mismas características que la que perdió. Es posible que antes de que el equipo de soporte emita la clave, pueda pedirle
prueba de que el viejo drive en verdad en verdad está dañado. En algunos caso esto puede implicar que deba enviar el drive
muerto a MikroTik.
Nota: Se puede emitir únicamente una clave de reemplazo por cada clave original. No se puede usar el procedimiento de
reemplazo de clave dos veces para una sola clave. En estos casos se debe adquirir una nueva key.
Para una revisión más detallada sobre Licenciamiento, le recomendamos visitar el siguiente link:
http://wiki.mikrotik.com/wiki/Manual:License

Academy Xperts 30
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

NetInstall
Es un programa que se ejecuta en el computador que corre el sistema operativo Windows y que permite instalar RouterOS
MikroTik en una PC o en un RouterBOARD a través de una red Ethernet.
El dispositivo debe ser compatible con el arranque desde Ethernet, y debe haber un enlace Ethernet directo desde el
computador donde tenemos el Netinstall al dispositivo de destino.

Uso de Netinstall
• Reinstalación del RouterOS para recuperación del sistema
• Reinstalación del RouterOS tras perdida de contraseña
• Para descargar Netinstall: http://www.mikrotik.com/download

Procedimientos para usar Netinstall


Para RouterBOARDs sin el puerto COM
• Nos conectamos a un computador por medio del puerto Ethernet1
o Configurar una dirección IP y máscara de subred estática al computador
• Iniciar Netinstall
o Presionar el botón Net booting y escribir una dirección IP al azar pero que esté en la misma subred que
el computador

• En la sección Packages, debe hacer click en Browse y seleccionar un directorio que contenga un archivo NPK
válido.
• Presionar el botón reset en el router hasta que el LED de actividad (ACT) se quede apagado
o El router aparecerá en la sección Routers/Drivers
• Seleccionamos la versión del RouterOS requerido desde la sección Packages
o Presionar el botón install
• La barra de progreso se tornará azul mientras se transfiere los archivos NPK

Academy Xperts 31
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

• Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de
acceso a internet en el puerto Ethernet1
• Usar el MAC-Winbox para conectare al equipo con configuración en blanco.
• Hacer una copia de seguridad de la configuración y reiniciar el sistema
o Importante para la gestión de un acceso adecuado de los archivos.
• Si el problema era de una contraseña perdida, vuelva a realizar la configuración desde cero.
o Importante para la gestión de un acceso adecuado de los archivos.
Para RouterBOARDs con el puerto COM
• Comenzar igual que antes
o PC en la Ethernet1 con una direcciones estática
o Conectar desde el puerto serial del PC al puerto COM del RouterBOARD
o Iniciar Netinstall ( configurar parámetros de Net Booting)
o Seleccionar directorio con archivos NPK válidos
o Reiniciar el router
o Presionar Enter, cuando se le solicite para entrar en la configuración
o Podemos presionar “o” para reiniciar el dispositivo
o Podemos presionar “e” para Ethernet
o Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router)
El router aparecerá en la sección Routers/Drivers
Se selecciona la versión del RouterOS requerido desde la sección Packages
• Hacer click en Keep old configuration
• Presionar el botón install
La barra de progreso se tornará azul mientras se transfiere los archivos NPK

Academy Xperts 32
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

• Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de
acceso a internet en el puerto 1
• Ahora usted puede usar Winbox para conectarse
o Aquí se encontrará la opción Keep old configuration
• Reiniciar el router
• Presionar Enter, cuando se le solicite para entrar en la configuración
• Podemos presionar “o” para reiniciar el dispositivo
• Podemos presionar “e” para Ethernet
• Podemos presionar “n” para desconectar el puerto Ethernet
o Si te olvidas de esto, siempre el router se iniciara desde la Ethernet
• Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router)

Recursos adicionales
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
• Aquí se encontrará información acerca del RouterOS
• Todos los comandos del RouterOS
o Explicación
o Sintaxis
o Ejemplos
• Consejos y trucos adicionales
Tiktube
http://www.tiktube.com/
• Recursos en videos sobre varios temas
• Presentados por Trainers, Partners, IPSs, etc.
• Se encontrará diversas presentaciones
• Los videos están en varios lenguajes
Foros de Discusión
http://forum.mikrotik.com/
• Moderado por el personal de MikroTik
• Es un foro de discusiones sobre diversos temas
• Aquí se puede encontrar una gran cantidad de información
• Se puede encontrar una solución a su problema

Academy Xperts 33
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Soporte MikroTik
• Mail: support@mikrotik.com
• Instrucciones para solicitar soporte: http://www.mikrotik.com/support.html
• El apoyo de Mikrotik si el router fue comprado a fábrica es de:
o 15 días (nivel licencia 4)
o 30 días (nivel 5 Licencia y el nivel 6)
Distribuidores/Soporte
• El distribuidor mayorista/reseller proporcionará soporte siempre y cuando el router haya sido comprado a él
• Se pueden contratar a Consultores Certificados para necesidades especiales
• http://www.mikrotik.com/consultants

Academy Xperts 34
RouterOS v6.34.3.01 – Capítulo 1 – RouterOS

Preguntas de repaso del Capítulo 1


1. Cuál es la cantidad mínima de memoria RAM, y de espacio en disco que se requiere para instalar RouterOS?

2. Hasta qué capacidad de memoria RAM se reconoce en los dispositivos Cloud Core?

3. Hasta qué capacidad de memoria RAM se reconoce en los dispositivos que no son Cloud Core?

4. Cuáles son los diferentes medios de almacenamiento que soporta RouterOS?

5. Cuál es la versión de Kernel de Linux en la que está basado el RouterOS 6.x?

6. Cuáles son las arquitectura soportadas por RouterOS?

7. Cuál es la IP por defecto que usan los routers MikroTik cuando viene configurado de fábrica?

8. Enumere las diferentes formas de accesar a un router MikroTik

9. Cuáles son las formas de acceso en forma segura a un router MikroTik?

10. Cuáles son los parámetros para la configuración cuando se ingresa por puerto serial?

11. Cuáles son la maneras de realizar un Upgrade del RouterOS?

12. Qué hace la opción Check For Updates?

13. Es importante realizar la actualización del RouterBoot? Por qué?

14. Cuál es la diferencia entre backup y export?

15. Cuáles son los usos típicos de los diferentes niveles de licencias RouterOS?

16. Para qué se usa el NetInstall?

17. A través de qué puerto funciona el NetInstall? Funciona a través de otros puertos?

18. Que función tiene la opción Keep Old Configuration en NetInstall?

Laboratorio – Capítulo 1

Academy Xperts 35
RouterOS v6.34.3.01 – Capítulo 2 – Ruteo Estático

Capítulo 2: Ruteo Estático


Conceptos de Ruteo
El ruteo (routing) es un proceso en la capa 3 del modelo OSI. El ruteo define por donde va a ser enviado el tráfico.
Es necesario para que puedan comunicarse entre sí diferentes subredes.

Routing o enrutamiento
Es la función de buscar un camino entre todos los posibles en una red de paquetes cuyas topologías poseen una gran
conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero será definir qué se entiende por mejor ruta y
en consecuencia cuál es la métrica que se debe utilizar para medirla
Los parámetros que se manejan son:
Métrica de la red
Puede ser, por ejemplo, el número de saltos necesarios para ir de un nodo a otro. Aunque ésta no es una métrica óptima ya
que supone el valor 1 para todos los enlaces, es sencilla y suele ofrecer buenos resultados. Otro tipo de métrica es la
medición del retardo de tránsito entre nodos vecinos, en la que la métrica se expresa en unidades de tiempo y sus valores
no son constantes sino que dependen del tráfico de la red.
Mejor Ruta
Entendemos por mejor ruta aquella que cumple las siguientes condiciones:
• Consigue mantener acortado el retardo entre pares de nodos de la red.
• Consigue ofrecer altas cadencias efectivas independientemente del retardo medio de tránsito
• Permite ofrecer el menor costo.
El criterio más sencillo es elegir el camino más corto, es decir la ruta que pasa por el menor número de nodos. Una
generalización de este criterio es el de coste mínimo. En general el concepto de distancia (o coste de un canal) es una
medida de la calidad del enlace basado en la métrica que se haya definido. En la práctica se utilizan varias métricas
simultáneamente.
Pregunta: Cuales son los motivos por los cuales estos dispositivos no se pueden comunicar entre si en el siguiente
escenario? (Fig.M2-1)

Academy Xperts 36
RouterOS v6.34.3.01 – Capítulo 2 – Ruteo Estático

Respuesta: No se comunicarán, porque cada computador o dispositivo, se encuentra en un segmento de red distinto. Para
que puedan verse entre sí, tienen estas opciones (Fig.M2-1):
• Tendrán que pertenecer a un mismo segmento de red todos los computadores
• Colocar un router configurado con los parámetros adecuados para que se comuniquen las subredes.

Etiquetas de Rutas
Las rutas tienen varios estados los cuales son identificados por letras. En este curso, nosotros tendremos que familiarizarnos
con estos términos, por ejemplo:
• X : Deshabilitada
• A : Activa
• D : Dinámica
• C : Conectada
• S : Static (estática)

Significado de las etiquetas de rutas más comunes:


En la sección de Router Flags del wiki de mikrotik, podremos apreciar más etiquetas:
http://wiki.mikrotik.com/wiki/Manual:IP/Route
Etiqueta (Flag) Descripción
disabled (X) Regla de ruteo está deshabilitada. No tiene ningún efecto sobre las otras rutas y no se utiliza
de ninguna manera para reenvío (forwarding) o protocolos de ruteo
active (A) Ruta se utiliza para el reenvió de paquetes. Denota una ruta activa.
dynamic (D) Regla de ruteo creada por el software y no por la interface de administración. No se exporta,
y no puede ser modificado directamente.
connect (C) Ruta conectada. Se genera cuando se configura una dirección IP en una interface activa

Academy Xperts 37
RouterOS v6.34.3.01 – Capítulo 2 – Ruteo Estático

Etiqueta (Flag) Descripción


static (S) Ruta estática. Ruta creada por el usuario de manera fija. Este método forzará el envío de
paquetes a través de un Gateway definido por el usuario/administrador
rip (r) Ruta RIP
bgp (b) Ruta BGP
ospf (o) Ruta OSPF
mme (m) Ruta MME
blackhole (B) Descarta silenciosamente el paquete reenviado por esta ruta
unreachable (U) Descartar los paquetes reenviados por esta ruta. Se notifica al originador del paquete por
medio de un mensaje ICMP host unreachable (tipo 3, código 1)
prohibit (P) Descartar los paquetes reenviados por esta ruta. Se notifica al originador del paquete por
medio de un mensaje ICMP communication administratively prohibited (tipo
3, código 13)

Rutas Estáticas
• Las tablas de enrutamiento de los nodos se configuran de forma manual y permanecen inalterables hasta que no
se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a los cambios de las condiciones de la red
es nula.
• Las rutas estáticas que existen sobre un router son creados y conocido por ese router. Pero, qué pasará si usted
necesita llegar a una subred que existe en otro router?
• Cabe recalcar que una ruta estática es una forma manual de reenviar el tráfico a subredes desconocidas

Ejercicio 2.1 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la
dirección 192.168.1.1

Academy Xperts 38
RouterOS v6.34.3.01 – Capítulo 2 – Ruteo Estático

Ejercicio 2.2 (Fig.M2-3): Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un ping a la
dirección 192.168.1.254

Propiedades generales
• check-gateway (arp | ping; Default: "").- Periódicamente (cada 10 segundos) se chequea el gateway enviando ya
sea un ICMP echo request (ping) o un ARP request (arp). Si no se recibe respuesta del gateway en 10
segundos, se solicita un tiempo de espera (request times out). Después de dos timeouts el gateway se
considera inalcanzable (unreachable).- Después de recibir una respuesta del gateway se considera alcanzable
(reachable) y el contador de timeout se resetea.
• comment (string; Default: "").- Es la descripción de una ruta particular
• distance (integer[1..255]; Default: "1").- Valor usado en la selección de ruta. Las rutas con valores de distancia
más pequeños tendrán preferencia. Si no se especifica el valor de esta propiedad, entonces el valor default depende
del protocolo de ruteo:
§ connected routes: 0 (rutas conectadas)
§ static routes: 1 (rutas estáticas)
§ eBGP: 20
§ OSPF: 110
§ RIP: 120
§ MME: 130
§ iBGP: 200
• dst-address (IP prefix; Default: 0.0.0.0/0).- Prefijo IP de la ruta, especifica las direcciones destino para la que
esta ruta puede ser utilizada. La parte netmask de esta propiedad especifica cuántos de los bits más significantes
en la dirección del paquete destino deben coincidir con este valor. Si existen varias rutas activas que coinciden con
la dirección destino del paquete , entonces se utilizará la más específica (el que tenga el valor de netmask más
grande).
• gateway (IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "").- Arreglo de direcciones IP o nombres
de interface. Especifica a cuál host o interface deberían ser enviados los paquetes. Las rutas conectadas y las rutas
con tipo blackhole, unreachable o prohibit no tienen estas propiedad. Usualmente el valor de esta propiedad
es una dirección IP sencilla de un gateway que puede alcanzado directamente a través de una de las interfaces del
router. Las rutas ECMP tienen más de un valor de gateway. El valor puede ser repetido varias veces.
• pref-src (IP; Default: "").- Cuál de las direcciones IP locales se utilizará para los paquetes originados localmente
que son enviados a través de esta ruta. El valor de esta propiedad no tiene efecto en los paquetes reenviados. Si
el valor de esta propiedad se configura con una dirección IP que no es la dirección local de este router, entonces la
ruta se volverá inactiva. Si no se configura el valor pref-src, entonces para los paquetes originados localmente
que son enviados usando esta ruta, el router elegirá una dirección local anexada a la interface de salida que coincida
con el prefijo destino de la ruta.
• route-tag (integer; Default: "").- Valor del atributo la etiqueta de ruta para RIP u OSPF. Para RIP los únicos
valores válidos son 0..4294967295
• routing-mark (string; Default: "").- Nombre de la tabla de ruteo que contiene esta ruta. No se configura por default
porque es el mismo que la tabla principal de ruteo. Los paquetes que son marcados por el firewall con este valor
de routing-mark serán ruteados usando las rutas de esta tabla, a menos que sean anulados por las reglas de
políticas de ruteo. No se puede usar más de 250 routing-mark por router.
• scope (integer[0..255]; Default: "30").- Usado en la resolución del nexthop. La ruta puede resolver el nexthop
únicamente a través de las rutas que tienen scope menor o igual al target-scope de esta ruta. El valor por
default depende del protocolo de ruteo:

Academy Xperts 39
RouterOS v6.34.3.01 – Capítulo 2 – Ruteo Estático

§ connected routes: 10 (si la interface está corriendo)


§ OSPF, RIP, MME routes: 20
§ static routes: 30
§ BGP routes: 40
§ connected routes: 200 (si la interface NO está corriendo)
• target-scope (integer[0..255]; Default: "10").- Utilizado en la resolución del nexthop. Este es el valor máximo de
scope para una ruta a través del cual un nexthop de esta ruta puede ser resuelto. Para iBGP el valor se configura
por default en 30.
• type (unicast | blackhole | prohibit | unreachable; Default: unicast).- Rutas que no especifican nexthop para los
paquetes, pero que el cambio desarrollan alguna otra acción en los paquetes que tienen un tipo diferente del usual
unicast.
§ blackhole – esta ruta descarta silenciosamente los paquetes
§ unreachable – envía el mensaje ICMP Destination Unreachable (código 1) a la dirección
origen del paquete
§ prohibit – envía el mensaje ICMP Destination Unreachable (código 13) a la dirección
origen del paquete
• vrf-interface (string; Default: "10").- Nombre de la interface VRF
Propiedades de solo-lectura
• gateway-status (array).- Arreglo de gateways, estados de los gateway y cuál interface es usada para reenvío.
Sintaxis del estado IP de la interface, por ejemplo 10.5.101.1 reachable bypass-bridge. El estado puede
ser unreachable, reachable o recursive.
• ospf-metric (integer).- Usado para la métrica OSPF para una ruta en particular.
• ospf-type (string)
Ventajas del Enrutamiento Estático
• Hace más sencilla la configuración en redes pequeñas que lo más probable es que no crezca.
• Limita el uso de recursos del router (memoria, CPU)
• El administrador podrá entender fácilmente la configuración cuando la red no es compleja.
Limitantes del Enrutamiento Estático
• La configuración y el mantenimiento son prolongados.
• Requiere configuraciones manuales para poder alcanzar nuevas sub redes.
• La configuración es propensa a errores, especialmente en redes extensas.
• No se adapta bien con las redes en crecimiento, el mantenimiento se torna cada vez más complicado, en lo que
respecta al tema de escalabilidad.
• Requiere un conocimiento completo de toda la red para una correcta implementación.
Cómo crear rutas estáticas
Para agregar rutas estáticas:
• Menu: IP à Routes
• + (Add)
• Especificar subred y mascara de subred
• Especificar Gateway (el siguiente salto)

Academy Xperts 40
RouterOS v6.34.3.01 – Capítulo 2 – Ruteo Estático

Ejercicio 2.3 (Fig.M2-5): Ejemplo de Enrutamiento Estático


Cómo llego desde la Red A hasta la Red C?

Solución Ejercicio 2.3


Router 1
/ip route
add distance=1 dst-address=172.31.4.0/24 gateway=10.1.1.2
Router 2
/ip route
add distance=1 dst-address=172.31.4.0/24 gateway=10.2.2.6

Configurando la Ruta por Defecto


La ruta 0.0.0.0/0 es conocida como la ruta por defecto. Es el destino a donde se enviará todo el tráfico a subredes
desconocidas. También es una ruta estática, y puede ser creada por el administrador o creada automáticamente por el
router.
/ip route add gateway=a.b.c.d

Gestión de Rutas Dinámicas


Como se mencionó antes, las rutas dinámicas son agregadas automáticamente por el proceso de enrutamiento, no por el
administrador. No se puede gestionar las rutas dinámicas, debido a que es un proceso automatizado realizado por el router.
En algunos casos la ruta puede llegar a ser " inalcanzable " si la interfaz física está apagada o caida (down). Esto puede
ocurrir cuando la interfaz esta deshabilitada o la PC se encuentra desconectada de la red.

Ejercicio 2.4 (Fig.M2-6): Implementación de Enrutamiento Estático


En el siguiente caso de estudio se desea implementar una solución de enrutamiento estático. Se desea que la RED-A
(192.168.0.0/24), pueda llegar a la RED-C (192.168.2.0/24). Asuma que los enlaces inalámbricos ya están
previamente configurados.

Academy Xperts 41
RouterOS v6.34.3.01 – Capítulo 2 – Ruteo Estático

Solución Ejercicio 2.4


Router 1
/ip route add distance=1 dst-address=192.168.2.0/24 distance=1 gateway=10.10.0.2
/ip route add distance=1 dst-address=192.168.2.0/24 distance=2 gateway=10.10.0.3
Router 2
/ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.2.2
Router 3
/ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.1.2

Preguntas de repaso del Capítulo 2


1. Cuáles son las diferentes etiquetas de rutas en RouterOS? Qué significa cada una?

2. Cuando existen varias rutas activas que coinciden con una dirección destino, que ruta se utilizará?

3. Cuáles son los valores por default de distancia de los diferentes protocolos de ruteo?

4. Es posible gestionar las rutas dinámicas? Por qué?

Laboratorio – Capítulo 2

Academy Xperts 42
RouterOS v6.34.3.01 – Capítulo 3 – Bridge

Capítulo 3: Bridge
Conceptos de Bridging
El bridge trabaja en la capa 2 del modelo OSI. EL bridge Ethernet trabaja con el protocolo CSMA/CD, el cual le permite
sensar y escuchar la red antes de transmitir. Cuando algunos equipos al mismo tiempo transmiten, se generan colisiones
que hacen que la red colapse.

Un puente de red o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de
enlace de datos) del modelo OSI. Este interconecta segmentos de red (o divide una red en segmentos) haciendo la
transferencia de datos de una red hacia otra con base en la dirección física de destino de cada paquete. El termino bridge,
formalmente, responde a un dispositivo que se comporta de acuerdo al estándar IEEE 802.1D
En definitiva, un bridge conecta segmentos de red formando una sola subred (permitir conexión entre equipos sin necesidad
de routers). Funciona a través de una tabla de direcciones MAC detectadas en cada segmento al que está conectado.
Cuando detecta que un nodo de un segmento está intentando transmitir datos a un nodo del otro segmento, el bridge copia
la trama hacia la otra subred, teniendo la capacidad de desechar la trama (filtrado) en caso de no tener dicha subred con
destino. Para conocer por donde enviar cada trama que le llega (encaminamiento) incluye un mecanismo de aprendizaje
automático (autoaprendizaje) por lo que no necesitan configuración manual.
Los bridge usan una tabla de reenvío para enviar tramas a lo largo de los segmentos de la red. Si una dirección de destino
no se encuentra en la tabla, la trama es enviada por medio de inundación (flooding) a todos los puertos del bridge excepto
por el que llego. Por medio de este envío masivo de tramas, el dispositivo de destino recibirá el paquete y responderá,
quedando así registrada la dirección destino como una entrada de la tabla. Dicha tabla incluye tres campos: dirección MAC,
interface a la que está conectada y la hora a la que llego la trama (a partir de este campo y la hora actual se puede saber si
la entrada está vigente en el tiempo). El bridge utilizará esta tabla para determinar qué hacer con las tramas que le llegan.

Ejemplo 1
Todos los ordenadores pueden comunicarse entre sí (Fig.M3-3). Todos tienen que esperar a que el resto de equipos dejen
de transmitir para así poder transmitir los datos.

Academy Xperts 43
RouterOS v6.34.3.01 – Capítulo 3 – Bridge

Ejemplo 2 (Fig.M3-4).
• Todos los equipos todavía se comunican entre sí.
• Todos los equipos ahora solo comparten la mitad del cable
• Todavía tienen que esperar a que el resto de equipos terminen de transmitir, pero el grupo es la mitad del tamaño
ahora.

Usando Bridges
Por defecto, en los routers MikroTik, los puertos Ethernet están asociados (esclavos) a un puerto maestro.
Ventajas:
• No necesita configuración previa.
• Conmutación rápida (a través de chip switch, no en software)
Desventajas:
• No hay visibilidad del tráfico de los puertos de esclavos. No conviene si se utiliza SNMP para monitorear el uso de
puertos.
• No se limita el número de reenvíos mediante broadcast
• Difícilmente escalable para redes muy grandes
• El procesado y almacenamiento de datos introduce retardos
Mediante la eliminación de configuración maestro (master) y esclavo (slave), se debe utilizar una interfaz bridge para vincular
a los puertos requeridos en una sola LAN.
Ventajas:
• Completa visibilidad de todas las estadísticas de puerto de los puerto involucrados
Desventajas:
• La función de switch se hace a través de software, por lo que provee una velocidad de transferencia de paquetes
menos óptima

Academy Xperts 44
RouterOS v6.34.3.01 – Capítulo 3 – Bridge

Creando un Bridge

Agregando puertos al bridge


• La adición de puertos definirá cuales puertos van a pertenecer a la misma subred
• Se puede agregar diferentes tecnologías, tales como una interfaz WiFi

Haciendo Bridge con redes Wireless


• Lo mismo se puede hacer con interfaces Wireless
• Veremos acerca de este tema en el siguiente módulo.

Preguntas de repaso del Capítulo 3


1. En qué capa del modelo OSI trabaja el bridge?

2. Cuáles son las ventajas de usar bridge?

3. Cuáles son las desventajas de usar bridge?

Laboratorio – Capítulo 3

Academy Xperts 45
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

Capítulo 4: IEEE 802.11 (Wireless)


Conexión Inalámbrica
La comunicación inalámbrica (sin cables) es aquella en la que la que el emisor y el receptor no se encuentra unidos por un
medio de propagación físico, sino que se utiliza la modulación de ondas electromagnéticas a través del espacio. En este
sentido, los dispositivos físicos sólo están presentes en los emisores y receptores de la señal, entre los cuales encontramos:
antenas, computadoras portátiles, PDA, teléfonos móviles, etc.

IEEE 802.11
El estándar IEEE 802.11 define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de enlace de datos),
especificando sus normas de funcionamiento en una WLAN. Los protocolos de la rama 802.x definen la tecnología de redes
de área local y redes de área metropolitana.
Recuerde: El MikroTik RouterOS opera en 5GHz (802.11a/n/ac) y 2.4GHz (802.11b/g/n)
Frecuencias y bandas:
Rango
MIMO Aproximado
Protocolo Fecha de Frec. BW
Stream data rate (Mbps) posibles Modulación
802.11 liberación GHz MHz Indoor Outdoor
streams
metros metros
802.11
Jun-97 2.4 22 1, 2 N/A DSSS, FHSS 20 100
1997
5 20 6, 9, 12, 18, 24, 36, 48, 54 N/A OFDM 35 120
a Sep-99
3.7 20 6, 9, 12, 18, 24, 36, 48, 54 — 5,000
b Sep-99 2.4 22 1, 2, 5.5, 11 N/A DSSS 35 140
g Jun-03 2.4 20 6, 9, 12, 18, 24, 36, 48, 54 N/A OFDM, DSSS 38 140
7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2
20 4 OFDM 70 250
(6.5, 13, 19.5, 26, 39, 52, 58.5, 65)
n Oct-09 2.4/5
15, 30, 45, 60, 90, 120, 135, 150
40 70 250
(13.5, 27, 40.5, 54, 81, 108, 121.5, 135)
7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2, 86.7, 96.3
20 8 35
(6.5, 13, 19.5, 26, 39, 52, 58.5, 65, 78, 86.7)
15, 30, 45, 60, 90, 120, 135, 150, 180, 200
40 35
(13.5, 27, 40.5, 54, 81, 108, 121.5, 135, 162, 180)
ac Dec-13 5 32.5, 65, 97.5, 130, 195, 260, 292.5, 325, 390, 433.3
80 (29.2, 58.5, 87.8, 117, 175.5, 234, 263.2, 292.5, 351, 35
390)
65, 130, 195, 260, 390, 520, 585, 650, 780, 866.7
160 35
(58.5, 117, 175.5, 234, 351, 468, 702, 780)

802.11b/g
• 2.4GHz, Ancho de Banda 22MHz, 54Mbps
• Rango de Frecuencia en Canales 1, 6 y 11 no se sobreponen o no se produce el efecto de overlapping

Academy Xperts 46
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

Identificador de Canal Frecuencia MHz


1 2412
2 2417
3 2422
4 2427
5 2432
6 2437
7 2442
8 2447
9 2452
10 2457
11 2462
12 2467
13 2472
14 2484
802.11a
El estándar 802.11a utiliza el mismo juego de protocolos de base que el estándar original, opera en la banda de 5 GHz y
utiliza la multiplexacion por división de frecuencias (OFDM) con una velocidad máxima de 54 Mbit/s, lo que lo hace un
estándar práctico para redes inalámbricas con velocidades reales de aproximadamente 20 Mbit/s. La velocidad de datos se
reduce a 48, 36, 24, 18, 12, 9 o 6 Mbit/s.El estándar 802.11a tiene 12 canales que no se sobreponen, 8 para red inalámbrica
y 4 para conexiones punto a punto. No puede interoperar con equipos del estándar 802.11b, excepto si se dispone de equipos
que implementen ambos estándares.

Identificador de Canal Frecuencia MHz


36 5180
40 5200
42 5210
44 5220
48 5240
50 5250
52 5260
56 5280

Academy Xperts 47
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

58 5290
60 5300
64 5320
149 5745
152 5760
153 5765
157 5785
160 5800
161 5805

Problema del Nodo Oculto


El problema del nodo oculto (tambien llamado problema de terminal oculto) se produce cuando un nodo es visible desde un
punto de acceso inalámbrico (AP), pero no es visible desde otros nodos que se comunican con ese mismo AP. Esto conduce
a dificultades en la subcapa de control de acceso al medio.
Cada nodo está dentro del tango de comunicación del AP, pero los nodos no se pueden comunicar uno con otro ya que no
tienen una conexión física entre ellos.
La tecnología de transmisión wireless trabaja en un esquema en que si más de un usuario remoto transmite datos al AP al
mismo tiempo, es difícil para el punto de acceso distinguir entre los dos transmisores.
Cuando se creó el estándar 802.11 los protocolos que se diseñaron para prevenir este problema asumieron que todos los
usuarios y nodos deberían estar en las proximidades del AP y podrían escuchar la transmisión de cada uno de los otros
nodos.
Por ejemplo, supongamos que los nodos A y B son laptops inalámbricas que se conectan a un AP (Access Point) y que el
nodo A empieza a enviar datos al AP al mismo tiempo que el nodo B.
El nodo A es lo suficientemente inteligente como para escuchar en el momento exacto que está enviando los datos con el
fin de garantizar que cuenta con las ondas de radio claras y libres. Si se oye algún otro transmisor al mismo tiempo, puede
detener el envío de datos, o, en otros casos, el nodo B puede ser el que detenga su envío de datos. El mecanismo exacto
utilizado para determinar el orden de detención de envío de datos es similar a la regla de parada de cuatro vías (four-way
stop). Estas reglas son necesarias para evitar una colisión y permitir que cada nodo para enviar sus datos sin obstáculos.
Se puede decir entonces, que el estándar 802.11 está diseñado de tal forma que si un nodo escucha que otro nodo está
hablando, detiene su envío de datos para evitar que se produzca un caos cuando múltiples nodos rtansmitiendo al mismo
tiempo. Esto debería cumplirse para cada nodo en la red.
Todo este esquema funciona bien si los nodos remotos se encuentran relativamente cercanos al AP y pueden “verse” entre
si. El problema aparece cuando los nodos se alejan bastante del AP y la distancia (mayor a 50 metros) impide que los nodos
(por ejemplo A y B) que ahora debn usar antenas direccionales (debido a la distancia), puedan escuchar uno al otro. El
resultado es que dichos nodos no pueden llegar a conocer al otro y por lo tanto no pueden detener el envío de datos cuando
ambos transmiten simultáneamente.
En términos técnicos, los nodos A y B están fuera de rango uno de otro y no puden detectar una colisión mientras transmiten.
Es decir, en etse caso el protocolo CSMA/CD (carrier sense multiple access with collision detection) no trabaja y ocurren
colisiones lo que ocasiona que los datos que se reciben en el AP estén corruptos.

