MTCNA

Presentacin
Presentarse individualmente
Nombre
Compaa
Conocimiento previo sobre RouterOS
Conocimiento previo sobre networking
Qu espera de este curso?

Recuerde su nmero N de clase
Mi nmero es: _____
MikroTik Xperts 2014
Cronograma
08:00 10:30 Sesin I
10:30 11:00 Receso
11:00 13:00 Sesin II

13:00 14:00 Hora de almuerzo
14:00 15:30 Sesin III

15:30 16:00 Receso
16:00 17:30+ Sesin IV

Objetivos del Curso
El sistema RouterOS y las capacidades del

hardware RouterBoard
Prcticas sobre el router MikroTik,

configuracin, mantenimiento y resolucin
de problemas.
Capacitar para dar servicios bsicos a

clientes
Durante el curso
Ubicacin de salida de emergencia , sanitarios y refrigerios.
Hidratacin
Material del curso
Equipo RB951-2n o RB751
2 Cables de red (uno corto y uno largo)
Gua de estudio con clip
Por respeto al entrenador y a sus compaeros favor:
Colocar el telfono celular en silencio
Tomar las llamadas fuera del saln
No est permitido tomar videos parcial o total de las clases.

Modulo 1
RouterOS y Routerboard
Acerca de MikroTik
Fabricante de Hardware y desarrollador de software
Productos utilizados por ISP, WISP, compaas, etc.
Hacer las tecnologas de Internet ms rpidas,
potentes y asequible para una gama ms amplia de
usuarios
www.mikrotik.com
www.routerboard.com
wiki.mikrotik.com
forum.mikrotik.com
en.wikipedia.org/wiki/MikroTik
Industria
Networking hardware
Ao de fundacin
1995
Sede
Riga, Latvia
Directivos
John Tully, CEO

Arnis Riekstins, CTO
Productos
Routers, Firewalls
Ingresos
62.5 million Euros (2011)
Ingresos Netos
20.6 million Euros (2011)
Empleados
80 (2012)
Dnde est MikroTik ?

Riga, LATVIA,
Letonia
Noreste de Europa
La Historia de MikroTik
1995: Fundacin
1997: Software RouterOS para x86 (PC)
2002: Nacimiento de RouterBOARD
2006: Primer MUM
Evolucin del RouterOS
v6 Mayo 2013
v5 - Mar 2010
v4 - Oct 2009
v3 - Jan 2008
Qu es RouterOS ?
RouterOS es un sistema operativo que convierte a un dispositivo en:

Un router dedicado
Un clasificador de trfico
Filtro transparente de paquetes
Un dispositivo inalmbrico compatible con 802.11a,b/g,n
Firewall
Enlaces inalmbricos
VPN
Portal Cautivo
El sistema opertativo de los RouterBOARD
Puede ser instalado en un PC
Qu es RouterBOARD ?
Un hardware creado por Mikrotik
Todos operan con el sistema RouterOS
Abarca un rango amplio desde routers caseros

hasta routers de proveedores de servicio.
10
Soluciones
Integradas
Son productos que se entregan completos con su caja
y adaptador de corriente
Listos y preconfigurados con las funcionalidades ms
bsicas, solo es necesario conectarlos a internet o a la
red corporativa
Tarjetas
Son vendidas por separadas, es necesario la compra
de caja, adaptador e interfaces por separado

Perfectas para ensamblar sistemas con la mayor
personalizacin
11
Nota de inters
El nombre de los routers es seleccionado de

acuerdo a las caractersticas del mismo. Ejemplos:
o
CCR : Cloud Core Router
RB : RouterBoard
2, 5 : 2,4GHZ or 5GHz wifi radio
H : High powered radio
S : SFP
U : USB
i : Injector
G : Gigabit ethernet
12
Primer acceso
Null Modem
Cable
Ethernet
cable
13
Formas de acceso
Va RS232 (Slo para ciertos RouterBoard)

Va WEB
Va Winbox (IP o MAC)
Va Telnet
Disponible en casi todos los sistemas operativos

Forma insegura
Va SSH
Dispone de muchas erramientas gratuitas para su conexin, tales como
PuTTY
Va segura de acceso
14
Equipo de fbrica
Conectar la laptop al puerto 5 del router
El equipo entregar una IP del segmento 192.168.88.0/24
15
Descarga de Winbox
Ingresamos al servidor web interno del router con la IP del router 192.168.88.1
Al tener usuario/clave por defecto ingresar directamente al men webfig de
gestin
Descargar el winbox y guardar en el escritorio
16
Descarga del Winbox

www.mikrotik.com
17
Winbox
Es la aplicacin para la configuracin del RouterOS

Winbox es una herramienta que permite administrar un
Mikrotik utilizando una rpida y simple interfaz grfica.
Es nativo de Windows, pero puede ser utilizado en Linux o Mac
mediante Wine.
Todas las funciones de Winbox son lo mas parecidos a
configuralo por cnsola, razn por la cual no hay secciones
especficas del Winbox en el manual.
Algunas opciones avanzadas no son posibles va Winbox, como
el cambio de MAC de una interfaz.
Puede ser descargado desde www.mikrotik.com/download.
18
Conectando
Haz click en el botn [...] para ver el router
19
Conectando
Ethernet
Cable
Winbox
20
Laboratorio de conexin
Ingrese al Mikrotik mediante la Mac-Address
El usuario por defecto es admin sin
password.
Tome unos minutos para ver la ubicacin de

los menus
21
Laboratorio de conexin
Borrar la configuracin
por defecto
Caso 1: desde el men

Remove Configuration
v
Caso 2: desde el terminal

system reset-configuration no-defaults=yes
v
En este caso pedir reinicio

22
Comunicacin
El proceso de comunicacin se divide en 7
capas.
Abarca desde la ms baja (capa fsica) hasta

la ms alta capa de aplicacin.
23
24
7 Aplicacin
Especifica los mtodos para llevar a cabo una tarea iniciada por el usuario. Los protocolos de la capa de aplicacin
tienden a ser concebidos y ejecutados por los desarrolladores de aplicaciones. Ejemplo: FTP, Skype, HTTP, etc.
6 Presentacin
Especifica los mtodos para la expresin de los formatos de datos y normas de traduccin para aplicaciones. La
encriptacin se asocia algunas veces con esta capa. Ejemplo: Conversin de EBCDIC a ASCII. Extensiones JPEG,
Docx
5 Sesin
Especifica mtodos para mltiples conexiones que constituyen una sesin de comunicacin. Esto puede incluir
cerrar conexiones, reiniciar conexiones y puntos de control. Ejemplo: ISO X.25
4 Transporte
Especifica los mtodos para las conexiones entre mltiples programas que se ejecutan en el mismo PC. Esta capa
puede implementar entregas seguras en caso de que no se apliquen en otros lados. Ejemplo: Internet TCP, ISO,
TP4)
3 Red
Para redes de paquetes, describe un formato de paquete abstracto y su estructura de direccionamiento estndar.
Ejemplo: IP datagram, X.25 PLP, ISO CLNP
2 Enlace de datos
Especifica los mtodos para comuncarse a travs de un enlace, incluyendo protocolos de control de acceso al
medio. La deteccin de error se incluye comunmente en esta capa. Ejemplo: Ethernet, Wi-Fi, ISO 13239/HDLC.
1 Fsica
Especifica los conectores, tasas de datos, y la forma en que los bits son codificados en algn medio. Tambin
describe deteccin y correccin de bajo nivel, ms asignaciones de frecuencia. Ejemplo: V.92, Ethernet
1000BASE-T, SONET/SDH
25
MAC address
Direccin nica de capa de enlace
Utilizada para comunicaciones dentro de la
misma LAN
Ejemplo: 00:0C:42:20:97:68
26
IP
Es la direccin lgica para un dispositivo de
red.
Se utliza para comunicacin entre distintas

redes.
Ejemplo: 159.148.60.20
27
Subredes
Rango de IP que divide la porcin de red en
varios segmentos
Ejemplo: 255.255.255.0 o /24

