© Index 2005 RouterOS y MBR Introducción al sistema operativo RouterOS Mikrotik

© Index 2005© Index 2005

RouterOS y MBRRouterOS y MBR

Introducción al sistema operativo Introducción al sistema operativo RouterOS MikrotikRouterOS Mikrotik


Que es el RouterOS?Que es el RouterOS?

El RouterOS es un sistema operativo y software que El RouterOS es un sistema operativo y software que convierte a una PC en un ruteador dedicado, bridge, convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de firewall, controlador de ancho de banda, punto de acceso inalámbrico o cliente y mucho mas…acceso inalámbrico o cliente y mucho mas…

El RouterOS puede hacer casi cualquier cosa que El RouterOS puede hacer casi cualquier cosa que tenga que ver con tus necesidades de red, además tenga que ver con tus necesidades de red, además de cierta funcionalidad como servidor.de cierta funcionalidad como servidor.

RouterBoard y RouterOS integrados en un solo RouterBoard y RouterOS integrados en un solo producto: MBR.producto: MBR.

Una total solución de control de tu red, versatil, Una total solución de control de tu red, versatil, eficaz.eficaz.


Estructura del RouterOSEstructura del RouterOS

Basado en kernel de LinuxBasado en kernel de Linux.. Integrado en MBR, Integrado en MBR,

adicionalmente puede adicionalmente puede ejecutarse desde discos ejecutarse desde discos IDE o módulos de memoria IDE o módulos de memoria flashflash..

Diseño modularDiseño modular.. Módulos actualizablesMódulos actualizables.. Interfase grafica amigableInterfase grafica amigable..


Características de RouterOSCaracterísticas de RouterOS Ruteo. Estático o dinámico (RIP, OSPF, BGP), Ruteo. Estático o dinámico (RIP, OSPF, BGP),

políticas de enrutamiento basadas en caracteristicas políticas de enrutamiento basadas en caracteristicas del paquete.del paquete.

Bridging. Protocolo Spanning tree, interfaces múltiples Bridging. Protocolo Spanning tree, interfaces múltiples bridge, firewall en el bridge (capa 2)bridge, firewall en el bridge (capa 2)

Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP.Relay de DHCP.

500 conexiones de vpn sin necesidad de 500 conexiones de vpn sin necesidad de licenciamiento extralicenciamiento extra

Web-proxy, Cache de DNSWeb-proxy, Cache de DNS Gateway de HotSpotGateway de HotSpot Lenguaje interno de scriptsLenguaje interno de scripts


Características del RouterOSCaracterísticas del RouterOS

Firewall integrado , configurable por cualquier Firewall integrado , configurable por cualquier caracteristica del paquetecaracteristica del paquete

Filtrado de paquetes por:Filtrado de paquetes por: Origen, IP de destinoOrigen, IP de destino Protocolos, puertosProtocolos, puertos Contenidos (Contenidos (seguimientoseguimiento de conexiones de conexiones P2PP2P))

Puede detectar ataques de denegación de servicio Puede detectar ataques de denegación de servicio (DoS)(DoS) Permite solamente cierto numero de paquetes por Permite solamente cierto numero de paquetes por

periodo de tiempoperiodo de tiempo Que pasa enseguida si el limite es desbordado o Que pasa enseguida si el limite es desbordado o

sobrepasadosobrepasado


Interfaces del MBRInterfaces del MBR

3 Ethernet 10/100, Gigabit3 Ethernet 10/100, Gigabit Interfaces virtuales: Bridge, VLANS, PPPoE, Interfaces virtuales: Bridge, VLANS, PPPoE,

L2TP, PPTP, EoIP.L2TP, PPTP, EoIP. Opcional en MBR: Inalámbrica (Atheros, Prism, Opcional en MBR: Inalámbrica (Atheros, Prism,

CISCO/Aironet) modo AP, cliente, WDSCISCO/Aironet) modo AP, cliente, WDSInstalado en servidor:Instalado en servidor: SSííncronas: V35, T1, Frame Relayncronas: V35, T1, Frame Relay Asíncronas: Onboard serial, 8-port PCIAsíncronas: Onboard serial, 8-port PCI ISDNISDN xDSLxDSL VoIP (FXO, FXS) funcionalidad limitada de Gatekeeper.VoIP (FXO, FXS) funcionalidad limitada de Gatekeeper.