Para resolver este problema del nodo oculto se implementa una solución basada en el handshaking IEEE 802.11 RTS/CTS
en conjunto con el esquema CSMA/CA (carrier sense multiple access with collision avoidance).
Sin embargo RTS/CTS no presenta una solución completa e incluso puede afectar el throughput considerablemete, aunque
se puede hacer uso de ACKs (acknowledgments) desde las estaciones para ayudar.

Academy Xperts 48
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

Otros métodos que se pueden emplear para resolver el problema del nodo oculto son los siguientes:
• Incrementar la potencia de transmisión de los nodos
• Mover el nodo
• Utilizar un software que mejore el protocolo
• Usar diversidad espacial
Incrementar la potencia de transmisión de los nodos
Esta opción puede ayudar a resolver el problema del nodo oculto haciendo que aumente la cobertura alrededor de cada
nodo, abarcando todos los otros nodos. Esta configuración permite que los nodos no-ocultos puedan detectar o escuchar al
nodo oculto. Si los nodos no-ocultos pueden escuchar el nodo oculto, entonces el nodo oculto ya no lo estará. Las redes
WLAN (Wireless LAN) utilizan el protocolo CSMA/CA, y esto hace que los nodos esperen su turno antes de comunicarse
con el AP.
Esta solución sólo funciona si se aumenta la potencia de transmisión en los nodos que están ocultos. Si se aumenta la
potencia de transmisión únicamente en el AP, no se va a resolver todo el problema, ya que normalmente los nodos ocultos
son los clientes (laptops, dispositivos móviles), y no el propio AP, por lo que los clientes aún no serán capaces de escuchar
a los demás. Incluso, aumentar la potencia de transmisión del AP puede empeorar el problema, porque va a poner nuevos
clientes dentro del rango del AP y por lo tanto agregar nuevos nodos a la red que están ocultos de otros clientes.
Mover el nodo
Al mover el nodo los nodos-ocultos podrían verse entre si. El objetivo es proveer la cobertura adecuada que cubra el área
oculta. Es posible que reqiuera puntos de acceso (AP) adicionales.
Software que mejore el protocolo
Existen varias implementaciones de protocolos que básicamente lo que hacen es implementar una estrategia de polling o
token-passing. En este caso, un equipo master (generalmente el AP) hace un polling dinámicamente a los clientes para
obtener la data. Los clientes no están permitidos de enviar datos sin la invitación del master. Esta estrategia elimina el
problema del nodo oculto pero incrementa la latencia y puede disminuir el throughput.
Diversidad Espacial
También conocido como Diversida de Antena es uno de los varios esquema Wireless que usa dos o más antenas para
mejorar la calidad y confiabilidad de un enlace wireless.
En ambientes indoor (oficinas, restaurantes, edificios) y ambientes urbanos no existe una línea de vista (LOS= line-of-sight)
claramente definida y lo que sucede es que la señal se refleja entre múltiples rutas antes de que sea recibida. Cada uno de
estos rebotes puede introducir cambios de fase, retardos de tiempo (delay), atenuaciones y distorsiones que puede interferir
en la antena de recepción.
La diversidad de antena es especialmetne efectiva para mitigar estas situaciones de múltiples rutas. Esto se debe a que las
múltiples antenas ofrecen varios receptores para la misma señal. Cada antena experimentará un ambiente de interferencia
distinto. De esta manera, si una antena experimenta un desvanecimiento de la señal (deep fade), es muy probable que la
otra antena reciba suficiente señal, pudiendo proveer un enlace robusto.
El esquema de diversidad de antena requiere una integración y hardware adicional en comparación con sistemas que
manejan una sola antena. Esto también requiere una mayor demanda de procesamiento en el receptor.
La confiablidad de enlace es mayor (usando diversidad espacial) y disminuye en forma efectiva los abandonos (drop-out) y
las pérdidas de desconexión.

basic-rates / supported-rates
• basic-rates: son las tasas de velocidad mínima que un cliente debería soportar al momento de conectarse a un
AP. Para que haya comunicación entre el AP y el Cliente, ambos deberán tener el mismo Basic-rate.
• supported-rates: estas son las tasas de velocidad que un cliente puede llegar o soportar.
• Los data-rates son soportados según el estándar usado como tenemos a continuación:
o 802.11b : 1 a 11Mbps
o 802.11a/g : 6 a 54Mbps
o 802.11n : 6 a 300Mbps, dependiendo de factores como el canal, ancho de banda (20 o 40 MHz), y el
número de salidas o antenas (MikroTik las conoce como CHAINS)

Academy Xperts 49
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

HT chains
• Hace referencia a una antena de radio
• Son usados para el protocolo 802.11n y es un factor de rendimiento configurable.

802.11n - Data Rates


Protocolo en el cual la velocidad real de transmisión podría llegar a los 300 Mbps (lo que significa que las velocidades teóricas
de transmisión serían aún mayores), y debería ser hasta 10 veces más rápida que una red bajo los estándares 802.11a y
802.11g, y unas 40 veces más rápida que una red bajo el estándar 802.11b
MCS Spatial Modulation Coding Data rate (Mbit/s)
index streams type rate 20 MHz channel 40 MHz channel
800 ns GI 400 ns GI 800 ns GI 400 ns GI
0 1 BPSK 1/2 6.50 7.20 13.50 15.00
1 1 QPSK 1/2 13.00 14.40 27.00 30.00
2 1 QPSK 3/4 19.50 21.70 40.50 45.00
3 1 16-QAM 1/2 26.00 28.90 54.00 60.00
4 1 16-QAM 3/4 39.00 43.30 81.00 90.00
5 1 64-QAM 2/3 52.00 57.80 108.00 120.00
6 1 64-QAM 3/4 58.50 65.00 121.50 135.00
7 1 64-QAM 5/6 65.00 72.20 135.00 150.00
8 2 BPSK 1/2 13.00 14.40 27.00 30.00
9 2 QPSK 1/2 26.00 28.90 54.00 60.00
10 2 QPSK 3/4 39.00 43.30 81.00 90.00
11 2 16-QAM 1/2 52.00 57.80 108.00 120.00
12 2 16-QAM 3/4 78.00 86.70 162.00 180.00
13 2 64-QAM 2/3 104.00 115.60 216.00 240.00
14 2 64-QAM 3/4 117.00 130.00 243.00 270.00
15 2 64-QAM 5/6 130.00 144.40 270.00 300.00
16 3 BPSK 1/2 19.50 21.70 40.50 45.00
17 3 QPSK 1/2 39.00 43.30 81.00 90.00
18 3 QPSK 3/4 58.50 65.00 121.50 135.00
19 3 16-QAM 1/2 78.00 86.70 162.00 180.00
20 3 16-QAM 3/4 117.00 130.00 243.00 270.00
21 3 64-QAM 2/3 156.00 173.30 324.00 360.00
22 3 64-QAM 3/4 175.50 195.00 364.50 405.00
23 3 64-QAM 5/6 195.00 216.70 405.00 450.00
24 4 BPSK 1/2 26.00 28.80 54.00 60.00
25 4 QPSK 1/2 52.00 57.60 108.00 120.00
26 4 QPSK 3/4 78.00 86.80 162.00 180.00
27 4 16-QAM 1/2 104.00 115.60 216.00 240.00
28 4 16-QAM 3/4 156.00 173.20 324.00 360.00
29 4 64-QAM 2/3 208.00 231.20 432.00 480.00
30 4 64-QAM 3/4 234.00 260.00 486.00 540.00
31 4 64-QAM 5/6 260.00 288.80 540.00 600.00
32 1 BPSK 1/2 N/A N/A 6.00 6.70

Academy Xperts 50
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

802.11ac - Data Rates


VHT Data Rates (Mb/s)
Spatial Modulation Coding
MCS 20 MHz 40 MHz 80 MHz 160 MHz/80+80 MHz
Streams Type Rate
Index 800ns GI 400ns GI 800ns GI 400ns GI 800ns GI 400ns GI 800ns GI 400ns GI
0 1 BPSK 1/2 6.5 7.2 13.5 15.0 29.3 32.5 58.5 65.0
1 QPSK 1/2 13.0 14.4 27.0 30.0 58.5 65.0 117.0 130.0
2 QPSK 3/4 19.5 21.7 40.5 45.0 87.8 97.5 175.5 195.0
3 16-QAM 1/2 26.0 28.9 54.0 60.0 117.0 130.0 234.0 260.0
4 16-QAM 3/4 39.0 43.3 81.0 90.0 175.5 195.0 351.0 390.0
5 64-QAM 2/3 52.0 57.8 108.0 120.0 234.0 260.0 468.0 520.0
6 64-QAM 3/4 58.5 65.0 121.5 135.0 263.3 292.5 526.5 585.0
7 64-QAM 5/6 65.0 72.2 135.0 150.0 292.5 325.0 585.0 650.0
8 256-QAM 3/4 78.0 86.7 162.0 180.0 351.0 390.0 702.0 780.0
9 256-QAM 5/6 n/a n/a 180.0 200.0 390.0 433.3 780.0 866.7
0 2 BPSK 1/2 13.0 14.4 27.0 30.0 58.5 65.0 117.0 130.0
1 QPSK 1/2 26.0 28.9 54.0 60.0 117.0 130.0 234.0 260.0
2 QPSK 3/4 39.0 43.3 81.0 90.0 175.5 195.0 351.0 390.0
3 16-QAM 1/2 52.0 57.8 108.0 120.0 234.0 260.0 468.0 520.0
4 16-QAM 3/4 78.0 86.7 162.0 180.0 351.0 390.0 702.0 780.0
5 64-QAM 2/3 104.0 115.6 216.0 240.0 468.0 520.0 936.0 1,040.0
6 64-QAM 3/4 117.0 130.0 243.0 270.0 526.5 585.0 1,053.0 1,170.0
7 64-QAM 5/6 130.0 144.4 270.0 300.0 585.0 650.0 1,170.0 1,300.0
8 256-QAM 3/4 156.0 173.3 324.0 360.0 702.0 780.0 1,404.0 1,560.0
9 256-QAM 5/6 n/a n/a 360.0 400.0 780.0 866.7 1,560.0 1,733.0
0 3 BPSK 1/2 19.5 21.7 40.5 45.0 87.8 97.5 175.5 195.0
1 QPSK 1/2 39.0 43.3 81.0 90.0 175.0 195.0 351.0 390.0
2 QPSK 3/4 58.5 65.0 121.5 135.0 263.0 292.5 526.5 585.0
3 16-QAM 1/2 78.0 86.7 162.0 180.0 351.0 390.0 702.0 780.0
4 16-QAM 3/4 117.0 130.0 243.0 270.0 526.5 585.0 1,053.0 1,170.0
5 64-QAM 2/3 156.0 173.3 324.0 360.0 702.0 780.0 1,404.0 1,560.0
6 64-QAM 3/4 175.5 195.0 364.5 405.0 n/a n/a 1,579.5 1,755.0
7 64-QAM 5/6 195.0 216.7 405.0 450.0 877.5 975.0 1,755.0 1,950.0
8 256-QAM 3/4 234.0 260.0 486.0 540.0 1,053.0 1,170.0 2,106.0 2,340.0
9 256-QAM 5/6 260.0 288.9 540.0 600.0 1,170.0 1,300.0 n/a n/a
0 4 BPSK 1/2 26.0 28.9 54.0 60.0 117.0 130.0 234.0 260.0
1 QPSK 1/2 52.0 57.8 108.0 120.0 234.0 260.0 468.0 520.0
2 QPSK 3/4 78.0 86.7 162.0 180.0 351.0 390.0 702.0 780.0
3 16-QAM 1/2 104.0 115.6 216.0 240.0 468.0 520.0 936.0 1,040.0
4 16-QAM 3/4 156.0 173.3 324.0 360.0 702.0 780.0 1,404.0 1,560.0
5 64-QAM 2/3 208.0 231.1 432.0 480.0 936.0 1,040.0 1,872.0 2,080.0
6 64-QAM 3/4 234.0 260.0 486.0 540.0 1,053.0 1,170.0 2,106.0 2,340.0
7 64-QAM 5/6 260.0 288.9 540.0 600.0 1,170.0 1,300.0 2,340.0 2,600.0
8 256-QAM 3/4 312.0 346.7 648.0 720.0 1,404.0 1,560.0 2,808.0 3,120.0
9 256-QAM 5/6 n/a n/a 720.0 800.0 1,560.0 1,733.3 3,120.0 3,466.7
0 5 BPSK 1/2 32.5 36.1 67.5 75.0 146.3 162.5 292.5 325.0
1 QPSK 1/2 65.0 72.2 135.0 150.0 292.5 325.0 585.0 650.0
2 QPSK 3/4 97.5 108.3 202.5 225.0 438.8 487.5 877.5 975.0
3 16-QAM 1/2 130.0 144.4 270.0 300.0 585.0 650.0 1,170.0 1,300.0
4 16-QAM 3/4 195.0 216.7 405.0 450.0 877.5 975.0 1,755.0 1,950.0
5 64-QAM 2/3 260.0 288.9 540.0 600.0 1,170.0 1,300.0 2,340.0 2,600.0
6 64-QAM 3/4 292.5 325.0 607.5 675.0 1,316.3 1,462.5 2,632.5 2,925.0
7 64-QAM 5/6 325.0 361.1 675.0 750.0 1,462.5 1,625.0 2,925.0 3,250.0
8 256-QAM 3/4 390.0 433.3 810.0 900.0 1,755.0 1,950.0 3,510.0 3,900.0
9 256-QAM 5/6 n/a n/a 900.0 1,000.0 1,950.0 2,166.7 3,900.0 4,333.3
0 6 BPSK 1/2 39.0 43.3 81.0 90.0 175.5 195.0 351.0 390.0
1 QPSK 1/2 78.0 86.7 162.0 180.0 351.0 390.0 702.0 780.0
2 QPSK 3/4 117.0 130.0 243.0 270.0 526.5 585.0 1,053.0 1,170.0
3 16-QAM 1/2 156.0 173.3 324.0 360.0 702.0 780.0 1,404.0 1,560.0
4 16-QAM 3/4 234.0 260.0 486.0 540.0 1,053.0 1,170.0 2,106.0 2,340.0
5 64-QAM 2/3 312.0 346.7 648.0 720.0 1,404.0 1,560.0 2,808.0 3,120.0
6 64-QAM 3/4 351.0 390.0 729.0 810.0 1,579.0 1,755.0 3,159.0 3,510.0
7 64-QAM 5/6 390.0 433.3 810.0 900.0 1,755.0 1,950.0 3,510.0 3,900.0
8 256-QAM 3/4 468.0 520.0 972.0 1,080.0 2,106.0 2,340.0 4,212.0 4,680.0
9 256-QAM 5/6 520.0 577.8 1,080.0 1,200.0 n/a n/a 4,680.0 5,200.0
0 7 BPSK 1/2 45.5 50.6 94.5 105.0 204.8 227.5 409.5 455.0
1 QPSK 1/2 91.0 101.1 189.0 210.0 409.5 455.0 819.0 910.0
2 QPSK 3/4 136.5 151.7 283.5 315.0 614.3 682.5 1,228.5 1,365.0
3 16-QAM 1/2 182.0 202.2 378.0 420.0 819.0 910.0 1,638.0 1,820.0
4 16-QAM 3/4 273.0 303.3 567.0 630.0 1,228.5 1,365.0 2,457.0 2,730.0
5 64-QAM 2/3 364.0 404.4 756.0 840.0 1,638.0 1,820.0 3,276.0 3,640.0
6 64-QAM 3/4 409.5 455.0 850.5 945.0 n/a n/a 3,685.5 4,095.0
7 64-QAM 5/6 455.0 505.6 945.0 1,050.0 2,047.5 2,275.0 4,095.0 4,550.0
8 256-QAM 3/4 546.0 606.7 1,134.0 1,260.0 2,457.0 2,730.0 4,914.0 5,460.0
9 256-QAM 5/6 n/a n/a 1,260.0 1,400.0 2,730.0 3,033.3 5,460.0 6,066.7
0 8 BPSK 1/2 52.0 57.8 108.0 120.0 234.0 260.0 468.0 520.0
1 QPSK 1/2 104.0 115.6 216.0 240.0 468.0 520.0 936.0 1,040.0
2 QPSK 3/4 156.0 173.3 324.0 360.0 702.0 780.0 1,404.0 1,560.0
3 16-QAM 1/2 208.0 231.1 432.0 480.0 936.0 1,040.0 1,872.0 2,080.0
4 16-QAM 3/4 312.0 346.7 648.0 720.0 1,404.0 1,560.0 2,808.0 3,120.0
5 64-QAM 2/3 416.0 462.2 864.0 960.0 1,872.0 2,080.0 3,744.0 4,160.0
6 64-QAM 3/4 468.0 520.0 972.0 1,080.0 2,106.0 2,340.0 4,212.0 4,680.0
7 64-QAM 5/6 520.0 577.8 1,080.0 1,200.0 2,340.0 2,600.0 4,680.0 5,200.0
8 256-QAM 3/4 624.0 693.3 1,296.0 1,440.0 2,808.0 3,120.0 5,616.0 6,240.0
9 256-QAM 5/6 n/a n/a 1,440.0 1,600.0 3,120.0 3,466.7 6,240.0 6,933.3

Academy Xperts 51
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

Tipos de Modulación
Las técnicas de modulación digital fundamentales están basadas en Keying.
Keying es una familia de formas de modulación donde la señal de modulación toma un número específico (predeterminado)
de los valores en todo momento.
El objetivo de la modulación es transmitir una señal digital a través de un canal analógico. El nombre deriva de la clave de
código Morse utilizado para la señalización telegráfica.
La modulación es la técnica general de convertir una señal para transmitir información. Cuando un mensaje digital tiene que
ser representado como una forma de onda analógica, se utiliza la técnica el término “keying” (o modulación digital). El “keying”
se caracteriza por el hecho de que la señal de modulación tendrá un número limitado de estados (o valores) en todo
momento, para representar los estados digitales correspondientes (comúnmente cero y uno, aunque esto puede depender
del número de símbolos utilizados).
https://en.wikipedia.org/wiki/Keying_(telecommunications)
• PSK (phase-shift keying) – se utiliza un número finito de fases
o BPSK (Binary PSK), utiliza M=2 símbolos
o QPSK (Quadrature PSK), utiliza M=4 símbolos
• FSK (frequency-shift keying) – se utiliza un número finito de frecuencias
• ASK (amplitude-shift keying) – se utiliza un número finito de amplitudes
• QAM (quadrature amplitude modulation) – se utiliza un número finito de al menos 2 fases y al menos 2 amplitudes
En QAM, una señal “inphase” (“I”) y una señal de fase de cuadratura (“Q”) son modulados en amplitud, con un número finito
de amplitudes, y luego son sumados.
Puede visualizarse como un sistema de dos canales, donde cada canal utiliza ASK. La señal resultante es equivalente a una
combinación de PSK y ASK.

Modo de Frecuencia (frequency-mode)


Esta opción nos permitirá elegir el modo en el cual nuestro router va a trabajar, respetando las siguientes limitaciones:
• regulatory-domain: Esta sección limita los canales usados y la potencia de TX, basado en las regulaciones de
cada país o del estándar.
• manual-txpower: Igual que el anterior pero sin la restricción de potencia de TX.
• superchannel: Ignorará todas las restricciones.
• country: Frecuencias y potencias de TX, limitados y regulados por cada país. Usando el parámetro no-country-
set, se podría configurar los parámetros de frecuencia y potencia según canales aprobados por la FCC.

Rate Flapping
Se conoce como Rate Flapping a la variación muy notable (o inestabilidad) en las velocidades alcanzadas, con respecto al
tiempo.
Si esta variación se produce en períodos cortos de tiempo, afecta al desempeño del enlace ya que cada cambio de velocidad
(data rate) implica el uso de un esquema de modulación diferente y por lo tanto los paquetes deben ser retransmitidos.
Se puede resolver este tipo de problemas disminuyendo la tasas soportadas (supported-rates).
La estrategia que se debe aplicar es analizar el data-rate más bajo (entre los valores en que está fluctuando en enlace) y
adoptarlo como el máximo data-rate (en tasas soportadas).
Asumiendo que los data-rate varían entre 36 Mbps y 54 Mbps (según el siguiente gráfico) …

Academy Xperts 52
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

La solución es reducir las tasas soportadas haciendo que el máximo valor sea 36 Mbps (según la siguiente imagen):

Configuración básica de un Access Point (AP)


Para configura un AP debemos conocer los siguientes parámetros
• mode: AP bridge
• band: Esta opción se seleccionará basada en la capacidad de los AP y clientes. Si el AP soporta múltiples bandas
(ej. B/G/N) se debe seleccionar la que ofrece mejores características.
• frequency: Cualquiera que defina el instructor o habilitada para usarse (De este tema se hablara más adelante)
• ssid: El nombre del identificador de la red inalámbrica generada.
• wireless-protocol: Basado en los equipos (AP y clientes) usados. En este caso usaremos 802.11

Academy Xperts 53
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

Perfil de Seguridad (Security profile)


POR FAVOR no olvidar configurar el security-profile.
• Ayudará a fomentar una mayor seguridad en nuestros equipos. No se recomienda usar por ningún motivo una
conexión inalámbrica sin security-profile ya que deja la red propensa a un ataque o infiltración.
• Para crear un security-profile
o Menu: Wireless à Security Profile
o Click en Add (+)
o Name : nombre del profile
o Mode : Tipo de autenticación usada.
o Authentication types : Método de autenticación usada en la conexión
o Ciphers : Métodos de cifrado.

Ahora ya se puede usar el security-profile creado. Se debe regresar a la ventana de Wireless y se selecciona el security-
profile creado.
NOTA: Se pueden crear hasta 128 AP Virtuales por interfaz inalámbrica.
• Ahora vamos a revisar la red inalámbrica a la cual nos vamos a conectar, con herramientas que las encontraremos
en la sección principal de Interface Wlan1> Wireless. Una de estas herramientas es Snooper:
o Click en “Snooper”
o Procederemos con la inspección.
o ¡Ten cuidado! Esto desconectará la interfaz WLAN y clientes asociados
• Al momento de ingresar en snooper lo que observaremos es lo siguiente
o Click en “Snooper” start
o Tenga cuidado, ya que todos los clientes asociados a su red se desconectarán de la red inalámbrica.
o Usted tendrá una vista completa de frecuencias y otros parámetros para analizarlos.
o Seleccionamos un canal de frecuencia libre para nuestra red inalámbrica

Academy Xperts 54
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

Configuración básica de una Estación (client/station)


• mode: station
• band: la misma usada en el AP.
• frequency: no es un parámetro importante para el cliente.

• ssid: El SSID al cual el equipo STATION se va a conectar


• wireless-protocol: Se coloca el mismo usado en el AP, en este caso usamos 802.11
• Crearemos un security-profile igual al creado en el AP, para que al momento que se inicie la negociación de
autenticación, el AP acepte al router en modo STATION.

Filtrado por MAC address


Es un mecanismo adicional para limitar las conexiones inalámbricas de los clientes.
Para agregar y poder realizar esta limitación, nos dirigimos a nuestro AP, y en “registration” que es la lista de los usuarios
registrados, seleccionamos a los clientes deseados, abrimos los detalles con doble click al cliente y damos click en la sección
de “copy to access list”

• Ya podemos ver una nueva entrada en la sección «access-list»

Access-list
Las listas de acceso se usan en los AP para restringir las conexiones a clientes específicos y controlar sus parámetros de
conexión. Hay que tener en cuenta lo siguiente:
• Las Reglas serán comprobadas secuencialmente
• Sólo se aplicara la primera regla que coincida con todos los parámetros.
• Si la opción "Default Authentícate" (en la pestaña " Wireless " en "Interface - > WLAN" de pantalla) no se encuentra
habilitado, los dispositivos que no corresponden a una regla de la lista de acceso serán rechazados.

Academy Xperts 55
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

Parámetros adicionales:
• Authentication Option este ítem le dirá al router que compruebe el "security- profile " para determinar si la conexión
se debe permitir. Si no coinciden la autenticación, siempre fallará el acceso.
• Forwarding u opción de reenvío le dirá al router permita a los clientes del AP llegar a la otra sin la ayuda de otros
APs (evitando así las reglas del firewall que pueda tener). Para mayor seguridad , deje sin marcar

• AP Tx limitantes y restricción de data rate desde el AP hacia el cliente


o Si se establece muy bajo, esto ocasionara problemas de conexión. Siempre se realizan pruebas antes de
ponerlas en práctica.
• Client TX límites y restricciones de data rate desde el cliente hacia el AP
o Extensión propietaria son soportadas únicamente por clientes RouterOS.
o También siempre se realizan pruebas antes de ponerlas en práctica.
Connect-list:
Esta opción es para clientes. Asigna propiedades, basado en potencia de señal y configuraciones de seguridad, que cada
AP tiene sobre los clientes. Tomar en cuenta que:
• Las Reglas son revisadas secuencialmente.
• Se aplica solamente cuando se tiene coincidencia en los parámetros.
• Si la opción “Default Authenticate” (“Wireless” -> “Interface -> wlan”)si está habilitada en los connect-list, los clientes
se conectaran o serán aceptados con respecto a parámetros basados en potencia de la señal o configuraciones de
seguridad
• Nota de Interés: si en el campo SSID (en la sección station connect rule) está vacío, El cliente podría conectarse
a cualquier SSID únicamente realizando un match.
• En la Interfaz Wlan el campo SSID también deberá estar vacío!

• Nota de Interés: si el campo SSID (en la sección station connect rule) está vacío, el cliente podría conectarse a
cualquier SSID únicamente realizando un match .
• En la Interfaz Wlan el campo SSID también deberá estar vacío!

Academy Xperts 56
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

Default-authentication
• Si el AP no tiene ninguna lista de acceso, y default-authenticate no está marcada, los clientes nunca se conectarán.
• Si la estación no tiene ninguna connect list , y default-authenticate no está marcada , nunca se conectará a un AP.
Default-forwarding
• Especifica el comportamiento del re-envío de paquetes de clientes que ya han sido verificados en la access-list.
o Si esta opción esta habilitada, se permitirán comunicaciones en capa 2 entre clientes.
o Si esta deshabilitada la comunicación se realizara en capa 3 y serán influenciados bajos las reglas del
firewall.

WPA, WPA2
WiFi Protected Access, llamado también WPA (en español «Acceso WiFi protegido») es un sistema para proteger las redes
inalámbricas (WiFi); creado para corregir las deficiencias del sistema previo, Wired Equivalent Privacy (WEP). Los
investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización
(IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros).
• WiFi Protected Access (1 y 2)
• Estos protocolos fueron creados después de la creación de WEP debido a que se encontraron debilidades en el
mismo.
Es apropiado configurar WPA, ya que es muy seguro, pero lo recomendable es WPA2 debido que ofrece mayor seguridad
WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y
contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la
autenticación mediante una clave compartida, que de un modo similar al WEP, requiere introducir la misma clave en todos
los equipos de la red.
• Se usa en remplazo de WEP ya que es muy inseguro.
• Usa TKIP como protocolo de cifrado
o Este protocolo genera una nueva Key por cada paquete enviado.
• Actualmente ya se esta dejando de usar la versión 1 debido a que también se han encontrado debilidades.
Un inconveniente encontrado en la característica agregada al Wi-Fi llamada Wi-Fi Protected Setup (también bajo el nombre
de QSS) permite eludir la seguridad e infiltrarse en las redes que usan los protocolos WPA y WPA2.
• MikroTik no USA WPS porque lo considera demasiado inseguro.
• En la actualizad se han encontrado debilidades en WPS, como por ejemplo ataques de fuerza bruta.
WPA2
• Usa CCMP para reemplazarlo como un protocolo de cifrado.

Academy Xperts 57
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

o Basado en AES
o Mas robusto que TKIP
• Es reglamentario que todos los dispositivos WiFi sean certificados. Esta orden esta desde 2006
• Se debe utilizar para lograr mayores tasas de bits, en redes que se circunscriben a 54Mbps.

Protocolos Wireless propietarios de MikroTik


NV2 (Nstreme Version 2)
• Protocolo propietario de MikroTik
• Funciona únicamente con chips inalámbricos Atheros 802.11.
• Este protocolo esta basado en TDMA (Time Division Multiple Access) lo que le permite abarcar mas estaciones en
lugar de CSMA (Carrier Sense Multiple Access)
• Se utiliza para mejorar el rendimiento a través de largas distancias
TDMA es un método de acceso al canal por medio compartido de redes. Permite que varios usuarios/estaciones compartan
la misma frecuencia del canal dividiendo la señal en diferentes intervalos de tiempo. Los usuarios transmiten en una rápida
sucesión, uno tras otro, cada uno con su propio espacio de tiempo. Esto permite que varias estaciones compartan el mismo
medio de transmisión (ej: canal de radio frecuencia) mientras que se utiliza sólo una parte de la capacidad del canal.
Los beneficios más importantes de NV2 son los siguientes:
• Aumento de la velocidad
• Baja latencia
• No hay limitaciones de distancia
• Más conexiones de los clientes en entornos de PTM. Acepta mas clientes en ambientes punto a multi-punto
(soporta hasta 511 clientes)
• Mayor control en latencia, logrando parámetros muy bajos.
• Reduce el retardo en Propagación.
• Reduce el polling overhead.
• No hay penalización por largas distancias. A partir de RouterOS v5.0beta5 puede se configurar NV2 en el menú
Wireless.
• Soporte de anchos de canal de 5/10/20/40 MHz
Para realizar la conexión usando NV2 en el lado de AP se necesita seleccionar wireless-protocol=nv2, e igualmente
en el equipo cliente. En la actualidad, con 802.11n y NV2 puede obtener aproximadamente 97Mbps de tráfico UDP y TCP
94Mbs tráfico a través de RB711 en una dirección usando un solo chain.
Enlace más largo del mundo sin usar amplificador
El enlace WiFi más largo sin usar amplificador es un enlace de 304 kilómetros alcanzado por CISAR (Centro Italiano de
Actividades de radio).
• 2007-06-16, Monte Amiata (Toscana) a Monte Limbara (Cerdeña)
• Frecuencia: 5765 MHz
• IEEE 802.11a (WiFi), ancho de canal de 5 MHz
• Radio: Ubiquiti Networks XR5
• Equipo inalámbrico: MikroTik RouterOS con RouterBOARD, optimizado con Nstreme
• Longitud: 304 kilómetros (189 millas).
• Antena de 120 cm. 35 dBi estimado
https://en.wikipedia.org/wiki/Long-range_Wi-Fi

Herramientas de monitoreo
Hay varias herramientas que le ayudarán en el análisis de lo que está en el aire para que pueda elegir la frecuencia con la
menor interferencia.
Wireless scan
Esta es una herramienta muy útil, ya que nos muestra de manera simple las redes inalámbricas vecinas:
• Frecuencia usada, Banda, SSID, Señal y otros.
• Iniciamos Scan dándole clic en start.
• Esta herramienta detecta, conexiones inalámbricas vecinas, las conexiones clientes son descartadas.