28
Subredes
La direccin de red es la primera direccin de la subred.

(no se puede utilizar) Ej: 192.168.1.0/24
La primera direccin disponible de host corresponde con
el consecutivo de la direccin de red. Ej: 192.168.1.1/24
La ltima direccin disponible de host corresponde con la
direccin anterior al broadcast. Ej: 192.168.1.254/24
La direccin de broadcast es la ltima IP de la subred (no

se puede utilizar). Ej: 192.168.1.255/24
29
Estructura de direccionamiento IP
Cada PC conectado a una red TCP/IP debe tener al

menos una IP para comunicarse.(Capa 3)
IP: 32 bits = 4 octectos
1 octeto = 8 dgitos binarios = 1 Byte
Se representa con decimales por sencillez.
30
CIDR
Subnet Mask
/32
/30
/29
/28
/27
/26
/25
/24
255.255.255.255
255.255.255.252
255.255.255.248
255.255.255.240
255.255.255.224
255.255.255.192
255.255.255.128
255.255.255.0
Hosts
Disponibles
42=2
82=6
16 2 = 14
32 2 = 30
64 2 = 62
128 2 = 126
256 2= 254
CIDR
Subnet Mask
Hosts Disponibles
/23
/22
/21
/20
/19
/18
/17
/16
255.255.254.0
255.255.252.0
255.255.248.0
255.255.240.0
255.255.224.0
255.255.192.0
255.255.128.0
255.255.0.0
512 2 = 510
1024 2= 1022
2048 2 = 2046
4096 2 = 4094
8192 2 = 8190
16384 2= 16382
32768 2= 32766
65536 2= 65534
El prefijo es expresado en notacin CIDR (Classless Inter-Domain

Routing). Primero se escribe la direccin de la red seguida por el
caracter (/), finalizando con la cantidad de bits del prefijo de red
y subred. Por ejemplo una 192.168.1.0/24 tiene 24 bits de red y
los restantes 8 bits son para host.
31
Seleccionando la
direccin IP
Seleccione una direccin IP del mismo
segmento de su red local
Especialmente en redes grandes con

segmentos mltiples.
32
Escogiendo una IP
RANNGO
Direccin de Red: 192.0.0.0/16

1 Host vlido: 192.0.0.1
....
ltimo host vlido: 192.0.255.254
Broadcast: 192.0.255.255
33
Topologa de clase
ether1-wan
ether5-laptop
laptop
Router1
wan: 103.23.247.x (DHCP Cliente)
lan: 192.168.N.1/24
Mikrotik
Principal
lan: 192.168.N.1/24
laptop
Internet
103.23.247.1
Router
2
wan: 103.23.247.x (DHCP Cliente)
34
Laptop - Router
1. Deshabilitar cualquier interfaz
inalmbrica de la laptop
2. Colocar la direccin IP
192.168.N.1
3. Colocar mscara 255.255.255.0

4. Colocar 192.168.N.254 como
puerta de enlace predeterminada
y DNS preferido
35
Etiquetar interfaces (TIP)

1.Ingresar al router
2.Ir a interfaces
3.Hacer doble
click sobre una
interfaz
4.Cambiar el
nombre
36
Laptop - Router
1.Conectar al router
con MAC-Winbox
2.Agregar la IP
192.168.N.254/24 al
puerto ether5
37
Laptop - Router
Cerrar el Winbox y conectar de nuevo
utilizando la direccin IP.
El acceso va MAC debe ser slo usado

cuando el router no sea accesible va IP.
38
Router - Internet
El Gateway a internet de la clase ser
accesible va cable UTP.
El router del instructor ser su proveedor de

internet.
39
Router - Internet
40
Router - Internet
Revisar la
conectividad hacia
internet.
41
Router Internet
Class AP
Your Laptop
Your Router
DHCP-Client
Ether1-wan
42
Laptop - Internet
Cambie el DNS de su laptop con la IP de su
router. (192.168.N.254)
43
Laptop - Internet
La laptop puede acceder al router y el router
puede acceder a internet, para que su laptop
acceda a internet es necesario un paso
adicional.
Es necesario crear una regla de Masquerade

en el Firewall Filter para ocultar su red
privada detrs del router y que pueda ser
enrutable hacia internet.
44
IPs privadas y pblicas
El Masquerade es utilizado para acceso a redes pblicas,

donde no son enrutables IP privadas.
Segn el RFC 1918 de la IETF las redes privadas son:

10.0.0.0 - 10.255.255.255 (10.0.0.0 /8)
172.16.0.0 - 172.31.255.255 (172.16.0.0 /12)
192.168.0.0 - 192.168.255.255 (192.168.0.0 /16)
45
Laptop - Internet
46
Laptop - Internet
Su router puede ser el servidor DNS de su red local (laptop)

47
Probar conectividad
Ping www.mikrotik.com desde su laptop
48
TroubleShooting
Su router puede hacer ping al AP?

Puede su router resolver nombres?
Puede llegar a redes ms alla de su router?
Su Laptop puede resolver nombres?
Coloc correctamente la regla de Masquerade?
Verificar que la laptop tenga puerta de enlace y
DNS configurados correctamente.
49
Diagrama de red
Your Laptop
Your Router
Class AP
192.168.N.1 192.168.N.254
DHCP-Client
50
Gestin de usuarios
Control de usuarios
Se pueden crear diferentes tipos de usuarios
51
Laboratorio de gestin
de usuarios
Crear un nuevo usuarios con acceso de lectura

Recordar el nombre/contrasea de usuario
Logearse con el nuevo usuario y ver las
limitaciones de la nueva cuenta.
Ingresar como Admin y cambie la cuenta

creada a privilegios Full
52
Antes de actualizar
El procedimiento requiere planificacin
Paso a paso en orden preciso
Requiere probar
Recomendable realizarlo en una ventana de
mantenimiento
Puede que ciertas caractersticas o sintaxis de la
configuracin anterior no coincidan con la nueva versin
Estar preparado para retornar a la versin previa si es
necesario
53
Antes de actualizar
Revisar la arquitectura que corresponde con el sistema

operativo (mipsbe, pcc, X86, misple, tile)
Si dudas es posible revisar la arquitectura en la esquina

izquierda del Winbox
Conocer los archivos que requiero:

NPK : Sistema base RouterOS con los paquetes estndar.
ZIP: Contiene todos los paquetes (bsicos y adicionales)
Changelog: Indica los cambios y mejoras entre versiones

54
Laboratorio de
actualizacin de RoS
Descargar los paquetes .zip desde http://103.23.247.7
Descomprimir el archivo .zip en una carpeta
Subir los archivos desde el winbox va IP
Reiniciar el router con el comando reboot.
Las actualizaciones siempre estn disponibles en
www.mikrotik.com
55
Actualizando el router
Utilizar el combinado de paquetes de RouterOS

Arrastrar los archivos a files.
56
Laboratorio de
actualizacin de RoS
En nuevas versiones de RoS se habilita la descarga

automtica.
57
Downgrade
Si en el algn momento necesitamos bajar a una
versin anterior:
Subimos los archivos de la versin en el files
Y en el package List clickeamos Downgrade

Tambin es posible va terminal con el comando
system package downgrade
58
Gestin de paquetes
Las funcionalidades del RouterOS son habilitadas

mediante paquetes
59
Informacin de paquetes
60
NTP
Network Time Protocol, para sincronizar hora
Son soportados el Servidor NTP y el cliente
NTP en RouterOS
61
Por qu NTP?
Para obtener la hora correcta
En el caso de routers sin memoria interna
pueda preservar la informacin de la hora
Disponible en todos los RouterBOARDs

62
Cliente NTP
El paquete NTP no es requerido
63
Laboratorio de paquetes
Deshabilitar NTP (Pregunta de exmen)
Reiniciar con reboot
Revisar que NTP Client cambio a SNTP Client
64
Actualizacin del
RouterBoot
Revisamos la versin actual

