Libro 04 Ruteo-avanzado-y-alta-disponibilidad-con-mikrotik-routeros-v633501

RouterOS
RIB default-route connected-route FIB Ruteo Simple ECMP check-gateway distancia routing-mark
route-policy Balanceo de Carga TTL next-hope recursivo scope target-scope OSPF hello-protocol
database-distribution LSA AS Areas backbone stub NSSA ASBR ABR IR DR&BDR virtual-links Networks
Neighbours Métrica Externa Type1 Type2 Costos Priority VLAN 802.1Q QinQ Direccionamento /30 /32
EoP&Brindging
VRRP
Master/Backup
VPN
pip
eoip
ppt
ssts
l2tp
pppoe
Ruteo Avanzado y
Alta Disponibilidad con
MikroTik RouterOS
por Mauro Escalante
Ruteo Estático Simple, ECMP,
OSPF, VLAN, QinQ,
VRRP, VPN
RouterOS v6.33.5
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Ruteo Avanzado y
Alta Disponibilidad con
MikroTik RouterOS
v6.33.5.01
Libro de Estudio &
Manual de Laboratorio
ABC Xperts ®
Network Xperts ®
Academy Xperts ®
Derechos de autor y marcas registradas
Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts
Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por
cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto
en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de
cualquier parte de este libro es ilegal y sujeta a sanciones legales.
Academy Xperts
1
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Tabla de Contenido
Introducción......................................................................................................................................................... 5
Resumen .......................................................................................................................................................................... 6
Audiencia .......................................................................................................................................................................... 6
Convenciones usadas en este libro.................................................................................................................................. 6
Comentarios y preguntas ................................................................................................................................................. 6
Un poco de Historia (Costa Rica) ..................................................................................................................................... 8
Cubriendo un País con MikroTik. ............................................................................................................................. 8
Detalle de cambios en las tres últimas versiones de RouterOS..................................................................... 9
Capítulo 1: Ruteo en RouterOS ........................................................................................................................ 11
RIB – Routing Information Base ..................................................................................................................................... 11
Ruta por Default ..................................................................................................................................................... 12
Rutas Conectadas .................................................................................................................................................. 12
Ruta Multipath (ECMP)........................................................................................................................................... 12
Rutas con interface como Gateway........................................................................................................................ 12
Selección de Ruta .................................................................................................................................................. 12
Criterio para la sección de las rutas candidatas ..................................................................................................... 13
Nexthop lookup....................................................................................................................................................... 13
FIB – Forwarding Information Base ................................................................................................................................ 14
Tabla de ruteo lookup ............................................................................................................................................. 14
Propiedades ................................................................................................................................................................... 15
Etiquetas de ruta .................................................................................................................................................... 15
Propiedades generales........................................................................................................................................... 15
Propiedades de solo-lectura ................................................................................................................................... 16
Capítulo 2: Ruteo Estático Simple ................................................................................................................... 17
Ruteo Simple .................................................................................................................................................................. 17
Lab. 2.1 – Ruteo Estático ............................................................................................................................................... 17
Objetivos................................................................................................................................................................. 17
Actividades a realizar ............................................................................................................................................. 17
Rutas ECMP (Equal Cost Multi Path) ............................................................................................................................. 19
Opción “Check-gateway” ........................................................................................................................................ 20
Lab. 2.2 – Ruteo ECMP.................................................................................................................................................. 20
Objetivos................................................................................................................................................................. 20
Actividades a realizar ............................................................................................................................................. 20
Lab. 2.3.1 – Ruteo ECMP para balanceo de carga........................................................................................................ 20
Objetivos................................................................................................................................................................. 20
Actividades a realizar ............................................................................................................................................. 20
Lab. 2.3.2 – Ruteo ECMP para balanceo de carga Asimétrico ...................................................................................... 21
Objetivos................................................................................................................................................................. 21
Actividades a realizar ............................................................................................................................................. 21
Opción “distancia”........................................................................................................................................................... 21
Lab. 2.4 – Distancia de ruta............................................................................................................................................ 21
Ejemplo de configuración ....................................................................................................................................... 22
Routing Mark .................................................................................................................................................................. 22
Lab.2.5 - Política de Ruteo (routing mark)...................................................................................................................... 22
Time To Live (TTL) ......................................................................................................................................................... 23
Resolviendo el Next-Hop Recursivo ............................................................................................................................... 24
Scope / Target-Scope............................................................................................................................................. 24
Otras Opciones....................................................................................................................................................... 24
Clean-up ................................................................................................................................................................. 24
Capítulo 3: OSPF ............................................................................................................................................... 25
Protocolo OSPF.............................................................................................................................................................. 25
Systema Autónomo (AS) ........................................................................................................................................ 25
Areas OSPF ........................................................................................................................................................... 26
Sistema Autónomo (AS) OSPF .............................................................................................................................. 27
Tipos de Router ...................................................................................................................................................... 27
Backbone Area ....................................................................................................................................................... 27
Virtual Links (Enlaces Virtuales) ............................................................................................................................. 28
Redes OSPF .......................................................................................................................................................... 29
Estado de los Vecinos OSPF ................................................................................................................................. 29
Métrica Externa Type 1 .......................................................................................................................................... 30
Métrica Externa Type 2 .......................................................................................................................................... 30
OSPF Settings - Redistribute Default Route .......................................................................................................... 31
Academy Xperts
2
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Costo de Interface .................................................................................................................................................. 31
Laboratorio de OSPF...................................................................................................................................................... 32
Laboratorio Costos OSPF ...................................................................................................................................... 33
Laboratorio Costos OSPF + Nueva Ruta ............................................................................................................... 34
Laboratorio de Area OSPF ..................................................................................................................................... 35
Vecinos NBMA ....................................................................................................................................................... 35
Stub Area................................................................................................................................................................ 36
Not-So-Stubby Area (NSSA) .................................................................................................................................. 36
Laboratorio de Area Type (opcional) .............................................................................................................................. 37
Interface pasiva ...................................................................................................................................................... 37
Rangos de Area...................................................................................................................................................... 37
Laboratorio de Agregación de Ruta (opcional) ............................................................................................................... 37
OSPF e Interfaces VPN Dinámicas ........................................................................................................................ 38
Tipo Stub “PPPoE area” ......................................................................................................................................... 38
Tipo default “PPPoE area”...................................................................................................................................... 38
Laboratorio “PPPoE area” (opcional) ............................................................................................................................. 38
Filtros de Ruteo OSPF ........................................................................................................................................... 38
Filtros de Ruteo y VPN ........................................................................................................................................... 39
Capítulo 4: Ruteo e Interface Point-to-point ................................................................................................... 40
Virtual LAN (802.1Q) ...................................................................................................................................................... 40
Creando una interfaz VLAN.................................................................................................................................... 40
VLAN en Switch.............................................................................................................................................................. 40
IPIP ......................................................................................................................................................................... 40
Direccionamiento /30 .............................................................................................................................................. 41
Direccionamiento point-to-point .............................................................................................................................. 41 Tunel
Ethernet Over IP (EoIP)............................................................................................................................... 42
EOIP y Bridging ...................................................................................................................................................... 42
Capítulo 5: VRRP ............................................................................................................................................... 43
VRRP...................................................................................................................................................................... 43
VRRP Master/Backup............................................................................................................................................. 43
VRRP: Implementación Básica .............................................................................................................................. 43
VRRP + Internet (router)......................................................................................................................................... 44
VRRP + Internet (router)......................................................................................................................................... 44
VRRP + Internet (router)......................................................................................................................................... 45
VRRP + Internet (router)......................................................................................................................................... 45
VRRP + Internet (router)......................................................................................................................................... 46
Capítulo 6: Túneles ........................................................................................................................................... 47
Introducción .................................................................................................................................................................... 47
RouterOS y Túneles ....................................................................................................................................................... 47
/ppp profile (perfiles de usuario) ..................................................................................................................................... 47
/ppp secret (base de datos de usuario) .......................................................................................................................... 49
/ppp active (usuarios activos) ......................................................................................................................................... 50
/ppp aaa (AAA remoto) ................................................................................................................................................... 50
/ppp client (cliente PPP) ................................................................................................................................................. 51
/ip pool ............................................................................................................................................................................ 51
PPPoE ............................................................................................................................................................................ 52
Operación PPPoE .................................................................................................................................................. 53
Tipos de paquetes utilizados .................................................................................................................................. 54
MTU ........................................................................................................................................................................ 54
pppoe client (Cliente PPPoE) ................................................................................................................................. 54
Status ..................................................................................................................................................................... 55
Scanner .................................................................................................................................................................. 55
Configuración del Server PPPoE (Concentrador de Acceso) ................................................................................ 55
PPPoE Server (Servidor PPPoE) ........................................................................................................................... 56
PPTP .............................................................................................................................................................................. 58
PPTP Client (cliente pptp) ...................................................................................................................................... 60
PPTP Server (servidor pptp) .................................................................................................................................. 60
L2TP ............................................................................................................................................................................... 60
L2TP Client (cliente l2tp) ........................................................................................................................................ 61
L2TP Server (servidor l2tp) .................................................................................................................................... 61
Clientes y servidores SSTP ............................................................................................................................................ 62
Clientes y Servidores OpenVPN .................................................................................................................................... 63
Configuración de Rutas entre redes ............................................................................................................................... 63
Preguntas de repaso del Módulo 6................................................................................................................................. 63
Academy Xperts
3
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
7 – Repaso Laboratorios Detallados Túneles................................................................................................. 64
Objetivos y Conceptos previos a túneles IPIP................................................................................................................ 64
Objetivos:................................................................................................................................................................ 64
Bases Conceptuales:.............................................................................................................................................. 64
Proceso Túnel IPIP................................................................................................................................................. 66
Laboratorio 7.1 – Túnel IP-IP ......................................................................................................................................... 67
Laboratorio 7.2 – Túnel EoIP.......................................................................................................................................... 69
Objetivos:................................................................................................................................................................ 69
Bases Conceptuales:.............................................................................................................................................. 69
Objetivos y Conceptos previos a túneles PPTP ............................................................................................................. 72
Objetivos:................................................................................................................................................................ 72
Bases Conceptuales:.............................................................................................................................................. 72
Laboratorio 7.3 – Túnel PPTP (R1 Server – R2 Client).................................................................................................. 73
Laboratorio 7.4 – Túnel PPTP (R1 Client – R2 Server).................................................................................................. 76
Laboratorio 7.5 – Bridge a través de un túnel PPTP usando BCP................................................................................. 78
Objetivos:................................................................................................................................................................ 78
Bases Conceptuales:.............................................................................................................................................. 78
Requerimientos: ..................................................................................................................................................... 78
Academy Xperts
4
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Introducción
MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema operativo de
red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento
al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento
simétrico y multi-núcleo, este hardware es el RouterBOARD.