Academy Xperts 58
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

Snooper
El uso del Snooper fue diseñado para ser una herramienta eficiente que le ayudará a supervisar con un detalle mejorado los
router vecinos. Proporciona un detallado mejorado de los router vecinos

Registration table
Muestra inmediatamente todos los clientes que se lograron registrar a nuestra red inalámbrica:
• Nos entrega información de los clientes conectados en modo Station.
• Usado en puntos de accesos (AP).
• Podemos ver el estado de conexiones realizadas.
• NOTA: Los comentarios que aparecen por encima de las estaciones son para dar mayor información de su función
y son definidas por el usuario o administrador, por lo general se basan en información del “access-list”.

Redes inalámbricas en Modo Bridge


• El AP en RouterOS acepta a los routers MikroTik en modo station-bridge para que trabaje en Capa 2 de
manera segura.
• Se puede utilizar para ampliar una subred inalámbrica a muchos clientes.
• Este modo es MikroTik propietario y no se puede utilizar para conectar otros dispositivos de marca.
• Cabe recalcar que este modo es un método seguro para usar bridge de L2 y se deberá utilizarse siempre que
existan razones suficientes para no utilizar el modo de estación-WDS
Ejercicio en Clases

Academy Xperts 59
RouterOS v6.34.3.01 – Capítulo 4 – Wireless

Con toda la explicación realizada, ya se encuentra en capacidad de conectarse a una red inalámbrica. Trabajar en parejas,
un estudiante en modo AP y el otro en modo STATION, con las configuraciones realizas en el diagrama, y realice las
siguientes pruebas, (el valor de “x” será definían por el instructor):
• Búsqueda de la red del AP mediante herramientas, SCAN y SNOOPER.
• Conectividad entre el AP y STATION, use la herramienta PING.
• Prueba de filtrado por MAC

Preguntas de repaso del Capítulo 4


1. Cuáles son las bandas/frecuencias en la que trabaja el MikroTik RouterOS?

2. Cuáles son los canales que no se sobreponen en 802.11b/g?

3. Cuál es el ancho de canal estándar para 802.11b/g y para 802.11a?

4. Cuál es la diferencia entre basic- rates y supported-rates?

5. Cuáles son los parámetros que se requieren conocer para configurar un equipo como AP?

6. Cuáles son los parámetros que se requieren conocer para configurar un equipo como Station?

7. Para que se usa el Access List?

8. Para que se usa el Connect List?

9. Cuál tipo de autenticación es mejor?

10. Cuál tipo de encriptación es mejor?

11. Cuáles son los protocolos propietarios de MikroTik?

12. Cuáles son los beneficios de Nstreme y NV2?

Laboratorio – Capítulo 4

Academy Xperts 60
RouterOS v6.34.3.01 – Capítulo 5 – Network Management

Capítulo 5: Network Management


ARP / RARP
http://www.protocols.com/pbook/tcpip3/#ARP
https://en.wikipedia.org/wiki/Address_Resolution_Protocol
TCP/IP utiliza el ARP (Addres Resolution Protocol) y el RARP (Reverse Address Resolution Protocol) para inciar el uso de
del direccionamiento de internet en una red Ethernet (u otra) que usa su propio Control de Acceso al Medio (MAC: Medium
Access Control). ARP permite que un host se comunique con otros hosts cuando únicamente se conoce la dirección de
internet de sus vecinos.

ARP dentro del mapa de Protocolos TCP/IP

Estructura de la cabecera ARP/RARP


Offsets Octet 0 1 2 3
Octet Bit 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
0 0 Hardware Type (HTYPE) Protocol Type (PTYPE)
4 32 HLEN PLEN Operation (OPER)
8 64 Sender Hardware Address (SHA)
12 96 Sender Protocol Address (SPA)
16 128 Target Hardware Address (THA)
20 160 Target Protocol Address (TPA)
24 192

Es un protocolo de la capa de enlace de datos responsable de encontrar la dirección de hardware (MAC Ethernet) que
corresponde a una dirección IP determinada. Para ello se envía un paquete ARP-request a la dirección de broadcast
(difusión) de la red (broadcast MAC=FF FF FF FF FF FF) que contiene la dirección IP por la que se pregunta, y se espera a
que ese dispositivo (u otro) responda (con un ARP-reply) con la dirección MAC Ethernet que le corresponde.

Academy Xperts 61
RouterOS v6.34.3.01 – Capítulo 5 – Network Management

Cada máquina mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la
dirección de internet ser independiente de la dirección Ethernet, pero esto solo funciona si todas los dispositivos lo soportan.
• ARP se lo conoce como Protocolo de resolución de direcciones
• Es un mecanismo que relaciona las direcciones IP (Capa 3) con las direcciones MAC (Capa 2)
• Se utiliza normalmente como un proceso dinámico, pero se puede configurar de forma estática en ciertas
situaciones donde la seguridad lo requiere

ARP se utiliza en 4 casos referentes a la comunicación entre 2 hosts:


1. Cuando 2 hosts están en la misma red y uno quiero enviar un paquete a otro.
2. Cuando 2 host están sobre redes diferentes y deben usar un Gateway/router para alcanzar otro host.
3. Cuando un router necesita enviar un paquete a un host a través de otro router.
4. Cuando un router necesita enviar un paquete a un host de la misma red.
Modos ARP
Se pueden configurar varios modos de ARP en la interface:
1. disabled: Si esta característica estea como arp=disabled, los ARP requests de los clientes no serán
respondidos por el router. Por lo tanto, una entrada estática de ARP debe ser agregada a los clientes también. Por
ejemplo, las direcciones IP y MAC del router, debe añadirse a los host.
2. enabled: Este modo se activa de forma predeterminada en todas las interfaces. El protocolo ARP descubrirá
automáticamente y las nuevas entradas dinámicas se añadirá a la tabla ARP.
3. proxy-arp: Este funcionamiento puede ser muy útil, por ejemplo, si desea asignar direcciones IP a un dial-in (PPP,
PPPoE, PPTP) y que sean desde el mismo espacio de direcciones tal como se utiliza para conectarnos a una LAN.
4. reply-only: El router solo responderá a solicitudes ARP (ARP requests) que se han ingresado manualmente o
que se hayan declarado com estáticas. Una tabla ARP muestra todas las entradas ARP y la interface desde la cual
se aprendió la dirección
Ventajas de usar ARP
La principal ventaja del uso de la técnica ARP Proxy es que se puede agregar a un solo enrutador en la red, esto permite
que no se distorsione las tablas de encaminamiento de los otros enrutadores de la red. Es recomendable que el ARP Proxy
sea utilizado en redes donde los hosts IP no se encuentran configurados con ninguna puerta de enlace predeterminada.
Desventajas de usar ARP
Los anfitriones no tienen ni idea de los detalles físicos de la red y suponen que es una red plana la cual llega a cualquier
destino con tan solo hacer una solicitud ARP. Pero como todo le ARP tiene su desventaja las cuales son:
• Aumenta la cantidad de trafico ARP en su segmento
• Posee grandes tablas ARP para manejar la asignación de direcciones IP a MAC
• La seguridad puede ser expuesta. Un host puede simular ser otro host con el fin de interceptar los paquetes, eso
es llamado “spoofing”
• No funciona para redes que no utilicen el protocolo ARP para la resolución de direcciones.

Academy Xperts 62
RouterOS v6.34.3.01 – Capítulo 5 – Network Management

Tabla ARP
• La tabla ARP muestra todas las entradas ARP y las interfaces desde la cual ellos lo aprendieron.
• La tabla ARP provee:
o La dirección IP de los dispositivos conocidos
o Las direcciones MAC asociadas a los dispositivos conocidos
o Las interfaces de donde fueron aprendidas las direcciones
• Se puede agregar entradas estática en la tabla ARP para proporcionar una mayor seguridad en la red
o Se pueden evitar ataques de ARP poisoning / ARP spoofing
o Requiere mucho trabajo y planificación

Sintaxis ARP
1. Ver la tabla ARP
/ip arp print
Flags: X – disabled, I – invalid, H – DHCP, D – Dynamic, P – published
# ADDRESS MAC-ADDRESS INTERFACE
0 172.16.2.222 11:22:33:44:55:66 LAN
Etiquetas en la tabla ARP: X = Deshabilitado, R = Corriendo, S = Esclavo
2. Agregar una entrada estática
/ip arp add address=172.16.2.222 mac-address=11:22:33:44:55:66 interface=LAN
3. Configuración de un modo ARP:
/interface ethernet set ether4 arp=proxy-arp
/interface ethernet print
Flags: X – disabled. R – running, S – Slave
# NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
0 S ether1 1500 D4:CA:6D:5C:E2:F2 enabled
1 RS ether2 1500 D4:CA:6D:5C:E2:F3 enabled none switch1
2 RS ether3 1500 D4:CA:6D:5C:E2:F4 enabled none switch1
3 RS ether4 1500 D4:CA:6D:5C:E2:F5 proxy-arp none switch1
4 S ether5 1500 D4:CA:6D:5C:E2:F6 enabled none switch1

Servidor / Cliente DHCP


El protocolo DHCP (protocolo de configuración dinámica de host) se utiliza para la fácil distribución de direcciones IP en una
red. El RouterOS MikroTik incluye ambas partes: Servidor / Cliente.
El router soporta un servidor DHCP individual por cada interfaz Ethernet. El servidor MikroTik cumple con las funciones
principales que es la de brindar a un cliente asignaciones de una dirección IP con su respectiva máscara IP, como también
la dirección de la puerta de enlace (gateway) y la del servidor DNS.
La interfaz que aloja el servidor DHCP debe tener su propia dirección IP y que a la vez no debe estar incluida en el pool de
direcciones que los clientes van a recibir cuando lo soliciten.

Academy Xperts 63
RouterOS v6.34.3.01 – Capítulo 5 – Network Management

El proceso para de asignaciones de una dirección IP para un cliente es el siguiente:


1. El cliente envía un broadcast DHCP-DISCOVER
2. El server envía un broadcast DHCP-OFFER
3. El cliente envía un broadcast DHCP-REQUEST
4. El server envía un broadcast DHCP-ACK

DHCP dentro del mapa de Protocolos TCP/IP

Academy Xperts 64
RouterOS v6.34.3.01 – Capítulo 5 – Network Management

DHCP Server Setup


La interfaz que va ser configurada como DHCP- Server debe tener su propia dirección y al mismo tiempo esa dirección no
debe ser incluida en el pool de dirección. Un pool es un rango de direcciones que estarán disponibles para los clientes

En la ventana de DHCP-Server, se presiona el botón DHCP Setup y luego se sigue con los requisitos que se piden:
1. Interfaz a la que va ser asignado el servidor DHCP

2. Dirección de red:

3. Puerta de enlace:

4. Pool de direcciones para los clientes DHCP

5. DNS servers (Más de uno se pueden configurar)

Academy Xperts 65
RouterOS v6.34.3.01 – Capítulo 5 – Network Management

6. Tiempo de asignaciones

7. Luego de a ver definido el tiempo de asignaciones presionamos siguiente y con ellos habremos terminado el
proceso. En la ventana podremos ver el DHCP server Creado.

En esta configuración automática (ejecutando el DHCP Setup) se generan los siguientes parámetros:
• Se crea un pool de direcciones: un grupo de direcciones para asignar a los clientes
• Se crea el servidor DHCP: su nombre y parámetros (como la interfaz que aceptara solicitudes de los clientes)
• Se crea el espacio de direcciones: la dirección IP de red y varios parámetros
DHCP puede ser usado para configurar opciones tales como:
• 42: NTP Servers
• 70: POP3-Servers
• http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml
Nota importante: si usted tiene un ambiente en bridge, el servidor DHCP debe estar configurado en la interfaz de bridge. Si
se cnfigura el DHCP Server en un puerto que forma parte del bridge, el servidor DHCP no funcionará.
Configuraciones por línea de comando
/ip dhcp-server setup
Select interface to run DHCP server on
Dhcp server interface: ether4
Select network for DHCP address
Dhcp address space: 192.168.20.0/24
Select gateway for given network
Gateway for dhcp network: 192.168.20.1
Select pool of ip addresses given out by DHCP server
Addresses to give out: 192.168.20.2-192.168.20.254
Select DNS servers
Dns server: 8.8.8.8
Select lease time
Lease time: 3d
Para agregar configuraciones opcionales de DHCP
/ip dhcp-server Option add name=46-node-type code=46 value=0x0008
Para ver por línea de comandos los Servidores DHCP que hay en un router
/ip dhcp-server print
Flags: X – disabled, I – invalid

Academy Xperts 66
RouterOS v6.34.3.01 – Capítulo 5 – Network Management

# NAME INTERFACE RALAY ADDRESS-POOL LEASE-TIME ADD-ARP


0 dhcp1 ether3 0.0.0.1 dhcp_pool2 3d
1 dhcp2 ether4 dhcp_pool3 3d
/ip dhcp-server network set dhcp-option=46-node-type numbers=1
Para asignar un servidor WINS para la red se haría de la siguiente manera
/ip dhcp-server network set wins-server=172.16.2.100 numbers=1
Para ver las opciones anteriormente configuradas
/ip dhcp-server network print
# ADDRESS GATEWAY DNS-SERVER WIN-SERVER DOMAIN
0 192.168.10.0/24 192.168.10.1 8.8.8.8 8.8.4.4
1 192.168.20.0/24 192.168.20.1 8.8.8.8 172.16.2.100
/ip dhcp-server option print
# NAME CODE VALUE RAW-VALUE
0 46-node-type 46 0x008 008
DHCP Client
Permite que una interface Ethernet pueda solicitar una dirección IP
• Un DHCP Server remoto nos suministrará
o Dirección IP
o Mascara y Gateway
o Direcciones de DNS server
• El DHCP Client nos suministrará estas opciones
o Hostname
o ID de cliente (en este caso, la dirección MAC)
Para configurar un DHCP client en un interfaz por línea de comando
/ip dhcp-client add interface=ether2 dhcp-options=clientid, hostname
Para configurar un DHCP client en un interfaz por medio de la venta DHCP Client

Sintaxis DHCP Client


Para configurar una interfaz como DHCP-Client
/ip dhcp-client add interface=ether5 dhcp-options=clientid, hostname
Para ver y activar un DHCP client
/ip dhcp-client print
/ip dhcp-client enable numbers=1
Para ver las direcciones IP asignadas
/ip address print

Gestión de Asignaciones
El comando /ip dhcp-server lease provee información acerca de los DHCP Client y asignaciones.
/ip dhcp-server lease print
Flags: X – disabled, R – Radius, D – Dynamic, B – blocked
# ADDRESS MAC-ADDRESS HO SER.. RA
0 D 192.168.3.254 78:84:3C:9E:BE:4A Da dhcp1
• Nos mostrará las gestiones estáticas y dinámicas
• Se puede convertir una IP asignada dinámicamente en estática
o Puede ser muy útil para cuando un dispositivo necesita mantener la misma dirección IP
o ¡Ten cuidado! Se cambia la tarjeta de red, se pondrá una nueva dirección
• Un servidor DHCP podría ser obligado a correr únicamente con direcciones estáticas
• Los clientes solo recibirán las direcciones IP pre configurados

Academy Xperts 67
RouterOS v6.34.3.01 – Capítulo 5 – Network Management

o Evalúe su situación y la necesidad de hacer esto. Requerirá mucho trabajo para grandes redes.
Para ver asignaciones de DHCP
/ip dhcp-server lease print
Flags: X – disabled, R – Radius, D – Dynamic, B – blocked
0 address=192.168.3.254 mac-address=78:84:3C:9E:BE:4A
client-id=”1:78:84:3C:9e:4A” server=dhcp1 dhcp-option”” status=bound
expires-after=2d23h59m38s last-seen=22s active-address=192.168.3.254
active-mac-address=78:84:3C:9E:BE:4ª
active-client-id=”1:78:84:3C:9e:4A” active-server=dhcp1
hostname=”Darwin”

Preguntas de repaso del Capítulo 5


1. Para qué sirve el protocolo ARP?

2. Cuáles son los modos ARP que se pueden configurar en las interfaces de un MikroTik?

3. Cuáles son las ventajas y desventajas de usar ARP?

4. Cuál es el proceso de que siguen el cliente y server en la negociación DHCP?

5. Qué parámetros se requieren cuando se ejecuta el DHCP Setup?

6. Qué información le provee el DHCP Server al Cliente?

7. Qué información le provee el DHCP Cliente al DHCP Server?

8. De qué forma se pueden convertir las asignaciones dinámicas de DHCP en estáticas?

9. Cuáles son las herramientas de administración más importantes que provee el RouterOS

10. Cuáles son los diferentes tipos de acciones que se pueden crear en /system logging?

Laboratorio – Capítulo 5

Academy Xperts 68
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

Capítulo 6: Firewall
Conceptos básicos de Firewall
Un firewall es un dispositivo o sistema de seguridad de red que permite (en base a un conjunto de reglas) controlar el tráfico
que ingresa y sale a la red. Generalmente un firewall crea una barrera entre una red que se considera segura (usualmente
la red interna o LAN) y otra red que se asume no es segura (comúnmente red externa, y/o Internet). El firewall filtra el tráfico
entre dos o más redes.
Los routers que gestionan el tráfico entre redes contienen componentes de firewall, y de igual manera algunos firewalls
pueden desempeñar ciertas funciones de ruteo, pudiendo incluso proveer servicios de túneles (VPN), asignación de
direcciones pro DHCP, y otros.

• En la actualidad, un firewall es una herramienta indispensable para proteger nuestra conexión a Internet. El hecho
de hacer uso de una conexión a Internet puede ser causa de múltiples ataques a nuestro equipo de cómputo desde
el exterior, cuanto más tiempo estemos en línea, mayor es la probabilidad de que la seguridad de nuestro sistema
se vea comprometida por un intruso desconocido. Por lo tanto, ya no solamente es necesario tener instalado y
actualizado un software antivirus y un software antispyware sino también es totalmente recomendable mantener
instalado y actualizado un software de firewall.
• Un firewall es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red privada. Pueden
implementarse firewalls en hardware, software o en ambos. Los firewalls se utilizan con frecuencia para impedir
que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet.
• El firewall MikroTik protege al equipo frente a ataques de Internet, contenidos Web peligrosos, análisis de puertos
y otros comportamientos de naturaleza sospechosa.
• El Firewall implementa filtrado de paquetes y de este modo provee funciones de seguridad, que son usadas para
administrar los datos que fluyen hacia, desde, y a través del router:
• Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes conectadas
directamente y al router en sí mismo. Y también sirve como un filtro para el tráfico de salida.
• RouterOS funciona como un Stateful Firewall, lo cual significa que desarrolla una inspección del estado de los
paquetes, y realiza el seguimiento del estado de las conexiones de red que viajan a través del router RouterOS
también soporta:
• Source y Destination NAT
o NAT
o Helpers para las aplicaciones populares
o UPnP
• El firewall provee marcado interno de conexiones, Routing y paquetes.
¿Cómo funciona un firewall?
El Firewall opera usando reglas. Esta tiene 2 opciones:
• The matcher : Todas las condiciones tienes que ser verificadas y deben coincidir, para poder aplicar.
• The Action : Una vez que todos los parámetros coinciden y pasa la primera verificación, se procede con la acción.
El matcher analiza y compara estos siguientes parámetros:
• Source MAC address
• IP addresses (network or list) and address types (broadcast, local, multicast, unicast)
• Port or port range
• Protocol
• Protocol options (ICMP type and code fields, TCP flags, IP options)
• Interface the packet arrives from or leaves through
• DSCP byte
• Y muchos mas…

Academy Xperts 69
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

Listado de Puertos más Conocidos


https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Well-known_ports
Port TCP UDP Description Status
0 N/A N/A In programming APIs (not in communication between hosts), requests a system-allocated (dynamic) port N/A
0 UDP Reserved Official
1 TCP UDP TCP Port Service Multiplexer (TCPMUX) Official
2 TCP UDP CompressNET Management Utility Official
3 TCP UDP CompressNET Compression Process Official
4 TCP UDP Unassigned Official
5 TCP UDP Remote job entry Official
6 TCP UDP Unassigned Official
7 TCP UDP Echo Protocol Official
8 TCP UDP Unassigned Official
9 TCP UDP Discard Protocol Official
9 UDP Wake-on-LAN Unofficial
10 TCP UDP Unassigned Official
11 TCP UDP Active Users (systat service) Official
12 TCP UDP Unassigned Official
13 TCP UDP Daytime Protocol (RFC 867) Official
14 TCP UDP Unassigned Official
15 TCP UDP Previously netstat service Unofficial
16 TCP UDP Unassigned Official
17 TCP UDP Quote Of The Day Official
18 TCP UDP Message Send Protocol Unofficial
20 TCP UDP FTP data transfer Official
TCP
21 UDP FTP control (command) Official
SCTP
TCP
22 UDP Secure Shell (SSH), secure logins, file transfers (scp, sftp) and port forwarding Official
SCTP
23 TCP UDP Telnet protocol—unencrypted text communications Official
24 TCP UDP Priv-mail, any private mail system Official
25 TCP UDP Simple Mail Transfer Protocol (SMTP), used for e-mail routing between mail servers Official
26 TCP UDP Unassigned Official
27 TCP UDP NSW User System FE Official
29 TCP UDP MSG ICP Official
33 TCP UDP Display Support Protocol Official
35 TCP UDP Any private printer server protocol Official
37 TCP UDP Time Protocol Official
Resource Location Protocol (RLP)—used for determining the location of higher level services from hosts on a
39 TCP UDP Official
network
40 TCP UDP Unassigned Official
42 TCP UDP ARPA Host Name Server Protocol Official
42 TCP UDP Windows Internet Name Service Unofficial
43 TCP UDP WHOIS protocol Official
47 TCP UDP NI FTP Official
49 TCP UDP TACACS+ Login Host protocol Official
50 TCP UDP ESP Official
51 TCP UDP IMP Logical Address Maintenance Official
52 TCP UDP XNS (Xerox Network Systems) Time Protocol Official
53 TCP UDP Domain Name System (DNS) Official
54 TCP UDP Xerox Network Systems (XNS) clearinghouse Official
55 TCP UDP ISI Graphics Language (ISI-GL) Official
56 TCP UDP Xerox Network Systems (XNS) authentication Official
56 TCP UDP Route Access Protocol (RAP) Unofficial
57 TCP UDP Any private terminal access Official
58 TCP UDP Xerox Network Systems (XNS) Mail Official
64 TCP UDP CI (Travelport) (formerly Covia) Comms Integrator Official
67 TCP UDP Bootstrap Protocol (BOOTP) server; also used by Dynamic Host Configuration Protocol (DHCP) Official
68 TCP UDP Bootstrap Protocol (BOOTP) client; also used by Dynamic Host Configuration Protocol (DHCP) Official
69 TCP UDP Trivial File Transfer Protocol (TFTP) Official
70 TCP UDP Gopher protocol Official
71–74 TCP UDP NETRJS protocol Official
77 TCP UDP Any private Remote job entry Official
79 TCP UDP Finger protocol Official
TCP
80 UDP Hypertext Transfer Protocol (HTTP) Official
SCTP
80 UDP QUIC (from Chromium) for HTTP Unofficial
81 TCP Torpark onion routing Unofficial

Academy Xperts 70
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

Port TCP UDP Description Status


82 UDP Torpark control Unofficial
88 TCP UDP Kerberos authentication system Official
90 TCP UDP dnsix (DoD Network Security for Information Exchange) Security Attribute Token Map Official
90 TCP UDP PointCast (dotcom) Unofficial
99 TCP WIP Message protocol Unofficial
100 UDP CyberGate RAT protocol Unofficial
101 TCP UDP NIC host name Official
ISO Transport Service Access Point (TSAP) Class 0 protocol; also used by Digital Equipment Corporation DECnet
102 TCP UDP Official
(Phase V+) over TCP/IP
104 TCP UDP ACR/NEMA Digital Imaging and Communications in Medicine (DICOM) Official
105 TCP UDP CCSO Nameserver Protocol (Qi/Ph) Official
107 TCP UDP Remote Telnet Service protocol Official
108 TCP UDP SNA Gateway Access Server Official
109 TCP UDP Post Office Protocol v2 (POP2) Official
110 TCP UDP Post Office Protocol v3 (POP3) Official
111 TCP UDP ONC RPC (Sun RPC) Official
113 TCP Ident, authentication service/identification protocol, used by IRC servers to identify users Official
113 UDP Authentication Service (auth) Official
115 TCP Simple File Transfer Protocol Official
117 STD UUCP Path Service Official
118 TCP UDP Structured Query Language (SQL) Services Official
119 TCP Network News Transfer Protocol (NNTP), retrieval of newsgroup messages Official
123 TCP UDP Network Time Protocol (NTP), used for time synchronization Official
Formerly Unisys Unitary Login, renamed by Unisys to NXEdit. Used by Unisys Programmer's Workbench for
126 TCP UDP Official
Clearpath MCP, an IDE for Unisys MCP software development
135 TCP UDP DCE endpoint resolution Official
Microsoft EPMAP (End Point Mapper), also known as DCE/RPC Locator service, used to remotely manage
135 TCP UDP Unofficial
services including DHCP server, DNS server and WINS. Also used by DCOM
137 TCP UDP NetBIOS Name Service Official
138 TCP UDP NetBIOS Datagram Service Official
139 TCP UDP NetBIOS Session Service Official
143 TCP Internet Message Access Protocol (IMAP), management of email messages Official
152 TCP UDP Background File Transfer Program (BFTP) Official
153 TCP UDP Simple Gateway Monitoring Protocol (SGMP) Official
156 TCP UDP SQL Service Official
158 TCP UDP Distributed Mail Service Protocol (DMSP) Unofficial
161 UDP Simple Network Management Protocol (SNMP) Official
162 TCP UDP Simple Network Management Protocol Trap (SNMPTRAP) Official
170 TCP Print-srv, Network PostScript Official
175 TCP VMNET (IBM z/VM, z/OS & z/VSE—Network Job Entry (NJE)) Official
177 TCP UDP X Display Manager Control Protocol (XDMCP) Official
179 TCP Border Gateway Protocol (BGP) Official
194 TCP UDP Internet Relay Chat (IRC) Official
199 TCP UDP SMUX, SNMP Unix Multiplexer Official
201 TCP UDP AppleTalk Routing Maintenance Official
209 TCP UDP Quick Mail Transfer Protocol Official
210 TCP UDP ANSI Z39.50 Official
213 TCP UDP Internetwork Packet Exchange (IPX) Official
218 TCP UDP Message posting protocol (MPP) Official
220 TCP UDP Internet Message Access Protocol (IMAP), version 3 Official
259 TCP UDP Efficient Short Remote Operations (ESRO) Official
262 TCP UDP Arcisdms Official
264 TCP UDP Border Gateway Multicast Protocol (BGMP) Official
280 TCP UDP http-mgmt Official
300 TCP ThinLinc Web Access Unofficial
308 TCP Novastor Online Backup Official
311 TCP Mac OS X Server Admin (officially AppleShare IP Web administration) Official
318 TCP UDP PKIX Time Stamp Protocol (TSP) Official
319 UDP Precision Time Protocol (PTP) event messages Official
320 UDP Precision Time Protocol (PTP) general messages Official
350 TCP UDP Mapping of Airline Traffic over Internet Protocol (MATIP) type A Official
351 TCP UDP MATIP type B Official
356 TCP UDP cloanto-net-1 (used by Cloanto Amiga Explorer and VMs) Official
366 TCP UDP On-Demand Mail Relay (ODMR) Official
369 TCP UDP Rpc2portmap Official
370 TCP codaauth2, Coda authentication server Official
370 UDP codaauth2, Coda authentication server Official