De ser necesario actualizar
65
Router Identity
Opcin para colocarle nombre al router
66
Router Identity Lab
Colocarle al nombre del router su su nmero N_nombre
67
Router Identity
El nombre puede ser visto en diferentes sitios.
68
Tipos de respaldo
Respaldo Binario (.backup)
Exportar la configuracin (.rsc)
69
Respaldo Binario
Se pueden hacer respaldos y restaurar configuraciones en el men file de Winbox.
Se garantiza la restauracin en un router idntico en Software y Hardware
Son archivos encriptados por lo que no son editables

Tambin se pueden hacer y restaurar respaldos desde el terminal permitiendo
personalizacin del archivo. Ejemplos:
system backup save name=mirespaldo_RB750_5.26 (Creacin)

system backup load name=mirespaldo_RB750_5.26 (Restauracin)
70
Respaldo con Export

Se pueden hacer respaldo parciales o totales de la configuracin
Estos archivos son editables

Las contraseas no son guardadas con el export
Se puede utilizar compact para que muestre slo la configuracin que no es
por defecto.
Para importar una configuracin tener en cuenta no sobreescribir comandos
/export file=conf_RB750_Dic-12 (Respaldo completo)

/export compact file=conf_RB750_Dic-12 ( Respaldo limpio)
/ ip firewall filter export file=firewall-aug-2012 (Respaldo parcial)
/import file-name=conf_RB750_Dic-12 (Restauracin)
71
Laboratorio de Backup
Crear archivos de backup y export
Descargarlos a la laptop.
o Nota: tener los respaldos en el files unicamente no es
una buena estrategia
Abrir el archivo de export con un editor de texto

72
Licencias
6 Niveles de Licencia
0 : Demo (24 horas)
1 : Free (muy limitada)

3 : WISP CPE (Cliente Wi-Fi)
4 : WISP (Requerida para colocar en modo AP el router)

5 : WISP (Mayor capacidad de usuarios, VPNs,etc)
6 : Controller (Capacidade ilimitadas)

73
Licencias
74
Obtener una licencia

Tips:
La licencia se puede utilizar
para un nico dispositivo
Login to
your account
Todos los RouterBoard vienen

con una licencia preinstalada
Se recomienda no formatear
la unidad con herramientas
que no sean de MikroTik
75
Netinstall
Usar para instalar o reinstalar el RouterOS
Se utiliza cuando se pierde el password de
acceso o se corrompe el RouterOS
Corre en computadores Windows

La conexin directa con el router es
preferida o sobre un Switch
Disponible en www.mikrotik.com
76
Procedimiento Netinstall
1. Descargar el Netinstall y el archivo .npk de la versin 5.26
2. Desactive firewall y antivirus del computador
3. Conectar el computador en el puerto 1

4. Colquele a su computador una IP esttica
5. Abra la aplicacin Netinstall
1. Haga click en Net-booting y coloque una IP en el
mismo segmento de su computador
2. En la seccin de Package, haga click en Browse y
ubique el directorio con el archivo NPK correcto
77
Procedimiento Netinstall
5. Desconecte la alimentacin y presione el botn reset
6. Conecte el la alimentacin y libere el botn reset cuando el
led ACT se apague (unos 10 seg)
7. Seleccione el router luego que aparezca en Routers/Drive

Cuidado: no aplique este procedimiento a los disco duros de
su computador, podra formatear la unidad.
8. Seleccione el RouterOS requerido en Packages. 9. Presionar
el botton Install y esperar a que cargue
78
Links tiles
www.mikrotik.com gestin de licencias, documentacin

forum.mikrotik.com compartir experiencias con otros
usuarios, foro moderado por el equipo de MikroTik
wiki.mikrotik.com toneladas de ejemplos
www.tiktube.com Videos de presentaciones de trainers,
partners, ISPs durante, etc durante los MUMs
79
Mdulo 2
Enrutamiento
80
Conceptos de
enrutamiento
Enrutamiento es un proceso de la capa 3 del

modelo OSI.
Define a donde ser reenviado el trfico

Es requerido para que diferentes redes se
comuniquen entre s.
Es necesario rutas bidireccionales para que

haya comunicacin entre 2 redes.
81
Significado de flags
Las rutas tienen diferentes estatus. En este

curso conoceremos los siguientes:
X : Deshabilitado
A : Activo
D : Dinmico
C : Conectado
S : Esttico
82
Rutas estticas
Las rutas a subredes que ya existen en el
router son creadas automticamente a
penas se agrega una IP a la interfaz (rutas
conectadas)
Para subredes que estn conectadas a otros

routers necesitaremos rutas estticas
83
Rutas
Validar la configuracin
Pruebe hacer ping a su laptop
Pruebe hacer ping al laptop del vecino
192.168.N.1
Configuraremos rutas estticas para poder

llegar a su vecino.
84
Entendiendo los campos

Flags: El estado de cada ruta como fue
explicado anteriormente.
Destination address: define las redes que
pueden ser alcanzables
Gateway : La IP del prximo salto (router para
poder alcanzar red destino)
Distancia: Valor utilizado para la seleccin de la

ruta. En las configuraciones que tenemos
varias distancias posibles, la ruta preferida
es la ruta con el menor valor.
Pref. Source : La direccin IP de la interfaz
local que es responsible de enviar los
paquetes de una red anunciada
85
Gateway por defecto

Gateway por defecto:
El prximo salto
donde todos los
paquetes cuyas rutas
no se conozcan sern
enviados
86
Laboratorio de gateway por

defecto
En estos momentos su router recibe el
gateway por DHCP
Deshabilite que se reciba va DHCP

Agregue la puerta de enlace predeterminada
manualmente.
87
Enrutamiento
Revise las otras

rutas
Las rutas
marcadas con
DAC son
agregadas
automticamente
La ruta DAC viene

de las interfaces
activas con
direccin IP
88
Enrutamiento esttico
El objetivo es hacerle ping a la laptop del
vecino
Lo conseguiremos mediante rutas estticas

89
Las rutas estticas definen como alcanzar
una red destino
El Default gateway tambin es una ruta

esttica hacia 0.0.0.0, enva todo el trfico
cuya ruta desconoce
90
Deshabilitaremos la regla de masquerade
que esconde nuestra red privada
Es necesaria una ruta esttica para alcanzar

la laptop del vecino dado que el gateway
(router del instructor) no tiene informacin
de las redes privadas de los estudiantes.
91
Ruta hacia su vecino

Recuerda la topologa de red
La red de su vecino tiene el formato
192.168.N.0/24
Preguntele al vecino la direccin IP de su

interfaz wan.
92
Rutas
Las reglas del

ip route
indica a
donde van a
ser enviados
los paquetes
Para ver las

rutas:
/ip route
/print
93
Ruta al vecino
Agregue una ruta
Indique la red destino, la red local de su
vecino
Indique el gateway, la direccin que es usada

para alcanzar el destino, corresponde con la
IP de la interfaz wan del router vecino
94
Ruta al vecino
Agregue ruta
Coloque el
gateway
Haga ping a la
laptop de su
vecino
Nota: Recuerde que debe

haber una ruta de regreso
95
Enrutamiento dinmico
La misma configuracin es posible con
enrutamiento dinmico
Imagine que tiene que crear rutas estticas a

cada vecino de su red.
En lugar de crear cientos de rutas, los

protocolos dinmicos intercambian paquetes
y ejecutan algoritmos que les permite
encontrar y divulgar mejores rutas hacia
algn destino.
96
Fcil de configurar, difcil de gestionar y
hacer troubleshooting
Utiliza mayores recursos de RAM y CPU del

router
97
Veremos uno slo de los protocolos de
enrutamiento dinmicos: OSPF
OSPF es de rpida convergencia y obtiene

rutas ptimas.
Fcil de configurar
98
Configuracin OSPF
Agregue su red
LAN y su red WAN
en la pestaa
Networks de OSPF
El protocolo se
habilitar
Nota: Lo nico necesario para

activar OSPF es agregar una
red Networks
99
OSPF LAB
Revisar las rutas
Hacer ping al PC de su vecino
Recuerde, son necesarios conocimientos
adicionales para administrar redes con OSPF
100
Mdulo 3
Bridging
101
Bridge
Los puentes son dispositivos de la capa 2 del modelo OSI.