Interfase bridgeInterfase bridge

Interfaces Bridge son anadidas con el comando:Interfaces Bridge son anadidas con el comando:[MikroTik] > /interface bridge add[MikroTik] > /interface bridge add

Puede haber mas de una interfase BridgePuede haber mas de una interfase Bridge Tu puedesTu puedes

Cambiar el nombre de la interfase Bridge;Cambiar el nombre de la interfase Bridge; Habilitar el STP (Spanning Tree Protocol) y Habilitar el STP (Spanning Tree Protocol) y

configurarlo configurarlo Activar los protocolos a pasar de un bridge a otro.Activar los protocolos a pasar de un bridge a otro.


Puertos de BridgePuertos de Bridge Cada Interfase Cada Interfase

puede ser puede ser configurada para ser configurada para ser miembro de un miembro de un bridgebridge

Interfaces Interfaces inalámbricas en inalámbricas en modo estación no modo estación no pueden ser parte de pueden ser parte de un bridge.un bridge.

Prioridad y costo de Prioridad y costo de path pueden ser path pueden ser ajustadas para su ajustadas para su uso con STPuso con STP


Enlaces VPNEnlaces VPN

OficinaRegional

Corporativo Bodega

Ruteador MBR RouterOS

MBR

MBR


Tecnologías VPNTecnologías VPN

PPTP con encriptación de 128bit MPPEPPTP con encriptación de 128bit MPPE L2TPL2TP IPsecIPsec Aplicaciones:Aplicaciones:

Túneles permanentes entre ruteadoresTúneles permanentes entre ruteadores Concentrador de acceso PPTP para muchos Concentrador de acceso PPTP para muchos

clientes (estaciones de trabajo windows) y clientes (estaciones de trabajo windows) y clientes mobiles (trabajo desde casa o clientes mobiles (trabajo desde casa o viajando)viajando)


Túneles EoIPTúneles EoIP

Protocolo propietario MikroTik.Protocolo propietario MikroTik. Encapsula frames de ethernet dentro de Encapsula frames de ethernet dentro de

paquetes de IP protocolo 47.paquetes de IP protocolo 47. Interfase EoIP soporta todas las funcionalidades Interfase EoIP soporta todas las funcionalidades

de cualquier interfase Ethernet.de cualquier interfase Ethernet. Túnel EoIP puede correr sobre cualquier Túnel EoIP puede correr sobre cualquier

conexión que soporte IPconexión que soporte IP Numero máximo de túneles de EoIP es de Numero máximo de túneles de EoIP es de

6553565535


EoIP y “Bridging”EoIP y “Bridging”

LLaas Interfases Interfasess EoIP puede ser “bridgeada” con EoIP puede ser “bridgeada” con cualquier otra interfase EoIP o Interfase cualquier otra interfase EoIP o Interfase Ethernet.Ethernet.

Uso principal de túneles EoIP es para Uso principal de túneles EoIP es para transparentemente hacer bridge de redes transparentemente hacer bridge de redes remotas.remotas.

Protocolo EoIP no provee encriptación de datos, Protocolo EoIP no provee encriptación de datos, por tal manera debe correr sobre un túnel por tal manera debe correr sobre un túnel encriptado, ejemplo PPTP, L2TP o PPPoE, si es encriptado, ejemplo PPTP, L2TP o PPPoE, si es requerida seguridad.requerida seguridad.


Calidad de Servicio (QoS)Calidad de Servicio (QoS)

Varios tipos de tipos de queue:Varios tipos de tipos de queue: RED, BFIFO, PFIFO, PCQRED, BFIFO, PFIFO, PCQ

Sencillo de aplicar!! Sencillo de aplicar!! Queues mas complejos:Queues mas complejos:

Por protocolo, puerto, tipo de conexiónPor protocolo, puerto, tipo de conexión, , prioridad.prioridad.

Asignación de anchos de banda asegurados, Asignación de anchos de banda asegurados, por cualquier característica del paquete.por cualquier característica del paquete.