Academy Xperts 71
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

Port TCP UDP Description Status


370 UDP securecast1, outgoing packets to NAI's SecureCast servers As of 2000 Unofficial
371 TCP UDP ClearCase albd Official
383 TCP UDP HP data alarm manager Official
384 TCP UDP A Remote Network Server System Official
387 TCP UDP AURP (AppleTalk Update-based Routing Protocol) Official
389 TCP UDP Lightweight Directory Access Protocol (LDAP) Official
399 TCP UDP Digital Equipment Corporation DECnet (Phase V+) over TCP/IP Official
401 TCP UDP Uninterruptible power supply (UPS) Official
427 TCP UDP Service Location Protocol (SLP) Official
433 TCP UDP NNSP, part of Network News Transfer Protocol Official
434 TCP UDP Mobile IP Agent (RFC 5944) Official
TCP
443 UDP Hypertext Transfer Protocol over TLS/SSL (HTTPS) Official
SCTP
443 UDP QUIC (from Chromium) for HTTPS Unofficial
444 TCP UDP Simple Network Paging Protocol (SNPP), RFC 1568 Official
445 TCP Microsoft-DS Active Directory, Windows shares Official
445 TCP Microsoft-DS SMB file sharing Official
464 TCP UDP Kerberos Change/Set password Official
465 TCP URL Rendezvous Directory for SSM (Cisco protocol) Official
465 TCP Simple Mail Transfer Protocol over TLS/SSL (SMTPS) Unofficial
475 TCP UDP tcpnethaspsrv, Aladdin Knowledge Systems Hasp services Official
491 TCP GO-Global remote access and application publishing software Unofficial
497 TCP Dantz Retrospect Official
500 TCP UDP Internet Security Association and Key Management Protocol (ISAKMP) / Internet Key Exchange (IKE) Official
502 TCP UDP Modbus Protocol Official
504 TCP UDP Citadel, multiservice protocol for dedicated clients for the Citadel groupware system Official
510 TCP UDP FirstClass Protocol (FCP), used by FirstClass client/server groupware system Official
512 TCP Rexec, Remote Process Execution Official
512 UDP comsat, together with biff Official
513 TCP rlogin Official
513 UDP Who Official
514 TCP Remote Shell, used to execute non-interactive commands on a remote system (Remote Shell, rsh, remsh) Official
514 UDP Syslog, used for system logging Official
515 TCP Line Printer Daemon (LPD), print service Official
517 UDP Talk Official
518 UDP NTalk Official
520 TCP efs, extended file name server Official
520 UDP Routing Information Protocol (RIP) Official
521 UDP Routing Information Protocol Next Generation (RIPng) Official
NetWare Core Protocol (NCP) is used for a variety things such as access to primary NetWare server resources,
524 TCP UDP Official
Time Synchronization, etc.
525 UDP Timed, Timeserver Official
530 TCP UDP Remote procedure call (RPC) Official
531 TCP UDP AOL Instant Messenger Unofficial
532 TCP netnews Official
533 UDP netwall, For Emergency Broadcasts Official
540 TCP Unix-to-Unix Copy Protocol (UUCP) Official
542 TCP UDP commerce (Commerce Applications) Official
543 TCP klogin, Kerberos login Official
544 TCP kshell, Kerberos Remote shell Official
545 TCP OSIsoft PI (VMS), OSISoft PI Server Client Access Unofficial
546 TCP UDP DHCPv6 client Official
547 TCP UDP DHCPv6 server Official
548 TCP Apple Filing Protocol (AFP) over TCP Official
550 TCP UDP new-rwho, new-who Official
554 TCP UDP Real Time Streaming Protocol (RTSP) Official
556 TCP Remotefs, RFS, rfs_server Official
560 UDP rmonitor, Remote Monitor Official
561 UDP monitor Official
563 TCP UDP NNTP over TLS/SSL (NNTPS) Official
564 TCP 9P (Plan 9) Unofficial
587 TCP e-mail message submission (SMTP) Official
591 TCP FileMaker 6.0 (and later) Web Sharing (HTTP Alternate, also see port 80) Official
HTTP RPC Ep Map, Remote procedure call over Hypertext Transfer Protocol, often used by Distributed
593 TCP UDP Official
Component Object Model services and Microsoft Exchange Server
601 TCP Reliable Syslog Service — used for system logging Official
604 TCP TUNNEL profile, a protocol for BEEP peers to form an application layer tunnel Official

Academy Xperts 72
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

Port TCP UDP Description Status


623 UDP ASF Remote Management and Control Protocol (ASF-RMCP) Official
625 TCP Open Directory Proxy (ODProxy) Unofficial
631 TCP UDP Internet Printing Protocol (IPP) Official
631 TCP UDP Common Unix Printing System (CUPS) administration console (extension to IPP) Unofficial
635 TCP UDP RLZ DBase Official
636 TCP UDP Lightweight Directory Access Protocol over TLS/SSL (LDAPS) Official
639 TCP UDP MSDP, Multicast Source Discovery Protocol Official
641 TCP UDP SupportSoft Nexus Remote Command (control/listening), a proxy gateway connecting remote control traffic Official
643 TCP UDP SANity Official
646 TCP UDP Label Distribution Protocol (LDP), a routing protocol used in MPLS networks Official
647 TCP DHCP Failover protocol Official
648 TCP Registry Registrar Protocol (RRP) Official
651 TCP UDP IEEE-MMS Official
653 TCP UDP SupportSoft Nexus Remote Command (data), a proxy gateway connecting remote control traffic Official
654 TCP Media Management System (MMS) Media Management Protocol (MMP) Official
655 TCP UDP Tinc VPN daemon Unofficial
IBM RMC (Remote monitoring and Control) protocol, used by System p5 AIX Integrated Virtualization Manager
657 TCP UDP (IVM) and Hardware Management Console to connect managed logical partitions (LPAR) to enable dynamic Official
partition reconfiguration
660 TCP Mac OS X Server administration Official
666 TCP UDP Doom, first online first-person shooter Official
666 TCP airserv-ng, aircrack-ng's server for remote-controlling wireless devices Unofficial
674 TCP Application Configuration Access Protocol (ACAP) Official
688 TCP UDP REALM-RUSD (ApplianceWare Server Appliance Management Protocol) Official
690 TCP UDP Velneo Application Transfer Protocol (VATP) Official
691 TCP MS Exchange Routing Official
694 TCP UDP Linux-HA high-availability heartbeat Official
695 TCP IEEE Media Management System over SSL (IEEE-MMS-SSL) Official
698 UDP Optimized Link State Routing (OLSR) Official
Extensible Provisioning Protocol (EPP), a protocol for communication between domain name registries and
700 TCP Official
registrars (RFC 5734)
Link Management Protocol (LMP), a protocol that runs between a pair of nodes and is used to manage traffic
701 TCP Official
engineering (TE) links
702 TCP IRIS (Internet Registry Information Service) over BEEP (Blocks Extensible Exchange Protocol) (RFC 3983) Official
706 TCP Secure Internet Live Conferencing (SILC) Official
711 TCP Cisco Tag Distribution Protocol—being replaced by the MPLS Label Distribution Protocol Official
712 TCP Topology Broadcast based on Reverse-Path Forwarding routing protocol (TBRPF; RFC 3684) Official
749 TCP UDP Kerberos (protocol) administration Official
750 UDP kerberos-iv, Kerberos version IV Official
751 TCP UDP kerberos_master, Kerberos authentication Unofficial
752 UDP passwd_server, Kerberos password (kpasswd) server Unofficial
753 TCP Reverse Routing Header (RRH) Official
753 UDP Reverse Routing Header (RRH) Official
753 UDP userreg_server, Kerberos userreg server Unofficial
754 TCP tell send Official
754 TCP krb5_prop, Kerberos v5 slave propagation Unofficial
754 UDP tell send Official
760 TCP UDP krbupdate [kreg], Kerberos registration Unofficial
782 TCP Conserver serial-console management server Unofficial
783 TCP SpamAssassin spamd daemon Unofficial
800 TCP UDP mdbs-daemon Official
808 TCP Microsoft Net.TCP Port Sharing Service Unofficial
829 TCP Certificate Management Protocol Unofficial
830 TCP UDP NETCONF over SSH Official
831 TCP UDP NETCONF over BEEP Official
832 TCP UDP NETCONF for SOAP over HTTPS Official
833 TCP UDP NETCONF for SOAP over BEEP Official
843 TCP Adobe Flash Unofficial
847 TCP DHCP Failover protocol Official
848 TCP UDP Group Domain Of Interpretation (GDOI) protocol Official
860 TCP iSCSI (RFC 3720) Official
861 TCP UDP OWAMP control (RFC 4656) Official
862 TCP UDP TWAMP control (RFC 5357) Official
873 TCP rsync file synchronization protocol Official
888 TCP cddbp, CD DataBase (CDDB) protocol (CDDBP) Unofficial
888 TCP IBM Endpoint Manager Remote Control Unofficial
897 TCP UDP Brocade SMI-S RPC Unofficial

Academy Xperts 73
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

Port TCP UDP Description Status


898 TCP UDP Brocade SMI-S RPC SSL Unofficial
901 TCP Samba Web Administration Tool (SWAT) Unofficial
901 TCP UDP VMware Virtual Infrastructure Client (from managed device to management console) Unofficial
902 TCP UDP ideafarm-door (IdeaFarm (tm) Operations) Official
902 TCP UDP VMware Server Console (from management console to managed device) Unofficial
903 TCP UDP ideafarm-panic (IdeaFarm (tm) Operations) Official
903 TCP VMware Remote Console Unofficial
904 TCP VMware Server alternate Unofficial
911 TCP Network Console on Acid (NCA), local tty redirection over OpenSSH Unofficial
944 UDP Network File System Service Unofficial
953 TCP UDP Domain Name System (DNS) RNDC Service Unofficial
973 UDP Network File System over IPv6 Service Unofficial
SofaWare Technologies Remote HTTPS management for firewall devices running embedded Check Point
981 TCP Unofficial
FireWall-1 software
987 TCP Microsoft Windows SBS SharePoint Unofficial
989 TCP UDP FTPS Protocol (data), FTP over TLS/SSL Official
990 TCP UDP FTPS Protocol (control), FTP over TLS/SSL Official
991 TCP UDP Netnews Administration System (NAS) Official
992 TCP UDP Telnet protocol over TLS/SSL Official
993 TCP Internet Message Access Protocol over TLS/SSL (IMAPS) Official
994 TCP UDP Internet Relay Chat over TLS/SSL (IRCS) Official
995 TCP Post Office Protocol 3 over TLS/SSL (POP3S) Official
999 TCP ScimoreDB Database System Unofficial
1002 TCP Opsware agent (aka cogbot) Unofficial
1010 TCP ThinLinc Web Administration Unofficial
1023 TCP UDP Reserved Official

RouterOS puede filtrar por:


• Dirección IP, rango de direcciones, puerto, rango de puertos
• Protocolo IP, DSCP y otros parámetros
• Soporta Listas de Direcciones estáticas y Dinámicas
• Puede hacer match de paquetes por patrón en su contenido, especificado en Expresiones Regulares, conocido
como Layer 7 matching
El Firewall de RouterOS también soporta IPv6
Un firewall constituye una especie de barrera delante de nuestro equipo, esta barrera examina todos y cada uno de los
paquetes de información que tratan de atravesarlo. En función de reglas previamente establecidas, el firewall decide qué
paquetes deben pasar y cuáles deben ser bloqueados. Muchos tipos de firewalls son capaces de filtrar el tráfico de datos
que intenta salir de nuestra red al exterior, evitando así que los diferentes tipos de código malicioso como caballos de Troya,
virus y gusanos, entre otros, sean efectivos. El firewall actúa de intermediario entre nuestro equipo (o nuestra red local) e
Internet, filtrando el tráfico que pasa por él.
Un firewall, como ya se ha descrito, intercepta todos y cada uno de los paquetes destinados a nuestro equipo y los
procedentes de él, realizando este trabajo antes de que algún otro servicio los pueda recibir. De lo anterior podemos concluir
que un firewall puede controlar todas las comunicaciones de un sistema a través de Internet.
Se dice que un puerto de comunicaciones está abierto si el sistema devuelve una respuesta al llegar un paquete de petición
de establecimiento de conexión. En caso contrario el puerto se considera cerrado y nadie puede conectarse a él. El punto
fuerte de un firewall reside en que al analizar cada paquete que fluye a través del mismo, puede decidir si lo deja pasar en
uno u otro sentido, y puede decidir si las peticiones de conexión a determinados puertos deben responderse o no.
Los firewalls también se caracterizan por su capacidad para mantener un registro detallado de todo el tráfico e intentos de
conexión que se producen (lo que se conoce como un log). Estudiando los registros o logs es posible determinar los orígenes
de posibles ataques y descubrir patrones de comunicación que identifican ciertos programas maliciosos. Sólo los usuarios
con privilegios administrativos pueden acceder a estos registros, pero es una característica que se le puede exigir a estas
aplicaciones.
http://wiki.mikrotik.com/wiki/Firewall

Academy Xperts 74
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

Mapa de Protocolos

Flujo de Paquetes
Todas las comunicaciones de Internet se realizan mediante el intercambio o flujo de paquetes o datos, que son la unidad
mínima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino, independientemente de donde se
encuentren las máquinas que se comunican, debe llevar anexada la información referente a la dirección IP de cada máquina
en comunicación, así como el puerto a través del que se comunican. La dirección IP de un dispositivo lo identifica de manera
única dentro de una red. Los puertos de comunicación también son una parte muy importante de la que el Firewall deberá
verificar y controlar también, debido a que la mayoría de comunicaciones se realizan bajo protocolos los cuales realizan el
envió de paquetes mediante puertos tales como:
TCP es el protocolo de comunicación que garantiza que los datos serán entregados en su destino sin errores y en el mismo
orden en que se transmitieron.
TCP usa el concepto de número de puerto para identificar a las aplicaciones emisoras y receptoras. Cada lado de la conexión
TCP tiene asociado un número de puerto (de 16 bits sin signo, con lo que existen 65536 puertos posibles) asignado por la
aplicación emisora o receptora. Los puertos son clasificados en tres categorías: bien conocidos, registrados y
dinámicos/privados. Los puertos bien conocidos son asignados por la Internet Assigned Numbers Authority (IANA), van
del 0 al 1023 y son usados normalmente por el sistema o por procesos con privilegios. Las aplicaciones que usan este tipo
de puertos son ejecutadas como servidores y se quedan a la escucha de conexiones. Algunos ejemplos son: FTP (21), SSH
(22), Telnet (23), SMTP (25) y HTTP (80). Los puertos registrados son normalmente empleados por las aplicaciones de
usuario de forma temporal cuando conectan con los servidores, pero también pueden representar servicios que hayan sido
registrados por un tercero (rango de puertos registrados: 1024 al 49151). Los puertos dinámicos/privados también pueden
ser usados por las aplicaciones de usuario, pero este caso es menos común. Los puertos dinámicos/privados no tienen
significado fuera de la conexión TCP en la que fueron usados (rango de puertos dinámicos/privados: 49152 al 65535,
recordemos que el rango total de 2 elevado a la potencia 16, cubre 65536 números, del 0 al 65535)
User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas
(Encapsulado de capa 4 Modelo OSI), este protocolo no garantiza que los datos serán entregados en su destino sin errores
y en el mismo orden en que se transmitieron.
UDP utiliza puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud de 16 bits, por
lo que el rango de valores válidos va de 0 a 65.535. El puerto 0 está reservado, pero es un valor permitido como puerto
origen si el proceso emisor no espera recibir mensajes como respuesta.

Academy Xperts 75
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

• Los puertos 1 a 1023 se llaman puertos bien conocidos y en sistemas operativos tipo Unix enlazar con uno de
estos puertos requiere acceso como súper usuario.
• Los puertos 1024 a 49.151 son puertos registrados.
• Los puertos 49.152 a 65.535 son puertos efímeros y son utilizados como puertos temporales, sobre todo por los
clientes al comunicarse con los servidores.
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Para facilitarnos el entendimiento
• MikroTik ha creado diagramas para ayudarnos a la configuración avanzada en el flujo de paquetes.
• Es bueno estar familiarizado con ellos para saber qué está pasando con los paquetes y en qué orden irán.
• Para este curso, se analizara superficialmente y de manera simple los gráficos.
http://wiki.mikrotik.com/wiki/Packet_Flow

Ejemplo de flujo de paquetes


• Usted que piensa, Complicado? Bueno bienvenido al club!
• El siguiente ejemplo ayudara a ilustrar mejor el flujo de paquetes: Realice un Ping hacia (nodo no existente) sobre
la interfaz de su router LAN a través de su WAN interface
o IP no asignada a ningún equipo : 172.16.x.x
o IP asignada a un cliente : 192.168.x.x
o IP asignada para WAN (ether1 o wlan1) : 172.16.x.x
Configuración previa al análisis de flujo de paquetes
/ip firewall filter
add action=log chain=input log-prefix=Filter-input protocol=icmp
add action=log chain=output log-prefix=Filter-output protocol=icmp
add action=log chain=forward log-prefix=Filter-forward protocol=icmp
/ip firewall mangle
add action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp
add action=log chain=output log-prefix=Mangle-output protocol=icmp
add action=log chain=input log-prefix=Mangle-input protocol=icmp
add action=log chain=forward log-prefix=Mangle-forward protocol=icmp
add action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp
/ip firewall nat
add action=log chain=srcnat log-prefix=srcnat protocol=icmp
add action=log chain=dstnat log-prefix=dstnat protocol=icmp
Ejecutar el PING
Realizamos la ejecución del ping hacia las redes definidas al comienzo de la practica en clases:
• Ejemplo: ping 192.168.3.2
De ahí procedemos con la revisión de los LOGs para verificar que información podemos obtener.
Ping entrante.
===PREROUTING===
Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8,
code 0), 172.16.2.100->192.168.3.2, len 60
dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
===FORWARD===
Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code
0), 172.16.2.100->192.168.3.2, len 60
Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code
0), 172.16.2.100->192.168.3.2, len 60

Academy Xperts 76
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type
8, code 0), 172.16.2.100->192.168.3.2, len 60
srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
Reply
===OUTPUT===
Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100,
len 88
Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100,
len 88
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3-
>172.16.2.100, len 88

Connection Tracking y sus Estados


• El Connection Tracking administra la información de las conexiones activas.
• Antes de crear filtros o reglas en el firewall, es bueno conocer qué tipo de tráfico está pasando a través del router.
• El Connection Tracking mostrará una información como está a continuación:

• El uso de connection-tracking permite el seguimiento de las conexiones UDP, aunque UDP sea stateless. Como
tal, el firewall de MikroTik puede filtrar sobre los “estados” UDP.
Recuerde:
En caso de que se deshabilite el connection-tracking por cualquier motivo, las siguientes funciones dejaran de funcionar:
• NAT
• Firewall
o connection-bytes, connection-mark
o connection-type, connection-state
o connection-limit, connection-rate
o layer7-protocol, p2p
o new-connection-mark, tarpit
• p2p matching en cola simple
Entonces podemos definir que sin el connection-tracking el servidor de seguridad sólo utilizará criterios básicos, tales
como (pero no limitados a):
• Direcciones de origen y de destino
• Protocolos
• Los puertos de origen y de destino
o Dentro y fuera de las interfaces

Academy Xperts 77
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

TCP-States
Los TCP-States son (asumiendo que hay una conexión desde un punto A hacia B):
• established: Se establece una sesión TCP con el host remoto, proporcionando una conexión abierta donde se
pueden intercambiar datos
• time-wait: Tiempo de espera para asegurar que el host remoto ha recibido un acuse de recibo (ACK) de su
solicitud de finalización de conexión (después se "cierra")
• close: Representa a la espera de una solicitud de finalización de conexión del host remoto.
• syn-sent: Cuando un Client-A se encuentra en espera para un matching connection request, después de haber
enviado la solicitud.
• syn-received: Cuando un Client-B se encuentra en la espera de una confirmación de un connection request
acknowledgement cuando ambos puntos ya recibieron un connection request.
Estados de las Conexiones (connection-state)
Primer paquete será "nuevo“en las conexión, el resto de paquetes se puede aceptar como establecido si no se alcanza el
valor UDP-timeout.
• new – es el primer paquete UDP, TCP que pasa en la sincronización de paquetes.
o Es el primer paquete que puede establecer una entrada en el conection tracking.
o Es el primer paquete en sincronizar en TCP.
o Es el primer paquete UDP.
• established – Cuando pasa el resto de paquetes UDP o TCP
o Los paquetes de conexiones ya conocidos
o El resto de la comunicación UDP, si la tasa de paquetes puede mantenerse antes de un UDP timeout
• related – Cuando se crea una conexión basada en una ya existente.
o Conexión que se crea por otra conexión ya establecida.
o Por ejemplo: la conexión de datos de la TFP que son creados por primera instancia por una conexión FTP.
o Es esencial para una conexión relacionada primero ser establecida.
• invalid – paquete TCP inválido o no relacionado con el conection-traking.
o Cualquier paquete con estado desconocido
o Es buena idea dejarlos o realizarle un DROP.

Estructura: chains y acciones


• Un chain: es una agrupación de reglas basado en los mismos criterios. Hay tres cadenas predeterminadas en
función de criterios predefinidos.
o input: El tráfico que va al router
o forward: El tráfico que va a través del router
o output: El tráfico procedente del router
• Por ejemplo, se puede implementar un chain pasado en:
o Basado en el criterio: todo el tráfico del icmp.
o Basado en tráficos provenientes de puertos Ethernet, por ejemplo: Ether2 hacia una red LAN remota o
una red bridge.

Academy Xperts 78
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

• Los usuarios definen los chains, y estos mismos son creados dependiendo de los parámetros que se puedan
comparar, y si desean pueden realizar un «jump» para una vez que el match ha sido confirmado, se realizara un
salto hacia otra regla en el firewall, esto se los define en «jump target»
• Una acción dicta lo que va a realizar el filtro o regla cuando los paquetes aplican con todas las condiciones para ser
filtrado.
• Los paquetes se comprueban secuencialmente contra de las reglas existentes en la cadena de firewall actual hasta
que se produce una coincidencia. (Cuando se tenga el # significa que respetará un orden: primero uno si coinciden,
se aplica la acción, y de ahí pasara a la siguiente si se encuentra habilitada esa opción, en caso contrario hasta ahí
llegara el análisis)
Filtrado Firewall en acción
Se puede aprovechar la seguridad de un firewall de diferentes maneras tales como:
• Confiar en la seguridad de nuestra LAN, ya que lo proveniente de la WAN es lo inseguro.
• Bloqueamos todos y permitimos únicamente en lo que estamos de acuerdo.
• Permitiremos todo y bloquearemos únicamente lo que causa problemas.
Consejos Básicos y trucos
• Antes de realizar cambios en el firewall ingresemos en “modo seguro”
• Después de realizar configuraciones y cambios en las reglas firewall, se aconseja probar las debilidades: una
herramienta recomendada: ShieldsUP
• Antes de comenzar se recomienda escribir en texto plano o en papel una descripción sencilla de las políticas que
se quiere aplicar.
o Una vez que las entiende y está de acuerdo con ellos, se procede con ingreso al router.
o Añadir las siguientes reglas progresivamente, una vez que esté satisfecho con las reglas básicas
ingresadas.
o Si se es nuevo en el área de seguridad, lo recomendable es que no ingrese reglas que apunten en todas
direcciones, suficiente con hacer lo básico, pero hay que hacerlo bien.
• Es una buena idea poner fin a sus cadenas con las reglas "catch-all" y ver lo que se puede haber perdido.
• Usted necesitará dos reglas "catch-all", uno de "log" y uno de "drop" para todo tráfico sin precedentes. Ambos deben
basarse en los mismos parámetros comparados para que sea útil para usted.
• Una vez que vea lo que llega a las reglas "catch-all", puede agregar nuevas reglas basadas en el comportamiento
deseado por el firewall.
Filtrado por Parámetros
• Antes de decidir en tomar una acción en el firewall, primero hay que identificarlo.
• Nosotros tenemos muchos parámetros por el cual podemos comparar.

Filter actions
Una vez realizada el match con todos los parámetros de una regla, y coinciden, entonces se realizara una acción. El firewall
de MikroTik tiene las 10 siguientes acciones:
1. accept: Acepte el paquete. El Paquete ya no pasaría a la siguiente regla de firewall.
2. add-dst-to-address-list: dirección destino, después de hacer match el paquete pasa a la siguiente regla.
3. add-src-to-address-list: dirección origen. Después de hacer match el paquete pasa a la siguiente regla.
4. drop: el paquete es desechado. Después de hacer match el paquete pasa a la siguiente regla.
5. jump: jump es definido por el usuario y sirve para saltar a una regla en específico, definido por el jump-target.
Después de hacer match el paquete pasa a la siguiente regla definida en jump-target.
6. log: añade un mensaje en los logs con la siguiente información: in-interface, out-interface, src-mac,
protocol, src-ip:port->dst-ip:port y length of the packet. Después de hacer match el paquete
pasa a la siguiente regla.
7. passthrough: si esta opción está marcada, habilitará la opción de ignorar resta regla y pasar a la siguiente (muy
útil para estadísticas de red).
8. reject: desecha los paquetes icmp y envía un mensaje definido por el usuario el paquete no pasa a la siguiente
regla.
9. return: pasa el control del filtro de nuevo, en donde se originó el filtro anterior. Después de hacer match el paquete
pasa a la siguiente regla (únicamente si la regla anterior no ocasiona que se deseche el paquete y pare el match).
10. tarpit: captura y retiene los paquetes TCP (replicas con SYN/ACK para paquetes entrantes TCP SYN). Después
de hacer match el paquete pasa a la siguiente regla.

Academy Xperts 79
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

Protegiendo tu router (input)

• El chain=input analiza todo el tráfico entrante al router.


• Al aplicar una regla chain=input, se controla el ingreso de información al router
MikroTik da las siguientes sugerencias para el Input
Asumiendo que la interfaz ether1 está conectada a una WAN insegura.
• Aceptar el tráfico de icmp-echo-reply (si se desea tener replica de ping sobre internet, esto es útil cuando
manejamos servidores)
• Desechar todo el tráfico icmp-echo-request (Cuando no deseamos que nos hagan ping otro dispositivo. Con
esto evitamos estar en la mira de ataques como smurf attack u otros)
• Aceptar todo el tráfico entrante establecido y relacionado.
• Desechar todo el tráfico inválido.
• Realizar un Log de todo el resto del tráfico
• Desechar todo el resto de tráfico.

Protegiendo a todos los clientes (forward)


• El trafico forward es el tráfico que pasa a través del router.

MikroTik da las siguientes sugerencias para el Forward


Asumiendo que la interfaz ether1 está conectada a una WAN insegura.
• Aceptar todo el tráfico forward establecido y relacionado.
• Desechar todo el tráfico inválido.
• Hacer Log de todo el resto del tráfico (para verificar si es que algún paquete importante ha sido bloqueado)
• Desechar todo el resto de tráfico.

Address-list conceptos básicos


address-list se usa para agrupar direcciones IP. Ayuda a simplificar la cantidad de reglas creadas en el router.

Academy Xperts 80
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

• ¿Qué es mejor? Aplicar 10 reglas aplicadas a 10 IPs o aplicar 1 sola regla a un solo grupo de IPs.
Los grupos de address-list pueden representar:
• Grupo de administradores, departamentos,
• Hackers
• Lo que sea que se dese clasificar
Pueden ser usados por Filter, Mangle, y NAT. La creación puede realizarse de manera automática con la acción de firewall:
add-src-to-address-list o add-dst-to-address-list. Con esto se facilita aplicar acciones en grupo en Firewall
Filter, Mangle o NAT.
• Esta puede ser una gran vía para poder facilitar el bloqueo de IP.
add action=add-src-to-address-list address-list=blacklist chain=input comment=nombre_lista
in-interface=interface
Para visualizar listas existentes:
/ip firewall address-list print
Para crear listas permanentes
/ip firewall address-list add address=1.2.3.4 list=hackers
Crear listas a través de reglas firewall creadas:
/ip firewall filter add action=add-dst-to-address-list address-list=temp-list address-list-
timeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24
/ip firewall nat add action=add-src-to-address-list address-list=NAT-AL chain=srcnat
/ip firewall mangle add action=add-dst-to-address-list address-list=DST-AL address-list-
timeout=10m chain=prerouting protocol=tcp

Source NAT

El Network Address Translation (NAT) permite a los hosts de una red LAN, comunicarse con redes externas
• Source NAT (srcnat) traduce las direcciones IP (de una LAN) a direcciones IP públicas cuando se accede al
Internet. También realiza la traducción de IP pública a privada cuando el tráfico se genera desde la WAN hacia una
LAN.
• Las direcciones IP que no son Públicamente Ruteables, son direcciones IP que no pueden ser usados en Internet.
o Estas direcciones privadas son:
§ 10.0.0.0/8
§ 172.16.0.0/12
§ 192.168.0.0/16
masquerade & src-nat
El primer chain para NAT es srcnat. Es usado para aplicar acciones a los datos salientes del router. Al igual que los filtros
de firewall, las reglas de NAT tienen algunas propiedades y acciones (13 acciones). La primera y más básica acción de NAT
es action=masquerade.

Academy Xperts 81
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

masquerade reemplaza la dirección IP origen en paquetes por otra IP determinada (ejemplo una privada a publica) para
facilitar el enrutamiento.
• Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por la dirección de
la interfaz externa (WAN)
chain=src-nat permite realizar cambios en dirección IP y puerto origen de los paquetes a unos especificados por el
administrador de la red
Ejemplo de uso:
Dos empresas (alfa y beta) se han fusionado, pero hay un problema en sus redes locales ya que ambas redes utilizan el
mismo espacio de direcciones (por ejemplo, 172.16.0.0/16.). Ellos no desean cambiar sus segmentos de red, ya que todos
los dispositivos en la empresa (impresoras, proyectores, copiadoras, etc.) tienen direcciones asignadas e implicaría pérdida
de tiempo.
Solución: Orientándonos al concepto de NAT, lo único que se requerirá son reglas básicas de NAT con src-nat y
posiblemente reglas de dst-nat, independientemente que las redes locales de cada una sean iguales.

Destination NAT

• action=dst-nat es una acción usada en chain=dstnat para re direccionar el tráfico entrante hacia una
diferente IP o puerto.
• Ejemplo de aplicación: Se tiene una granja de servidores (Web, Mail y SSH) y solo una dirección IP pública en el
router de borde. Se desea acceder desde del exterior hacia cada servidor en forma independiente.