A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes
por nuestros racks, siendo Cisco el referente, sin embargo siempre había representado un costo más o menos importante
a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP.
No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y
varios emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y
RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa
Rica (Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y
gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas.
Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del
networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su
internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños
y medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD.
Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino
que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de
fabricantes y costos de implementación.
Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar
en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente
importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.
Mauro Escalante
CEO Academy Xperts
CEO Network Xperts
Academy Xperts
5
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Resumen
Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de
certificación, pero que resultan claves para el correcto entendimiento de la materia.
La información
aquí
presentada
www.youtube.com/abcxperts
se
complementa
con
nuestros
recursos
en
www.abcxperts.com
y
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es
invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el
material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos
colegas que optan por leer un libro y estudiar a su propio ritmo.
Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de
RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción.
Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía
de autoestudio MikroTik.
Audiencia
Las personas que leen este libro deben estar familiarizados con:
•
•
Operaciones de red en Capa 2
Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP
Este libro está dirigido a:
•
•
•
Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a:
§
Redes Corporativas
§
Clientes WISP e ISP
Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes
corporativa y PYMES
Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario
(Help Desk)
Convenciones usadas en este libro
En este libro se utilizarán las siguientes convenciones tipográficas:
Itálicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso
de términos técnicos
Courier new
Indica direcciones IP y ejemplos de línea de comando
Courier new en itálica
Indica texto que puede ser reemplazado
Courier new en negrita
Indica datos de entrada del usuario
Este icono significa un consejo, sugerencia, o una nota general.
Este icono indica una advertencia o precaución.
Comentarios y preguntas
Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección:
Network Xperts S.A.
Av. Juan T. Marengo y J. Orrantia
Edificio Professional Center, Piso 5, Ofic. 507
Guayaquil, ECUADOR
+593-4-600-8590
+593-9-9535-2132
A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información
adicional:
http://cursos.abcxperts.com
Academy Xperts
6
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
[email protected]
Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite
nuestros Websites y canal de YouTube
http://www.abcxperts.com
http://www.academyxperts.com
http://www.youtube.com/abcxperts
Academy Xperts
7
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Un poco de Historia (Costa Rica)
Cubriendo un País con MikroTik.
En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing.
Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2
Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps.
En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas
bajo la misma marca MikroTik y su sistema operativo RouterOS.
Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González,
decidieron formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no
fuera factible o se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A
(REICO).
Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en
telecomunicaciones inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal
inalámbrica y más de 80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para
alcanzar una cobertura de más del 80% del territorio y a más del 90% de la población.
La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales,
turísticos, comerciales, etc.
Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y
sus más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA
MIKROTIK.
REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con
grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica
en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro,
Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de
Costa Rica 2014.
Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico
sobre los inicios de MikroTik en Latinoamérica.
Academy Xperts
8
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Detalle de cambios en las tres últimas versiones de
RouterOS
Para una revisión del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link:
http://abcxperts.com/index.php/bitacora-de-cambios
Número de Versión
Fecha Emisión
Hora de Emisión
# Días transcurridos desde
versión anterior
arp
6.33.5
6.33.3
6.33.2
Wed, 13/Jan/2016
16:08
41
Thu, 03/Dec/2015
16:08
6
Fri, 27/Nov/2015
9:55
10
Muestra entradas ARP
incompletas
bridge
Se corrigió un problema de
power-cycle-ping en los puertos
bridge (que afectaba a todo el
bridge)
btest
Se corrige una caida potencial
después que se libera el btest
Se mejora la precisión de la tasa
UDP Tx
crypto
Se corrigió una falla en el kernel
en la encriptación Talitos HW
dhcpv4
server
Se corrigió un problema de caida
cuando se restauraba el lease
con una cola (queue) a un server
que ya no existe
dhcpv4
client
Soporte para la asignación de
dirección /32
dhcpv6
client
email
Se corrige problemas de
asignación de dirección DNS
Se configura los parámetros
correctos cuando se utiliza rapidcommit
No resetea la dirección del server
después de cambiar la
configuración
ethernet
Se hace que el campo de clave
(password) sea sensitivo en la
consola
Se corrigió un problema de
autonegociación 10/100 Mbps en
el ether1 del RB922UAGS
(introducido en v6.33.2)
fastpath
Se corrigió una posibe falla del
kernel en sistemas multi núcleo
fetch
Se agregó un time-out de
conexión de 30 segundos
hotspot
Se agregó el archivo perdido
favicon.ico en las páginas htmls
del hotspot
kernel
Mejora general en la planificación
de los procesos del core
led
Se agregó el led WLAN al
RB951Ui
LTE
Se mejoró el soporte para el
Sierra Wireless 320U
Se corrigió un problema en el que
se resetaba el enlace cuando se
hacía un cambio de valor en
power-cycle-ping
Se mejoró la velocidad de la
conexión por primera vez a una
red LTE en los SXT LTE
log
Se hace log de los eventos
up/down únicamente cuando el
enlace actual cambia su estado
net
Se aplica la configuración
esclavo (slave) únicamente si se
ha cambiado la configuración del
master
Academy Xperts
9
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Número de Versión
netwatch
ppp
6.33.5
6.33.3
6.33.2
No se muestra el L2MTU en
VLAN cuando se hace un export
compacto
Se hace que el netwatch trabaje
de una forma más precisa con el
ping time-out
Se hace que trabajen las
condiciones -PPP active print
radius- y -!radius!-
Se corrigió la adición de una
regla de filtrado que se generaba
dinámicamente en algunas
configuraciones de /ip firewall
filter
Se mejoró la compatibilidad de
MTU discovery con otros
fabricantes
pppoe
Se hizo el MTU discovery más
robusto
Se corrigió nuevamente la
conformidad con el RFC4638
(MTU más grande que 1488)
romon
No acepta mulitcast id
Se corrigió una caida en RoMON
si fast-path estaba activa
smb
Se muestra el nombre de la
interface correcta en los logs de
debug del SMB
ssh
Se corrigió session clean-up
sshd
Se resolvió un problema de
incompatibilidad de la clave
compartida
tile
Se corrigió una falla del kernel en
la encriptación HW
vrrp
Se evita el clean-up de la doble
sesión
Se corrigió el intercambio de
clave cuando se sigue el primer
paquete kex
Se corrigió arp=reply-only
No advierte sobre la
incompatibilidad de versión si el
VRID no coincide
Se permite que el VRRP trabaje
detrás de reglas de Firewall y
NAT
Se corrigió el script on-backup
webfig
No se muestran los valores cero
(zero) en las reglas de traslación
CRS ingress/egress VLAN
winbox
Se agregó + & - al IGMP proxy
MFC
Se agregó el menú LCD para el
RB3011
Se permite especificar el umbral
del monitor de tráfico (trafficmonitor threshold) en unidades k
& M y se especifican aquellos
que son en bits
Se muestra los contadores por
interface fast-path
Academy Xperts
10
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Capítulo 1: Ruteo en RouterOS
RIP, FIB, rutas Multipath, nexthop lookup
En RouterOS el router almacena la información de ruteo (Routing) en varios espacios separados:
•
•
•
FIB (Forwarding Information Base).- Se utiliza para realizar las decisiones de reenvío de paquetes. El FIB
contiene un copia de la información necesaria de ruteo.
Cada protocolo de ruteo (excepto BGP) posee sus propias tablas internas. Este es el sitio donde se realizan las
decisiones de ruteo basadas por-protocolo. BGP no posee tablas internas de ruteo. BGP almacena la información
completa de ruteo de todos los compañeros (peers) en el RIB.