PCQ en Accion IPCQ en Accion I

queue=pcq-downmax-limit=512k

128k

128k

128k

128k

Pcq-rate=128000Pcq-rate=128000

73k

73k

73k

73k

73k

73k

73k

128k

128k

2 ‘usuarios’

4 ‘usuarios’

7 ‘usuarios’


PCQ en Accion IIPCQ en Accion II

queue=pcq-downmax-limit=512k

Pcq-rate=0Pcq-rate=0

73k

73k

73k

73k

73k

73k

73k

512k

1 ‘usuario’7 ‘usuarios’

256k

2 ‘usuarios’

256k


Herramientas de manejo de redHerramientas de manejo de red

RouterOS ofrece un buen RouterOS ofrece un buen numero de herramientas :numero de herramientas : Ping, traceroutePing, traceroute Medidor de ancho de bandaMedidor de ancho de banda Contabilización de traficoContabilización de trafico SNMPSNMP TorchTorch Sniffer de PaquetesSniffer de Paquetes


WinBox GUIWinBox GUI

WinBox es una interfase grafica muy WinBox es una interfase grafica muy amigable usada para configurar el equipo.amigable usada para configurar el equipo.

winbox.exe es un pequeño programa que winbox.exe es un pequeño programa que se ejecuta desde una estación de trabajo se ejecuta desde una estación de trabajo conectada al ruteador.conectada al ruteador.

Winbox usa el puerto TCP 8291 para Winbox usa el puerto TCP 8291 para conectarse al ruteadorconectarse al ruteador

Comunicación entre el winbox y el Comunicación entre el winbox y el ruteador esta encriptadaruteador esta encriptada


Actualizando el RouterActualizando el Router

Ponga los archivos de las nuevas versiones en Ponga los archivos de las nuevas versiones en el router por medio de FTP usando modo binario el router por medio de FTP usando modo binario de transmision y reinicie el router “/system de transmision y reinicie el router “/system reboot”reboot”

Alternativamente puedes usar la instrucción Alternativamente puedes usar la instrucción “/system upgrade” para transferir los archivos “/system upgrade” para transferir los archivos desde un server FTP o desde otro ruteador si desde un server FTP o desde otro ruteador si los tienes ahí. los tienes ahí.


Estructura de firewallEstructura de firewall


Principios del FirewallPrincipios del Firewall

Las reglas de firewall están organizadas en Las reglas de firewall están organizadas en cadenas (chains)cadenas (chains)

Reglas en cadenas son procesadas en el orden Reglas en cadenas son procesadas en el orden que aparecenque aparecen Si una regla la cumple un paquete, la accion Si una regla la cumple un paquete, la accion

especificada es tomadaespecificada es tomada Si el paquete no cumple la regla , o hay una Si el paquete no cumple la regla , o hay una

acción=passthrough, la siguiente regla es procesadaacción=passthrough, la siguiente regla es procesada

La acción de default para la cadena es hecha La acción de default para la cadena es hecha después de haber alcanzado el fin de la cadenadespués de haber alcanzado el fin de la cadena


Por default hay 3 cadenas Por default hay 3 cadenas incluidas:incluidas:

input – procesa paquetes que tienen como destino el input – procesa paquetes que tienen como destino el ruteadorruteador

output – procesa paquetes que son mandados por el output – procesa paquetes que son mandados por el mismo ruteadormismo ruteador

forward – procesa trafico que ‘pasa’ a forward – procesa trafico que ‘pasa’ a travéstravés del del ruteadorruteador

Los usuarios pueden añadir sus propias cadenas de Los usuarios pueden añadir sus propias cadenas de firewall y reglas a ellasfirewall y reglas a ellas

Reglas en las cadenas añadidas por el usuario Reglas en las cadenas añadidas por el usuario pueden ser procesadas usando la opción=jump pueden ser procesadas usando la opción=jump desde la cadena del usuario a otra regla en otra desde la cadena del usuario a otra regla en otra cadenacadena


Acciones de las reglas de Acciones de las reglas de FirewallFirewall

Si una regla de firewall se cumple para un paquete, Si una regla de firewall se cumple para un paquete, una de las siguientes acciones puede hacerse:una de las siguientes acciones puede hacerse: passthrough – action es ejecutada y la siguiente regla es passthrough – action es ejecutada y la siguiente regla es

procesadaprocesada accept – paquete es aceptadoaccept – paquete es aceptado drop – paquete es ignoradodrop – paquete es ignorado reject – paquete es ignorado y se le manda un mensaje reject – paquete es ignorado y se le manda un mensaje