Academy Xperts 82
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

dst-nat & redirect


• action=redirect cambia el puerto destino del tráfico hacia un puerto del propio router.
• Ejemplo de aplicación: Todo tráfico http (TCP, puerto 80) va a ser reenviado al web proxy del router por TCP puerto
8080.
• Este concepto en otros dispositivos se lo conoce como port-forwarding
Sintaxis NAT
Agregar regla masquerade
/ip firewall nat add action=masquerade chain=srcnat
Cambiar el source IP address
add chain=srcnat src-address=192.168.0.109 action=src-nat to-addresses=10.5.8.200
Destination NAT. Redirecciona todo el tráfico WEB (TCP, port 80) hacia el web proxy del router sobre el port 8080
add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080

scripts
• Es un archivo de órdenes, o archivo de procesamiento por lotes. Es un programa usualmente simple, que por lo
regular se almacena en un archivo de texto plano.
• Usualmente es usado en MikroTik para automatizar tareas.
• Se puede realizar la automatización con scheduler.
Ejemplo de scripts
------------ PORT SCAN -------------
:global portscannerip;
:if ([:len [/ip firewall address-list find list=port_scanners]]>0) do= {
:log error "------IP's dectada como ATAQUE PORTSCANNER------";
:foreach i in [/ip firewall address-list find list=port_scanners] do={ :set portscannerip [/ip
firewall address-list get $i address];
:log error $portscannerip };
}
--------------- cpu LOAD -------------
":if \(\[ /system resource get cpu-load \] \
>= 90 \) do={ /system reboot; }"

Academy Xperts 83
RouterOS v6.34.3.01 – Capítulo 6 – Firewall

Preguntas de repaso del Capítulo 6


1. Cómo funciona un firewall (matcher y action)?

2. Cuál es el número total de puertos disponibles para TCP/UDP?

3. Cómo se clasifican estos puertos?

4. Para qué sirve el Connection Tracking?

5. Qué funcionalidades dejan de trabajar si se deshabita el Connection Tracking?

6. Cuáles son los diferentes TCP-States que se presentan en el Connection Tracking?

7. Cuáles son los 4 connection-states en firewall?

8. Cuales son las principales acciones el /ip firewall filter?

9. Cuándo se usa chain=input?

10. Cuándo se usa chain=forward?

11. Que tipos de direcciones se puede definir en el Address List?

12. Explique la diferencia entre los chain SRCNAT y DSTNAT

Laboratorio – Capítulo 6

Academy Xperts 84
RouterOS v6.34.3.01 – Capítulo 7 – QoS

Capítulo 7: QoS
Calidad de Servicio o QoS (Quality of Service) es el rendimiento promedio de una red de datos, telefonía o de computadoras,
visto por los usuarios de la red. La calidad de servicio se aplica para mejorar varios aspectos del servicio de red, tales como
tasas de errores, ancho de banda, rendimiento, retraso en la transmisión, disponibilidad, jitter, etc.
Problemas en redes de datos conmutados
Muchas cosas le ocurren a los paquetes desde su origen al destino, resultando los siguientes problemas vistos desde el
punto de vista del transmisor y receptor:
• Bajo rendimiento
• Paquetes sueltos
• Retardos
• Latencia
• Jitter
• Entrega de paquetes fuera de orden
• Errores

Simple Queue (Cola simple)


QoS (Calidad de servicio) es el arte de la gestión de los recursos de ancho de banda y no sólo "a ciegas", limitando el ancho
de banda para ciertos nodos.
El QoS puede priorizar el tráfico basado en las métricas. Útil para
• Las aplicaciones críticas
• Tráfico sensible como flujos de voz y vídeo
Definición:
• Las colas se utilizan para limitar y priorizar el tráfico:
• Límite la velocidad de datos para ciertas direcciones IP, subredes, protocolos, puertos y otros parámetros
• Límite tráfico punto a punto
• Priorizar algunos flujos de paquetes sobre los demás
• Configurar ráfagas de tráfico para la navegación web más rápida
• Aplicar diferentes límites en base al tiempo
• Dividir el tráfico entre los usuarios por igual, o dependiendo de la carga del canal
La implementación de cola en MikroTik RouterOS se basa en Hierarchical Token Bucket (HTB). HTB permite crear la
estructura jerárquica de colas y determinar las relaciones entre las colas.
En RouterOS, estas estructuras jerárquicas pueden estar unidos en 4 lugares diferentes (esto es válido hasta la v5.x):
• global-in: Representa todas las interfaces de entrada en general. Colas unidos a global-se aplican al tráfico en
que es recibido por el router antes de que el filtrado de paquetes.
• global-out: representa a todos los interfaces de salida en general.
• global-total: representa todas las interfaces de entrada y salida junto. Se utiliza en caso de que los clientes
tienen de límite único para ambos, cargar y descargar.
• <interface name>: representa una interfaz de salida particular. Sólo el tráfico que se designa a salir a través de esta
interfaz pasará esta cola HTB.

Academy Xperts 85
RouterOS v6.34.3.01 – Capítulo 7 – QoS

Hay dos maneras diferentes de cómo configurar colas en RouterOS:


• queue-simple - diseñado para facilitar la configuración de las tareas de gestión de colas simples y cotidianas
(como las limitaciones upload/download de descarga, limitación del tráfico p2p, etc.)
• queue-tree - para la implementación de las tareas de gestión de colas avanzadas (como la política de priorización
global, limitaciones de grupos de usuarios). Requiere paquete marcado fluye desde /ip firewall mangle.
target
• Es el objetivo al que se aplica la cola sencilla
• Se debe introducir un objetivo que puede ser:
o Una dirección IP
o Una subred
o Una interface
• El orden de la cola es importante. Cada paquete debe pasar por cada cola sencilla hasta que se produce una
coincidencia.
dst
• La dirección IP donde el tráfico del target está dirigido.
• Interfaz a través del cual el tráfico del target fluirá.
• No es obligatorio que el campo "target"
• Puede ser utilizado para limitar la restricción de la cola
max-limit y limit-at
• El parámetro max-limit es la velocidad de datos máxima que puede alcanzar un objetivo
• Se lo conoce como MIR (máxima velocidad de información)
o En el mejor de los casos
• El parámetro limit-at es la velocidad de datos mínima garantizada para el objetivo
• Se lo conoce como CIR (tasa de información comprometida)
o Peor de los casos

Burst
• Burst es una característica que permite satisfacer el requisito de cola para ancho de banda adicional, incluso si la
tasa requerida es más grande que la MIR (max-limit) durante un período de tiempo limitado.
• Bursting permite a los usuarios obtener, por un corto tiempo, más ancho de banda que permite el parámetro max-
limit.
• Útil para impulsar el tráfico que no utiliza el ancho de banda con demasiada frecuencia. Por ejemplo, HTTP. Obtener
una página de descarga rápida, que leyó durante unos segundos.
Parámetros del Burst:
1. Burst Limit: Velocidad máxima de datos al tiempo que se permite la ráfaga.
2. Burst-time: tiempo en segundos, durante el cual se hizo el muestreo.
3. Burst-threshold: el valor que determinará si se le permitirá a un usuario el burst.
4. average-rate: Un promedio de transmisión de datos calcula en 1/16 o partes de "tiempo de ráfaga". Cada 1/16
partes del burst-time, el router calcula la velocidad de datos promedio de cada clase en los últimos segundos de
burst-time
5. actual-rate: actual tasa de transferencia de datos (real).

Academy Xperts 86
RouterOS v6.34.3.01 – Capítulo 7 – QoS

Bursting - Como trabaja


• El bursting está permitido mientras el average-rate este abajo el burst-threshold
• El bursting será limitado a la velocidad especificada por burst-limit
• El average-rate es calculado con un promedio de 16 muestras (actual-rate) sobre varios segundos del burst-time
o Si burst-time está en 16 segundos. Continuación, se toma una muestra cada segundo
o Si burst-time está en 8 segundos, continuación, se toma una muestra cada medio segundo.
Cuando el burst-time está definido con 16 segundos

Cuando el burst-time está definido con 8 segundos

Sintaxis
Agregar una simple Queue (cola simple)
/queue simple add max-limit=2M/2M name=queue1 target=192.168.3.0/24
Agregar una simple Queue con Bursting
/queue simple add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s
limit-at=1M/1M max-limit=2M/2M name=queue2 target=192.168.3.0/24
Tip
Usted puede haber notado que los iconos de cola cambian de color de acuerdo al uso. El color tiene un significado.
• Verde: 0 – 50% de ancho de banda disponible
• Amarillo: 51 – 75% de ancho de banda disponible
• Red: 76 – 100% de ancho de banda disponible

Limitación de Tráfico
• Los principios que usa MikroTik para la limitación, se basa en los siguientes métodos:
• Shapper: desecha los paquetes que sobrepasan el trafico.
• Scheduler: genera un delay para que los paquetes no sean desechados y lleguen pero con retardo.

Academy Xperts 87
RouterOS v6.34.3.01 – Capítulo 7 – QoS

Tipos de Colas
Tenemos los siguientes tipos de colas:
• BFIFO, PFIFO, MQ PFIFO
• RED
• SFQ
• PCQ
FIFO: Los paquetes que esperan en una cola y van siendo atendidas en el orden en que llegaron, es decir, que ‘el primera
paquete que entra es el primer paquete que sale’.

PCQ
PCQ se introdujo para optimizar los sistemas de calidad de servicio masivos, donde la mayoría de las colas son exactamente
los mismos para los diferentes sub-corrientes. Por ejemplo, un sub-corriente se puede descargar o cargar para un cliente en
particular (IP) o la conexión al servidor.
PCQ algoritmo es muy simple - en un primer momento que utiliza clasificadores seleccionado para distinguir una sub-
corriente de otro, a continuación, aplica tamaño de la cola FIFO individual y limitación en todos los sub-corriente, luego
grupos de todos los sub-corrientes juntos y se aplica tamaño de la cola FIFO mundial y limitación.
PCQ parámetros:
• pcq-classifier (dst-address | dst-port | src-address | src-port; default: “”)
• pcq-rate (numero)
• pcq-limit (numero)
• pcq-total-limit (numero)

Una cola simple para toda la red (PCQ)


Porque tener un Queue para todo?
• Por la conexión de colas (PCQ) es una forma dinámica de conformación de tráfico para varios usuarios que utilizan
una configuración más sencilla.
• Definir los parámetros (direcciones IP específicas, por ejemplo) tendrá las mismas limitaciones.
Configuración PCQ-rate
• El parámetro pcq-rate limita el tipo de cola que será permitido
• Clasificador es como el router comprueba cómo se aplicará esta limitación. Puede ser en dirección de origen o de
destino, o puerto de origen o destino. Entonces usted podría limitar el tráfico de usuarios o el tráfico de aplicaciones
(HTTP, por ejemplo).
Configuración PCQ-limit

Academy Xperts 88
RouterOS v6.34.3.01 – Capítulo 7 – QoS

• Este parámetro se mide en paquetes.


• Un valor PCQ-limit grande
o Creará un buffer más grande, lo que reduce los paquetes caídos
o Aumentará latencia
• Un valor PCQ-limit más pequeño
o Aumentará paquetes gotas (desde buffer es menor) y obligará a la fuente para volver a enviar el paquete,
lo que reduce la latencia
o Supondrá un ajuste de tamaño de la ventana TCP, diciendo la fuente para reducir la velocidad de
transmisión
• ¿Qué valor se debe utilizar? No hay una respuesta fácil.
o Si a menudo salen "Trial & Error" por aplicación
o Si los usuarios se quejan de latencia, reducir el valor de pcq- límit (longitud de la cola)
o Si los paquetes tienen que pasar por un servidor de seguridad complejo, entonces usted puede tener que
aumentar la longitud de la cola, ya que puede producir retrasos
o Fast interfaces (como carruaje) requieren colas más pequeñas, ya que reducen los retrasos

PCQ, ejemplo
Vamos a suponer que tenemos usuarios que comparten un vínculo WAN limitado. Les daremos los siguientes tipos de datos:
• Descargar: 2Mbps
• Subir: 1Mbps
• WAN está en ether1
• Subred LAN es 192.168.3.0/24

Academy Xperts 89
RouterOS v6.34.3.01 – Capítulo 7 – QoS

/ip firewall mangle


Add action=mark-packet chain=forward new-packet-mark=client_upload out-interface=ether1 src-
address=192.168.3.0/24
Add action=mark-packet chain=forward dst-address=192.168.3.0/24 in-interface=ether1 new-packet-
mark=client_download
/queue type
Add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
Add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M
/queue tree
Add name=queue_upload packet-mark=client_upload parent=global queue=PCQ_upload
Add name=queue_download packet-mark=client_download parent=global queue=PCQ_download
Nuestro ejemplo, nos explica
Mangle: Le estamos diciendo al router para marcar los paquetes con el "client_upload" o la marca "client_download",
dependiendo de si:
• Los paquetes vienen de la LAN y están saliendo de ether1 (upload) o,
• Los paquetes que están entrando desde ether1 e ir a la LAN (descargar).
Tipos de colas: Estamos definiendo los tipos de datos y los clasificadores a utilizar para diferenciar sub-corrientes (origen o
destino)
Queue tree: Las combinaciones que se comprueban para ver si los paquetes califican para la modulación del tráfico y lo que
debe aplicar.
• Por ejemplo, en el caso del tráfico de subida, comprobamos entrada y salida de las interfaces (globales) para los
paquetes con la marca "client_upload" y aplicamos el "PCQ_upload" tipo de cola.

Preguntas de repaso del Capítulo 7


1. Cuáles pueden ser los principales problemas en las redes de datos?

2. Por qué son útiles las colas?

3. En qué se basa la implementación del QoS en MikroTik RouterOS?

4. Cuáles son las principales diferencias entre Queue Simple y Queue Tree?

5. Que tipo de servicio de red es recomendado para aplicar el burst?

6. Cómo trabaja el burst?

7. Cuáles son las características más importantes del PCQ?

8. Cuáles son las principales herramientas de monitoreo que encontramos en RouterOS?

Laboratorio – Capítulo 7

Academy Xperts 90
RouterOS v6.34.3.01 – Capítulo 8 – Túneles

Capítulo 8: Túneles
Introducción
Los túneles son una forma de ampliar una red privada a través de una red pública, como Internet. A los Túneles también se
les conoce como VPNs (redes privadas virtuales).
• El concepto de seguridad se asocia con VPN. Es recomendable ya que no se desea que el tráfico de los usuarios
vaya a través de redes que no son seguras
Se conoce como túnel o tunneling a la técnica que consiste en encapsular un protocolo de red sobre otro (protocolo de red
encapsulador) creando un túnel de información dentro de una red de computadoras. El uso de esta técnica persigue
diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en
escenarios multicast, la redirección de tráfico, etc. La técnica de tunelizar se suele utilizar para trasportar un protocolo
determinado a través de una red que, en condiciones normales, no lo aceptaría. Otro uso de la tunelización de protocolos es
la creación de diversos tipos de redes privadas virtuales.
El establecimiento de dicho túnel se implementa incluyendo una PDU (unidad de datos de protocolo) determinada dentro de
otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia
de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces
de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de
comunicación empleado, que entre otros, podría ser SSH. Así, el protocolo A es encapsulado dentro del protocolo B, de
forma que el primero considera al segundo como si estuviera en el nivel de enlace de datos.
Ejemplos de protocolos tunelizados
• L2TP (Layer 2 Tunneling Protocol)
• MPLS (Multiprotocol Label Switching)
• PPTP (Point-to-Point Tunneling Protocol)
• PPPoE (point-to-point protocol over Ethernet)
• PPPoA (point-to-point protocol over ATM)
• IPSec (Internet Protocol security)
• IEEE 802.1Q (Ethernet VLANs)
• 6to4 (IPv6 over IPv4 as protocol 41)

Túneles PPP dentro del mapa de Protocolos TCP/IP

Academy Xperts 91
RouterOS v6.34.3.01 – Capítulo 8 – Túneles

RouterOS y Túneles
MikroTik RouterOS provee funcionalidad escalable de Autenticación, Autorización y Contabilización
• AAA = Authentication Authorization Accounting (Contabilización)
La autenticación local se logra usando una Base de Datos de Usuario y una Base de Datos de Perfil (profile). La configuración
del usuario está compuesta por el registro del respectivo usuario (tomado de la Base de Datos de Usuario), el ítem asociado
de la Base de Datos de Perfil (profile) y el ítem en la base de datos de Perfil en cual está configurado como default para un
servicio dado al que el usuario está autenticando. Las configuraciones del Perfil por default de la base de Datos del Perfil,
tienen la prioridad más baja, mientras que las configuraciones de los registros de acceso de usuario de la Base de Datos de
Usuario tiene la más alta prioridad con la única excepción de que siendo una dirección IP particular toma precedencia sobre
los Pools de direcciones IP en las configuraciones local-address y remote-address.
El soporte para la autenticación RADIUS le proporciona al ISP o al administrador de red la habilidad para manejar el acceso
y la contabilidad de usuarios PPP desde un solo servidor a través de una gran red. MikroTik RouterOS tiene un Cliente
RADIUS que puede autenticar conexiones PPP, PPPoE, PPTP, L2TP e ISDN.
Los atributos recibidos del servidor RADIUS invalidan las configuraciones del Perfil (profile) por default, pero si algunos
parámetros no son recibidos, entonces son tomados del Perfil por default respectivo

/ppp profile (perfiles de usuario)


Los perfiles PPP se utilizan para definir los valores por default de los registros de usuario que se almacenan en el submenu
/ppp secret. Las configuraciones /ppp secret de la Base de Datos de Usuario invalidan las configuraciones /ppp
profile correspondientes, excepto que las direcciones IP simples siempre tienen precedencia sobre los Pool de
direcciones IP cuando se especifican como parámetros en local-addres o remote-address.
Los PPP profiles representan los parámetros de configuración para ser utilizado por los clientes PPP, pero no limitados a:
• Dirección IP o Pool de direcciones (remotas o locales)
• Compresión
• Cifrado
/ppp profile (example from a client) add change-tcp-mss=yes name=Profile-external\
use-compression=yes use-encryption=yes use-vj-compression=no
/ppp profile (example from a server) add change-tcp-mss=yes local-address=192.168.222.1\
name=Profile-external remote-address=192.168.222.2 use-compression=yes\
use-encryption=yes use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=Profile-internal\
remote-address=Pool-VPN use-compression=yes use-encryption=yes use-vj-compression=no
Parámetros
• address-list (string; Default: ) .- Especifica el nombre del address-list a donde se agregarán las direcciones
asignadas PPP
• bridge (string; Default: ) .- Nombre de la interface bridge a la que se agregará la interface ppp como un puerto
esclavo. Ambos puntos finales del tunel (server y cliente) deben estar en un bridge para que esto funcione.
• change-tcp-mss (yes | no | default; Default: default) .- Permite cambiar la configuración de la conexión MSS
o yes : ajusta el valor de la conexión MSS
o no : no ajusta el valor de la conexión MSS
o default : obtiene este valor del perfil por default de la interface
• comment (string; Default: ) .- Campo para escribir un comentario
• dhcpv6-pd-pool (string; Default: ) .- Nombre del Pool Ipv6 que se usará para el servidor DHCPv6-PD creado
dinámicamente cuando los clientes se conectan.
• dns-server (IP; Default: ) .- Dirección IP del server DNS que se suministra a los clientes PPP
• idle-timeout (time; Default: ) .- Especifica la cantidad de tiempo luego del cual el enlace se terminará si es que
no hay actividad presente.
• incoming-filter (string; Default: ) .- Nombre del chain de firewall para paquetes entrantes. El chain especificado
obtiene el control para cada paquete que viene del cliente. El chain PPP debería ser agregado manualmente, y
también deberían agregarse las reglas con action=jump jump-target=ppp a otros chains relevantes para
que esta característica funcione.
• local-address (IP address | pool; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se
asigna la dirección a la interface PPP local
• name (string; Default: ) .- Nombre del Perfil PPP
• only-one (yes | no | default; Default: default) .- Define si es que un usuario está permitido tener más de una
conexión a la vez.
o yes – Un usuario NO está permitido tener más de una conexión al mismo tiempo
o no – El usuario está permitido a tener más de una conexión a la vez
o default – Obtiene este valor del Perfil por default de la Interface
• outgoing-filter (string; Default: ) .- Nombre del chain de firewall para paquetes salientes. El chain especificado
obtiene el control para cada paquete que va hacia el cliente. El chain PPP debería ser agregado manualmente, y

Academy Xperts 92
RouterOS v6.34.3.01 – Capítulo 8 – Túneles

también deberían agregarse las reglas con action=jump jump-target=ppp a otros chains relevantes para
que esta característica funcione.
• rate-limit (string; Default: ) .- La limitación de velocidad desde el punto de vista del router se presenta en la
siguiente forma (rx es el tráfico de subida del cliente, y tx es el tráfico de bajada del cliente):
o rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/tx-
burst-threshold] [rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/tx-
rate-min]]]]
o Todas las velocidades están medidas en bits-por-segundo (bps), a menos que le siga el sufijo k (kilobits
por segundo) o el sufijo M (megabits por segundo)
o Si no se especifica el tx-rate, entonces el rx-rate sirve también como tx-rate
o Lo mismo aplica para tx-burst-rate, tx-burst-threshold y tx-burst-time. Si rx-burst-
threshold y tx-burst-threshold no se especifican (but burst-rate está especificado), rx-rate
y tx-rate se utilizan como burst thresholds.
o Si rx-burst-time y tx-burst-time no se especifican, se utiliza 1s como default. La prioridad toma
los valores 1..8, donde 1 representa a la prioridad más alta, y 8 la prioridad más baja.
o Si rx-rate-min y tx-rate-min no se especifican, entonces se utilizan los valores rx-rate y tx-rate
o Los valores de rx-rate-min y tx-rate-min no pueden exceder a los valores rx-rate y tx-rate.
• remote-address (IP; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se asigna la
dirección a la interface PPP remota
• remote-ipv6-prefix-pool (string | none; Default: none) .- Asigna el prefijo del Pool IPv6 al cliente e instala la
correspondiente ruta IPv6.
• session-timeout (time; Default: ) .- Especifica el máximo tiempo de conexión que se puede establecer. Por
default no se configura límite de tiempo.
• use-compression (yes | no | default; Default: default) .- Especifica si se usa compresión o no. Esta configuración
no afecta los túneles OVPN
o yes – Habilita la compresión de datos
o no – Deshabilita la compresión de datos
o default – Obtiene este valor del Perfil por default de la Interface
• use-encryption (yes | no | default | require; Default: default) .- Especifica si se usa encriptación o no. Esta
configuración no afecta los túneles OVPN
o yes – Habilita la encriptación de datos
o no – Deshabilita la encriptación de datos
o default – Obtiene este valor del Perfil por default de la Interface
• use-ipv6 (yes | no | default | require; Default: default) .- Especifica si se permite IPv6. Por default se habilita si es
que el paquete IPv6 está instalado.
o yes – Habilita el soporte IPv6
o no – Deshabilita el soporte IPv6
o default – Obtiene este valor del Perfil por default de la Interface
o require – Requiere explícitamente soporte IPv6
• use-mpls (yes | no | default | require; Default: default) .- Especifica si es que se permite MPLS sobre PPP
o yes – Habilita el soporte MPLS
o no – Deshabilita el soporte MPLS
o default – Obtiene este valor del Perfil por default de la Interface
o require – Requiere explícitamente soporte MPLS
• use-vj-compression (yes | no | default; Default: default) .- Especifica si es que se usa el algoritmo de compresión
de cabecera Van Jacobson
o yes – Habilita la compresión de cabecera Van Jacobson
o no – Deshabilita la compresión de cabecera Van Jacobson
o default – Obtiene este valor del Perfil por default de la Interface
• wins-server (IP address; Default: ) .- Permite especificar la dirección IP del servidor WINs para suministrar a los
clientes
Notas Importantes
• Existen dos Perfiles por Default que no pueden ser removidos:
/ppp profile print
Flags: * - default
0 * name="default" use-compression=no use-vj-compression=no use-encryption=no
only-one=no change-tcp-mss=yes
1 * name="default-encryption" use-compression=default use-vj-compression=default
use-encryption=yes only-one=default change-tcp-mss=default
• Se debe usar el algoritmo de compresión Van Jacobson únicamente si es necesario, ya que se reducen las
comunicaciones en canales malos o congestionados.

Academy Xperts 93
RouterOS v6.34.3.01 – Capítulo 8 – Túneles

• Los argumentos incoming-filter y outgoing-filter agregan reglas de jump dinámicas al chain PPP, donde
el argumento jump-target será igual al argumento incoming-filter o outgoing-filter en /ppp
profile. Por lo tanto, el chain PPP debe ser agregado manualmente antes de que se cambien estos argumentos.
• El parámetro only-one se ignora si se usa la autenticación RADIUS
• Si hay más de 10 conexiones PPP simultáneas, se recomienda apagar (off) la propiedad change-mss, y usar una
regla general de cambio MSS en la tabla de mangle, para reducir la utilización del CPU.

/ppp secret (base de datos de usuario)


La Base de Datos de Usuario PPP almacena los registros de acceso de usuario PPP con el perfil de usuario PPP asignado
a cada usuario.
Los PPP secrets se encuentran en PPP servers y también podemos especificar los parámetros básicos y necesarios para
autenticar a un cliente, tales como:
• Nombre: Identificación del usuario
• Contraseña: contraseña del usuario
• Servicio: el protocolo que está dando servicio (si de dejan en “any” el PPP secret autenticara al usuario a través de
algunos de estos servicios (PPPoE, L2TP, PPTP, etc.))
• Perfil: el subconjunto de configuración que utilizara este usuario. Los perfiles permiten parámetros a ser utilizados
por muchos usuarios sin tener que volver a escribir todo cada vez.
Los clientes no utilizan PPP secrets como credenciales de autenticación. Se especifican en la interfaz del cliente PPP bajo
los parámetros de “Usuario” y “Contraseña”
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
Parámetros
• caller-id (string; Default: ) .- Para PPTP y L2TP, este parámetro es la dirección IP desde la cual un cliente debe
conectarse. Para PPPoE es la dirección MAC (escrito en letras mayúsculas) desde la cual un cliente debe
conectarse. Para ISDN es el número del caller (que puede o no puede ser provisto por el operador) desde el cual
el cliente debe llamar.
• comment (string; Default: ) .- Una corta descrición del usuario
• disabled (yes | no; Default: no) .- Permite especificar si se usará un secret
• limit-bytes-in (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede subir (upload)
en una sesión
• limit-bytes-out (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede descargar
(download)
• local-address (IP address; Default: ) .- Dirección IP que será configurada localmente en la interface PPP
• name (string; Default: ) .- Nombre usado para la autenticación
• password (string; Default: ) .- Contraseña (password) usada para la autenticación
• profile (string; Default: default) .- Especifica qué perfil se utilizará
• remote-address (IP; Default: ) .- Especifica la dirección IP que se asignará a la interface PPP remota
• remote-ipv6-prefix (IPv6 prefix; Default: ) .- Prefijo IPv6 asignado al cliente PPP. El prefijo se agrega a la lista
de prefijo ND que permite la configuración automática de direcciones sin estado en una interface PPP. Esta opción
está disponible desde la v5.0
• routes (string; Default: ) .- Especifica las rutas que aparecen en el server cuando el cliente se conecta. El formato
de la ruta es dst-address gateway metric (por ejemplo 10.1.0.0/24 10.0.0.1 1). Se peude
especificar varias rutas separando con comas. Este parámetro será ignorado por OpenVPN
• service (any | async | isdn | l2tp | pppoe | pptp | ovpn | sstp; Default: any) .- Especifica el tipo de servicio que un
usuario específico podrá utilizar.

/ppp active (usuarios activos)


Este submenú permite minitorear los usuarios activos o usuarios conectados. Representa el estado actual de las conexiones.
Útil para depurar y verificar el funcionamiento correcto de sus túneles.
• /ppp active print mostrará todos los usuarios conectados actualmente
• /ppp active print stats mostrará los bytes y paquetes recibidos
/ppp active print detail
Flags: R - radius
0 name=”alain” service=pppoe caller-id=”28:D2:44:2C:06:EE”\
address=192.168.5.100 uptime=3m56s encoding=”MPPE128 statefull” session-id=0x81B00044\
limit-bytes-in=0 limit-bytes-out=0
1 name=”Pod4-external” service=pppoe caller-id=”D4:CA:6D:8E:1ª:97”\
address=192.168.222.2 uptime=37s encoding=”MPPE128 stateless” session-id=0x81B00045\
limit-bytes-in=0 limit-bytes-out=0
/ppp active print

Academy Xperts 94
RouterOS v6.34.3.01 – Capítulo 8 – Túneles

Flags: R – radius
# NAME SERVICE CALLER-ID ADDRESS UPTIME ENCODING
0 alainpppoe 28:D2:44:2C:06:EE 192.168.5.100 4m12s MPPE128 statefull
1 Pod4-exte... pppoe D4:CA:6D:8E:1ª:97 192.168.222.2 53s MPPE128 stateless
Parámetros
• address (IP address) .- La dfirección IP que el cliente obtiene del server
• bytes (integer) .- Cantidad de bytes transferidos a través de esta conexión. La primera representa la cantidad de
tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de tráfico recibido.
• caller-id (string) .- Para PPTP y L2TP es la dirección IP desde la que el cliente está conectado. Para PPPoE es
la dirección MAC desde la que el cliente está conectado.
• encoding (string) .- Muestra la encriptación y codificación (separado con “/” si es asimétrico) que está siendo usado
en esta conexión.
• limit-bytes-in (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al router
• limit-bytes-out (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al cliente
• name (string) .- Nombre de usuario proporcionado en la fase de autenticación
• packets (integer/integer) .- Cantidad de paquetes transferidos a través de esta conexión. La primera representa la
cantidad de tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de
tráfico recibido.
• service (async | isdn | l2tp | pppoe | pptp | ovpn | sstp) .- Tipo de servicio que el usuario está usando
• session-id (string) .- Muestra el identificador de cliente único
• uptime (time) .- Tiempo de actividad del usuario

/ppp aaa (AAA remoto)


Las configuraciones en este menú permiten sonfigurar la contabilización (accounting) y autenticación (authentication)
RADIUS. La base de datos de usuario RADIUS se consulta únicamente si el nombre usuario (username) requerido no se
encuentra en la base de datos de usuario local
Parámetros
• accounting (yes | no; Default: yes) .- Habilita la contabilización (accounting) RADIUS
• interim-update (time; Default: 0s) .- Intervalo de tiempo de actualización interino
• use-radius (yes | no; Default: no) .- Habilita la autenticación de usuario vía RADIUS. Si no se encuentra le entrada
en la base de datos Secret Local, entonces el cliente será autenticado vía RADIUS.