RIB (Routing Information Base).- Contiene las rutas agrupadas en tablas de ruteo separadas basadas en sus
valores de routing-mark. Todas las rutas que no poseen routing-mark se almacenan en la tabla principal de
ruteo (main routing table). Estas tablas se utilizan para una mejor selección de ruta. La tabla principal (main)
también se la utiliza para el nexthop lookup.
RIB – Routing Information Base
El RIB contiene la información completa de ruteo, incluyendo:
•
•
•
•
Las reglas de rutas estáticas definidas por el usuario
Las reglas de políticas de ruteo definidas por el usuario
La información de ruteo aprendida por los protocolos de ruteo
La información sobre las redes conectadas
El RIB se utiliza para:
•
•
•
•
Filtrar la información de ruteo
Calcular la mejor ruta para cada prefijo de destino
Construir y actualizar la FIB (Forwarding Information Base)
Distribuir las rutas entre diferentes protocolos de ruteo
Por default, la decisión de reenvío (forwarding) se basa únicamente en el valor de la dirección destino. Cada ruta tiene la
propiedad dst-address, que especifica todas las direcciones destino en las que esta ruta puede ser usada. Si existen
varias rutas que aplican para una dirección IP particular, se utiliza la más específica (la que tenga el netmask más largo).
Esta operación (encontrar la ruta más específica que coincida con una dirección dada) se conoce como routing table
lookup (tabla de enrutamiento de búsqueda).
Si la tabla de ruteo contiene varias rutas con la misma dst-address, únicamente una ruta puede ser utilizada para el
reenvío de los paquetes. Esta ruta se instala dentro del FIB y se marca como activa (active).
Cuando la decisión de reenvío (forwarding decision) utiliza información adicional, como por ejemplo una dirección origen
del paquete, se lo conoce como política de ruteo (policy routing). La política de ruteo se implementa como una “lista de
políticas de reglas de ruteo”, que selecciona una diferente tabla de ruteo basado en la dirección destino, dirección origen,
interface origen y marca de ruteo (routing mark) del paquete. La marca de ruteo puede ser cambiada por las reglas de
mangle en firewall.
Todas las rutas se graban por default en la tabla principal de ruteo (main routing table). Las rutas pueden ser asignadas a
una tabla de ruteo específica configurando su propiedad routing-mark a nombre de otra tabla de enrutamiento. Las
tablas de ruteo se referencian por su nombre, y se crean automáticamente cuando son referenciadas en la configuración.
Cada tabla de ruteo puede tener solamente una ruta activa para cada valor de prefijo de dst-address IP.
Existen diferentes grupos de rutas , basados en sus orígenes y propiedades:
•
Rutas por default
Academy Xperts
11
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
•
Rutas conectadas
Rutas Multipath (ECMP)
Rutas con interface como Gateway
Ruta por Default
La ruta con dst-address=0.0.0.0/0 se aplica a todas las direcciones destino. Esta ruta se conoce como ruta por
default. Si la tabla de ruteo contiene una ruta por default activa, entonces la tabla de enrutamiento de búsqueda (routing
table lookup) en esta tabla nunca fallará.
Rutas Conectadas
Las rutas conectadas se crean automáticamente para cada red IP que tiene al menos una interface habilitada conectada.
El RIB rastrea el estatus de las rutas conectadas, pero no las modifica. Para cada ruta conectada hay una dirección IP tal
que:
•
•
•
•
Parte de la dirección del dst-address de la ruta conectada es igual a la network (red) de la dirección IP
Parte del netmask del dst-address de la ruta conectada es igual a parte del netmask del address de la
dirección IP
El pref-src de la ruta conectada es igual a parte de la dirección del address de la dirección IP
La interface de la ruta conectada es igual al actual-interface de la dirección IP (similar a interface,
excepto para los puertos de interface bridge)
Ruta Multipath (ECMP)
Para implementar algunas configuraciones, como por ejemplo balanceo de carga (load balancing) puede ser necesario
utilizar más de un camino (path) hacia un destino dado. Sin embargo, no es posible tener más de una ruta activa hacia una
destino en una tabla de ruteo simple.
ECMP = Equal Cost Multi-Path = Múltiples trayectorias de costos iguales
Las rutas ECMP tienen múltiples valores de gateway de siguiente salto (nexthop). Todos los nexthop (siguientes saltos)
son copiados al FIB y utilizados en el reenvío de paquetes.
El protocolo OSPF puede crear rutas ECMP. Estas rutas pueden también ser creadas manualmente.
Puesto que los resultados de las decisiones de reenvío (forwarding) son almacenadas en caché, los paquetes con el
mismo source address, destination address, source interface, routing mark y ToS, son enviados al mismo gateway.
Esto significa que una conexión utilizará solamente un enlace en cada dirección, por lo tanto las rutas ECMP pueden ser
usadas para implementar balanceo de carga por conexión (per-connection).
Rutas con interface como Gateway
El valor del gateway puede ser especificado como un nombre de interface en lugar de la dirección IP del próximo salto.
Una ruta creada de esta forma tiene las siguientes propiedades especiales:
•
•
A diferencia de las rutas conectadas, las rutas que tienen como nexthop una interface, no se utilizan para el
nexthop lookup
Es posible asignar varias interfaces como un valor de gateway, y crear una ruta ECMP. No se puede tener una
ruta conectada con múltiples valores de gateway.
Selección de Ruta
Cada tabla de ruteo puede tener una ruta activa para prefijo destino. Esta ruta es instalada dentro del FIB. La ruta activa es
seleccionada de todas las rutas candidatas con el mismo dst-address y routing-mark, que cumplen el criterio para
ser una ruta activa. Puede haber múltiples rutas de diferentes protocolos de ruteo y de configuración estática. La ruta
candidata con la distancia (distance) más baja se convertirá en ruta activa.
Academy Xperts
12
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Si existe más de una ruta candidata con la misma distancia (distance), la selección de la ruta activa es arbitraria
(excepto para las rutas BGP).
BGP tiene el proceso de selección más complicado. Es importante notar que esta selección de protocolo interno se realiza
únicamente después de que las rutas BGP son instaladas en la tabla principal de ruteo; esto significa que puede haber
más de una ruta candidata para cada compañero (peer) BGP. También es importante notar que las rutas BGP de
diferentes instancias BGP son comparadas por su distancia, igual que otras rutas.
Criterio para la sección de las rutas candidatas
Para participar en el proceso de selección de rutas, la ruta debe cumplir los siguientes criterios:
•
•
•
•
•
La ruta no debe estar deshabilitada
La distancia (distance) no debe ser 255. Las rutas que son rechazadas por el filtro de ruta tienen un valor de
distancia (distance) 255
pref-src no se ha configurado o es una dirección local válida del router
routing-mark no se ha configurado o está referida por el firewall o por las reglas de política de enrutamiento
Si el tipo de ruta es unicast y no es una ruta conectada, debe tener al menos un nexthop alcanzable
Nexthop lookup
El nexthop lookup (búsqueda del siguiente salto) es parte del proceso de selección de ruta.
Las rutas que están instaladas en el FIB necesitan tener la interface asociada con cada dirección de gateway. La dirección
de gateway (nexthop = próximo salto) tiene que ser directamente alcanzable a través de esta interface. La interface que
debería ser usada para enviar los paquetes a cada dirección de gateway se encuentra haciendo nexthop lookup.
Algunas rutas (por ejemplo iBGP) pueden tener una dirección de gateway que está varios saltos más allá de este router.
Para instalar tales rutas en la FIB, es necesario encontrar la dirección del gateway alcanzable directamente (un nexthop
inmediato), que debería ser usado para alcanzar la dirección de gateway de esta ruta. Las direcciones inmediatas del
nexthop pueden también ser encontradas haciendo nexthop lookup.
EL nexthop lookup se realiza
routing-mark. Es necesario
Los valores de nexthop de las
ser encontradas únicamente
target-scope.
•
•
únicamente en la tabla principal de ruteo, incluso para las rutas con un diferente valor de
restringir el conjunto de rutas que pueden ser usadas para buscar por nexthops inmediatos.
rutas RIP u OSPF, por ejemplo, se supone que son alcanzadas directamente y que deberían
usando las rutas conectadas. Esto se puede lograr usando las propiedades scope y
Las rutas que tienen un nombre de interface como gateway, no se pueden utilizar para el nexthop lookup. Si la
ruta tiene ambos: interface nexthop y un nexthop con dirección IP activa, entonces se ignoran los nexthop de
interface.
Las rutas con un scope mayor que el máximo valor aceptado no se utilizan para el nexthop lookup. Cada ruta
especifica un valor de scope máximo aceptado para sus nexthops en la propiedad target-scope. El valor por
default de esta propiedad permite el nexthop lookup únicamente a través de las rutas conectadas, con la
excepción de las rutas iBGP que tienen un valor por default más grande y que pueden buscar por el nexthop a
través de IGP y las rutas estáticas.
La interface y el nexthop inmediato se seleccionan basado en el resultado del nexthop lookup:
•
•
Si la ruta activa más específica que el nexthop lookup encuentra es una ruta conectada, entonces la interface de
esta ruta conectada es usada como la interface nexthop, y este gateway se marca como alcanzable (reachable).
Puesto que el gateway es directamente alcanzable a través de esta interface (esto es exactamente lo que una
ruta conectada significa), la dirección del gateway es usada como la dirección inmediata del nexthop.