ICMP al que lo mandoICMP al que lo mando jump – paquete es mandado para su procesamiento a jump – paquete es mandado para su procesamiento a

otra cadenaotra cadena return – paquete es retornado a la tabla previa , desde return – paquete es retornado a la tabla previa , desde

donde fue recibidodonde fue recibido


Ejemplo de cadena definida por Ejemplo de cadena definida por el usuarioel usuario

/ip firewall rule virus/ip firewall rule virus

add protocol=tcp dst-port=135-139 action=drop add protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"

add protocol=udp dst-port=135-139 action=drop add protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm"comment="Drop Messenger Worm"

add protocol=tcp dst-port=445 action=drop add protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"

add protocol=udp dst-port=445 action=drop add protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"


Filtrado de virus conocidosFiltrado de virus conocidos Paquetes iniciados por virus conocidos, pueden ser Paquetes iniciados por virus conocidos, pueden ser

filtrados por reglas en alguna cadena definida por el filtrados por reglas en alguna cadena definida por el usuario:usuario:/ip firewall rule virus/ip firewall rule virusadd protocol=tcp dst-port=135-139 action=drop \add protocol=tcp dst-port=135-139 action=drop \ comment="Drop Blaster Worm"comment="Drop Blaster Worm"add protocol=udp dst-port=135-139 action=drop \add protocol=udp dst-port=135-139 action=drop \ comment="Drop Messenger Worm"comment="Drop Messenger Worm"add protocol=tcp dst-port=445 action=drop \add protocol=tcp dst-port=445 action=drop \ comment="Drop Blaster Worm"comment="Drop Blaster Worm"add protocol=udp dst-port=445 action=drop \add protocol=udp dst-port=445 action=drop \ comment="Drop Blaster Worm“comment="Drop Blaster Worm“add protocol=tcp dst-port=4444 action=drop comment="Worm"add protocol=tcp dst-port=4444 action=drop comment="Worm"add protocol=tcp dst-port=12345 action=drop comment="NetBus"add protocol=tcp dst-port=12345 action=drop comment="NetBus"


Jump a la cadena definida por Jump a la cadena definida por el usuarioel usuario

Jump a la cadena definida por el usuario desde Jump a la cadena definida por el usuario desde las cadenas input y forward despues de las las cadenas input y forward despues de las primeras dos reglas:primeras dos reglas:add connection-state=established \add connection-state=established \

comment="Established connections"comment="Established connections"

add connection-state=related \add connection-state=related \

comment="Related connections"comment="Related connections"

add action=jump jump-target=virus \add action=jump jump-target=virus \

comment=“Checando por virus“comment=“Checando por virus“

……


Marcado de paquetesMarcado de paquetes Paquetes pueden cambiar sus parámetros Paquetes pueden cambiar sus parámetros

iniciales, ejemplo, sus direcciones dentro del iniciales, ejemplo, sus direcciones dentro del firewall, de la misma manera los paquetes firewall, de la misma manera los paquetes pueden ser marcados para identificarlos pueden ser marcados para identificarlos después dentro del routerdespués dentro del router


‘ ‘ Tracking’ de ConexionesTracking’ de Conexiones Connection Tracking (CONNTRACK) es un sistema que crea una Connection Tracking (CONNTRACK) es un sistema que crea una

tabla de conexiones activastabla de conexiones activas Un status es asignado para cada paquete:Un status es asignado para cada paquete:

Invalid – paquete ya no forma parte de ninguna conexión conocidaInvalid – paquete ya no forma parte de ninguna conexión conocida New – el paquete esta abriendo una nueva conexiónNew – el paquete esta abriendo una nueva conexión Established – el paquete pertenece a una conexión establecidaEstablished – el paquete pertenece a una conexión establecida Related – el paquete crea una nueva conexión relativa a alguna Related – el paquete crea una nueva conexión relativa a alguna

conexion ya abiertaconexion ya abierta El status no es necesario solamente para conexiones TCP. De El status no es necesario solamente para conexiones TCP. De

cualquier manera ‘connection’ es considerada aquí como un cualquier manera ‘connection’ es considerada aquí como un intercambio de datos de dos viasintercambio de datos de dos vias

Status es usado en los filtros de firewallStatus es usado en los filtros de firewall CONNTRACK es usado para marcar los paquetesCONNTRACK es usado para marcar los paquetes CONNTRACK es necesario para hacer NATCONNTRACK es necesario para hacer NAT