Son utilizados para unir dos segmentos diferentes (o similares)
Para crear un bridge se debe crear una interfaz de bridge
Luego aadir las interfaces correspondientes a ese bridge.
Son utilizados para crear dominios de colisin ms pequeos.

Los Switches son conocidos como puentes multi puertos.
Cada puerto es un dominio de colisin de un dispositivo.
102
Ejemplo 1
Todas las computadoras se pueden comunicar entre si

Todas tienen que esperar que todas esten calladas antes de
empezar a transmitir
103
Ejemplo 2
Todas las computadoras an necesitan escuchar al otro
Todas las computadoras ahora slo comparten la mitad del
cable
An todas tienen que esperar que todas estn calladas, pero
ahora el grupo es de la mitad del tamao.
104
Utilizando bridge en Mikrotik
Est opcin est por defecto en los routers MikroTik, los

puertos Ethernet estn asociados (en modo esclavo) a un
puerto master.
Ventaja: Conmutacin cableada de alta velocidad (a travs

de chip de switch, conmutacin de hardware)
Desventaja: El trfico de los puertos esclavos no es visible.
No es deseable si se utiliza SNMP para monitorear el uso de
los puertos.
105
Utilizando bridge en Mikrotik
Removiendo la configuracin maestro y esclavo, es necesario

utilizar interfaz de bridge para unir los puertos requeridos
en una misma LAN
Ventaja: Visibilidad completa de todas las estadsticas de
los puertos dentro del bridge
Desventaja: La conmutacin es realizada a travs del
software lo que requiere mayor procesamiento de CPU. La
velocidad de transmisin ser inferior a la ptima velocidad
de tranferencia
106
Creando el Bridge
El bridge se configura desde el men

/interface bridge
Por estabilidad utilizar rstp y una MAC Fija
107
Agregar puertos al Bridge
Las interfaces son agregadas una a una al Bridge
Ahora es necesario colocarle la IP del puerto 5 al

bridge_lan
108
Bridge
Se pueden agregar interfaces Ethernet, wlan
sin problemas
Los clientes inalmbricos en (mode=station)

no soportan bridge dada las limitaciones de
802.11
La configuracin de bridge en interfaces
inalmbricas se ver en el prximo mdulo.

109
Mdulo 4
Redes
Inalmbricas
110
Redes inalmbricas
RouterOS soporta varios mdulos de radio
para comunicacin inalmbrica en 2.4Ghz y
5Ghz
MikroTik RouterOS brinda completo soporte

a estndares 802.11a/b/g/n
111
Estndares inalmbricos
IEEE 802.11b - 2.4GHz , 11Mbps
IEEE 802.11g - 2.4GHz , 54Mbps
IEEE 802.11a - 5GHz, 54Mbps
IEEE 802.11n - 2.4GHz o 5GHz hasta 300 Mbps
112
Canales 802.11 b/g

1
10
11
2483
2400
(11) Canales de 22 MHz (US)

3 canales que no se solapan
3 puntos de acceso pueden ocupar la misma rea sin
causarse interferencia (1,6,11)
113
Canales 802.11a
36
40
42
44
48
5210
5150
5180
149
5220
153
157
5760
5735
5745
5765
52
56
5250
5200
152
50
5240
160
58
60
64
5300
5320
5290
5260
5280
5350
161
5800
5785
5805
5815
(12) canales de 20 MHz

(5) canales de 40MHz (wide turbo channels)
114
Bandas soportadas
Todos los canales 5GHz (802.11a) y
2.4GHz (802.11b/g)
115
Frecuencias soportadas
Dependiendo de las regulaciones por pas las
tarjetas inalmbricas funcionan en el rango:
o 2.4GHz: 2312 - 2499 MHz
o 5GHz: 4920 - 6100 MHz
116
Regulaciones del pas
117
Nombre del radio

Utilizaremos el nombre del radio para el mismo
propsito que el router identity
Colocar en el nombre del radio: Su nmero + nombre
118
Red inalmbrica
119
Configuracin de estacin
Fijar mode=station
Selecione la banda
Indicar el SSID
El canal se puede
seleccionar haciendo
un Scan
120
Connect List
Indica los
parmetros para
que el cliente
seleccione el
punto de acceso
donde se va a
conectar
121
Connect List Lab

Ahora su router est conectado al punto de
acceso de la clase
Cree una regla para no permitir la conexin

al AP de la clase
Utilice los parmetros del Connect-list

122
Configuracin de AP
Coloque el modo
mode=ap-bridge
Seleccione la Banda
Indique el SSID
Fije la frecuencia
123
Snooper monitor inalmbrico

Se utiliza para
obtener una vista
global de las redes
inalmbricas en la
banda seleccionada
La interfaz
inalmbrica se
desconecta para
usar esta
herramienta
124
Tabla de registros
Ve todo los
dispositivos
conectados a
las interfaces
inalmbricas
125
Seguridad del punto de acceso

Access-list: para ver
clientes y en que
condiciones se
conectarn
Deshabilitando el
DefaultAuthentication se
conectan solo los
usuarios del AccessList
126
Default Authentication
Habilitada, las reglas del Access-List el
cliente se puede conectar a menos que haya
una regla que lo niegue.
Deshabilitada, slo se revisan los usuarios

en el Access-List
127
Laboratorio de
Access-List
Este laboratorio lo har el instructor en el
punto de acceso de la clase
Deshabilitar conexin a un usuario especfico

Permitir conexin para slo ciertos clientes
128
Seguridad
Habilitemos la encriptacin en nuestra red
inalmbrica
Utilizar encriptacin WPA o WPA2

Todos los dispositivos de la red deben tener
las mismas opciones de seguridad
129
Seguridad
Crear un nuevo perfil

llamado profile1
Habilitar las opciones

WPA y WPA2 PSK
La contrasea es
mikrotikmtcna
130
Tip de configuracin
Para ver la
contrasea
deshabilitar la opcin
Hide Password
Se pueden ver otras
contraseas excepto
la de los usuarios del
MikroTik
131
Aislar clientes inalmbricos

El Default-Forwarding se
utiliza para deshabilitar
trfico entre clientes
conectados al mismo punto
de acceso
132
Default Forwarding
Las reglas del Access-List tienen mayor
prioridad
Revisar si las reglas estn funcionando para

controlar los clientes
133
Nstreme
Protoclo propietario de MikroTik
Mejora enlaces inalmbricos, especialmente
los de largo alcance
Para utilizarlo en la red es necesario

habilitarlo en todos los dispositivos
inalmbricos dentro de la red
134
NV2 (Nstreme Version 2)

Protoclo propietario de MikroTik
Para utilizar con chip Atheros 802.11
Basado en TDMA (Time Division Multiple
Access) en reemplazo de CSMA (Carrier
Sense Multiple Access)
Utilizado para mejorar el desempeo en

largas distancias
135
NV2 (Nstreme Version 2)

Beneficios de NV2
Incrementa la velocidad del enlace
Ms clientes conectados en ambientes
punto-multipunto (limitado a 511 clientes)
Menor latencia
No hay limitaciones de distancias
136
Redes inalmbricas en
bridge
El modo Station-Bridge: Es un modo
propietario para crear bridge en capa 2 de
forma segura entre routers MikroTik.
Pueden ser utilizados para expandir subredes

inalmbricas a ms clientes.
137
Mdulo 5
Gestin de Red Local
138
Planeacin de la red local

Planifique su red cuidadosamente
Tome cuidado de los usuarios locales que
tienen acceso a su red
Implemete las caractersticas de RouterOS

para asegurar los recursos dentro de su red
139
ARP
Address Resolution Protocol
ARP se encarga de encontrar la direccin MAC
que le corresponde a una IP determinada
ARP funciona de manera dinmica pero
tambin puede ser manejado estticamente
140
ARP Table
La tabla de ARP
muestra la IP,
MAC y puerto
donde est
conectado un
dispositivo
141
Tabla esttica de ARP