Si la ruta activa más específica que el nexthop lookup encuentra tiene un nexthop que ya está resuelto, la
dirección del nexthop resuelto y la interface es copiada del nexthop y este gateway es marcado como recursivo
(recursive).
Academy Xperts
13
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
Si la ruta activa más específica que el nexthop lookup encuentra es una ruta ECMP, entonces usa el primer
gateway de esa ruta que es no inalcanzable (unreachable).
Si el nexthop no encuentra ninguna ruta, entonces este gateway es marcado como inalcanzable (unreachable).
FIB – Forwarding Information Base
El FIB contiene copia de la información que es necesaria para el reenvío del paquete (packet forwarding):
•
•
Todas las rutas activas
Reglas de políticas de ruteo
Por default (cuando no se utilizan valores de routing-mark) todas las rutas activas están en la tabla principal, y existe
una única regla implícita oculta (regla “catch all”) que usa la tabla principal para todos los lookup destinos.
Tabla de ruteo lookup
El FIB utiliza la siguiente información del paquete para determinar su destino:
•
•
•
•
•
Dirección origen
Dirección destino
Interface origen
Routing mark
ToS (no es utilizado por RouterOS en las reglas de políticas de ruteo, pero es una parte de la clave de lookup del
caché de ruteo)
Las posibles decisiones de ruteo son:
•
•
•
Recibir el paquete localmente
Descartar el paquete (ya sea silenciosamente o enviando un mensaje ICMP al originador del paquete)
Enviar un paquete a una dirección IP específica en una interface específica
Los resultados de las decisiones de ruteo son recordadas en el caché de ruteo. Esto se realiza para mejorar el desempeño
del forwarding. Cuando otro paquete con el mismo source address, destination address, source interface, routing
mark y ToS es ruteado, se utilizan los resultados en caché. Esto también permite implementar el balanceo de carga por
conexión (per-connection load balancing) usando rutas ECMP, puesto que los valores usados para encontrar la entrada en
el cache de ruteo (routing cache) son los mismos para todos los paquetes que pertenecen a la misma conexión y van en la
misma dirección.
Si no existe una entrada en el routing cache para este paquete, entonces se la crea ejecutando una decisión de ruteo:
•
•
•
•
•
Se chequea que el paquete tiene que ser entregado localmente (la dirección destino es la dirección del router)
Procesar las reglas de políticas de ruteo implícitas
Procesar las reglas de políticas de ruteo agregadas por el usuario
Procesar la regla implícita “catch-all” que busca el destino en la tabla principal de ruteo
El retorno del resultado es “network unreachable”
Academy Xperts
14
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Las reglas que no concuerdan con el paquete actual son ignoradas. Si la
entonces se retorna como un resultado del proceso de la decisión de ruteo.
destino del paquete es buscada en la tabla de ruteo que se especifica en la
que coincida con la dirección destino del paquete), entonces el FIB procede a
•
•
•
•
regla tiene la acción drop o unreachable,
Si la acción es lookup entonces la dirección
regla. Si la búsqueda falla (no existe una ruta
la siguiente regla. Por otra parte:
Si el tipo de ruta es blackhole, prohibit o unreachable, entonces se retorna esta acción como el resultado
de la decisión de ruteo
Si esta es una ruta conectada, un ruta con una interface como el valor de gateway, entonces se retorna esta
interface y la dirección destino del paquete como el resultado de la decisión de ruteo
Si esta ruta tiene una dirección IP como el valor de gateway, entonces se retorna esta dirección y la interface
asociada como el resultado de la decisión de ruteo
Si esta ruta tiene múltiples valores de nexthop, entonces se elige uno en un esquema round robin.
El resultado de la decisión de ruteo se almacena en una nueva entrada del routing caché.
El resultado de la decisión de ruteo puede ser:
•
•
•
•
•
•
•
Dirección IP del nexthop + interface
Interface punto-a-punto
Entrega local (local delivery)
Descartar (discard)
ICMP prohibido
ICMP host unreachable
ICMP network unreachable
Propiedades
Etiquetas de ruta
•
•
•
•
•
•
•
•
•
•
•
•
disabled (X).- Regla de ruteo está deshabilitada. No tiene ningún efecto sobre las otras rutas y no se utiliza de
ninguna manera para reenvío (forwarding) o protocolos de ruteo.
active (A).- Ruta se utiliza para el reenvió de paquetes. Denota una ruta activa.
dynamic (D).- Regla de ruteo creada por el software y no por la interface de administración. No se exporta, y no
puede ser modificado directamente.
connect (C).- Ruta conectada. Se genera cuando se configura una dirección IP en una interface activa
static (S).- Ruta estática. Ruta creada por el usuario de manera fija. Este método forzará el envío de paquetes
a través de un gateway definido por el usuario/administrador
rip (r).- Ruta RIP
bgp (b).- Ruta BGP
ospf (o).- Ruta OSPF
mme (m).- Ruta MME
blackhole (B).- Descarta silenciosamente el paquete reenviado por esta ruta
unreachable (U).- Descarta los paquetes reenviados por esta ruta. Se notifica al originador del paquete por
medio de un mensaje ICMP host unreachable (tipo 3, código 1)
prohibit (P).- Descarta los paquetes reenviados por esta ruta. Se notifica al originador del paquete por medio
de un mensaje ICMP communication administratively prohibited (tipo 3, código 13)
Propiedades generales
•
•
•
•
check-gateway (arp | ping; Default: "").- Periódicamente (cada 10 segundos) se chequea el gateway enviando
ya sea un ICMP echo request (ping) o un ARP request (arp). Si no se recibe respuesta del gateway en 10
segundos, se solicita un tiempo de espera (request times out). Después de dos timeouts el gateway se
considera inalcanzable (unreachable).- Después de recibir una respuesta del gateway se con considera
alcanzable (reachable) y el contador de timeout se resetea.
comment (string; Default: "").- Es la descripción de una ruta particular
distance (integer[1..255]; Default: "1").- Valor usado en la selección de ruta. Las rutas con valores de distancia
más pequeños tendrán preferencia. Si no se especifica el valor de esta propiedad, entonces el valor default
depende del protocolo de ruteo:
§
connected routes: 0 (rutas conectadas)
§
static routes: 1 (rutas estáticas)
§
eBGP: 20
§
OSPF: 110
§
RIP: 120
§
MME: 130
§
iBGP: 200
dst-address (IP prefix; Default: 0.0.0.0/0).- Prefijo IP de la ruta, especifica las direcciones destino para la que
esta ruta puede ser utilizada. La parte netmask de esta propiedad especifica cuántos de los bits más significantes
en la dirección del paquete destino deben coincidir con este valor. Si existen varias rutas activas que coinciden
Academy Xperts
15
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
•
•
•
•
•
•
con la dirección destino del paquete , entonces se utilizará la más específica (el que tenga el valor de netmask
más grande).
gateway (IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "").- Arreglo de direcciones IP o
nombres de interface. Especifica a cuál host o interface deberían ser enviados los paquetes. Las rutas conectadas
y las rutas con tipo blackhole, unreachable o prohibit no tienen estas propiedad. Usualmente el valor de
esta propiedad es una dirección IP sencilla de un gateway que puede alcanzado directamente a través de una de
las interfaces del router. Las rutas ECMP tienen más de un valor de gateway. El valor puede ser repetido varias
veces.
pref-src (IP; Default: "").- Cuál de las direcciones IP locales se utilizará para los paquetes originados
localmente que son enviados a través de esta ruta. El valor de esta propiedad no tiene efecto en los paquetes
reenviados. Si el valor de esta propiedad se configura con una dirección IP que no es la dirección local de este
router, entonces la ruta se volverá inactiva. Si no se configura el valor pref-src, entonces para los paquetes
originados localmente que son enviados usando esta ruta, el router elegirá una dirección local anexada a la
interface de salida que coincida con el prefijo destino de la ruta.
route-tag (integer; Default: "").- Valor del atributo la etiqueta de ruta para RIP u OSPF. Para RIP los únicos
valores válidos son 0..4294967295
routing-mark (string; Default: "").- Nombre de la tabla de ruteo que contiene esta ruta. No se configura por
default porque es el mismo que la tabla principal de ruteo. Los paquetes que son marcados por el firewall con este
valor de routing-mark serán ruteados usando las rutas de esta tabla, a menos que sean anulados por las
reglas de políticas de ruteo. No se puede usar más de 250 routing-mark por router.
scope (integer[0..255]; Default: "30").- Usado en la resolución del nexthop. La ruta puede resolver el nexthop
únicamente a través de las rutas que tienen scope menor o igual al target-scope de esta ruta. El valor por
default depende del protocolo de ruteo:
§
connected routes: 10 (si la interface está corriendo)
§
OSPF, RIP, MME routes: 20
§
static routes: 30
§
BGP routes: 40
§
connected routes: 200 (si la interface NO está corriendo)
target-scope (integer[0..255]; Default: "10").- Utilizado en la resolución del nexthop. Este es el valor máximo de
scope para una ruta a través del cual un nexthop de esta ruta puede ser resuelto. Para iBGP el valor se configura
por default en 30.
type (unicast | blackhole | prohibit | unreachable; Default: unicast).- Rutas que no especifican nexthop para los
paquetes, pero que el cambio desarrollan alguna otra acción en los paquetes que tienen un tipo diferente del
usual unicast.