/ppp client (cliente PPP)


Parámetros
• add-default-route (yes | no; Default: no) .- Especifica si se agrega la ruta por default para encaminar todo el
tráfico sobre el túnel.
• allow (pap | chap | mschap1 | mschap2; Default: pap,chap,mschap1,mschap2) .- Especifica los protocolos
permitidos a usar para la autenticación
• apn (string; Default: ) .- Nombre del Access Point (APN = Access Point Name) del Proveedor de Servicio
• comment (string; Default: ) .- Nombre que describe el item
• data-channel (integer; Default: 0) .- Especifica cuál de los canales de puertos es usado para transferir datos.
• default-route-distance (integer; Default: 1) .- A partir de la v6.2, configura el valor distancia aplicado para la
ruta por default creada automáticamente, si es que también se ha seleccionado add-default-route
• dial-command (string; Default: "ATDT") .- Comando dial que se va a usar. Por default se configura el modo del
tono de marcado
• dial-on-demand (yes | no; Default: no) .- Habilita/deshabilita dial on demand
• disabled (yes | no; Default: yes) .- Especifica si es que la interface esta deshabilitada o no. Por default está
deshabilitada
• info-channel (integer; Default: 0) .- Especifica cuál de los canales de puerto (por channels) se utiliza para info
• keepalive-timeout (integer [0..4294967295]; Default: 30s) .- Keepalive timeout PPP en segundos
• max-mru (integer; Default: 1500) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface PPP estará habilitada para recibir sin fragmentación de paquetes
• max-mtu (integer; Default: 1500) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño
máximo del paquete que la interface PPP estará habilitada para enviar sin fragmentación de paquetes
• modem-init (string; Default: "") .- String de inicialización del modem
• mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel.
• name (string; Default: ) .- Nombre descriptivo de la interface
• null-modem (yes | no; Default: no) .- Habilita/deshabilita el modo null-modem (cuando está habilitado, no se
envían cadenas de inicialización al modem)
• password (string; Default: "") .- Contraseña (password) usada para autenticación

Academy Xperts 95
RouterOS v6.34.3.01 – Capítulo 8 – Túneles

• phone (string; Default: "") .- Número de teléfono para marcar (dial-out)


• pin (string; Default: "") .- Código de Pin de las Tarjetas SIM
• port (string; Default: "") .- Nombre del puerto Serial o USB donde está conectado el modem
• profile (name; Default: default) .- Perfil PPP que se utiliza
• remote-address (IP Address; Default: ) .- Dirección IP remota
• use-peer-dns (yes | no; Default: yes) .- Usa las configuraciones DNS server del servidor remoto
• user (string; Default: ) .- Nombre de usuario usado para autenticación

/ip pool
El Pool IP define un rango de direcciones IP que es utlizado por el Server DHCP y también por los Servers Point-to-Point.
Es decir que no sólo es utilizado para DHCP, sino que también se puede utilizar para los clientes PPP y Hotspot.
Útil cuando una interfaz puede dar servicio a muchos clientes. Las direcciones se asignan a partir del Pool de forma
automática.
Rangos de IPs son listas de direcciones IP que no se repiten entre si y que se pueden asignar a los clientes a través de
servicios (DHCP, PPP, Hotspot).
Parámetros
• name (name) .- El nombre del Pool
• next-pool (name) .- Cuando la dirección se adquiere de un pool que no tiene direcciones libres, y la propiedad
next-pool está configurada a otro pool, entonces la siguiente dirección se obtendrá del next-pool
• ranges (IP address) .- La lista de dirección IP de los rangos de dirección IP en la forma: desde1-hasta1,
desde2-hasta2, …, desdeN-hastaN. Por ejemplo, 10.0.0.1-10.0.0.27,10.0.0.32-10.0.0.47
Vamos a demostrar con un ejemplo. Usted tiene 50 ordenadores de la LAN corporativa y 50 que vienen desde VPN.
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
Supongamos ahora que usted necesita agregar 50 equipos en el Pool de la LAN
/ip pool print
# NAME RANGES
0 Pool-PC 192.168.5.50-192.168.5.99
1 Pool-VPN 192.168.5.100-192.168.5.149
/ip pool
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
/ip pool> print
# NAME RANGES
0 Pool-PC 192.168.5.50-192.168.5.99
192.168.5.150-192.168.5.199
1 Pool-VPN 192.168.5.100-192.168.5.149
Asignaciones para un servicio
• Un Pool puede ser asignado para diferentes servicios tales como DHCP, PPP y HotSpot.
• Veremos la sintaxis más adelante

Pregunta: Cómo comunicamos las redes A y B?

Academy Xperts 96
RouterOS v6.34.3.01 – Capítulo 8 – Túneles

PPPoE
El protocolo PPPoE (Point to Point Protocolo ver Ethernet) proporciona una amplia administración de usuario, administración
de red y beneficios de contabilización (accounting) a los ISPs y administradores de red. En muchos sitios el PPPoE se utiliza
principalmente en los ISPs para controlar las conexiones de clientes por xDSL y Cable Modem, así como también por redes
Ethernet planas (plain networks).
PPPoE es una extensión del estándar PPP. La diferencia entre ambos esta en el medio de transporte, ya que PPPoE utiliza
Ethernet en lugar de conexiones de modem serial.
Generalmente PPPoE se utiliza para manejar las direcciones IP a clientes basados en autenticación por nombre de usuario
(incluso si se requiere también por estación de trabajo) en lugar de la autenticación únicamente por estación de trabajo donde
se utiliza direccionamiento estático o DHCP. Se recomienda no utilizar direccionamiento estático o DHCP en las mismas
interfaces como PPPoE por razones de seguridad.
El cliente y server PPPoE trabajan sobre:
• Cualquier interface Ethernet Capa 2
• Wireless 802.11 (Aironet, Cisco, WaveLan, Prism, Atheros)
• Ethernet 10/100/1000 Mbit/s
• RadioLan
• EoIP (túnel Ethernet sobre IP)
Características principales de PPPoE
• Soporte para cliente y server PPPoE
• Multilink PPP (MLPPP)
• MLPPP sobre un enlace simple (habilidad para transmitir frames de tamaño completo)
• Soporte para BCP (Bridge Control Protocol). Permite el envío de frames Ethernet sobre enlaces PPP
• Encriptación MPPE 40bits
• Encriptación MPPE 128 RSA
• Autenticación pap, chap, mschap v1, mschap v2
• Soporte RADIUS para autenticación y contabilización de clientes
Nótese que cuando el servidor RADIUS está autenticando un usuario con CHAP, MS-CAHPv1 o MS-CHAPv2, el protocolo
RADIUS no usa una clave compartida (shared secret), ya que esta calve compartida se utiliza únicamente en la respuesta
a la autenticación. Esto significa que si se tiene una clave compartida errónea, el servidor RADIUS aceptará el requerimiento.
Se puede entonces utilizar el comando /radius monitor para visualizar el parámetro bad-replies. Este valor debería
incrementar cada vez que un cliente intenta conectarse.
Conexiones soportadas
• El Cliente PPPoE MikroTik RouterOS se puede conectar con cualquier servidor PPPoE (concentrador de acceso)
• El Servidor PPPoE MikroTik RouterOS (concentrador de acceso) se puede conectar con múltiples clientes PPPoE
(los clientes pueden provenir de casi todos los sistemas operativos y la mayoría de routers)
Operación PPPoE
Estados
PPPoE tiene 2 estados
1) Descubrimiento (Discovery) .- Un cliente descubre todos los concentradores de acceso disponible, y selecciona
uno de ellos para establecer la sesión PPPoE. Este estado tiene cuatro pasos:

Academy Xperts 97
RouterOS v6.34.3.01 – Capítulo 8 – Túneles

a. Inicialización (initialization)
b. Oferta (offer)
c. Request (requerimiento)
d. Confirmación de sesión (sesión confirmation)
• PPPoE Discovery utiliza frames Ethernet especiales con su propio tipo de frame Ethernet (0x8863)
• Para iniciar el descubrimiento, el cliente PPPoE envía un frame PADI a la dirección Ethernet broadcast
FF:FF:FF:FF:FF:FF, y opcionalmente puede especificar un nombre de servicio (service name)
• Cuando el server recibe el frame PADI, el server responde con un frame PADO a la dirección Ethernet
unicast del Cliente. Puede haber más de un servidor en el rango broadcast del cliente. En tal caso el
Cliente colecciona los frames PADO y elige uno para iniciar la sesión. En la mayoría de los casos elige
el servidor que responde primero.
• El Cliente envía un frame PADR a la dirección Ethernet unicast del Server que elige. Si el Server está
de acuerdo en configurar una sesión con este Cliente, entonces asigna recursos para configurar una
sesión PPP y asigna un número de Identificación de Sesión (Session ID). Este número se envía de
retorno al Cliente en un frame PADS. Cuando el Cliente recibe el frame PADS, conoce la dirección
MAC de los servidores y el Session ID, asigna los recursos y la sesión puede comenzar.

2) Sesión (Session) .- Cuando se completa el estado Discovery, ambas partes conocen el PPPoE Session ID y
la dirección MAC Ethernet de cada uno, con lo cual juntos definen la sesión PPPoE. Los frames PPPoE son
encapsulados en frames de sesión PPPoE, los mismos que tienen un tipo de frame Ethernet 0x8864
Cuando el Server envía la confirmación y el Cliente la recibe, se inicia el estado de Sesión PPP que consiste de
los siguientes pasos:
a. Negociación LCP
b. Autenticación
c. Negociación IPCP, donde se le asigna una dirección IP al Cliente
El Server PPPoE envía paquetes Echo-Request al Cliente para determinar el estado de la sesión, de otra forma
el Server no podrá determinar que la sesión está terminada en los casos en que el Cliente termina la sesión sin
enviar el paquete Terminate-Request
Tipos de paquetes utilizados
PADI – PPPoE Active Discovery Initialization
El Cliente PPPoE envía un paquete PADI a la dirección broadcast. Este paquete también puede poblar el campo
service-name si un nombre de servicio ha sido ingresado en las propiedades de networking dial-up del cliente
PPPoE. Si no se ha ingresado un service-name, este campo nos será poblado
PADO – PPPoE Active Discovery Offer
El Server PPPoE (Concentrador de Acceso) debe responder al PADI con un PADO si el Concentrador de Acceso
está habilitado para servir el campo service-name que ha sido listada en el paquete PADI. Si ningún campo
service-name ha sido listado, el Concentrador de Acceso responderá con un paquete PADO que tiene el campo
service-name poblado con los nombres de servicio que el Concentrador de Acceso puede servir. El paquete
PADO se envía a la dirección unicast del cliente PPPoE
PADR – PPPoE Active Discovery Request
Cuando se recibe un paquete PADO, el Cliente PPPoE responde con un paquete PADR. Este paquete se envía a
la dirección unicast del Concentrador de Acceso. El cliente puede recibir múltiples paquetes PADO, pero el cliente
responde al primer PADO válido que el cliente recibió. Si el paquete inicial PADI tiene un campo service-name
en blanco, el cliente puebla el campo service-name del paquete PADR con el nombre del primer servicio que
retorna en el paquete PADO.

Academy Xperts 98
RouterOS v6.34.3.01 – Capítulo 8 – Túneles

PADS – PPPoE Active Discovery Session confirmation


Cuando se recibe el PADR, el Concentrador de Acceso genera una identificación de sesión única (ID) para la sesión
PPP y regresa este ID al Cliente PPPoE en el paquete PADS. Este paquete es enviado a la dirección unicast del
Cliente.
PADT – PPPoE Active Discovery Terminate
Puede ser enviado en cualquier momento después de que se establece una sesión para indicar una sesión PPPoE
terminada. Puede ser enviada por el Server como por el Cliente.
MTU
Típicamente el frame Ethernet más grande que se puede transmitir sin fragmentación es 1500 bytes. El protocolo PPPoE
agrega 6 bytes de overhead y el campo PPP agrega 2 bytes más, dejando 1492 bytes para el datagrama IP. Por lo tanto los
valores máximos de MTU y MRU para PPPoE no deben ser mayores a 1492.
Las pilas TCP tratan de evitar la fragmentación, por lo que usan un MSS (Maximum Segment Size). Por default el MSS es
elegido como el MTU de la interface saliente menos el tamaño usual de las cabeceras IP y TCP (40 bytes), lo cual resulta
en 1460 bytes para una interface Ethernet. Desafortunadamente puede haber enlaces intermedios con un MTU más bajo el
cual puede ocasionar fragmentación. En tal caso, la pila TCP ejecuta un path MTU discovery. Los routers que no pueden
pasar el datagrama sin fragmentación se supone que abandonarán/rechazarán (drop) el paquete y enviarán un mensaje
ICMP-Fragmentation-Required al host origen. Cuando el host recibe este paquete ICMP, intenta disminuir el MTU. Esto
debería funcionar en un esquema ideal, sin embargo en el mundo real muchos routers no generan los datagramas
fragmentation-requiered, y también muchos firewalls abandonan/rechazan (drop) todos los datagramas ICMP.
La solución para este problema es ajustar el MSS si es que es demasiado grande. Por default el RouterOS agrega reglas de
mangle para interceptar los paquetes TCP SYN y silenciosamente ajusta cualquier opción MSS anunciando la que será
apropiada para el enlace PPPoE.
pppoe client (Cliente PPPoE)
Propiedades
• ac-name (string; Default: "") .- Nombre del Concentrador de Acceso. Este campo puede ser dejado en blanco y el
cliente se conectará a cualquier Concentrador de Acceso en el dominio de broadcast.
• add-default-route (yes|no; Default: no) .- Habilita/Deshabilita si es que se agregará automáticamente la ruta
por default.
• allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de
autenticación permitidos. Por default todos los métodos están permitidos.
• default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por
default creada automáticamete, si es que también se ha seleccionado add-default-route
• dial-on-demand (yes | no; Default: no) .- Se conecta al Concentrador de Acceso únicamente cuando se genera
tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red
10.112.112.0/24 será agregada mientras la conexión no está establecida
• interface (string; Default: ) .- Nombre de la interface en la cual correrá el cliente
• keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos
• max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit).
• max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit
• mrru (disabled | integer 512..65535; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el
enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el
tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel
• name (string; Default: ) .- Nombre de la interface PPPoE. Se genera automáticamente por el RouterOS si es que no
se especifica.
• password (string; Default: "") .- Contraseña (password) usado para la autenticación
• profile (name; Default: default-encryption) .- Especifica el perfil por default para la conexión definida en /ppp
profiles
• service-name (string; Default: "") .- Especifica el nombre de servicio configurado en el Concentrador de Acceso.
Puede ser dejado en blanco para conectarse a cualquier Server PPPoE
• use-peer-dns (yes|no; Default: no) .- Habilita/Deshabilita la obtención de las configuraciones DNS desde su peer
• user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPPoE service-name
• El service-name puede ser visto como el SSID de 802.11, lo que significa que es el nombre de red que el cliente
este buscando.
• A diferencia del SSID, si el cliente no especifica uno, el concentrador de acceso (servidor PPPoE) enviara todos los
service-names que administre. El cliente responderá al primero que llegue.
Status
El comando /interface pppoe-client monitor mostrará el estatus PPPoE actual
Propiedades

Academy Xperts 99
RouterOS v6.34.3.01 – Capítulo 8 – Túneles

• ac-mac (MAC address) .- La dirección MAC del Concentrador de Acceso al que el Cliente está conectado
• ac-name (string) .- Nombre del Concentrador de Acceso
• active-links (integer) .- Número de las conexiones MLPPP unidas (‘1’ si no se está usando MLPPP)
• encoding (string) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado en esta
conexión.
• local-address (IP Address) .- Dirección IP asignada al cliente
• remote-address (IP Address) .- Dirección IP remota asignada al Server (por ejemplo la dirección del Gateway)
• mru (integer) .- MRU efectivo del enlace
• mtu (integer) .- MTU efectivo del enlace
• service-name (string) .- Nombre del servicio utilizado
• status (string) .- Estatus actual del enlace. Los valores disponibles son:
• dialing (marcando)
• verifying password... (verificando contraseña)
• connected (conectado)
• disconnected (desconectado)
• uptime (time) .- Tiempo de conexión mostrado en días, horas, minutos y segundos.
Scanner
A partir de la v3.21 RouterOS agregó la herramienta PPPoE Scanner. Esta herramienta permite escanear todos los
servidores PPPoE activos en el dominio de broadcast.
/interface pppoe-client scan <interface>
Propiedades
• service (string) .- Nombre del servicio configurado en el Server
• mac-address (MAC) .- Dirección MAC del Server detectado
• ac-name (string) .- Nombre del Concentrador de Acceso
Notas importantes
En Windows, algunas instrucciones de conexión pueden usar la forma donde el phone number, por ejemplo
MikroTik_AC\mt1, se especifica para indicar que MikroTik_AC es el nombre del Concentrador de Acceso (AC), y mt1
es el nombre del servicio.
La especificación del MRRU significa que se habilita MP (Multilink PPP) sobre un enlace simple. Este protocolo se utiliza
para dividir los paquetes grandes en paquetes más pequeños. En Windows esto se puede habilitar en la pestaña Networking,
botón Configuración, opción “Negociar multi-link para conexiones de enlace simple”. El MRRU en Windows está codificado
en 1614. Esta configuración es útil para resolver fallas de PathMTU Discovery. La configuración MP debe estar habilitada
en ambas partes.
Configuración del Server PPPoE (Concentrador de Acceso)
/interface pppoe-server server
El Server PPPoE (Concentrador de Acceso) soporta múltiples servers para cada interface, con diferentes nombres de servicio
(service-name). El Throughput del Server PPPoE ha sido probado a 160 Mbps en un CPU Celeron 600. El uso de CPUs de
mayor velocidad debería incrementar proporcionalmente el Throughput.
El nombre del Concentrador de Acceso y el nombre del servicio PPPoE son usados por los clientes para identificar el
concentrador de acceso al cual se quieren registrar. El nombre del concentrador de acceso es el mismo que la identidad del
router que se muestra antes del command prompt. La identidad se puede configurar en /system identity
Es importante recordar que si no se especifica un nombre de servicio en Windows XP, únicamente usará un servicio sin
nombre. Por lo tanto si se desea atender clientes Windows XP, se debe dejar el nombre de servicio vacío.
Propiedades
• authentication ( mschap2 | mschap1 | chap | pap; Default: "mschap2, mschap1, chap, pap") .- Algoritmo de
autenticación.
• default-profile (string; Default: "default") .- Perfil de usuario por default que se va a utilizar
• interface (string; Default: "") .- Interface a la que los clientes se conectan
• keepalive-timeout (time; Default: "10") .- Define el período de tiempo (en segundos) después del cual el router
inicia el envío de paquetes keepalive cada segundo. Si es que no existe tráfico y no arriban respuestas
keepalive en ese período de tiempo (por ejemplo, 2*keepalive-timeout), el cliente que no responde se
proclama como desconectado.
• max-mru (integer; Default: "1480") .- Maximum Receive Unit. El valor óptimo es el MTU de la interface en la que el
túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe configurar
el MTU en 1480 para evitar la fragmentación de paquetes.
• max-mtu (integer; Default: "1480") .- Maximum Transmission Unit. El valor óptimo es el MTU de la interface en la
que el túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe
configurar el MTU en 1480 para evitar la fragmentación de paquetes.

Academy Xperts 100


RouterOS v6.34.3.01 – Capítulo 8 – Túneles

• max-sessions (integer; Default: "0") .- Número máximo de clientes que el Concentrador de Acceso puede atender.
0 (cero) significa que no hay limitantes.
• mrru (integer: 512..65535 | disabled; Default: "disabled") .- Tamaño máximo del paquete que puede ser recibido en
el enlace. Si un paquete es más grande que el túnel MTU, será divido en múltiples paquetes, permitiendo el tamaño
completo de los paquetes IP o Ethernet que serán enviados a través del túnel.
• one-session-per-host (yes | no; Default: "no") .- Se permite únicamente una sesión por host (determinado por
la dirección MAC). Si un host intenta establecer una nueva sesión, la anterior será cerrada.
• service-name (string; Default: "") .- El nombre de servicio PPPoE. El servidor aceptará clientes a los cuales envía
el mensaje PADI con service-names que concuerden con esta configuración o si el campo de service-name
en el mensaje PADI no está configurado.
Notas importantes
El valor por default de 10 segundos del parámetro keepalive-timeout es adecuado en la mayoría de los casos. Si se
configura este parámetro como 0 (cero), el router no desconectará a los clientes hasta que ellos explícitamente hagan log-
out o hasta que el router reinicie. Para resolver este problema, se puede utilizar la propiedad one-session-per-host.
Como punto importante de seguridad recuerde que no debe asignar una dirección IP a la interface en la cual se recibirán los
requerimientos PPPoE.
La especificación del MRRU significa que se habilita MP (Multilink PPP) sobre un enlace simple. Este protocolo se utiliza
para dividir los paquetes grandes en paquetes más pequeños. En Windows esto se puede habilitar en la pestaña Networking,
botón Configuración, opción “Negociar multi-link para conexiones de enlace simple”. El MRRU en Windows está codificado
en 1614. Esta configuración es útil para resolver fallas de PathMTU Discovery. La configuración MP debe estar habilitada
en ambas partes.
PPPoE Server (Servidor PPPoE)
/interface pppoe-server
Una interface se crea por cada túnel establecido al servidor dado. Las interfaces estáticas se agregan administrativamente
si es que existe la necesidad de referenciar el nombre de la interface en particular (en reglas en firewall u otro lugar) creada
para el usuario en particular.
Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP Server
• Las interfaces estáticas se agregan administrativamente si es que existe una necesidad para referenciar el nombre
de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario en
particular.
• Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su
nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada
ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre. Si
existe problema se debe configurar el valor one-session-per-host.
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por
lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así
que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario
es seguro usar la configuración dinámica. Es importante notar que en ambos casos los usuarios PPP deben ser configurados
apropiadamente. Las entradas estáticas no reemplazan la configuración PPP.
Propiedades
• encoding (read-only: text) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado
en esta conexión.
• mru (integer) .- MRU del cliente
• mtu (integer) .- MTU del cliente
• name (name) .- Nombre de la interface
• remote-address (read only: MAC address) .- Dirección MAC del cliente conectado
• service (string) .- Nombre del servicio al que el usuario está conectado
• uptime (time) .- Tiempo que el cliente ha estado conectado
• user (name) .- Nombre del usuario conectado (debe estar presente en la base de datos de usuario)
Creando un PPPoE server
• Un PPPoE server es el dispositivo que ofrece el servicio de tunelización
• Permite a los clientes obtener un servicio de VPN seguro a la capa 3 a través de la infraestructura de la capa 2.
• Usted no puede llegar a un servidor PPPoE a través de routers. Ya que es un protocolo de capa 2, el servidor solo
se puede llegar a través del mismo dominio de difusión Ethernet a la que los clientes pertenecen.
• Antes de crear el servidor, creamos los parámetros de configuración que usted requiere tales como:
o IP Pool
o PPP profiles
• PPP secrets Crear la interfaz de servidor de la interfaz física frente a los clientes Ejemplo:

/ip pool

Academy Xperts 101


RouterOS v6.34.3.01 – Capítulo 8 – Túneles

add name=Pool-PC ranges=192.168.5.50-192.168.5.99, 192.168.5.150-192.168.5.199


add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
/ppp profile
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1\
name=Profile-internal remote-address=Pool-VPN use-compression=yes\
use-encryption=yes use-vj-compression=no
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
/interface pppoe-server server
add authentication=mschap2 default-profile=Profile-external disabled=no \
interface=ether1 mrru=1600 service-name=PPPoE-external
add authentication=mschap2 default-profile=Profile-internal disabled=no \
interface=ether5 mrru=1600 service-name=PPPoE-internal
Tip: Usted puede dejar un puerto Ethernet sin un puerto maestro, un bridge o una dirección IP y el cliente que está conectado
a este puerto pueden conseguir todavía el acceso a Internet si el servidor PPPoE (y el cliente PPPoE) está configurado
correctamente.
Direcciones Point-to-Point
• Direcciones desde /ppp secret tienen prioridad sobre /ppp profile, y ellos tienen prioridad sobre /ip pool.
• Tanto las direcciones locales y remotas pueden ser únicas o de un Pool
• Direcciones estáticas o direcciones por medio de DHCP no se deben utilizar en interfaces de clientes PPPoE.
Creando Clientes PPPoE en un RouterOS
• Si desea utilizar un perfil diferente que el de por defecto, crearlo primero.
• Crear la interfaz de cliente en la interfaz de cara al ISP
• Ya está!
Ejemplo
/ppp profile
add change-tcp-mss=yes name=Profile-external use-compression=yes \
use-encryption=yes use-vj-compression=no
/interface pppoe-client
add ac-name=" " add-default-route=yes allow=mschap2 default-route-distance=1\
dial-on-demand=no disabled=no interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480
mrru=disabled name=Client-PPPoE password=pod4-123 profile=Profile-external service-name=" " use-
peer-dns=no user=Pod4-external
Habilite la interfaz del cliente.
Tip
El router no tendría que ser configurado con un cliente DHCP en la interfaz WAN y esto aún funcionará si el servidor PPPoE
está en la misma infraestructura de capa 2 como puerto WAN.

PPTP
PPTP es un túnel seguro para transportar tráfico IP usando PPP. PPTP encapsula PPP en líneas virtuales que corren sobre
IP. PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados.
El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP. Los clientes
PPTP están disponibles en casi todos los sistemas operativos, incluso en Windows.
RouterOS soporta Multilink PPP (también conocido como MP, MLPPP, MPPP, MLP, o Multilink) con lo cual se provee un
método para esparcir el tráfico a través de múltiples conexiones PPP distintas. En una simple línea PPP los frames no
pueden arribar fuera de orden, pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP.
Por este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. MP es un
ejemplo de tecnología de agregación de enlace.
MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP.
• MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño.
o MRRU = Maximum Received Reconstructed Unit
o El MRRU es similar al MTU (Maximum Transmission Unit), pero solo se aplica a los paquetes Multilink.
o El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar.
o Por default el MRRU es 1500 bytes, pero se puede configurar un diferente de MRRU si el equipo con el
que va a conversar permite/acepta ese nuevo valor.
• La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar
frames Ethernet a través de enlaces PPP.

Academy Xperts 102


RouterOS v6.34.3.01 – Capítulo 8 – Túneles

De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. Para esto se necesita que el Bridge
tenga una dirección MAC o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC.
PPTP incluye contabilización (accounting) y autenticación (authentication) PPP para cada conexión PPTP.
La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local
RouterOS soporta los tipos de encriptación
• MPPE 40bit RC4
• MPPE 128bit RC4
El tráfico PPTP utiliza
• TCP puerto 1723
• IP protocol GRE
o GRE = Generic Routing Encapsulation
o GRE = IP protocol ID 47
PPTP puede ser usado con la mayoría de firewalls y routers habilitando TCP 1723 y GRE (protocolo 47). De esta manera el
tráfico puede ser ruteado a través del firewall o router.
Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura a través de
una conexión enmascarada (NATeada).
PPTP es un protocolo de túnel que utiliza la información y direccionamiento del enrutamiento IP, para ligar a los clientes a
los servidores PPTP.
• La definición del servidor PPTP es casi lo mismo que para PPPoE, excepto que ninguna interfaz tiene que ser
especificada.
• El cliente se define casi de la misma manera como un cliente PPPoE, excepto que una dirección IP tiene que ser
especificada para el servidor.
Consejo: Se debe desbloquear el puerto 1723 en el firewall del router (el servidor PPTP) para que pueda llegar con su túnel.
Es un túnel seguro para el transporte de trafico IP mediante PPP. La encapsulación de PPTP en líneas virtuales que corren
sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point-to-Point Encryption) para hacer enlaces cifrados.
El objetivo de este protocolo es hacer conexiones seguras bien administradas entre los routers, así como entre los router
clientes PPTP. Clientes están disponibles para y/o incluido en casi todos los sistemas operativos incluyendo Windows).
Se crea una interfaz para cada túnel establecido con el servidor dado. Hay dos tipos de interfaces en la configuración de
PPTP.
• Las interfaces estáticas se añaden administrativamente si hay una necesidad de hacer referencia al nombre de la
interfaz en particular (en las reglas de firewall) creados por el usuario en particular.
• Las interfaces dinámicas se añaden a esta lista de forma automática cada vez que se conecta un usuario y su
nombre de usuario no coincide con ninguna entrada estática existente.
Interfaces dinámicas aparecen cuando un usuario se conecta y desaparecen una vez que el usuario se desconecta, por lo
que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en el servidor de
seguridad), así que si necesitas reglas persistentes para ese usuario, crear una entrada estática para el usuario, de lo
contrario es seguro usar configuración dinámica.
El siguiente ejemplo muestra como conectar un ordenar a un red de oficina remota a través de una túnel PPTP encriptado,
dando ese equipo una dirección IP de la misma red que la oficina remota tiene (sin necesidad de tender un bridge sobre
túneles EoIP)

El router de la oficina está conectado a internet a través de ether1. Las estaciones de trabajo están conectados a ether2.
Las portátiles están conectadas a internet, y puede alcanzar IP publica del router de la oficina (en nuestro ejemplo es
192.168.80.1)

Academy Xperts 103


RouterOS v6.34.3.01 – Capítulo 8 – Túneles

Primer paso es crear un usuario


/ppp secret add name=Laptop service=pptp password=123 local-address=10.1.101.1\
remote-address=10.1.101.100
/ppp secret print detail
Flags: X – disabled
0 name=”Laptop” service=pptp caller-id=” ” password=”123” profile=default
local-address=10.1.101.1 remote-address=10.1.101.100 routes==” “
Observe que la dirección local PPTP es la misma que la dirección del router en la interfaz local y la dirección remota es del
mismo rango que la red local (10.1.101.0/24). El siguiente paso es habilitar el servidor PPTP y el cliente PPTP en la
computadora portátil.
/interface pptp-server server set enabled=yes
/interface pptp-server server print
Enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
default-profiles: default
El cliente PPTP de la computadora portátil debe conectarse a routers IP publica que en nuestro ejemplo es 192.168.80.1
(consulte el manual respectivo sobre como configurar un cliente PPTP con el software del sistema operativo que esté
utilizando).
En este punto (cuando el cliente PPTP está conectado con éxito) si intenta hacer ping a cualquier estación de trabajo que
forma parte de la red del ordenador portátil, el ping será el tiempo de espera debido a que el ordenador portátil está en
condiciones de obtener aplicaciones de estaciones de trabajo. La solución es la creación de proxy arp en la interfaz local.
/interface ethernet set Office arp=proxy-arp
/interface ethernet print
Flags: X – disabled, R – running
# Name MTU MAC-ADDRESS ARP
0 R ether1 1500 00:30:4F:0B:7B:C1 enabled
1 R ether2 1500 00:30:4F:06:62:12 proxy-arp
Luego que el proxy-arp este activado, el cliente remoto puede alcanzar con éxito todas las estaciones de trabajo en la red
local detrás del router.
PPTP Client (cliente pptp)
• add-default-route (yes | no; Default: no) .- Especifica si es que se agrega una dirección remota PPTP como
una ruta por default
• allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de
autenticación permitidos
• connect-to (IP; Default: ) .- Dirección remota del servidor PPTP
• default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por
default creada automáticamete, si es que también se ha seleccionado add-default-route
• dial-on-demand (yes | no; Default: no) .- Se conecta al servidor PPTP únicamente cuando se genera tráfico de
salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24
será agregada mientras la conexión no está establecida
• disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está deshabilitada.
• keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos
• max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes
• max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño
máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes
• mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel
• name (string; Default: ) .- Nombre descriptivo de la interface
• password (string; Default: "") .- Contraseña (password) usado para la autenticación
• profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa
• user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPTP Server (servidor pptp)
Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP Server
• Las interfaces estáticas son administrativamente agregadas si es que existe una necesidad para referenciar el
nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario
en particular.