Para mejorar la seguridad local, las entradas
ARP pueden ser creadas manualmente
De esta manera los clientes no podran tener

acceso a Internet si se cambia la direccin IP
142
Modos ARP
Los modos ARP le indican al RouterOS como el ARP va a funcionar
o
Estos modos son configurados por interfaz
Los modos son:

o
Enabled: Modo por defecto. Las peticiones ARP son respondidas y la

tabla ARP ser llenada de forma automtica
Disabled: La interfaz no enviar o reposder peticiones ARP de otros

hosts. Ser necesario indicarle al router las MAC
Proxy ARP: El router responde las peticiones ARP provenientes de su

red directamente conectada (sin importar el origen)
Reply-only: El router slo responder peticiones ARP. La tabla ARP

debe ser llenada de forma esttica
143
Configuracin de ARP esttico

Agregar una entrada
esttica en la tabla ARP
Fije la interfaz arp=replyonly para deshabilitar

creacin dinmica va
ARP
Dehabiltar y habilitar la
interfaz o reinicie el
router
144
Laboratorio de ARP esttico

Coloca la MAC de tu laptop como entrada
esttica
En la configuracin del puerto Ethernet

coloca arp=reply-only
Cambia la IP de tu PC (dentro del mismo

segmento)
Prueba la conectividad a Intenet

145
Servidor DHCP
Dynamic Host Configuration Protocol
Usado para entregar de forma automtica
direcciones en una red local
Usar DHCP slo en redes seguras

146
Servidor DHCP
Para configurar el servidor DHCP es necesario
tener una IP en la intefaz
Utilice el comando setup para habilitar el

servidor DHCP
Sern preguntados los datos necesarios

147
Configurando el Servidor
DHCP
Click
on
DHCP
Setup
Time
DNS
Set
that
Addresses
server
client
address
may
that
use
SetSet
Network
Gateway
for for
DHCP,
to run
Setup
Wizard
that
will
will
be
be
IP
given
assigned
address
to
to clients
offered
DHCP
automatically
clients
Select
interface
forclients
DHCP server
148
Importante
Para configurar el servidor DHCP en un
bridge, fija el servidor en la intefaz de bridge
Si se configura en uno de los puertos del

bridge, el servidor aparecer invlido
149
Servidor DHCP
Configure el servidor DHCP en la interfaz
ethernet donde est conectada la laptop
Cambiar la configuracin de la laptop para

que tome direccin de forma dinmica
Revise la conexin a internet

150
Informacin de DHCP
El lease muestra
informacin de las
direcciones
entregadas .
151
Tip de winbox
Mostrar
campos
adicionales
con nuevas
columnas
152
Lease esttico
Podemos hacer un
lease esttico
El cliente no podr
obtener otra
direccin
153
Lease esttico
El servidor DHCP puede correr sin lease
dinmico
Los clientes recibirn las direcciones

preconfiguradas
154
Lease esttico
Fijar el Address-Pool a
slo esttico
Crear el lease esttico

155
Herramientas RouterOS
156
E-mail
Esta herramienta permite enviar correos
desde el router
Puede ser utilizada en combinacin de otras

herramientas, como por ejemplo enviar
respaldos perodicos al administrador de la
red
Para acceder
/tools e-mail
157
Ejemplo de E-mail
Configurar el servidor SMTP

/tool e-mail
set address=173.194.75.108 from=mail@academyxperts.com.ve password=CL4V3 port=587 starttls=no

user=mail@academyxperts.com.ve
Enviar el archivo de configuracin va mail

/export file=export
/tool e-mail send tls=yes to="gangulo@academyxperts.com.ve" subject=oficina body="$[/system clock get date]
configuration file" file=export.rsc
158
Netwatch
Esta herramienta permite monitorear el

estado de dispositivos
Para cada entrada se puede especificar:

Direccin IP
Intervalo de ping
Scripts de Up y Down
Para acceder
/tools netwatch
159
Netwatch
De gran utilidad para:
Notificaciones de cada en la red
Cambios automticos en el caso de
una avera, ejemplo: caida del router
principal
Chequeo rpido de enlaces activos
Cualquier cosa que puedas arreglar
para simplificar y hacer rpido tu
trabajo (te har ver mas eficente!)
160
Ping
Herramienta de conectividad bsica, utiliza ICPM para

determinar la accesibilidad de host remotos y retardos
Una de las herramientas de resolucin de problemas bsica. Si
responde al ping el host est activo (al menos en capa de red)
Es un buen comienzo para diagnosticar un problema, pero no
es la ltima herramienta.
Para detener ser necesario CTRL-C
161
Traceroute
Usada para mostrar todos los routers saltados para alcanzar

el destino.
Indica el retardo para alcanzar un router en el paso al destino

Muy bueno para ubicar el nodo que pone lenta la transmisin.
162
Traceroute
163
Profiler (Carga de CPU)

Herramienta que muestra la carga del CPU.
Muestra los procesos y su carga en el CPU

Nota: idle no es un proceso. Esto significa que el CPU no est
siendo utilizado
164
Mdulo 6
Firewall
165
Firewall
Protege al router y sus clientes de acceso no
autorizado
Es una barrera entre 2 redes, ejemplo LAN

(red confiable) e Internet (red no confiable)
Puede hacerse mediante creacion de reglas

en Firewall filter y NAT
166
Firewall Filter
Consiste en reglas definidas por el usuario

basadas en el principio de IF-Then. Tienen 2
partes
Condiciones marcadas: Las condiciones que deben
chequearse.
Accin: Que se har si se encontraron las coincidencias.
Las reglas son ordenadas en cadenas

Existen cadenas predefinidas y cadenas
creadas por los usuarios.
167
Filter Chains
Las reglas pueden ser colocadas en 3 cadenas:
input (hacia el router)
output (desde el router)
forward (atravesando el router)
168
Firewall Chains
Input
Winbox
Output
Ping from Router
Forward
WWW E-Mail
169
Firewall Chains
170
Input
Esta cadena contiene las reglas del filter que
protegen al mismo router
Bloqueemos a todos excepto su laptop.

171
Input
Agregar una regla de accept para la IP de su laptop
172
Input
Agregar un regla
drop de la
cadena input
para
descarcartar a
los dems
173
Input Lab
Cambie la direccin IP de su laptop a
192.168.x.y
Trate de conectarse. El firewall est

funcionado!!!
An se puede establecer conexin va

direcciones MAC dado que el Firewall Filter
funciona slo en capa 3
174
Input
El acceso a su router es bloqueado
No tiene internet
Se estn bloqueando las peticiones DNS tambin
Cambia la configuracin para retomar la
conexin a internet
175
Input
Se puede
deshabilitar el
acceso va MAC
en Tools/MAC
Server
Cambiar la IP de
la laptop a la IP
anterior
192.168.N.1
176
Address-List
Address-list permite filtrar un grupo de
direcciones con una sola regla
Tambin se pueden agregar direcciones de

forma automtica y luego bloquearlas.
177
Address-List
Crear varias address-list

Se pueden agregar: Subredes, rangos
separados, un slo host.
178
Address-List
Agregar un host
especfico al
address-list
Indicar un
timeout para un
servicio temporal
179
Address-List in Firewall
Se pueden hacer
bloqueos por
listas de acceso
tanto en origen
como en destino
180
Address-List Lab
Crear address-list con direcciones IP permitidas
Aadir una regla para aceptar estas direcciones
permitidas.
181
Forward
Esta cadena contiene reglas para controlar
paquetes que van atravesar el router
Se controla trfico hacia y desde los clientes.