§
blackhole – esta ruta descarta silenciosamente los paquetes
§
unreachable – envía el mensaje ICMP Destination Unreachable (código 1) a la
dirección origen del paquete
§
prohibit – envía el mensaje ICMP Destination Unreachable (código 13) a la dirección
origen del paquete
vrf-interface (string; Default: "10").- Nombre de la interface VRF
Propiedades de solo-lectura
•
•
•
gateway-status (array).- Arreglo de gateways, estados de los gateway y cuál interface es usada para reenvío.
Sintaxis del estado IP de la interface, por ejemplo 10.5.101.1 reachable bypass-bridge. El estado puede
ser unreachable, reachable o recursive.
ospf-metric (integer).- Usado para la métrica OSPF para una ruta en particular.
ospf-type (string)
Academy Xperts
16
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Capítulo 2: Ruteo Estático Simple
Distancia, política de ruteo, ECMP, Scope, dead-end, recursividad
Ruteo Simple
Enrutamiento es el reenvío de tráfico de una red a otra, paquete por paquete.
El Forwarding consiste en pasar la responsabilidad de un enrutador a otro, es decir, un enrutador decide como enviar un
paquete y se desentiende de lo que le pueda pasar al mismo de ahí para adelante, todo esto basado en la información de
la mejor ruta y la métrica (distancia) que este configurada.
•
•
•
Solo un gateway para una simple red
Las rutas más específicas en la tabla de ruteo tienen la prioridad más alta que las rutas menos específicas
La ruta con destino de red 0.0.0.0/0 significa “todo lo demás” también conocida como Ruta por Default
Lab. 2.1 – Ruteo Estático
Objetivos
•
•
•
Crear una red ruteada redundante sin usar protocolos de ruteo dinámicos
Rutear entre las redes locales participantes
Obtener acceso a otros grupos de redes
Usando solamente Rutas Estáticas Simples se debe asegurar la conectividad entre las estaciones de trabajo (laptops).
Esto significa que cada uno de los estudiantes deberá estar en capacidad de realizar un ping satisfactorio a los demás
computadores en esta red. Por ejemplo, el Estudiante A deberá poder llegar con un ping a las laptops de los Estudiantes
B, C y D.
Es muy probable que las laptops de los estudiates posean restricciones por firewall o antivirus, y que estas restricciones
pudieran no ser desactivadas. En este caso basta con que el ping se realice satisfactoriamente contra ladirección IP de
las interfaces LAN (ether1) de los routers de los estudiantes remotos.
Por ejemplo, el Estudante A (172.16.1.2) deberá poder llegar con ping a las interfaces ether1 de los routers remotos
cuyas direcciones IP son 172.16.2.1 (ether1 router Estudiante B), 172.16.3.1 (ether1 router Estudiante C) y
172.16.4.1 (ether1 router Estudiante D)
Actividades a realizar
Paso 1 (backup)
•
Cada estudiante deberá hacer un respaldo (backup) de la configuración actual que provee acceso a internet a
través del router asignado.
Paso 2 (reset)
•
Cada estudiante debe ejecutar un /system reset-configuration
configuración del router quede completamente en blanco
no-defaults=yes de tal manera que la
Paso 3 (solo direcciones IP)
•
•
•
•
•
Cade estudiante debe configurar únicamente las direcciones IP de las interfaces ether1, ether2 y ether3, y la
dirección de su laptop según las especificaciones del la Fig.2.1.1
De igual manera los estudiantes deberán conectar los cables de red en la forma en que está descrita en la
Fig.2.1.1
En este punto AUN NO se debe configurar las rutas para llegar a las redes remotas.
No debe existir nunguna regla de NAT en ninguno de los routers.
Cuando todos los estudiantes de esta red hayan configurado las direcciones IP, cada uno de ellos deberá poder
realizar un ping satisfactorio a las direcciones IP de las WAN remotas adyacentes (UNICAMENTE a las
adyacentes)
Academy Xperts
17
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Escenario
Paso 4 (rutas estáticas)
•
•
•
En este punto cada Estudiante debe configurar en su router asignado las rutas para llegar a las redes remotas
La asignación del gateway deberá realizarse siguiendo el sentido de las manecillas del reloj
La tabla de rutas de cada router debe quedar de la siguiente forma:
Router
RA
RB
RC
RD
•
•
•
dst-address
172.16.2.0/24
172.16.3.0/24
172.16.4.0/24
172.16.3.0/24
172.16.4.0/24
172.16.1.0/24
172.16.4.0/24
172.16.1.0/24
172.16.2.0/24
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
Gateway
10.1.1.2
10.1.1.2
10.1.1.2
10.1.1.6
10.1.1.6
10.1.1.6
10.1.1.10
10.1.1.10
10.1.1.10
10.1.1.14
10.1.1.14
10.1.1.14
Puede hacer ping a las redes LAN remotas?
Para este ejercicio es suficiente con que pueda realizar un ping a la dirección IP 172.16.x.1 que corresponde
a la interface ether1 remota de cada router.
Puede hacer ping a las redes LAN remotas?
Paso 5 (rutas estáticas – continuación)
•
Se debe agregar las siguientes entradas en la tabla de rutas de cada router:
Router
RA
RB
RC
RD
Academy Xperts
dst-address
172.16.2.0/24
172.16.3.0/24
172.16.4.0/24
10.1.1.0/30
10.1.1.8/30
172.16.3.0/24
172.16.4.0/24
172.16.1.0/24
10.1.1.8/30
10.1.1.12/30
172.16.4.0/24
172.16.1.0/24
172.16.2.0/24
10.1.1.12/30
10.1.1.0/30
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
10.1.1.0/30
10.1.1.4/30
Gateway
10.1.1.2
10.1.1.2
10.1.1.2
10.1.1.2
10.1.1.2
10.1.1.6
10.1.1.6
10.1.1.6
10.1.1.6
10.1.1.6
10.1.1.10
10.1.1.10
10.1.1.10
10.1.1.10
10.1.1.10
10.1.1.14
10.1.1.14
10.1.1.14
10.1.1.14
10.1.1.14
18
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
Puede hacer ping a las redes LAN remotas?
Que puede concluir en comparación con los resultados obtenidos en el paso 5?
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Paso 6 (rutas estáticas – ruta por default)
•
Se debe reemplazar las rutas esteatica anteriore por la ruta por default:
Router
RA
RB
RC
RD
•
•
dst-address
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
Gateway
10.1.1.2
10.1.1.6
10.1.1.10
10.1.1.14
Puede hacer ping a las redes LAN remotas?
Que puede concluir en comparación con los resultados obtenidos en el paso 5 y en el paso 6?
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Rutas ECMP (Equal Cost Multi Path)
Este mecanismo de ruteo habilita el ruteo de paquetes entre múltiples caminos (paths) y asegura el balanceo de carga.
Con ruteo ECMP se puede usar más de un gateway para una red destino. Esto NO significa que provee Failover!!!
Con ECMP un router tiene potencialmente varios Next-hops disponibles hacia un destino dado.
Un nuevo gateway es elegido para cada nuevo par IP source/destination.
Esto significa que, por ejemplo, una conexión FTP usará solo un enlace, pero una nueva conexión a un server diferente
usará otro enlace.
Una característica importante de ECMP es que los paquetes de conexión simple no son reordenados y por lo tanto no
afecta al performance de TCP.
Las rutas ECMP pueden ser creadas por protocolos de ruteo (RIP u OSPF), o añadiendo una ruta estática con múltiples
gateways, separados con una coma.
/ip route add gateway=192.168.0.1, 192.168.1.1
Los protocolos de ruteo pueden crear rutas dinámicas multi-path con igual costo de forma automática.
Tiene los siguientes Puntos:
•
•
•
Las rutas ECMP tienen más de un gateway a la misma red remota
Los gateway serán usados en un esquema de combinación de direcciones Round Robin per SRC/DST.
El mismo gateway puede ser escrito muchas veces.
Academy Xperts
19
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Opción “Check-gateway”
•
•
•
•
Se puede configurar el router para chequear la accesibilidad del gateway usando PROTOCOLOS ICMP (ping) o
ARP
En Ruteo Simple, si un gateway no puede ser alcanzado, la ruta será declarada inactiva
En Ruteo ECMP, si un gateway no pude ser alcanzado, solamente los gateways disponibles serán usados en el
algoritmo Round Robin
Si se habilita la opción Check-gateway en una ruta, se afectarán todas las rutas con ese gateway
Lab. 2.2 – Ruteo ECMP
Objetivos
Usando rutas ECMP se debe asegurar la conectividad entre las estaciones de trabajo (laptops). Esto significa que cada
uno de los estudiantes deberá estar en capacidad de realizar un ping satisfactorio a los demás computadores en esta red.
Por ejemplo, el Estudiante A deberá poder llegar con un ping a las laptops de los Estudiantes B, C y D.
Es muy probable que las laptops de los estudiates posean restricciones por firewall o antivirus, y que estas restricciones
pudieran no ser desactivadas. En este caso basta con que el ping se realice satisfactoriamente contra ladirección IP de
las interfaces LAN (ether1) de los routers de los estudiantes remotos.