Nat de origenNat de origen

SRC-NAT permite el cambio de dirección origen SRC-NAT permite el cambio de dirección origen y puerto a la dirección local y puerto del y puerto a la dirección local y puerto del ruteador (enmascaramiento), o algún otra ruteador (enmascaramiento), o algún otra dirección y puerto especificadodirección y puerto especificado

Aplicación típica de SRC-NAT es esconder una Aplicación típica de SRC-NAT es esconder una red privada detrás de una o mas direcciones red privada detrás de una o mas direcciones publicaspublicas

La dirección origen trasladada debe pertenecer La dirección origen trasladada debe pertenecer al ruteador, a menos que otras medidas sean al ruteador, a menos que otras medidas sean tomadas para asegurar el uso de diferentes tomadas para asegurar el uso de diferentes direcciones.direcciones.


Ejemplo de SRC-NATEjemplo de SRC-NAT

Especifique la dirección origen a ser Especifique la dirección origen a ser enmascarada:enmascarada:/ip firewall src-nat /ip firewall src-nat add src-address=192.168.0.0/24 add src-address=192.168.0.0/24

action=masqueradeaction=masquerade O, Especifique la interfase de salida, O, Especifique la interfase de salida,

cuando enmascaramiento deba ser usado:cuando enmascaramiento deba ser usado:/ip firewall src-nat /ip firewall src-nat add out-interface=Public action=masqueradeadd out-interface=Public action=masquerade


Laboratorio SRC-NATLaboratorio SRC-NAT

Configura tu ruteador Configura tu ruteador para enmascarar para enmascarar trafico originado trafico originado desde tu red privada, desde tu red privada, cuando esta salga del cuando esta salga del ruteador por la ruteador por la interfase publica.interfase publica.

Usa el diagrama Usa el diagrama como guíacomo guía


DST-NATDST-NAT

DST-NAT permite cambiar la diDST-NAT permite cambiar la direcciónrección y el y el puerto del receptor a alguna otra dirección puerto del receptor a alguna otra dirección y puerto conocido localmente por el y puerto conocido localmente por el ruteadorruteador o o se llegue a else llegue a el vía ruteo vía ruteo

Típicamente usado para acceder servicios Típicamente usado para acceder servicios en una red privada desde direcciones en una red privada desde direcciones publicas accediendo las direcciones publicas accediendo las direcciones publicas que enmascaran alguna redpublicas que enmascaran alguna red


Ejemplo de Destination NATEjemplo de Destination NAT

Redireccione el puerto TCP 2323 al puerto 23 Redireccione el puerto TCP 2323 al puerto 23 del router:del router:/ip firewall dst-nat /ip firewall dst-nat

add protocol=tcp dst-address=10.5.51/32:2323 add protocol=tcp dst-address=10.5.51/32:2323 action=redirect to-dst-port=23action=redirect to-dst-port=23

O, haga NAT al puerto interno (23) del server:O, haga NAT al puerto interno (23) del server:/ip firewall dst-nat /ip firewall dst-nat

add protocol=tcp dst-address=10.5.51/32:2323 add protocol=tcp dst-address=10.5.51/32:2323 action=nat to-dst-port=23 to-dst-address= action=nat to-dst-port=23 to-dst-address= 192.168.0.250192.168.0.250


Laboratorio de DST-NATLaboratorio de DST-NAT

Configura tu ruteador Configura tu ruteador para trasladar para trasladar paquetes con destino paquetes con destino la ip publica y puerto la ip publica y puerto 81 hacia la dirección 81 hacia la dirección interna y puerto 80 interna y puerto 80 del servidor localdel servidor local

use el diagrama use el diagrama como guíacomo guía


Mas acerca de DST-NATMas acerca de DST-NAT

DST-NATDST-NAT permite mandar datos a algún permite mandar datos a algún servidor a otro servidor y puerto. servidor a otro servidor y puerto.

DST-NAT permite esconder varios DST-NAT permite esconder varios servidores detrás de una dirección IP. Los servidores detrás de una dirección IP. Los servidores son seleccionados por puerto, servidores son seleccionados por puerto, o por algún otro parámetro, como origen o por algún otro parámetro, como origen del paquete, etc.del paquete, etc.

Documents

© Index 2005 RouterOS y MBR Introducción al sistema operativo RouterOS Mikrotik