182
Forward
Crear una regla
para bloquear el
puerto TCP 80
(Navegador Web)
Es necesario
seleccionar el
protocolo al hacer
bloqueo por
puertos.
183
Forward
Probar abriendo www.mikrotik.com
Probar abriendo http://192.168.N.254
Se puede mostrar la pgina web del router ya
que el bloqueo es aplicado en la cadena de
Forward
184
Lista de puertos bien conocidos
185
Firewall Log
Veamos los pings
que el cliente enva

al router
Esta regla debe ser
agregada antes de
las dems acciones.
186
Firewall Log
187
Firewall chains
Se pueden crear cadenas personalizadas a excepcin
de las ya creadas (input, forward, output)
Permite crear la estructura de firewall ms simple

Disminuye la carga de procesamiento del router
188
Cadenas de Firewall en
accin
Secuencia de las
cadenas
personalizadas
Las cadenas
personalizadas
pueden
utilizarse para
virus,protocolos
TCP, UDP, etc.
189
Laboratorio de Firewall
Descargar el archivo viruses.rsc desde el servidor
WEB y subirlo al files.
Carga la configuracin con el comando import
New terminal
Import viruses.rsc
Revisar que se hayan cargado las sentencias en el

firewall.
Ahora aplique para las setencias input y forward un
jump hacia la cadena personalizada.
190
Conexiones
191
Estado de la conexin
Consejo: hacer drop a conexiones invlidas
El firewall solo procesar nuevos paquetes,
es recomendable excluir otro tipo de
estados.
Las reglas de Filter tienen connection state

que revisan el propsito de la conexin.
192
Estado de la conexin
Agregue una regla para descartar conexiones

invlidas
Agregue una regla para aceptar conexiones

establecidas
Agregue una regla para aceptar conexiones

relacionadas.
De esta manera el Firewall slo trabajara con

paquetes nuevos.
193
Limitaciones de SRC-NAT
Conectarse a servidores internos desde
afuera no es posible (se requiere DST-NAT)
Algunos protocolos requieren NAT helpers

para funcionar correctamente.
194
NAT Helpers
195
Connection Tracking
Connection tracking muestra la informacin
de todas las conexiones activas.
Debe ser habilitado para que funcione el

Filter y el NAT.
196
Connection Tracking
197
Network Address
Translation
198
NAT
El router es capaz de cambiar direccin
Origen o Destino en el flujo de paquetes a
travs del mismo.
Este proceso es llamado src-nat o dst-nat
199
SRC-NAT
SRC-Address
Laptop
New
SRC-Address
Servidor Remoto
200
DST-NAT
Servidor con IP
privada
Host con IP
pblica
New DST-Address
DST-Address
201
NAT Chains
Para conseguir estos escenarios es necesario
colocar las cadenas adecuadas: dstnat o
srcnat
Las reglas de nat funcionan con el principio

IF-THEN
202
DST-NAT
DST-NAT cambia la direccin destino y
puerto del paquete.
Se utiliza para que usuarios de internet

puedan acceder a servicios en servidores de
una red privada.
203
DST-NAT Example
Servidor WEB
192.168.1.1
Algn PC
New DST-Address
192.168.1.1:80
DST-Address
207.141.27.45:80
204
Ejemplo DST-NAT
Crear una regla para enviar todo el trfico web de la
red privada hacia el MikroTik.
205
Redirect
Tipo especial de DST-NAT
Esta accin redirecciona paquetes al mismo
router.
Puede ser utilizado para servicios de proxy

(DNS, HTTP)
til para bloqueos con OpenDNS

206
Ejemplo de Redirect
DST-Address
Configured_DNS_Server:53
New DST-Address
Router:53
DNS Cache
207
Ejemplo de Redirect
Hagamos que los
usuarios locales
utilicen el DNS
cache del router
La regla se hace
en protocolo UDP
208
SRC-NAT
SRC-NAT cambia la direccin origen del
paquete
Se puede utilizar para que toda una red

privada salga con la misma direccin pblica
Masquerade es un tipo de SRC-NAT

209
Masquerade
Src Address
192.168.X.1
Src Address
router address
192.168.X.1
Public Server
210
Firewall Tips
Se recomienda agregar comentarios para
recordar el objeto de cada regla
Utilizar tracking connection y torch

211
Torch
Detallar el reporte de trfico actual de una interfaz

212
Acciones en Firewall
Accept
Acepta el paquete. El paquete no pasar a la prxima regla de firewall
Add-dst-to-address-list: Agrega la IP destino al address-list especificado. El paquete pasa a la prxima regla

Add-src-to-address-list : Agrega la IP origen al address-list especificado. El paquete pasa a la prxima regla
Drop: Descarta el paquete de forma silenciosa. El paquete no pasar a la prxima regla de firewall
Jump: Salta a la cadena especificada en jump-target. El paquete pasa a la prxima regla ( en la cadena
definida por el usuario)
Log Agrega el mensaje al system log conteniendo la data: in-interface, out-interface, src-mac, protocol, srcip:port->dst-ip:port and length of the packet. El paquete pasa a la prxima regla
Passthrough: Esta regla es ignorada y pasa a la prxma regla (til para estadsticas)
Reject: Descarta el paquete enviando el mensaje de rechazo ICMP. El paquete no pasar a la prxima regla
de firewall
Return: Pasa de vuelta a la cadena donde el salto tuvo lugar. El paquete pasa a la prxima regla (en la cadena
original, si no hubo una coincidencia previa que detuviera el anlisis del paquete)
Tarpit: Captura y deja en espera las conexiones TCP (responde con syn/ack a las conexiones entrantes TCP
SYN). El paquete no pasar a la prxima regla de firewall
213
NAT Actions
accept
add-dst-to-address-list
add-src-to-address-list
dst-nat
jump
log
masquerade
netmap
passthrough
redirect
return
same
src-nat
214
Mangle
El mangle es usado para marcar paquetes
Separa el trfico en diferentes tipos
Las marcas son slo utlizadas dentro del router
Se utilizan en las colas para diferenciar tipos de
limitaciones y prioridades
El mangle no cambia la estructura del paquete

(a excepcin de DSCP y TTL)
215
Acciones del Mangle

Mark-connection usa el connection tracking
La informacin acerca de las nuevas
conexiones es aadida a la tabla de conection
tracking
El router sigue cada paquete para aplicar el

mark-packet
216
Mangle
Las colas solo tienen marca de paquetes
217
Mdulo 7
Calidad de Servicio
(QoS)
218
Calidad de servicio
QoS: Comprende el arte de administrar los
recursos de ancho de banda de forma eficiente
QoS puede priorizar el trafico basado en ciertas

mtricas:
Aplicaciones crticas
Trfico sensible como voz o video en streams.
219
Colas Simples
Es la forma ms simple de limitar ancho de
banda:
Descarga del cliente (Download)

Carga del cliente (Upload)
Agregado de cliente, download+upload
220
Colas Simples
Es necesario utilizar Target-Address. Puede ser:
Una direccin IP
Una subred
Una interfaz
El orden de las colas es tomado en cuenta. Cada

paquete debe ir por cada cola simple hasta que
coincida con alguna
221
Colas Simples
Creamos
una
limitacin
a su
laptop.
64k
Upload,
128k
Download
Clients
Limits
address to configure
222
Colas Simples
Revisar los limtes de carga y
descarga
Activar Rx Av. Rate y Tx Avg Rate

El torch mostrar la rata de
trasmisin y recepcin.
223
Limitar basado en destino

Ip address: El filtrado es basado en la IP destino a la
cual el trfico ser enviado
Interface: A travs de cual interfaz pasar el trfico

til para limitar trfico hacia recursos internos de
la red: Ejemplo: un servidor.
224
Limitar al server
Ping a
www.mikrotik.com
Poner la direccin
de MikroTik en
DST-address
MikroTik.com
Address
225
Bandwidth Test Utility

La prueba del ancho de banda puede ser
utilizada para monitorear el rendimiento hacia
un dispositivo remoto.
La prueba de ancho de banda funciona entre

dos routers MikroTik
Existe una aplicacin para windows,

descargable en www.MikroTik.com
226
Bandwidth Test on Router

Men tools Bandwidth Test
Fijar Test To como direccin para
la prueba
Seleccionar el protocolo
TCP soporta multiples conexiones
Hay que autenticarse con el
router remoto
227
Bandwidth Test
El servidor debe ser habilitado
Es recomendable dejar
habilitada la autenticacin
228
Priorizacin de trfico
Prioridad 1 es ms
alta que 8
La prioridad debe
estar al menos en 2
Priority
is in
Select
Queue
Advanced Tab
Set Higher Priority
229
PCQ
Per Connection Queue PCQ es una forma dinmica
de ecualizar trfico para mltiples usuarios utilizando
una configuracin simple.
El parmetro pcq-rate limita la mxima rata de datos

para cada sub-stream
230
PCQ-Limit
Este parmetro es medido en paquetes.