Por ejemplo, el Estudante A (172.16.1.2) deberá poder llegar con ping a las interfaces ether1 de los routers remotos
cuyas direcciones IP son 172.16.2.1 (ether1 router Estudiante B), 172.16.3.1 (ether1 router Estudiante C) y
172.16.4.1 (ether1 router Estudiante D)
Actividades a realizar
Paso 1
•
Cada estudiante deberá eliminar las rutas (en la tabla principal de rutas) generadas en el ejercicio anterior.
Paso 2 (para evitar lazos o routing loops)
•
•
•
•
•
Solo un participante crea una ruta ECMP para cada red 172.16.x.0/24 con check-gateway=ping
Los otros participantes ajustan las rutas simples para alcanzar alcanzar al otro
Se debe chequear el funcionamiento de la redundancia
Recuerda usar traceroute para examinar la configuración
Como ejemplo, la siguiente sería la configuración que debe ejucutar el Estudiante A
/ip route add dst-address=172.16.2.0/24 gateway=10.1.1.2,10.1.1.13 check-gateway=ping
/ip route add dst-address=172.16.3.0/24 gateway=10.1.1.2,10.1.1.13 check-gateway=ping
/ip route add dst-address=172.16.4.0/24 gateway=10.1.1.2,10.1.1.13 check-gateway=ping
•
Esta es la forma como se vería la tabla principal de rutas en el router del Estudiante A
•
Recuerde que los demás estudiantes deben crear y ajustar las rutas para llegar a las redes remotas SIN usar
ECMP
Paso 3 (para evitar lazos o routing loops, siguientes estudiantes)
•
Se debe proceder similar a lo ejecutado en el paso-2 con el siguiente participante, hasta que los 4 estudiantes
puedan completar el ejercicio.
Lab. 2.3.1 – Ruteo ECMP para balanceo de carga
Objetivos
Aplicar balanceo de carga usando ECMP
Actividades a realizar
Paso 1
•
•
•
Se debe trabajar en grupos de 2 estudiantes
El instructor debe asignar otr router para que puedan completar la práctica
El Instructor debe configurar 2 AP Virtuales. Cada AP debe tener una subred diferente. El instructor debe
configurar un server DHCP en cada AP virtual, y debe asegurar la salida a internet de cada una de esas rubredes.
Academy Xperts
20
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
•
•
Los estudiantes deben configurar RA y RB como estaciones, recibir de manera dinámica UNICAMENTE la IP. Los
valores de gateway y DNS no deben ser obtenidos del DHCP server. Esto se logra en la configuración del dhcpcliente.
Los estudiantes deben configurar RC usando ECMP y obtener salida a internet.
Es importante que los estudiantes revisen y analicen el tráfico de las interfaces ether2 y ether3 en RC para que
constaten el flujo de datos por ambas interfaces.
Los estudiantes deben también utilizar la herramienta TORCH para comprobar y analizar el tráfico que fluye por
cada interface.
Lab. 2.3.2 – Ruteo ECMP para balanceo de carga Asimétrico
Objetivos
Aplicar balanceo de carga usando ECMP y forzar a que el tráfico fluya en mayor demanda por una de las interfaces
Actividades a realizar
Paso 1
•
•
Sin desarmar la configuración del Lab.2.3 se debe poner peso a uno de los gateways en la configuración ECMP
Para esto basta con agregar dos o más veces el gateway de la interface por al cual se desea tener más peso en
el tráfico. Por ejemplo:
/ ip route
add dst-address=0.0.0.0/0
•
•
gateway=171.16.4.5,10.1.2.1,10.1.2.1,10.1.2.1 check-gateway=ping
Es importante que los estudiantes revisen y analicen el tráfico de las interfaces ether2 y ether3 en RC para que
constaten el flujo de datos por ambas interfaces.
Los estudiantes deben también utilizar la herramienta TORCH para comprobar y analizar el tráfico que fluye por
cada interface.
Opción “distancia”
•
•
Para priorizar una ruta sobre otra, si ambas apuntan a la misma red, se debe usar la opción “distancia2.
Cuando se envía un paquete, el router usara la ruta con la distancia más baja.
Lab. 2.4 – Distancia de ruta
•
•
•
Crear 2 rutas separadas para cada participante de la red local según las especificaciones de la Fig.2.4.1
o
Una ruta en dirección de las manecillas del reloj con distance=1
o
Una ruta en dirección contraria a las manecillas del reloj con distance=2
Chequear la redundancia deshabilitando las direcciones IP del gateway en dirección de las manecillas del reloj
Usar traceroute para examinar la configuración
Academy Xperts
21
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Ejemplo de configuración
Comportamiento Observado
•
•
•
El tráfico no tiene problemas para pasar en sentido horario
En el caso de falla “check-gateway” solamente el router afectado pasará el tráfico en sentido anti-horario. Todos
los otros routers continuarán enviando en sentido horario
Solución:
o Si el tráfico comienza a ir en sentido anti-horario, se debería establecer un ruteo anti-horario hasta que
alcance su destino.
Routing Mark
•
•
•
•
Para asignar tráfico específico a la ruta, el tráfico debe ser identificado por “routing mark”
Los Routing Marks pueden ser asignados por la opción Mangle del IP Firewall SOLAMENTE en reglas prerouting
y output
Los paquetes con routing mark serán ignorados por la tabla de ruteo principal si es que existe por lo menos una
ruta para ese routing mark. Si no hay ninguna ruta se usará la tabla de ruteo principal.
Cada paquete puede tener solo un routing mark
Lab.2.5 - Política de Ruteo (routing mark)
•
•
•
•
Marcar todo el tráfico que pasa el router (chain prerouting) en dirección anti-horaria
Enrutar el tráfico anti-horario (usar la opción routing-mark)
Chequear la redundancia deshabilitando las direcciones IP del gateway en sentido horario
Usar traceroute para examinar la configuración.
Academy Xperts
22
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Ejemplo de configuración
Time To Live (TTL)
•
•
•
•
•
TTL es un límite de los dispositivos L3 que los paquetes IP pueden experimentar antes de que deban ser
descartados
El valor default del TTL es 64 y cada router reduce el valor en uno antes de enviar su decisión
El TTL puede ser ajustado en la opción IP Firewall mangle
El router no pasará el tráfico al siguiente dispositivo si recibe un paquete con TTL=1
Aplicación útil: eliminar la posibilidad de los clientes de crear redes enmascaradas
Academy Xperts
23
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Cambiando el TTL
Resolviendo el Next-Hop Recursivo
Es posible especificar el gateway a una red incluso si el gateway no se puede alcanzar directamente. Esto se puede lograr
usando Resolución de Next-Hop Recursivo desde cualquier ruta existente
Esto es útil para configuraciones donde la sección media entre el router y el gateway no es constante. Por ejemplo en
implementaciones iBGP
Una ruta debe estar en el scope (al alcance) de otra ruta para que la Resolución de Next-Hop Recursivo funcione.
Scope / Target-Scope
El alcance de la ruta (scope) contiene todas las rutas que el valor de “scope” es menor o igual a su valor “target-scope”
Ejemplo:
0 ADC dst-address=1.1.1.0/24
1 A S dst-address=2.2.2.0/24
2 A S dst-address=3.3.3.0/24
pref-src=1.1.1.1 interface=ether1 scope=10 target-scope=0
gateway=1.1.1.254 interface=ether1 scope=30 target-scope=10
pref-src=2.2.2.254 interface=ether1 scope=30 target-scope=30
Otras Opciones
“Type” permite crear rutas Dead-end (blackhole/prohibit/unreachable) para bloquear algunas redes a ser ruteadas
posterioremente en la red
“Preferred Source” apunta a la dirección origen del router preferido para paquetes originados localmente.
Clean-up
•
•
•
Eliminar todas las reglas de mangle
Eliminar todas las rutas IP
Dejar todas las direcciones IP y la estructura de red intacta.
Academy Xperts
24
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Capítulo 3: OSPF
Áreas, costos, enlaces virtuales, redistribución de rutas y agregación
Protocolo OSPF
OSPF son las siglas de Open Shortest Path First (El camino más corto primero), un protocolo de enrutamiento jerárquico
de pasarela interior o IGP (Interior Gateway Protocol), que usa el algoritmo SmoothWall Dijkstra enlace-estado (LSE - Link
State Algorithm) para calcular la ruta más idónea.
Su medida de métrica se denomina cost, y tiene en cuenta diversos parámetros tales como el ancho de banda y la
congestión de los enlaces. OSPF construye además una base de datos enlace-estado (link-state database, LSDB) idéntica
en todos los enrutadores de la zona.
OSPF puede operar con seguridad usando MD5 para autentificar sus puntos antes de realizar nuevas rutas y antes de
aceptar avisos de enlace-estado.
OSPF es probablemente el protocolo IGP más utilizado en redes grandes; IS-IS, otro protocolo de enrutamiento dinámico
de enlace-estado, es más común en grandes proveedores de servicios. Como sucesor natural de RIP, acepta VLSM y
CIDR desde su inicio. A lo largo del tiempo, se han ido creando nuevas versiones, como OSPFv3 que soporta IPv6 o las
extensiones multidifusión para OSPF (MOSPF), aunque no están demasiado extendidas. OSPF puede "etiquetar" rutas y
propagar esas etiquetas por otras rutas.