Academy Xperts 104


RouterOS v6.34.3.01 – Capítulo 8 – Túneles

• Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su
nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada
ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre)
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por
lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así
que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario
es seguro usar la configuración dinámica.
Nota Importante
En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la
configuración PPP
Parámetros
• authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2) .- Especifica los métodos de
autenticación que el servidor aceptará
• default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará
• enabled (yes | no; Default: no) .- Define si es que el servidor PPTP está habilitado o no
• keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive no recibe ningún paquete,
se enviará paquetes keepalive cada segundo por cinco veces. Si el server no recibe respuesta del cliente, entonces
se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los mensajes “LCP missed
echo reply” y luego se desconectará.
• max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes
• max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño
máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes
• mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel

L2TP
L2TP es un protocolo de túnel seguro para transportar tráfico IP usando PPP.
L2TP encapsula PPP en líneas virtuales que corren sobre IP, frame Relay y otros protocolos (que no son soportados
actualmente por MikroTik RouterOS)
L2TP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. El propósito de este
protocolo es permitir que los extremos PPP y Capa 2 residan en diferentes dispositivos interconectados por una red
conmutada de paquetes (packet-switched network)
Con L2TP, un usuario tiene una conexión en Capa 2 a un concentrador de acceso – LAC (ejemplo: manco de módems,
ADSL DSLAM, etc.), y el concentrador entonces hace túneles de frames PPP individuales al Servidor de Acceso de Red
(NAS = Network Access Server). Esto permite que el procesamiento real de paquetes PPP sea separado de la terminación
del circuito de Capa 2. Desde la perspectiva del usuario, no existe diferencia funcional entre tener que el circuito en Capa 2
termine en un NAS directamente o usando L2TP.
Puede ser útil usar L2TP únicamente como cualquier otro protocolo de túnel con o sin encriptación. El estándar L2TP
establece que la forma más segura de encriptar datos es usar L2TP sobre IPsec (este es el modo por default para cliente
Microsoft L2TP) ya que todos los paquetes de control y datos de L2TP de un túnel aparecen como paquetes de datos UDP/IP
homogéneos para el sistema IPsec.
Se soporta Multilink PPP (MP) para poder proveer MRRU (la habilidad para transmitir paquetes de 1500 y más grandes) y
Bridging sobre enlaces PPP (usando BCP=Bridge Control Protocol, el cual permite enviar frames Ethernet sobre enlaces
PPP). De esta forma es posible configurar Bridging sin EoIP. El bridge debería tener ya sea una dirección MAC administrativa
o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC.
L2TP incluye autenticación (authentication) y contabilización (accounting) PPP para cada conexión L2TP. Una completa
autenticación y contabilización de cada conexión puede ser realizada a través de un cliente RADIUS o localmente.
Métodos de encriptación soportados
• MPPE 40bit RC4
• MPPE 128bit RC4
El protocolo L2TP utiliza el protocolo UDP para los paquetes de control y de datos. El puerto UDP 1701 se utiliza únicamente
para establecer el enlace, el tráfico adicional puede utilizar cualquier puerto UDP (que puede o no ser el 1701). Esto significa
que L2TP puede ser usado con la mayoría de firewalls y routers (incluso con NAT) tan solo habilitando que el tráfico UDP
sea ruteado a través del firewall o del router.
L2TP Client (cliente l2tp)
• add-default-route (yes | no; Default: no) .- Especifica si es que se agrega una dirección remota L2TP como
una ruta por default

Academy Xperts 105


RouterOS v6.34.3.01 – Capítulo 8 – Túneles

• allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de
autenticación permitidos
• connect-to (IP; Default: ) .- Dirección remota del servidor L2TP
• coment (string; Default: ) .- Breve descripción del túnel
• default-route-distance (byte; Default:) .- Desde la v6.2 se configura el valor de distancia aplicado para la
ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route
• dial-on-demand (yes | no; Default: no) .- Se conecta únicamente cuando se genera tráfico de salida. Si esta
opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será agregada
mientras la conexión no está establecida
• disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está deshabilitada.
• keepalive-timeout (integer [1..4294967295]; Default: 60s) .- Desde l av6.0rc13, el keepalive timeout en
segundos
• max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes
• max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño
máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes
• mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel
• name (string; Default: ) .- Nombre descriptivo de la interface
• password (string; Default: "") .- Contraseña (password) usado para la autenticación
• profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa
• user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
L2TP Server (servidor l2tp)
Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración L2TP Server
• Las interfaces estáticas son agregadas administrativamente si es que existe una necesidad para referenciar el
nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un usuario
en particular.
• Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su
nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada
ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre)
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por
lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así
que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo contrario
es seguro usar la configuración dinámica.
Nota Importante
En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la
configuración PPP
Parámetros
• authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2) .- Especifica los métodos de
autenticación que el servidor aceptará
• default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará
• enabled (yes | no; Default: no) .- Define si es que el servidor L2TP está habilitado o no
• keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive-timeout no recibe
ningún paquete, se enviará paquetes keepalive cada segundo, por cinco veces. Si el server no recibe respuesta del
cliente, entonces se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los
mensajes “LCP missed echo reply” y luego se desconectará. Este parámetro está disponible a partir de las versiones
v5.22 y v6rc3
• max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes
• max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit). Tamaño
máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes
• mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel

Clientes y servidores SSTP


VPN SSTP es un tipo de VPN de acceso remoto que permite una conexión VPN por SSL de HTTPS, o lo que es lo mismo
encapsula trafico PPP sobre un canal SSL. Esto le permite atravesar Firewalls donde las conexiones VPN por PPTP o L2TP
estén prohibidas. SSTP utilizara el puerto 443 para atravesar los firewalls y a través de SSL tenemos cifrado, autenticación
y negociación de claves.

Academy Xperts 106


RouterOS v6.34.3.01 – Capítulo 8 – Túneles

• Definición del servidor SSTP es casi lo mismo que para PPTP, salvo que se especifique un puerto TCP para
conectarse (443 por defecto).
• Se usa con certificados digitales para crear Túneles sobre internet.
• El cliente se define casi la misma forma que un cliente PPTP, salvo que se especifique un puerto TCP a utilizar para
establecer una conexión (443 por defecto).
• Consejo: Debe permitir el puerto 443 para que su túnel pueda llegar sin problemas. Además, dejar el puerto en 443
para asegurarlo con SSL y poderlo utilizar para sus comunicaciones.

Configuración en línea de comando:


/interface sstp-server server
set authentication=mschap2 enabled=yes

/interface sstp-client
add add-default-route=no authentication=mschap2 certificate=none connect-to=\
192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \
keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \
password=pod4-123 profile=Profile-external user=Pod4-external \
verify-server-address-from-certificate=no verify-server-certificate=n

Clientes y Servidores OpenVPN


Es una solución de conectividad basada en software libre: SSL (Secure Sockets Layer) VPN Virtual Private Network (red
virtual privada), OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados
remotamente.
• Sigue el mismo patrón de configuraciones anteriores, similar a SSTP.
• Con la única diferencia, que con esta herramienta (OPVN) nos permites crear nuestros propios certificados digitales
públicos, para poder usarlos, sin tener que pagar por ellos.
• Una muy buena herramienta a la hora de pensar en el factor COSTO.

Configuración de Rutas entre redes


Es necesaria la configuración de rutas estáticas para que exista comunicación, tomar en cuenta:
• Una vez que el túnel está configurado y operativo, usted necesita rutas para mover los paquetes de un lado a otro.
• La primera forma, es usar la ruta que se crea automáticamente en el router del cliente para ese túnel.
/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.0.254 0
1 ADC 192.168.0.0/24 192.168.0.5 ether1 0
2 ADC 192.168.5.0/24 192.168.5.1 Bridge-PC 0
3 ADC 192.168.5.101/32 192.168.5.1 <pptp-ejemplo> 0
• La segunda opción es especificar una o múltiples rutas con PPP secret para cada cliente:
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external \ routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal

/ppp secret print

Academy Xperts 107


RouterOS v6.34.3.01 – Capítulo 8 – Túneles

Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 Pod4-external any pod4-123 Profile-external
1 alain any alain!! Profile-internal

/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24

/ppp secret export


add name=Pod4-external password=pod4-123 profile=Profile-external \
routes=192.168.4.0/24,10.10.2.0/24
add name=alain password=alain!! profile=Profile-internal

• La tercera forma es agregar rutas estáticas a una o varias redes a través de un túnel.
• Este método es útil si ambos routers tienen su propia ruta por defecto, pero implica más mantenimiento y
parámetros.

/ip route
add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24 \ gateway=192.168.254.10
add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21 \ gateway=192.168.254.10

Preguntas de repaso del Capítulo 8


1. Qué protocolos pueden ser tunelizados?

2. Qué es el SECRET y qué es el PROFILE?

3. Cuál es la principal característica del túnel PPPoE?

4. Cuál es el puerto y el protocolo que se debe tener en cuenta para habilitar una regla en Firewall para permitir túneles
PPTP?

Laboratorio – Capítulo 8

Academy Xperts 108


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Capítulo 9: Herramientas RouterOS


E-mail
Es una herramienta que te permite enviar un mail desde el router. Se puede utilizar, junto con otras herramientas, para enviar
copias de seguridad de configuración regulares y exportar al administrador de red.
La herramiena E-mail utiliza únicamente autenticación plana y encriptación TLS. No se soportan otros métodos.

Por medio de línea de comando lo podemos ver como:


/tool e-mail print
Address: 0.0.0.0
Port: 25
Start-tls: no
From: <>
User:
Password:
Propiedades
/tool e-mail
Este sub menú permite configurar el servidor SMTP que se utilizará
• from (string; Default: <>) – Nombre o dirección email que se mostrará coom receptor
• password (string; Default: "") – Contraseña que se utiliza para autenticar al servidor SMTP
• address (IP/IPv6 address; Default: 0.0.0.0) – Dirección IP del servidor SMTP
• port (integer[0..65535]; Default: 25) – Puerto del servidor SMTP
• username (string; Default: "") – Nombre de usuario (username) utilizado para autenticar en el servidor SMTP
Importante: Si se especifican las configuraciones del server, las mismas pueden ser reemplazadas cuando se utilice el
comando send.
Send Email
/tool e-mail send

Este sub menú permite configurar el servidor SMTP que se utilizará


• body (string; Default: ) – Cuerpo (contenido) del mensaje de correo
• cc (string; Default: ) – Permite especificar las direcciones de correo a las que se hará una copia del mail
• file (string; Default: ) – Nombre del archivo que se adjuntará al mail. Únicamente se puede adjuntar un archivo

Academy Xperts 109


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

• from (string; Default: ) – Nombre o dirección de correo que aparecerá como remitente. Si no se especifica este
parámetro entonces se utilizará el valor de la configuración del server
• password (string; Default: ) – Contraseña que se utilizará para autenticar al servidor SMTP. Si no se especifica este
parámetro entonces se utilizará el valor de la configuración del server
• port (integer[0..65535]; Default: ) – Puerto del servidor SMTP. Si no se especifica este parámetro entonces se
utilizará el valor de la configuración del server
• server (IP/IPv6 address; Default: ) – Dirección IP o IPv6 del servidor SMTP. Si no se especifica este parámetro
entonces se utilizará el valor de la configuración del server
• subject (string; Default: ) – Asunto del mensaje
• tls (yes|no; Default: yes) – Permite especificar si se utiliza encriptación TLS o no
• to (string; Default: ) – Dirección de correo de destino
• user (string; Default: ) – Nombre usuario (username) que se utiliza para autenticar al servidor SMTP. Si no se
especifica este parámetro entonces se utilizará el valor de la configuración del server
Ejemplo básico #1
El siguiente ejemplo muestra cómo enviar un mail con el export de la configuración cada 24 horas
1. Configurar el servidor SMTP
/tool e-mail> set server=10.1.1.1 port=25 from="router@mydomain.com"
2. Agregar un nuevo script llamado “export-send”
/export file=export
/tool e-mail send to="config@mydomain.com" subject="$[/system identity get name] export) \
body="$[/system clock get date] configuration file" file=export.rsc
3. Agregar un scheduler para ejecutar el script
/system scheduler
add on-event="export-send" start-time=00:00:00 interval=24h

Ejemplo básico #2
Enviar un email al servidor usando encriptación TLS/SSL. Por ejemplo, el mail de Google requiere esta configuración:
1. Configurar el cliente para conectarse al server correcto
/tool e-mail
set address=173.194.77.108
set port=587
set from=myuser@gmail.com
set user=myuser
set password=mypassword
2. Enviar el email usando el comando send con el parámetro tls=yes
send to=myuser@anotherdomain.com subject="email test" body="email test" tls=yes

Netwatch
Netwatch monitorea el estado de los host de la red. Lo hace mediante el envío de pings ICMP a la lista de direcciones IP
especificadas.
La principal ventaja de netwatch es su capacidad arbitraria de emitir comandos ante los cambios de estado del host que
monitorea.
Importante: netwatch ejecuta los scripts como un usuario *sys, por lo que cualquier variable global que se defina en este
script de netwatch, no podrá ser leida por el scheduler u otros usuarios.
Para cada entrada se puede especificar
• Dirección IP
• Intervalo del Ping
• Scripts Up / Down
Es muy útil para:
• Ser conscientes de los fallos de red
• Automatizar un cambio de puerta de enlace predeterminada, por ejemplo, si el router principal falla.
• Solo para tener una vista rápida de lo que está pasando
• Cualquier otra cosa que usted puede llegar a simplificar y acelerar es su trabajo
Propiedades
/tool netwatch
• down-script (string; Default: ) – script de consola que se ejecuta una vez cuando el estado de un host cambia
a down
• host (IP; Default: 0.0.0.0) – Dirección IP de un host que debe ser monitoreado

Academy Xperts 110


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

• interval (time; Default: 1m) – Intervalo de tiempo entre pings. Si se disminuye este valor se hará que los cambios
de estado más sensibles, pero puede crear tráfico innecesario y consumir recursos del sistema.
• timeout (time; Default: 1s) – Tiempo en segundos luego del cual el host se considera caído (down)
• up-script (string; Default: ) – script de consola que se ejecuta una vez cuando el estado de un host cambia a
up

Ejemplo de Netwatch con estatus “UP”

Ejemplo de Netwatch con estatus “DOWN”

Ejemplo básico #1
El siguiente ejemplo ejecutará los scripts gw_1 o gw_2 que cambiará el default gateway dependiendo del estatus de uno de
los gateways:
/system script add name=gw_1 source={/ip route set
{... [/ip route find dst 0.0.0.0] gateway 10.0.0.1}
/system script add name=gw_2 source={/ip route set
{.. [/ip route find dst 0.0.0.0] gateway 10.0.0.217}
/system script tool netwatch add host=10.0.0.217 interval=10s timeout=998ms \
\... up-script=gw_2 down-script=gw_1
/tool netwatch print
Flags: X - disabled
# HOST TIMEOUT INTERVAL STATUS
0 10.0.0.217 997ms 10s up

Academy Xperts 111


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

/tool netwatch print detail


Flags: X - disabled
0 host=10.0.0.217 timeout=997ms interval=10s since=feb/27/2003 14:01:03
status=up up-script=gw_2 down-script=gw_1
Sin los scripts, el netwach se puede utilizar como una herramienta de información para ver cuáles enlaces están operativos
(up), o cuáles hosts específicos están corriendo en ese momento.
En el ejemplo anterior, se cambia la ruta por default si el gateway se vuelve inalcanzable. Para esto hay 2 scripts. El script
“gw_2” se ejecuta una vez cuando el estatus de host cambia a “up”. En este caso, el siguiente es el equivalente a ingresar
el comando por consola:
/ip route set [find dst-address="0.0.0.0/0"] gateway=10.0.0.217
El comando find retorna una lista de todas las rutas cuyo valor de dst-adress es 0.0.0.0/0
Esta es usualmente la ruta por default. Se substituye como primer argumento por el comando /ip route set, el cual
cambia el gateway de esta ruta a 10.0.0.217
El script “gw_1” se ejecuta una vez cuando el estatus del host se vuelve “down”. Hace lo siguiente:
/ip route set [find dst-address="0.0.0.0/0"] gateway=10.0.0.1
Cambia el default gateway si la dirección 10.0.0.217 se vuelve inalcanzable

Ejemplo básico #2
Envía una notificacion email si el host 10.0.0.215 se vuelve down:
/system script add name=e-down source={/tool e-mail send
{... from="support@mt.lv" server="159.148.147.198" body="Router down"
{... subject="Router at second floor is down" to="user@example.com"}
/system script add name=e-up source={/tool e-mail send
{... from="support@mt.lv" server="159.148.147.198" body="Router up"
{.. subject="Router at second floor is up" to="user@example.com"}
/system script tool netwatch add host=10.0.0.215 timeout=999ms \
\... interval=20s up-script=e-up down-script=e-down
/tool netwatch print detail
Flags: X - disabled
0 host=10.0.0.215 timeout=998ms interval=20s since=feb/27/2003 14:15:36
status=up up-script=e-up down-script=e-down

Ping
Es una herramienta de conectividad básica que utiliza mensajes de ICMP Echo para determinar si un host remoto está activo
o inactivo, y también para determinar el retardo de ida y vuelta cuando se comunica con dicho host remoto
La herramienta ping envía un mensaje ICMP (type 8) al host remoto y espera por el mensaje ICMP echo-reply (type 0)
de retorno. El intervalo entre estos eventos se conoce como “round trip”.
Si la respuesta (que se conoce como “pong”) no llega hasta que finaliza el intervalo de tiempo de espera, se asume que el
tiempo se ha agotado (timed-out).
Otro parámetro significativo que se reporta en la herramienta ping es ttl (Time To Live), el cual disminuye en cada máquina
en que el paquete es procesado. El paquete alcanzara su destino únicamente cuando el ttl sea mayor que el número de
routers entre el origen y el destino.
Cabecera (header) ICMP
La cabecera ICMP comienza después de la cabecera IPv4 y se identifica con el número de protocolo IP '1'. Todos los
paquetes ICMP tienen una cabecera de 8 bytes y la sección de datos de tamaño variable. Los primeros 4 bytes de la cabecera
tienen formato fijo, mientras que los últimos 4 bytes dependen del type/code de ese paquete ICMP.
Formato de la cabecera (header) ICMP
Offsets Octet 0 1 2 3
Octet Bit 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
0 0 Type Code Checksum
4 32 Rest of Header

Mensajes de Control ICMP


Type Code Status Description
0 – Echo Reply 0 Echo reply (used to ping)
1 and 2 unassigned Reserved
0 Destination network unreachable
1 Destination host unreachable
3 – Destination Unreachable 2 Destination protocol unreachable
3 Destination port unreachable
4 Fragmentation required, and DF flag set

Academy Xperts 112


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Type Code Status Description


5 Source route failed
6 Destination network unknown
7 Destination host unknown
8 Source host isolated
9 Network administratively prohibited
10 Host administratively prohibited
11 Network unreachable for TOS
12 Host unreachable for TOS
13 Communication administratively prohibited
14 Host Precedence Violation
15 Precedence cutoff in effect
4 – Source Quench 0 deprecated Source quench (congestion control)
0 Redirect Datagram for the Network
1 Redirect Datagram for the Host
5 – Redirect Message
2 Redirect Datagram for the TOS & network
3 Redirect Datagram for the TOS & host
6 deprecated Alternate Host Address
7 unassigned Reserved
8 – Echo Request 0 Echo request (used to ping)
9 – Router Advertisement 0 Router Advertisement
10 – Router Solicitation 0 Router discovery/selection/solicitation
0 TTL expired in transit
11 – Time Exceeded
1 Fragment reassembly time exceeded
0 Pointer indicates the error
12 – Parameter Problem:
1 Missing a required option
Bad IP header
2 Bad length
13 – Timestamp 0 Timestamp
14 – Timestamp Reply 0 Timestamp reply
15 – Information Request 0 deprecated Information Request
16 – Information Reply 0 deprecated Information Reply
17 – Address Mask Request 0 deprecated Address Mask Request
18 – Address Mask Reply 0 deprecated Address Mask Reply
19 reserved Reserved for security
20 through 29 reserved Reserved for robustness experiment
30 – Traceroute 0 deprecated Information Request
31 deprecated Datagram Conversion Error
32 deprecated Mobile Host Redirect
33 deprecated Where-Are-You (originally meant for IPv6)
34 deprecated Here-I-Am (originally meant for IPv6)
35 deprecated Mobile Registration Request
36 deprecated Mobile Registration Reply
37 deprecated Domain Name Request
38 deprecated Domain Name Reply
39 deprecated SKIP Algorithm Discovery Protocol, Simple Key-Management for Internet Protocol
40 Photuris, Security failures
41 experimental ICMP for experimental mobility protocols such as Seamoby [RFC4065]
42 through 252 unassigned Reserved
253 experimental RFC3692-style Experiment 1 (RFC 4727)
254 experimental RFC3692-style Experiment 2 (RFC 4727)
255 reserved Reserved

Propiedades
/ping [address] [properties]
La herramienta ping puede usarse para para hacer ping a direcciones IP y a direcciones MAC.
MAC ping funciona únicamente a dispositivos que tienen configurado el MAC ping server
• arp-ping (yes | no; Default: )
• count (integer [0..4294967295]; Default: 0) – Número total de paquetes a enviar (por default se envía eternamente
hasta que se interrumpe el comando).
• do-not-fragment (; Default: ) – Si la etiqueta do-not-fragment está configurada, los paquetes no serán
fragmentados si el tamaño excede el MTU de la interface.
• interface (string; Default: ) – Especifica cuál interface se debe usar (requerido cuando se ping a direcciones IPv6)
• interval (time [10ms..5s]; Default: 1s) – Especifica cuánto tiempo se debe esperar por la respuesta. Si no se
recibe respuesta dentro de 1,000 mseg, el ping mostrará el mensaje “timed-out”. Si se recibe una respuesta después
de 3 ms, el programa ping esperará el resto de los 997 ms hasta que se envíe el próximo ping.
• routing-table (string; Default: main) – Especifica la tabla de ruteo que se debe usar para resolver el destino. Se
utiliza en configuraciones VRF
• size (integer; Default: 64) – Tamaño del paquete que se va a usar. Se mide en bytes (incluye el payload y la
cabecera IP)
• src-address (IPv4,IPv6; Default: ) – Direcciones IPv4 / IPv6 que serán utilizadas como origen de los paquetes.
Sumamente útil si la respuesta se debe enviar a una dirección específica
• ttl (integer [1..255]; Default: ) – Permite el ajuste del parámetro TTL

Academy Xperts 113


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Importante: Si el DNS está configurado, entonces se puede utilizar en nombre DNS como destino del ping

Como usar un Ping


En la ventana de Terminal del WinBox, lo podemos usar para realizar algún ping
/ping www.mikrotik.com
HOST SIZE TTL TIME STATUS
159.148.147.196 56 50 163ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 160ms
Sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms

Otros Ejemplos de ping


/ping 10.1.101.3
HOST SIZE TTL TIME STATUS
10.1.101.3 56 64 3ms
10.1.101.3 56 64 10ms
10.1.101.3 56 64 7ms
sent=3 received=3 packet-loss=0% min-rtt=3ms avg-rtt=6ms max-rtt=10ms

/ping 10.1.101.9
HOST SIZE TTL TIME STATUS
timeout
timeout
timeout
sent=3 received=0 packet-loss=100%

También se puede hacer ping a una dirección multicast para descubrir todos los hosts que pertenecen al grupo multicast:
/ping ff02::1
HOST SIZE TTL TIME STATUS
fe80::20c:42ff:fe49:fceb 56 64 1ms echo reply
fe80::20c:42ff:fe72:a1b0 56 64 1ms echo reply
fe80::20c:42ff:fe28:7945 56 64 1ms echo reply
fe80::21a:4dff:fe5d:8e56 56 64 3ms echo reply
sent=1 received=4 packet-loss=-300% min-rtt=1ms avg-rtt=1ms max-rtt=3ms

ping de paquetes grandes


/ping 10.1.101.3 size=1600 do-not-fragment
HOST SIZE TTL TIME STATUS
576 64 3ms fragmentation needed and DF set
576 64 6ms fragmentation needed and DF set
sent=2 received=2 packet-loss=0% min-rtt=3ms avg-rtt=4ms max-rtt=6ms

ping por nombre DNS


/ping www.google.lv
HOST SIZE TTL TIME STATUS
74.125.77.99 56 47 59ms
74.125.77.99 56 47 85ms
sent=2 received=2 packet-loss=0% min-rtt=59ms avg-rtt=72ms max-rtt=85ms

ping a dirección MAC

Academy Xperts 114


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

/ping 00:0C:42:72:A1:B0
HOST SIZE TTL TIME STATUS
00:0C:42:72:A1:B0 56 0ms
00:0C:42:72:A1:B0 56 0ms
sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms
MAC ping
/mac-server ping
/tool mac-server ping set enabled=yes

Este sub menú permite habilitar el MAC ping server


Cuando se habilita el MAC ping, otros hosts en el mismo dominio de broadcast pueden usar la herramienta ping para hacer
ping a la dirección MAC.

Traceroute
Traceroute es una herramienta de diagnóstico de red que muestra la ruta (path) y mide el retardo del tránsito de los paquetes
a través de una red IP.
El histórico de la ruta se registra como el tiempo de ida y vuelta (round-trip) de los paquetes recibidos desde cada host
sucesivo (nodo remoto) en la ruta (path). La suma de los tiempos medios en cada salto indica el tiempo total empleado para
establecer la conexión.
Traceroute procede a menos que todos los paquetes (3 paquetes) que se envían, se pierdan más de dos veces, entonces
se pierde la conexión y la ruta ya no puede evaluada. Por otro lado, el ping sólo calcula los tiempos finales de ida y vuelta
desde el punto de destino.
Traceroute envía una secuencia de paquetes UDP (User Datagram Protocol) direccionados al host destino. También puede
usar paquetes ICMP Echo Request, o paquetes TCP SYN.
El valor del TTL se utiliza para determinar los routers intermedios por los cuales se está atravesando hasta llegar al destino.
Los routers disminuyen en uno los valores TTL de los paquetes y descartan los paquetes cuyos valores de TTL son cero.
Cuando un router recibe un paquete con ttl=0, envía de retorno un mensaje de error ICMP que indica ICMP Time Exceeded.
Los valores de fecha y hora de retorno de cada router a lo largo del camino son los valores de la demora (latencia). Este
valor generalmente se mide en milisegundos para cada paquete.

Academy Xperts 115


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

/tool traceroute www.mikrotik.com


# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
100% 3 timeout
216.113.124.190 0% 3 13.9ms 12.2 11.1 13.9 1.2
El emisor espera una respuesta dentro de un número especificado de segundos. Si un paquete no es reconocido dentro del
intervalo esperado, se muestra un asterisco (*). El protocolo IP no requiere que los paquetes tomen la misma ruta hacia un
destino en particular, por lo tanto los hosts que se muestran podría ser hosts que otros paquetes han atravesado. Si el host
en el salto #N no contesta, el salto se omite en la salida.
Más información es: https://en.wikipedia.org/wiki/Traceroute

Profiler (Carga del CPU)


/tools profile

Esta herramienta muestra el uso del CPU para cada proceso que se ejecuta en el RouterOS. Ayuda a identificar cuál proceso
es el que utiliza más recursos de CPU.
/tool profile
NAME USAGE
sstp 9%
ppp 0.5%
ethernet 0%
queue-mgmt 0%
console 0.5%
dns 0%
winbox 0%
logging 0%
management 1.5%
ospf 0%
idle 87.5%
profiling 0.5%
queuing 0%
routing 0%

Academy Xperts 116


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

bridging 0%
unclassified 0.5%
Utilización del CPU en sistemas multi-core
El sistemas multi-core la herramienta permite especificar la utilización por núcleo de CPU.
Por ejemplo, para ver la utilización del CPU en un segundo núcleo se debe utilizar el siguiente comando:
/tool profile cpu=2
NAME CPU USAGE
ethernet 1 0%
kvm 1 2.5%
management 1 0.5%
idle 1 96.5%
profiling 1 0%
unclassified 1 0.5%
El parámetro cpu permite especificar el número entero el cual representa el número de core (núcleo)
• total – Este valor configura la suma del uso de todos los núcleos
• all – Este valor muestra los usos de cpu separadamente para cada núcleo (core) activo
Ejemplo con ambos parámetros en un sistema de dos núcleos:
/tool profile cpu=all
NAME CPU USAGE
ethernet 1 0%
kvm 0 0%
kvm 1 4.5%
management 0 0%
management 1 0.5%
idle 0 100%
idle 1 93%
profiling 0 0%
profiling 1 2%

/tool profile cpu=total


NAME CPU USAGE
ethernet all 0%
console all 0%
kvm all 2.7%
management all 0%
idle all 97.2%
profiling all 0%
bridging all 0%
Clasificadores
Profile clasifica los procesos. La mayoría de ellos se explican por si solos y no requieren una explicación detallada.
• idle – Muestra el tiempo NO usado del CPU. Es decir idle=100% - (suma de todos los procesos de uso de cpu)
• ppp
• pppoe
• ppp-compression
• ppp-mppe
• ethernet – CPU usado por las interfaces ethernet cuando envían/reciben paquetes
• bridging
• encrypting – CPU utilizado por la encriptación de paquetes
• ipsec – IP security
• queuing – packet queuing
• firewall – Procesamiento de los paquetes en /ip firewall
• l7-matcher – CPU utilizado por el matcher Layer7
• p2p-matcher – Tráfico peer-to-peer en /ip firewall
• gre – Túneles GRE
• eoip – Túneles EoIP
• m3p – MikroTik Packet Packer Protocol
• radius
• ip-pool
• routing
• sniffing
• traffic-accounting
• traffic-flow
• console
• telnet
• ssh
• ftp

Academy Xperts 117


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

• tfpt
• www
• dns
• snmp
• socks
• web-proxy
• winbox
• metarouter-fs
• metarouter-net
• kvm
• profiling – CPU utilizado por la propia herramienta profiler
• btest – Herramienta bandwidth test
• logging
• flash – CPU utilizado cuando se escribe a la NAND
• disk – CPU utilizado cuando se escribe en Disk
• networking – Procesamiento de paquetes en el core
• serial
• usb
• firewall-mgmt
• queue-mgmt
• e-mail
• fetcher
• backup
• graphing
• health
• isdn
• dhcp
• hotspot
• radv - IPv6 route advertisement
• ntp - NTP server/client
• ldp
• mpls
• pim - Multicast routing protocol
• igmp-proxy
• bgp
• ospf
• rip
• mme
• synchronous – CPU utilizado por las tarjetas síncronas
• gps
• user-manager
• wireless
• dude
• supout.rif – CPU utilizado por el creador del archivo supout.rif
• management – Procesos de administración de RouterOS que no caen en los otros clasificadores. Por ejemplo,
cuando se agregan rutas al kernel, mensajes internos de intercambio entre aplicaciones RouterOS, etc.
• unclassified – Cualquier otros procesos que no han podido ser clasificados.