Un PCQ-Limit bajo
Incrementar los paquetes descartados (desde que es reducido el
el buffer) y forzar al origen reenviar los paquetes reduciendo la
latencia
Provocar un ajuste en la ventana TCP, indicando al origen que se
ha reducido la tasa de transmisin
Un PCQ-Limit alto:
Crear un buffer grande, reduciendo paquetes descartados
Incrementar la latencia
231
PCQ es un tipo de cola
PCQ
avanzada
PCQ se utiliza para clasificar

trfico (desde el punto de
vista del cliente)
Los clasificadores dividen el

trfico (desde el punto de
vista del cliente src-address
es carga y dst-addres es
descarga)
232
PCQ, uno limita a todos

PCQ permite fijar un lmite a todos los usuarios
con una misma cola
233
PCQ, uno limita a todos

Mltiples colas reemplazadas por una sola
234
PCQ, ecualiza el ancho de

banda
Distribuye equitativamente entre los usuarios
235
Ecualiza ancho de banda

1M de carga y 2M de descarga son compartidos
entre varios usuarios del segmento 192.168.0.0/24
236
PCQ Lab
El instructor har una cola PCQ en el router
principal.
Los estudiantes probarn su velocidad de

transferencia hacia internet.
237
Monitor de colas simples

Se puede ver el grfico de cada cola simple.
Las grficas muestran que tan bueno es el
desempeo de cada cola.
238
Monitor de colas
Habilitemos los grficos

de las colas
239
Simple Queue Monitor

Las grficas
estn
disponibles en el
servidor web del
mikrotik
240
Colas avanzadas
Reemplaza cientos de cola
en slo pocas
Fija el mismo lmite a

cualquier usuario
Ecualiza el ancho de banda

disponible entre los
usuarios activos
241
Mdulo 8
Tneles
242
Tneles
Los tneles son una forma de expandir la red privada a

travs de la red pblica como internet
Tambin est referido a VPNs (Virtual private networks)

Existen 2 tipos de redes VPN:
Remote Access: utilizado para conectar a empleados

desde internet a la red corporativa (teletrabajo)
Site-to-site: conecta dos redes privadas separadas por una
red pblica (son necesarios al menos 2 routers)
243
PPPoE
Point to Point Protocol over Ethernet es
amenudo utilizado para controlar conexiones
DSL, cable modems y redes Ethernet
MikroTik RouterOS soporta PPPoE cliente y

PPPoE servidor
244
Configuracin de Cliente PPPoE

Aadir un
cliente PPoE
Es necesario
crear la
interfaz
Colocar
login y
contrasea
245
Laboratorio Cliente PPPoE

El instructor crear un servidor PPPoE en el
router
Deshabilitar el cliente DHCP en la interfaz de

salida del router
Configurar el cliente PPPoE en la interfaz de

salida
Colocar usuario class y contrasea class

246
Configuracin de Cliente
PPPoE
Revisar la conexin PPP
Deshabilitar el cliente PPPoE
Disable PPPoE client
Habilitar el cliente DHCP y volver a la
configuracin anterior
247
Configuracin del
servidor PPPoE
Seleccione la
interfaz
Seleccionar el
perfil
248
PPP Secret
Base de datos de
usuarios
Colocar usuario y
contrasea
Seleccionar el
servicio
La configuracin
se toma desde el
perfil
249
Perfiles PPP
Colocar las reglas de los clientes usados para PPP
La mejor manera es tener las mismas
configuraciones para clientes diferentes
250
Perfil PPP
Local address
Direccin del servidor
Remote Address
Direccin del cliente
251
PPPoE
Importante, el servidor PPPoE corre en la
interfaz
La interfaz PPPoE puede ser utilizada sin

asignarle una IP
Por seguridad, es recomendable dejar las

interfaces PPPoE sin direccin IP
252
Pools
El Pool define el rango de direcciones para PPP,
DHCP, y clientes de portal cautivo
Se utilizar un pool, puesto que se tendr ms

de un cliente
Las direcciones son tomadas del pool

automaticamente
253
Pool
254
Estado de PPP
255
PPTP
Tnel punto a punto para encriptar tuneles
sobre IP
MikroTik RouterOS incluye soporte para

cliente y servidor PPTP
Utilizado para resguardar enlaces entre redes

locales sobre Internet
Tambin para acceso a clientes o trabajadores

remotos a los recursos de una red local
256
PPTP
257
Configuracin PPTP
La configuracin PPTP es muy similar a la de
PPPoE
L2TP tambin se configura de forma similar

258
Cliente PPTP
Cree una
interfaz PPTP
Indicar la
direccin del
servidor PPTP
Indique el
usuario y la
contrasea
259
Cliente PPTP
Use una ruta por defecto para enrutar todo
el trfico hacia el tnel PPTP
Use enrutamiento esttico para enviar

trfico especfico al tnel PPTP
260
PPTP Server
Habilitar el
servidor
PPTP
El servidor
PPTP puede
soportar
mltiples
clientes
261
PPTP
Las configuraciones del cliente PPTP estn
almacenadas en PPP secret
El PPP secret es utilizado para los clientes

PPTP, L2TP, PPoE
La base de datos de PPP es configurada en el

servidor
262
Perfil PPP
El mismo perfil es usado indistintamente
para clientes PPTP, PPPoE, L2TP y clientes
PPP
263
Laboratorio PPTP
El instructor crear un servidor PPTP en el
router de la clase
Crear un cliente en una interfaz de salida

Usar usuario class contrasea class
Deshabilitar el servicio PPTP
264
Mdulo 9
Tpicos especiales
265
HotSpot
Herramienta para conexin rpida a internet
El Portal cautivo permite autenticacin de
los clientes antes del ingreso a la red pblica
El servidor de portal cautivo provee manejo

de cuentas de usuarios
266
Uso de portal cautivo

Puntos de acceso abiertos, Internet Cafes,
Aeropuertos, campus universitarios, centros
comerciales, etc.
Diferentes maneras de autorizacin

Gestin de usuarios sencilla
267
Requerimientos de portal
cautivo
Direccin IP vlida en internet y direccin IP
local
Servidores DNS
Al menos un usuario del portal
268
Configuracin de portal
cautivo
La configuracin del portal es sencilla
La configuracin es similar al servidor DHCP
269
Configuracin de portal
cautivo
Correr Hotspot
Setup
Seleccionar la
interfaz
Proceder a
responder las
preguntas
IP
address
toHotSpot
redirect
SMTP
Addresses
Masquerade
HotSpot
DNS
Whether
servers
address
that
to
use
address
will
certificate
will
be network
assigned
Aadir
un
usuario
del
portal
cautivo
Selectfor
Interface
DNS name
HotSpottoserver
to
your
SMTP
server
be(e-mails)
together
selected
for HotSpot
toautomatically
HotSpot
with
automatically
HotSpot
clients
clientsor
not
run HotSpot on
270
Notas importantes
Usuarios conectados al portal cautivo sern
desconectados de internet hasta autenticarse
Los clientes tienen que ser autorizados por el

portal para ingresar a Internet.
271
Notas importantes
La configuracin bsica del portal cautivo crea:
Un servidor DHCP en la interfaz del portal
Un pool de direcciones para los clientes
Reglas dinmicas de firewall (Filter y NAT)
272
Ayuda del portal cautivo

El login del portal se muestra cuando el
usuario intenta de ingresar a cualquier
pgina web
Para salir del portal cautivo es necesario ir a

la IP o DNS del router para hacer logout
273
Laboratorio de Hotspot
Crea un un HotSpot en la intefaz local
No olvides el usuario y contrasea, de otra
forma no se podr ingresar a Internet
274
Usuarios del portal cautivo
Muestra informacin de los equipos en la red del hotspot