Una red OSPF se puede descomponer en regiones (áreas) más pequeñas. Hay un área especial llamada área backbone
que forma la parte central de la red a la que se encuentran conectadas el resto de áreas de la misma. Las rutas entre las
diferentes áreas circulan siempre por el backbone, por lo tanto todas las áreas deben conectar con el backbone. Si no es
posible hacer una conexión directa con el backbone, se puede hacer un enlace virtual entre redes.
•
•
•
•
•
•
•
El protocolo OSPF usa un algoritmo de estado de enlace (link-state) y un algoritmo de Dijkstra para construir y
calcular el camino más corto a todas las redes destino conocidas
Los routers OSPF usan el protocolo IP 89 para comunicarse entre sí.
OSPF redistribuye la información de ruteo entre los routers que pertenecen a un simple sistema autónomo (AS).
El enrutamiento es el relevo de tráfico de una red a otra, paquete por paquete.
El protocolo OSPF usa un algoritmo de estado_de_enlace (link-state) y un algoritmo de Dijkstra para construir y
calcular el camino más corto a todas las redes destino conocidas
Los routers OSPF usan el protocolo IP 89 para comunicarse entre sí.
OSPF redistribuye la información de ruteo entre los routers que pertenecen a un simple sistema autónomo (AS).
Systema Autónomo (AS)
Un Sistema Autónomo (en inglés, Autonomous System: AS) se define como “un grupo de redes IP que poseen una política
de rutas propia e independiente”. Esta definición hace referencia a la característica fundamental de un Sistema Autónomo:
realiza su propia gestión del tráfico que fluye entre él y los restantes Sistemas Autónomos que forman Internet. Un número
de AS o ASN se asigna a cada AS, el que lo identifica de manera única a sus redes dentro de Internet.
•
•
Un sistema autónomo es una colección de redes y routers IP bajo el control de una entidad (OSPF, iBGP, RIP)
que presenta una política de ruteo común al resto de la red.
El AS es identificado por un número de 16 bits (0-65535)
o
El rango de 1 a 64511 se usa para internet
o
El rango de 64512 a 65535 es para uso privado
Academy Xperts
25
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Operación
Los Sistemas Autónomos se comunican entre sí mediante routers, los que intercambian información para tener
actualizadas sus tablas de ruteo mediante el protocolo BGP e intercambian el tráfico de Internet que va de una red a la
otra. A su vez cada Sistema Autónomo es como una Internet en pequeño, ya que su rol se llevaba a cabo por una sola
entidad, típicamente un Proveedor de Servicio de Internet (ISP) o una gran organización con conexiones independientes a
múltiples redes, las cuales se apegaban a una sola y clara política de definición de trayectorias. El RFC 1771 describía la
definición original (obsoleta) del Protocolo BGP (Border Gateway Protocol).
Areas OSPF
•
•
•
•
•
OSPF permite la colección de routers para que sean agrupados (<80 routers en un grupo)
La estructura de un área es invisible desde fuera del área.
Cada área ejecuta una copia separada del algoritmo de ruteo básico link-state.
Las áreas OSPF son identificadas por un número de 32-bit (4 bytes) (0.0.0.0-255.255.255.255)
El ID de área debe ser único dentro del AS
Cuando los sistemas autónomos son grandes por si mismos y nada sencillos de administrar. OSPF les permite dividirlos en
áreas numeradas donde un área es una red o un conjunto de redes inmediatas. Un área es una generalización de una
subred. Fuera de un área, su topología y detalle no son visibles.
OSPF distingue los siguientes tipos de área:
Área Backbone
El backbone, también denominado área cero, forma el núcleo de una red OSPF. Es la única área que debe estar presente
en cualquier red OSPF, y mantiene conexión, física o lógica, con todas las demás áreas en que esté particionada la red. La
conexión entre un área y el backbone se realiza mediante los ABR, que son responsables de la gestión de las rutas nointernas del área (esto es, de las rutas entre el área y el resto de la red).
Área stub
Un área stub es aquella que no recibe rutas externas. Las rutas externas se definen como rutas que fueron inyectadas en
OSPF desde otro protocolo de enrutamiento. Por lo tanto, las rutas de segmento necesitan normalmente apoyarse en las
rutas predeterminadas para poder enviar tráfico a rutas fuera del segmento.
Área not-so-stubby
También conocidas como NSSA, constituyen un tipo de área stub que puede importar rutas externas de sistemas
autónomos y enviarlas al backbone, pero no puede recibir rutas externas de sistemas autónomos desde el backbone u
otras áreas.
•
•
•
•
•
OSPF permite la colección de routers para que sean agrupados (<80 routers en un grupo)
La estructura de un área es invisible desde fuera del área.
Cada área ejecuta una copia separada del algoritmo de ruteo básico link-state.
Las áreas OSPF son identificadas por un numero de 32-bit (4 bytes) (0.0.0.0 – 255.255.255.255)
El ID de área debe ser único dentro del AS
Academy Xperts
26
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Sistema Autónomo (AS) OSPF
Tipos de Router
•
•
•
•
•
•
ASBR= Autonomous System Border Router
ASBR es un router que está conectado a más de un AS
o
Un ASBR es usado para distribuir en todo su propio sistema autónomo las rutas recibidas desde otros
AS.
ABR= Area Border Router
ABR es un router que está conectado a más de un área OSPF
o
Un ABR mantiene múltiples copias en memoria de la base link-state, una para cada área
IR= Internal Router
IR es un router que está conectado solamente a un área
Backbone Area
•
•
•
El área de backbone (area-id=0.0.0.0) forma el núcleo de una red OSPF
El backbone es responsable de distribuir la información de ruteo entre las áreas que no son backbone (nonbackbone area)
Cada area non-backbone debe estar conectada al backbone area directamente o usando enlaces virtuales.
Academy Xperts
27
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Virtual Links (Enlaces Virtuales)
•
•
Son usados para conectar áreas remotas al backbone area a través de un área non-backbone
También son usados para conectar dos partes de un área de backbone particionado a través de un área nonbackbone.
Academy Xperts
28
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Redes OSPF
•
•
Es necesario especificar las redes y áreas asociadas donde buscar por otros routers OSPF
Se debe usar las redes exactas de las interfaces del router, no agregarlas
Estado de los Vecinos OSPF
•
•
•
Full: las bases de datos de los link-state están completamente sincronizadas
2-Way: se ha establecido una comunicación bidireccional
Down, Attempt, Init, Loading, ExStart, Exchange: no está corriendo completamente
Configuración OSPF
•
•
El router-id debe ser único dentro del AS
El router-id puede ser deja do como 0.0.0.0. si se hace esto, se usará una de la s direcciones IP del router.
Academy Xperts
29
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Que se redistribuye?
La ruta por default no es considerada una ruta estática
Configuración de Redistribución
•
•
•
•
If-installed: envía la ruta por default únicamente si ha sido instalado (static, DHCP, PPP, etc.)
Always: siempre envía la ruta por default
As-type-1: la decisión de ruteo remoto a esta red será hecha basada en la suma de las métricas internas y
externas
As-type-2: la decisión de ruteo remoto a esta red será hecha basado solamente en métricas externas (las
métricas internas se volverán triviales)
Métrica Externa Type 1
Métrica Externa Type 2
Academy Xperts
30
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
OSPF Settings - Redistribute Default Route
Especifica como distribuir la ruta por default. Esta opción debería ser usada para configurar en el ABR (Area Border
Router) o en el ASBR (Autonomous System Boundary Router)
•
•
•
•
•
Never: no envía su propia ruta por default a otros routers
If-installed-as-type-1: envía la ruta default con métrica tipo 1 solo si ha sido instalado (una ruta estática
default, o ruta añadida por DHCP, PPP, etc.)
If-installed-as-type-2: envía la ruta default con métrica tipo 2 solo si ha sido instalado (una ruta estática
default, o ruta añadida por DHCP, PPP, etc.)
Always-as-type-1: siempre envía la ruta default con métrica tipo 1
Always-as-type-2: siempre envía la ruta default con métrica tipo 2
OSPF Settings
•
•
•
•
Redistribute Connected Routes
o El router redistribuirá la información sobre todas las rutas conectadas, es decir, las rutas a las redes
alcanzables directamente
Redistribute Static Routes
o El router redistribuirá la información sobre las rutas estáticas añadidas a su base de datos de ruteo, es
decir, las rutas que han sido creadas usando /ip route
Redistribute RIP Routes
o
El router redistribuirá la información de todas las rutas aprendidas por el protocolo RIP
Redistribute BGP Routes
o
El router redistribuirá la información de todas las rutas aprendidas por el protocolo BGP
Costo de Interface
•
•
•
Todas las interfaces tiene un costo por default de 100
Para pasar por encima la configuración por default se debe añadir una nueva entrada en el menú de interface
Se debe elegir el correcto tipo de red para la interface
Interfaces - Descripción
Esta opción provee herramientas para una configuración adicional de parámetros específicos de la interface OSPF.
No es necesario configurar las interfaces para que funcione OSPF.