Torch
El Torch es una herramienta de monitorización de tráfico en tiempo real que se puede utilizar para monitorear el tráfico a
través de una interfaz.
Se puede monitorear el tráfico clasificado por nombre de protocolo, dirección origen, dirección destino, puerto. La herramienta
torch muestra el protocolo que se ha elegido y la tasa de datos tx/rx de cada uno de ellos.

Academy Xperts 118


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

El siguiente ejemplo monitorea el tráfico generado por el protocolo telnet, el cual pasa a través de la interface ether1:
/tool torch ether1 port=telnet
SRC-PORT DST-PORT TX RX
1439 23 (telnet) 1.7kbps 368bps

Para ver qué protocolos se envían a través de ether1:


/tool torch ether1 protocol=any-ip
PRO.. TX RX
tcp 1.06kbps 608bps
udp 896bps 3.7kbps
icmp 480bps 480bps
ospf 0bps 192bps

Para ver qué protocolos están enlazados al host 10.0.0.144/32 conectado a la interface ether1:
/tool torch ether1 src-address=10.0.0.144/32 protocol=any
PRO.. SRC-ADDRESS TX RX
tcp 10.0.0.144 1.01kbps 608bps
icmp 10.0.0.144 480bps 480bps

Graphing (Gráficos)
Es una herramienta para monitorear en el tiempo varios parámetros RouterOS y pone los datos recogidos en gráficos.
Esta herramienta puede mostrar gráficos de:
• Estado de salud del RouterBOARD (voltaje y temperatura)
• Utilización de recursos (CPU, memoria y utilización de disco)
• Tráfico que pasa através de las interfaces
• Tráfico que pasa através de las colas simples (simple queue)

Graphing consiste de dos partes:


• La primera parte recoge información
• La segunda parte muestra los datos en una página web
Para acceder a los gráficos, debe escribir en el web browser http://[Direccion_IP_Router]/graphs/ y luego elegir el
gráfico que se desea visualizar.

Academy Xperts 119


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

/tool graphing
• store-every (24hours | 5min | hour; Default: 5min) – Cuán frecuente se escriben los datos recolectados al drive
del sistema
• page-refresh (integer | never; Default: 300) – Cuán frecuente se refresca la página de gráficos

Academy Xperts 120


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Interface Graphing
/tool graphing interface
Esta opción permite configurar en cuál interface las gráficas recogerán los datos de uso de ancho de banda.

Propiedades
• allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos
• comment (string; Default: ) – Descripción de la entrada actual
• disabled (yes | no; Default: no) – Define si el ítem es usado
• interface (all | interface name; Default: all) – Define qué interfaces serán monitoreadas. all significa que se van
a monitorear todas las interfaces.
• store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.

Queue Graphing
/tool graphing queue
Esta opción permite configurar en cuál cola simple (simple queue) las gráficas recogerán los datos de uso de ancho de
banda.

Propiedades
• allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos
• allow-target (yes | no; Default: yes) – Define si se permite el acceso a los gráficos desde la dirección objetivo de
la cola
• comment (string; Default: ) – Descripción de la entrada actual
• disabled (yes | no; Default: no) – Define si el ítem es usado
• simple-queue (all | queue name; Default: all) – Define qué colas serán monitoreadas. all significa que se van a
monitorear todas las colas.
• store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Importante: Si la cola simple (simple queue) tiene un target-address=0.0.0.0/0 entonces todos estarán habilitados para
acceder a los gráficos de las colas incluso si la dirección permitida se configura con una dirección específica. Esto ocurre
porque los gráficos de la cola por default son accesibles también desde la dirección objetivo (target address).

Resource Graphing
/tool graphing resource
Esta opción permite habilitar los gráficos de los recursos del sistema.

Graphing recolecta los datos de:

Academy Xperts 121


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

• Uso de CPU
• Uso de Memoria
• Uso de Disco
Propiedades
• allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos
• comment (string; Default: ) – Descripción de la entrada actual
• disabled (yes | no; Default: no) – Define si el ítem es usado
• store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.

Graphics en WinBox
WinBox permite visualizar la misma data r ecolectada como en el web page. Debe abrir la ventana en Tools/Graphing. Luego
debe hacer doble-click de lo que desea ver las gráficas

SNMP
Simple Network Management Protocol (SNMP) es un protocolo de Internet estándar que se utiliza para la gestión de
dispositivos en las redes IP. Puede utilizarse para graficar la información con herramientas como CACTI, MRTG o The Dude.

El soporte para la escritura en SNMP (SNMP write) está únicamente disponible para algunos OIDs. El soporte para write
está disponible en los OIDs de SNMP v1, v2 o v3.
Importante: SNMP responderá a la consulta en la interface SNMP que fue recibia de forzar las respuestas a tener la misma
dirección que el destino de consulta enviado al router.
Importante: A partir de SNMP 6.18 se implementa el OID blacklisting. El tiempo de espera del OID es 30 segundos cuando
está en lista negra por 600 segundos.

Configuración rápida
Para habilitar SNMP en RouterOS usando CLI
/snmp print
enabled: no
contact:
location:
engine-id:
trap-community: (unknown)
trap-version: 1
/snmp set enabled yes

En la configuración previa también se puede especificar la información del contacto administrativo. Toda la data SNMP estará
disponible a las comunidades configuradas en el menú community
Para habilitar SNMP en RouterOS usando WinBox

Academy Xperts 122


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Propiedades generales
/snmp
• contact (string; Default: "") – Información de contacto
• enabled (yes | no; Default: no) – Permite habilitar/deshabilitar el servicio SNMP
• engine-id (string; Default: "") – Para SNMP v3. Se puede configurar parte del sufijo del engine-id usando este
argumento. Si el cliente SNMP no es capaz de detectar el valor configurado de engine-id, entonces se debe usar
el siguiente prefijo hexadecimal 0x80003a8c04
• location (string; Default: "") – Información de la ubicación
• trap-community (string; Default: public) – Especifica las comunidades configuradas en el menú community que
se usarán cuando se envíe el trap
• trap-generators (interfaces | start-trap; Default: ) – Especifica la acción que generarán los traps:
§ interfaces – Cambia la interface
§ start-trap – Inicia el server SNMP en el router
• trap-interfaces (string | all; Default: ) – Lista de las interfaces que los traps van a enviar
• trap-target (list of IP/IPv6; Default: 0.0.0.0) – Direcciones IPv4 o IPv6 de colectores de datos SNMP que tienen
que recibir el trap
• trap-version (1|2|3; Default: 1) – Versión del protocolo SNMP para usar el trap

Importante: El campo engine-id mantiene el valor sufijo de engine-id, usualmente los clientes SNMP deberían estar
habilitados para detectar el valor, como valores SNMP, como se lee desde el router. Sin embargo existe una posibilidad de
que este no sea el caso. En cuyo caso el valor engine-id tiene que ser seleccionado de acuerdo a la siguiente regla:
<engine-id prefix> + <hex-dump suffix>,
Por ejemplo, si se tiene configurado 1234 como valor sufijo entonces se debe proveer 80003a8c04 + 31323334, siendo el
resultado del valor hexadecimal combinado: 80003a8c0431323334

SNMP dentro del mapa de Protocolos TCP/IP

Academy Xperts 123


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Community (Comunidad)
/snmp community
Esta opción permite configurar los derechos de acceso a la data SNMP.
Existe poca seguridad en las versiones v1 y v2c, únicamente la cadena de texto de comunidad (username) y la habilidad
para limitar el acceso por dirección IP.

A partir de SNMP v3 se han introducido mejores opciones:


• Authorisation (User + Pass) con MD5/SHA1
• Encryption con DES (y a partir de la versión v6.16 se introdujo AES)

/snmp community print value-list


name: public
address: 0.0.0.0/0

Academy Xperts 124


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

security: none
read-access: yes
write-access: no
authentication-protocol: MD5
encryption-protocol: DES
authentication-password: *****
encryption-password: *****

Advertencia: Las configuraciones por default únicamente tienen una comunidad llamada public sin configuraciones de
seguridad adicionales. Estas configuraciones deben ser consideradas inseguras y deberían ser ajustadas de acuerdo al perfil
de seguridad requerido.
Propiedades
• address (IP/IPv6 address; Default: 0.0.0.0/0) – Direcciones desde las cuales las conexiones al servidores SNMP
está permitido
• authentication-password (string; Default: "") – Contraseña usada para autenticar la conexión al servidor
(SNMPv3)
• authentication-protocol (MD5 | SHA1; Default: MD5) – Protocolo que se usa para autenticación (SNMPv3)
• encryption-password (string; Default: "") – Contraseña usada para encriptación (SNMPv3)
• encryption-protocol (DES | AES; Default: DES) – Protocolo de encriptación utilizado para encriptar la
comunicación (SNMPv3). AES (de acuerdo al RFC-3826) está disponible desde v6.16.
• name (string; Default: )
• read-access (yes | no; Default: yes) – Especifica si el acceso de lectura está habilitado para esta comunidad
• security (authorized | none | private; Default: none)
• write-access (yes | no; Default: no) – Especifica si el acceso escritura está habilitado para esta comunidad

Management information base (MIB)


MIB es la base de datos de información mantenida por el agente que el administrador puede consultar. Se puede descargar
la versión actualizada del MIB de MikroTik RouterOS.
MIBs usados en RouterOS v5.x:
• MIKROTIK-MIB
• MIB-2
• HOST-RESOURCES-MIB
• IF-MIB
• IP-MIB
• IP-FORWARD-MIB
• IPV6-MIB
• BRIDGE-MIB
• DHCP-SERVER-MIB
• CISCO-AAA-SESSION-MIB
• ENTITY-MIB
• UPS-MIB
• SQUID-MIB

Identificadores de Objetos (OID - Object identifiers)


Cada OID identifica una variable que puede ser leída vía SNMP.
Aunque el archivo MIB contiene todos los valores OID necesitados, se puede visualizar la información OID individual en la
consola:
/interface print oid
Flags: D - dynamic, X - disabled, R - running, S - slave
0 R name=.1.3.6.1.2.1.2.2.1.2.1 mtu=.1.3.6.1.2.1.2.2.1.4.1
mac-address=.1.3.6.1.2.1.2.2.1.6.1 admin-status=.1.3.6.1.2.1.2.2.1.7.1
oper-status=.1.3.6.1.2.1.2.2.1.8.1 bytes-in=.1.3.6.1.2.1.2.2.1.10.1
packets-in=.1.3.6.1.2.1.2.2.1.11.1 discards-in=.1.3.6.1.2.1.2.2.1.13.1
errors-in=.1.3.6.1.2.1.2.2.1.14.1 bytes-out=.1.3.6.1.2.1.2.2.1.16.1
packets-out=.1.3.6.1.2.1.2.2.1.17.1 discards-out=.1.3.6.1.2.1.2.2.1.19.1
errors-out=.1.3.6.1.2.1.2.2.1.20.1

Traps
Los traps SNMP habilitan el router para notificar al colector de data de los cambios de interface y los cambios de estatus
de servicio SNMP cuando se envían los traps.

Academy Xperts 125


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Es posible enviar traps con características de seguridad para soportar SNMPv1 (sin seguridad). SNMPv2 y variantes y
SNMPv3 con encriptación y autorización.
Para SNMPv2 y v3 se debe configurar una comunidad apropiada como un trap-community para habilitar las características
requeridas (contraseña o encriptación/autorización).

SNMP write
A partir de RouterOS v3, se soporta SNMP write para algunas funciones. SNMP write permite cambiar la configuración del
router con requerimientos SNMP. Se debe considerar asegurar el acceso al router o al SNMP de los routers, cuando el
SNMP y write-access están habilitados.
Para cambiar las configuraciones de requerimientos SNMP, se debe usar el comando especificado a continuación, para
permitir SNMP write para la comunidad seleccionada. La opción write-access para SNMP está disponible desde v3.14
/snmp community set <number> write-access=yes

System Identity
Se puede cambiar la identidad de sistema del router configurando el comando SNMP
snmpset -c public -v 1 192.168.0.0 1.3.6.1.2.1.1.5.0 s New_Identity

• snmpset – Aplicación SNMP usada para los requerimientos SNMP SET para configurar la información en una
entidad de red
• public – Nombre de la comunidad del router
• 192.168.0.0 – Dirección IP del router
• 1.3.6.1.2.1.1.5.0 – Valor SNMP de la identidad del router
El comando SNMPset es igual al comando RouterOS
/system identity set identity=New_Identity

Reboot
Se puede hacer un reboot al router con el comando SNMP set. Para esto se necesita configurar el valor de reboot para la
configuración SNMP, el cual no es igual a 0
snmpset -c public -v 1 192.168.0.0 1.3.6.1.4.1.14988.1.1.7.1.0 s 1
• 1.3.6.1.4.1.14988.1.1.7.1.0 – Valor SNMP para el reboot del router
• s 1 – Comando snmpset para configurar el valor. El valor no debería ser igual a 0
El comando snmpset es igual al comando RouterOS
/system reboot

Run Script
SNMP write permite ejecutar scripts en el router desde el menú script del sistema.
snmpset -c public -v 1 192.168.0.0 1.3.6.1.4.1.14988.1.1.8.1.1.3.X s 1
• X – Número del script. La numeración empieza desde 1
• s 1 – Comando snmpset command para configurar el valor. El valor no debería ser igual a 0
El mismo comando en RouterOS
/system script print
Flags: I - invalid
0 name="kaka" owner="admin" policy=ftp,reboot,read,write,policy,
test,winbox,password,sniff last-started=jan/01/1970
01:31:57 run-count=23 source=:beep
/system script run 0

System identity
A pesar de que no es una herramienta, es importante para establecer la identidad del sistema
• No se puede establecer a 100 router y que todos tengan el mismo nombre “Mikrotik”. Esto hace casi imposible la
resolución de problemas.
• Una vez establecido, se hará la identificación del router con el cual se está trabajando y hará mucho más simple la
identificación
• Sintaxis
/system identity print
Name: Mikrotik

Academy Xperts 126


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

/system identity set name=my-router


/system identity print
Name: my-router

IP Neighbor
El protocolo MNDP (MikroTik Neighbor Discovery Protocol) permite encontrar/descubrir otros protocolos compatibles con
MNDP o CDP (Cisco Discovery Protocol) que estén en el mismo dominio de broadcast en Capa 2 (Layer 2).
/ip neighbor
Este sub-menú enumera todos los vecinos descubiertos en el mismo dominio de broadcast (Capa 2). Muestra a cual interface
está conectado el vecino, muestra su dirección IP, su dirección MAC, y varios parámetros relacionados con Mikrotik. Las
listas son solo de lectura.

En este ejemplo, se pueden ver varios RouterBoard y dos routers de cisco.


/ip Neighbor > print
# INTERFACE ADDRESS MAC-ADDRESS IDENTITY VERSION BOARD
0 ether13 192.168.33.2 00:0C:42:00:38:9F MikroTik 5.99 RB1100AHx
1 ether11 1.1.1.4 00:0C:42:40:94:25 test-host 5.8 RB1000
2 local 10.0.11.203 00:02:B9:3E:AD:E0 c2611-r1 cisco I...
3 local 10.1.11.47 00:0C:42:84:25:BA 11.47-750 5.7 RB750
4 local 10.0.11.254 00:0C:42:70:04:83 tsys-sw1 5.8 RB750G
5 local 10.0.11.202 00:17:5A:90:66:08 c7200 Cisco I...
Propiedades
• address (IP) – Muestra la dirección IP más alta configurada en un dispositivo descubierto
• address6 (IPv6) – Muestra la dirección IPv6 más alta configurada en un dispositivo descubierto
• age (time) – Intervalo de tiempo desde el último paquete de descubrimiento
• board (string) – Modelo del RouterBOARD. Muestra únicamente los dispositivos que tienen instalado RouterOS
• identity (string) – Muestra la identidad de sistema
• interface (string) – Nombre de la interface a la cual está conectado el dispositivo que se ha descubierto
• interface-name (string) – Nombre de la interface en el dispositivo vecino que está conectado la mismo dominio
de broadcast en Capa 2. Aplica también para equipos que corren CDP

Academy Xperts 127


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

• ipv6 (yes | no) – Indica si el dispositivo tiene habilitado IPv6


• mac-address (MAC) – Dirección MAC del dispositivo remoto. Puede ser utilizado para conectar con mac-telnet
• platform (string) – Nombre de la plataforma. Por ejemplo MikroTik, Cisco, etc.
• software-id (string) – Software ID del RouterOS en un dispositivo remoto. Aplica únicamente a dispositivos que
tienen instalado RouterOS
• unpack (none|simple|uncompressed-headers|uncompressed-all) – Muestra el tipo de compresión del paquete de
descubrimiento
• uptime (time) – Tiempo de actividad del dispositivo remoto. Muestra únicamente a los dispositivos con RouterOS
instalado.
• version (string) – Número de versión del software instalado en un dispositivo remoto

IP Neighbor discovery
/ip neighbor discovery
En este menú se puede cambiar el estado de la interface para especificar si participa o no en el proceso del descubrimiento
de vecino (neighbor discovery). Si se decide que la interface participe, se enviará información básica sobre el sistema y
procesa los paquetes descubiertos recibidos por medio de broadcast en una red Capa 2.
Se muestran las interfaces que son administradas automáticamente por el RouterOS. Los ítems no pueden ser removidos
ni agregados. Las configuraciones por default dependen del tipo de interface y el estado actual.
Propiedades
• comment (string; Default: ) – Muestra una descripción corta
• disabled (yes | no; Default: ) – Especifica si el ítem se deshabilita y no participa en el proceso de enviar/recibir del
descubrimiento de información. Esta opción se agregó en la versión v5.x
• Whether item is disabled and do not participate in sending/receiving of discovery information. Added in v5.x
• discover (yes | no; Default: ) - Especifica si el ítem se deshabilita y no participa en el proceso de enviar/recibir del
descubrimiento de información. Esta opción se agregó en la versión v5.x para mantener la compatibilidad con scripts
viejos.

/ip neighbor discovery settings


Propiedades

Academy Xperts 128


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

default (yes | no; Default: yes) – Especifica si se va a permitir el envío/recepción de información de descubrimiento en las
interfaces dinámicas. Esta opción se agregó en la versión 6.x
/ip neighbor discovery settings print
default: yes
default-for-dynamic: no

Ponerse en contacto con Soporte MikroTik


Supout.rif
El archivo de soporte se utiliza para depurar MikroTik RouterOS y para resolver las preguntas de soporte más rápido. Toda
la información del Router MikroTik se guarda en un archivo binario, que se almacena en el router y puede ser descargado
desde el router mediante ftp.
Se puede revisar el contenido de este archivo en su cuenta de MikroTik, simplemente debe ir a la sección Supout.rif y cargar
el archivo.
Este archivo (supout.rif) contiene la configuración del router, los registros (logs) y otros detalles que ayudarán al grupo
de soporte de MikroTik para resolver su problema.

Sintaxis
Lo hacemos con el siguiente comando en “Terminal”
/system sup-output
Created: 14%
--[Q quit|D dump|C-z pause]
/system sup-output
Created: 100%
--[Q quit|D dump|C-z pause]

Una vez que se complete la carga al 100% podremos ver el archivo en “Files”

Supout.rif Viewer
Para acceder al Supout.rif Viewer solo tienes que acceder a tu cuenta Mikrotik. Usted debe tener una cuenta (es una buena
idea tener una de todos modos)

El primer paso es localizar y cargar el archivo que ha generado

Academy Xperts 129


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Autosupout.rif
• Un archivo se puede generar de forma automática en caso de fallo de software (ex Kernel Panic o el sistema deja
de responder durante un minuto.)
• Hecho a través del organismo de control (sistema)

Academy Xperts 130


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Registros (logging) del sistema y registros de depuración


RouterOS es capaz de registrar (log) diversos eventos del sistema y la información del estatus. Los registros (log) se pueden
guardar en la memoria RAM de los routers, en un disco, en un archivo, pueden ser enviados por correo electrónico o incluso
enviarse a un servidor remoto de registro del sistema. Este último se conoce como syslog y está acorde con el RFC 3164.
Syslog corre sobre UDP 514

/log
Todos los mensajes almacenados en la memoria local del router se pueden imprimir desde el menú / log. Cada entrada
contiene la fecha y hora cuando se produjo el evento, los temas que pertenecen a este mensaje, y el mensaje en sí mismo.
Si los registros se muestran en la misma fecha en que se agrega la entrada de registro, entonces únicamente se mostrará
el tiempo.

En el siguiente ejemplo el comando mostrará todos los mensajes donde uno de los tópicos es info y detectará nuevas
entradas hasta que se presiona Ctrl+C
/log print follow where topics~".info"
12:52:24 script,info hello from script
-- Ctrl-C to quit.
Cuando se usa print se puede utilizar el modo follow. Esto ocasionará que cada vez que cada vez que se presione la barra
espaciadora en el teclado, se insertará un separador
/log print follow where topics~".info"
12:52:24 script,info hello from script
= = = = = = = = = = = = = = = = = = = = = = = = = = =
-- Ctrl-C to quit.

Configuración del Logging


/system logging
• action (name; Default: memory) – Especifica una de las acciones por default del sistema, o las acciones
especificadas por el usuario en el menú actions
• prefix (string; Default: ) – Prefijo que se puede agregar al inicio de los mensajes de registro
• topics (account, async, backup, bgp, calc, critical, ddns, debug, dhcp, e-mail, error, event, firewall, gsm, hotspot,
igmp-proxy, info, ipsec, iscsi, isdn, l2tp, ldp, manager, mme, mpls, ntp, ospf, ovpn, packet, pim, ppp, pppoe, pptp,
radius, radvd, raw, read, rip, route, rsvp, script, sertcp, state, store, system, telephony, tftp, timer, ups, warning,
watchdog, web-proxy, wireless, write; Default: info) – Registra todos los mensajes que caen en el tópico especificado
o en la lista de tópicos. Se puede utilizar el carácter “!” antes del tópico para excluir los mensajes que caen ese
tópico. El signo “!” es la negación lógica. Por ejemplo, si se desea registrar los eventos NTP pero sin mucho detalles
se puede escribir /system logging add topics=ntp,debug,!packet

Academy Xperts 131


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Actions
/system logging action
• bsd-syslog (yes|no; Default: ) – Especifica si se usa el bsd-syslog según se define en RFC-3164
• disk-file-count (integer [1..65535]; Default: 2) – Especifica el número de archivos que se utilizarán para guardar
los mensajes de registro (log). Se aplica únicamente si action=disk
• disk-file-name (string; Default: log) – Nombre del archivo que se usará para guardar los mensajes de registro
(log). Se aplica únicamente si action=disk
• disk-lines-per-file (integer [1..65535]; Default: 100) – Especifica el tamaño máximo del archivo en número de
líneas. Se aplica únicamente si action=disk
• disk-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log)
en disco luego de que se han alcanzado los valores especificados en disk-lines-per-file y disk-file-count.
Se aplica únicamente si action=disk
• email-to (string; Default: ) – Dirección email hacia donde se enviarán los registros. Se aplica únicamente si
action=email
• memory-lines (integer [1..65535]; Default: 100) – Especifica el número de registros en el buffer de memoria local.
Se aplica únicamente si action=memory
• memory-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro
(log) en memoria luego de que se han alcanzado los valores especificados en memory-lines. Se aplica únicamente
si action=memory
• name (string; Default: ) – Nombre de la acción (action)
• remember (yes|no; Default: ) – Especifica si se debe mantener los mensajes de registro que aún no se han mostrado
en consola. Se aplica únicamente si action=echo
• remote (IP/IPv6 Address[:Port]; Default: 0.0.0.0:514) – Especifica la dirección IP/IPv6 del servidor de registro
remoto (syslog server) y el número de puerto UDP. Se aplica únicamente si action=remote
• src-address (IP address; Default: 0.0.0.0) – Dirección origen que se utiliza cuando se envían paquetes al servidor
remoto
• syslog-facility (auth, authpriv, cron, daemon, ftp, kern, local0, local1, local2, local3, local4, local5, local6, local7,
lpr, mail, news, ntp, syslog, user, uucp; Default: daemon)
• syslog-severity (alert, auto, critical, debug, emergency, error, info, notice, warning; Default: auto) – Nivel de
indicador de severidad definido en RFC-3164:
§ Emergency: system is unusable
§ Alert: action must be taken immediately
§ Critical: critical conditions
§ Error: error conditions
§ Warning: warning conditions
§ Notice: normal but significant condition
§ Informational: informational messages
§ Debug: debug-level messages
• target (disk, echo, email, memory, remote; Default: memory) – Facilidad de almacenamiento o destino de los
mensajes de registro (log)
§ disk - logs are saved to the hard drive
§ echo - logs are displayed on the console screen
§ email - logs are sent by email
§ memory - logs are stored in local memory buffer
§ remote - logs are sent to remote host
Importante: Las accione spor default no se pueden eliminar ni cambiar de nombre

Academy Xperts 132


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

Tópicos
Cada entrada de registro (log) tiene un tópico que describe el origen del mensaje de registro. Por lo tanto puede haber más
de un tópico asignado a dicho mensaje de registro. Por ejemplo OSPF depura los registros que tienen 4 diferentes tópicos:
route, ospf, debug y raw.
11:11:43 route,ospf,debug SEND: Hello Packet 10.255.255.1 -> 224.0.0.5 on lo0
11:11:43 route,ospf,debug,raw PACKET:
11:11:43 route,ospf,debug,raw 02 01 00 2C 0A FF FF 03 00 00 00 00 E7 9B 00 00
11:11:43 route,ospf,debug,raw 00 00 00 00 00 00 00 00 FF FF FF FF 00 0A 02 01
11:11:43 route,ospf,debug,raw 00 00 00 28 0A FF FF 01 00 00 00 00
Lista de opciones independiente de los tópicos:
• critical – Las entradas de registro marcadas como críticas. Estas entradas de registro se muestran en consola
cada vez que el usuario hace log in
• debug – Depura las entradas de registro
• error – Mensajes de error
• info – Entrada de registro informativa
• packet – Entrada de registro que muestra el contenido de los paquetes enviados/recibidos
• raw – Entrada de registro que muestra el contenido crudo (raw) de los paquetes enviados/recibidos
• warning – Mensaje de Advertencia.
Tópicos usados por varias facilidades de RouterOS
• account – Registra los mensajes generados por la opción accounting
• async – Registra los mensajes generados por los dispositivos asíncronos
• backup – Registra los mensajes generados por la opción de creación de backup
• bfd – Registra los mensajes generados por el protocolo Routing/BFD
• bgp – Registra los mensajes generados por el protocolo Routing/BGP
• calc – Registra los mensajes del cálculo de rutas
• ddns – Registra los mensajes generados por la herramienta Tools/Dynamic DNS
• dhcp – Registra los mensajes generados por el cliente DHCP, server y relay
• e-mail – Registra los mensajes generados por la herramienta Tools/email
• event - Registra los mensajes generados por el evento de routing. Por ejemplo, cuando una nueva ruta se ha
instalado en la tabla de ruteo.
• Firewall - Registra los mensajes generados por el firewall cuando se configura action=log
• Gsm – Registra los mensajes generados por los dispositivos GSM
• Hotspot – Registra los mensajes relacionados con HotSpot
• igmp-proxy – Registra los mensajes generados con IGMP Proxy
• ipsec – Entradas de registro IpSec
• iscsi
• isdn
• l2tp – Registra los mensajes generados por Interface/L2TP cliente y servidor
• ldp – Registra los mensajes generados por el protocolo MPLS/LDP
• manager – Registra los mensajes generados por User Manager
• mme – mensajes de protocolo de ruteo MME
• mpls – Mnesajes MPLS
• ntp – Registra los mensajes generados por el cliente sNTP
• ospf – Registra los mensajes generados por el protocolo de ruteo Routing/OSPF
• ovpn – Registra los mensajes generados por el túnel OpenVPN
• pim – Registra los mensajes generados por Multicast PIM-SM
• ppp – Registra los mensajes generados por la opción ppp
• pppoe – Registra los mensajes generados por PPPoE server/client
• pptp – Registra los mensajes generados por PPTP server/client
• radius – Registra los mensajes generados por RADIUS Client
• radvd – Registra los mensajes generados por el IPv6 radv deamon
• read – Mensajes de la herramienta SMS
• rip – Mensajes del protocolo de ruteo RIP
• route – Registra los mensajes generados por la opción de ruteo
• rsvp – Mensajes generados por el Protocolo de Reservación de Recurso (Resource Reservation Protocol)
• script - Registra los mensajes generados por los scripts
• sertcp – Registra los mensajes relacionados por la opción responsable de /ports remote-access
• simulator
• state – Mensajes de estado de routing y del cliente DHCP
• store – Registra los mensajes generados por la opción store
• system – Mensaje genéricos del sistema

Academy Xperts 133


RouterOS v6.34.3.01 – Capítulo 9 – Herramientas RouterOS

• telephony
• tftp – Mensajes generados por el servidor TFTP
• timer – Registra los mensajes relacionados a los timers usados en RouterOS. Por ejemplo los registros (log)
keepalive bgp
12:41:40 route,bgp,debug,timer KeepaliveTimer expired
12:41:40 route,bgp,debug,timer RemoteAddress=2001:470:1f09:131::1
• ups – Mensajes generados por la herramientas de monitoreo UPS
• watchdog – Registra los mensajes generados por watchdog
• web-proxy – Registra los mensajes generados por web proxy
• wireless – Registra los mensajes generados por Interface/Wireless
• write – Mensajes de la herramienta SMS

Academy Xperts 134