275
Tabla de host activos
Muestra informacin de los dispositivos que se logearon

satisfactoriamente
276
Gestin de usuarios
Para aadir, editar

o eliminar usuarios
277
HotSpot Walled-Garden
Permite acceso a determinados recursos sin
necesidad de autenticarse en el portal
Sirve para HTTP y HTTPS

Tambin funciona para otros recursos
(Telnet, SSH, Winbox, etc)
278
HotSpot Walled-Garden
Permita acceso
slo a
www.mikrotik.com
279
Bypass HotSpot
Men IP binding
Permite clientes
puntuales sobre el
portal cautivo
Telfonos IP,
impresoras,
superusuarios
280
Control de ancho de banda en

portal cautivo
Es posible asignar de forma dinmica cada
usuario del portal
Una cola simple es creada por cada usuario

281
Perfil del portal cautivo

Se crean
opciones
personalizadas
del portal cautivo
282
Laboratorio avanzado de portal

cautivo
A cada cliente se le
entregar 64kb para
la subida y 128kb
para la bajada
283
Laboratorio de
portal cautivo
Aadir un segundo usuario
Permitir acceso a www.mikrotik.com sin que
sea necesario autenticarse en el portal
Coloque la tasa de transferencia a 1M/1M a

la laptop
284
Proxy
285
Qu es el Proxy?
Mejora la velocidad de navegacin web
almacenando datos.
Firewall HTTP
286
Enable Proxy
El check de Enable tiene que estar marcado, las otros

Campos son opcionales
287
Proxy
Proxy forzado: El usuario debe configurar su
navegador para poder navegar por el proxy
Proxy transparente: las conexiones HTTP son

redireccionadas al proxy del MikroTik
automticamente
288
Proxy transparente
Es necesaria una
regla DST-NAT
para el proxy
transparente
El trfico HTTP
ser
redirecionado
hacia el router
289
Firewall HTTP
Las listas de acceso del proxy permiten una
opcin para filtrar nombres de dominio
Se pueden hacer redirecciones a pginas

especficas
290
Firewall HTTP
Dst-Host, una pgina

web (http://test.com)
Path, un subdirectorio
de esa pgina
http://test.com/PATH
291
Firewall HTTP
Crear una regla para bloquear acceso a
una pgina web especfica
Crear una regla que rediriga el trfico de

la pgina no deseada a la pgina de su
compaa
292
Web-proxy
El proxy lleva el registro de las pginas web
visitadas por los usuarios
Es necesario revisar que se dispone de

suficientes recursos para almacenar los logs
(es mejor enviarlos a un syslog remoto)
293
Web-Proxy
Aadir el log para
el Web-Proxy
Revisar logs
294
Cacheando en dispositivos
externos
El cache puede ser almacenado en
dispositivos de almacenamiento externos
Store gestiona todos los discos externos.

Soporte para IDE, SATA, USB, CF, MicroSD
295
Almacenamiento
Gestin de las unidades externas
Las unidades deben ser formateadas
296
Aadir almacenamiento
Se agrega un dispositivo de almacenamiento para
guardar los datos del proxy en una memoria externa
El almacenamiento puede ser utilzado para proxy, usermanager y dude
297
Dude
298
Dude
Programa de monitoreo de red
Descubre automticamente dispositivos
Dibuja y documenta mapas de la red
Servicio de monitoreo y alertas
El software es gratuito
Disponible en varios idiomas en www.mikrotik.com
299
Dude
El dude consiste en dos partes:
1. Servidor Dude: no tiene interfaz grfica. Se
puede correr el dude inclusive en un
RouterOS (ya no disponible para
descargar)
2. Cliente Dude: se conecta al servidor y
muestra toda la informacin que recibe
300
Instalacin de Dude
Disponible en
www.mikrotik.com
Instalacin sencilla
Instalar Dude Server en el PC

301
Dude
La opcin de
Discover se
muestra al
inicio
Se puede
descubrir la
red local
302
Dude Lab
Descargar el Dude de http:// 103.23.247.7
Instalar Dude
Descubrir la red
Aadir la laptop y el Router
Desconectar la laptop del router
303
Dude
304
Dude
305
Troubleshooting
306
Perdida de contrasea
La nica solucin es resetear el router
307
Licencia RouterBOARD
Todas las ordenes para compra de licencia
son posibles desde la cuenta de MikroTik.
Si el router pierde el Key por alguna razn, se

puede obtener nuevamente de la lista
logeandose en mikrotik.com
Si el Key no est en la lista, se puede solicitar

308
Mala seal inalmbrica
Revisar que el conector de la antena est

conectado correctamente
Chequear que no haya agua u obstrucciones

en el cable.
Revisar si se utilizaron los valores por

defecto del radio
En ltimo caso utilizar el botn de reseteo de

la configuracin inalmbrica
309
No hay conexin
Probar un puerto Ethernet diferente
Usar el jumper de reset en el RouterBoard
Ver cualquier mensaje en la cnsola.
Utilizar netinstall si es posible
Contacte soporte (support@mikrotik.com)
310
Antes del exmen de

certificacin
Resetear el router
Restaurar el backup.
Revisar conexin a internet
Recomendaciones:
Responder todas las preguntas del examen.
En las preguntas de seleccin mltiple no se indica la cantidad
de respuestas, colocar slo las que este bien seguro
311
Examen de Certificacin
Ir a http://www.mikrotik.com
Logearse en su cuenta
o Ir a my training sessions
o Ubicar el curso MTCNA
o Tomar el examen de certificacin MTCNA

312

MTCNA

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MTCNA

Uploaded by

Copyright:

Available Formats

Presentacin

Qu espera de este curso?

11:00 13:00 Sesin II

14:00 15:30 Sesin III

16:00 17:30+ Sesin IV

Objetivos del Curso

El sistema RouterOS y las capacidades del

Prcticas sobre el router MikroTik,

Capacitar para dar servicios bsicos a

Equipo RB951-2n o RB751

2 Cables de red (uno corto y uno largo)

Gua de estudio con clip

Por respeto al entrenador y a sus compaeros favor:

Colocar el telfono celular en silencio

Tomar las llamadas fuera del saln

No est permitido tomar videos parcial o total de las clases.

MikroTik Xperts 2014

John Tully, CEO

62.5 million Euros (2011)

20.6 million Euros (2011)

MikroTik Xperts 2014

Dnde est MikroTik ?

MikroTik Xperts 2014

RouterOS es un sistema operativo que convierte a un dispositivo en:

MikroTik Xperts 2014

Un hardware creado por Mikrotik

Todos operan con el sistema RouterOS

Abarca un rango amplio desde routers caseros

MikroTik Xperts 2014

de caja, adaptador e interfaces por separado

El nombre de los routers es seleccionado de

CCR : Cloud Core Router

2, 5 : 2,4GHZ or 5GHz wifi radio

H : High powered radio

MikroTik Xperts 2014

Va RS232 (Slo para ciertos RouterBoard)

Disponible en casi todos los sistemas operativos

MikroTik Xperts 2014

MikroTik Xperts 2014

Descarga del Winbox

MikroTik Xperts 2014

Es la aplicacin para la configuracin del RouterOS

MikroTik Xperts 2014

Tome unos minutos para ver la ubicacin de

MikroTik Xperts 2014

Caso 1: desde el men

Caso 2: desde el terminal

En este caso pedir reinicio

Abarca desde la ms baja (capa fsica) hasta

MikroTik Xperts 2014

MikroTik Xperts 2014

Se utliza para comunicacin entre distintas

Ejemplo: 255.255.255.0 o /24

La direccin de red es la primera direccin de la subred.

La direccin de broadcast es la ltima IP de la subred (no

Cada PC conectado a una red TCP/IP debe tener al

MikroTik Xperts 2014

El prefijo es expresado en notacin CIDR (Classless Inter-Domain

Especialmente en redes grandes con

MikroTik Xperts 2014

Direccin de Red: 192.0.0.0/16

MikroTik Xperts 2014

wan: 103.23.247.x (DHCP Cliente)

wan: 103.23.247.x (DHCP Cliente)