•
•
•
•
•
•
•
•
Cost: (1..65535) Costo de la interface expresado como una métrica del estado de enlace
Priority: (0..255) Prioridad del router (default 1). Ayuda a determinar cual será el Router Designado
(DR=Designated Router) de la red. Cuando 2 routers conectados a la red intentan ambos ser un DR, el router que
tiene la prioridad más alta se convierte en DR. Si es “0” entonces el router NO es elegible para ser designado ni
backup
Authentication Key: usado por los routers que trabajan con autenticación/clave (MD5 o Simple)
Interfaces – Descripción (cont.)
Retransmit Interval: (segs.) Es el tiempo que toma en retransmitir los anuncios de los estados de enlace perdidos.
Cuando un router envía un LSA (Link State Advertisement) a sus vecinos, mantiene ese LSA hasta que recibe
una respuesta de retorno (ackonwledgment). Si no recibe ningún acknowledgment en ese tiempo, el router
retransmitirá el LSA. Se recomienda los siguientes parámetros:
Broadcast Network: 5 segundos
Point-to-point Network: 10 segundos
Transmit Delay: Es el tiempo estimado que toma en transmitir un paquete de actualización de estado de enlace en
la interface
Academy Xperts
31
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
Hello Interval: Intervalo entre los “paquetes hello” que el router envía en la interface. Mientras más pequeño el
intervalo, se detectarán más rápido de topología, pero, se producirá un mayor tráfico de ruteo. Este valor debe ser
el mismo en cada lado adyacente, de otra forma la adyacencia no funcionará.
Router Dead Interval: Especifica el intervalo después del cual un vecino es declarado como “muerto” Este
intervalo es anunciado en los paquetes “hello” del router. Este valor debe ser el mismo para todos los routers y
servidores de acceso en una red específica.
Routers Designados
•
•
•
•
•
Para reducir el tráfico OSPF en redes NBMA y broadcast, se introdujo una sola fuente para la actualización de
rutas: Designated Router (DR)
DR mantiene una tabla completa de la topología de la red y envía las actualizaciones a los otros
El Router con la más alta prioridad (slide anterior) será elegido como DR
El Router con la siguiente prioridad será elegido como Backup DR (BDR)
Un Router con prioridad 0 nunca podrá ser DR o BDR.
Laboratorio de OSPF
•
•
•
•
Habilite la redistribución tipo 1 para todas las rutas conectadas
Revise la tabla de ruteo
Habilite la redistribución tipo 1 para todas las rutas estáticas
Revise la tabla de ruteo
Academy Xperts
32
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Laboratorio Costos OSPF
•
•
•
•
•
•
Elegir el correcto tipo de red para todas las interfaces OSPF
Asignar los costos (próximo slide) para asegurar el tráfico de una vía en el área
Chequear la tabla de ruteo para observar las rutas ECMP
Asignar los costos necesarios para que el enlace de backup sea usado solamente cuando los otros enlaces fallan
Chequear la redundancia de la red OSPF
Asegúrese que el ABR esté en el DR de su área, pero no en el área de backbone
Academy Xperts
33
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Laboratorio Costos OSPF + Nueva Ruta
Academy Xperts
34
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Laboratorio de Area OSPF
•
•
•
•
•
Cree su propia área
o
Area name “Area<Z>”
o
Area-id= 0.0.0.Z
Asignar redes a las áreas
Chequear sus vecinos OSPF y las tablas de ruteo
El propietario del ABR también debería configurar el área de backbone y las redes
El AP principal debería estar en la lista de vecinos OSPF del ABR.
Vecinos NBMA
•
•
En redes non-broadcast es necesario especificar manualmente los vecinos
La prioridad determina la oportunidad de que tiene el vecino de ser elegido como Designated Router (DR)
Academy Xperts
35
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Stub Area
•
•
•
•
•
•
Un Stub Area es un área que no recibe rutas externas AS
Típicamente todas las rutas a redes AS externas pueden ser reemplazadas por una Default Route. Esta ruta será
creada automáticamente y distribuida por el ABR
La opción <<Inject Summary LSA>> permite recolectar backbone separados u otros LSA (Link State
Advertisement) de router de área e inyectarlo al Stub Area
Habilite la opción <<Inject Summary LSA>> solo en el ABR
<<Inject Summary LSA>> no es una agregación de ruta
El costo de <<Inject Summary LSA>> es especificado por la opción <<Default Area Cost>>
Not-So-Stubby Area (NSSA)
•
•
NSSA es un tipo de Stub Area que está habilitado para inyectar transparentemente rutas externas AS al backbone
<<Translator Role>> Esta opción permite controlar cual ABR del área NSSA actuará como relay del ASBR al área
de backbone
OSPF AS
Academy Xperts
36
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Laboratorio de Area Type (opcional)
•
•
•
•
Configure su tipo de área a <<stub>>
Verifique su tabla de ruteo para identificar los cambios
Asegúrese que la redistribución del default route en el ABR esté configurado como <<never>>
Configure la opción <<Inject Summary LSA>>
o
En el ABR configure <<enable>>
o
En el IR configure <<disable>>
Interface pasiva
•
•
•
Es necesario asignar las redes cliente al área o también el Stub Area considerará estas redes como externas.
Esto es un tema de seguridad
La opción “Passive” permite deshabilitar el protocolo “Hello” OSPF en las interfaces cliente
Rangos de Area
•
•
Los rangos de direcciones son usados para agregar (reemplazar) las rutas de red desde dentro del área en una
simple ruta o eliminándolas
Es posible asignar un costo específico a la ruta agregada
Laboratorio de Agregación de Ruta (opcional)
•
•
•
Anuncie solo una ruta 192.168.Z.0/24 en lugar de cuatro /26 (192.168.Z.0/26, 192.168.Z.64/26, 192.168.Z.128/26,
192.168.Z.192/26)
Detenga el anuncio de la red backup al backbone
Chequee la tabla de ruteo de AP Principal
Resumen
•
•
Para asegurar su red OSPF
o
Use claves de autenticación (para interfaces y áreas)
o
Use la más alta prioridad (255) para el Designated Router
o
Use el correcto Network Type para el área
Para incrementar el desempeño de la red OSPF
o
Use el correcto Area Type
o
Use la agregación de ruta tanto como sea posible
Academy Xperts
37
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
OSPF e Interfaces VPN Dinámicas
•
•
Cada interface VPN dinámica
o
Crea una nueva ruta DAC /32
§
D = Dynamic
§
A = Active
§
C = Connected
o
Remueve esa ruta cuando desaparece
Problemas
o Cada uno de estos cambios realiza una actualización OSPF, si la opción “redistribute-connected” está
habilitado (ocurre un flujo de actualización/update en grandes redes VPN)
o OSPF creará y enviará LSA a cada interface VPN, si la red VPN está asignada a cualquier área OSPF
(bajo desempeño)
Tipo Stub “PPPoE area”
Tipo default “PPPoE area”
Laboratorio “PPPoE area” (opcional)
•
•
De una solución para cada problema mencionado previamente si el “area type” usado es “stub”
Trate de encontrar una solución para cada problema mencionado anteriormente si el “used area type” = default
Filtros de Ruteo OSPF
•
Los filtros de ruteo pueden ser aplicados a los mensajes de actualización de ruteo OSPF entrantes y salientes
o
Chain “ospf-in” para todos los mensajes de actualización de ruteo entrante
o
Chain “ospf-out” para todos los mensajes de actualización de ruteo saliente
Academy Xperts
38
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
Los filtros de ruteo pueden manejar solamente rutas OSPF externas (rutas de las redes que no son asignadas a
cualquier área OSPF)
Filtros de Ruteo y VPN
•
•
Es posible cr ear una regla de filtro de ruteo para restringir todas las rutas /32 para que no in gresen a la red OSPF
Es necesario tener una ruta agregada a esta red VPN:
o
Teni endo la dirección de la red VPN agregada a l ainterface del router
§
Sugerencia: ubique esta dirección en la interface donde el VPN Server es tá ejecutándose
§
Sugerencia: use la dirección de red, los clientes no estarán habilitados p ara evadir su servicio
VPN
o
Creando ruta estática al router mismo
Regla de Filtros de Ruteo
Academy Xperts
39
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Capítulo 4: Ruteo e Interface Point-to-point
Vlan, EoIP, direccionamiento punto-a-punto
Virtual LAN (802.1Q)
•
•
•
•
Virtual LAN permite a los dispositivos de red ser agrupados en subgrupos independientes incluso si están
ubicados en segmentos de Lan diferentes
Para que los routers se comuniquen el VLAN ID debe ser el mismo para las intefaces VLAN
Los puertos en el router soportan múltiples (hasta 250 4095) VLANs en una interfaz ethernet
Una VLAN puede ser configurada sobre otra interfaz VLAN “Q-in-Q” (802.1Q)
Creando una interfaz VLAN
VLAN en Switch
•
•
•
Los puertos de switch co mpatibles con VLAN pueden ser asignados a uno o var ios grupos basados en VLAN tag
Los puertos de switch en cada grupo pueden ser configurados como:
o
Tagged mode: p ermite añadir VLAN tag de grupos en transmisión y pe rmite recibir frames con este tag
o Untagged mode: permite remover VLAN tag de grupos en transmisión, y permite recibir solo paquetes
unttaged
o
<Undefined>: el puerto no tiene relación a este grupo
Trunk port: es un puerto taggeado para varios grupos VLAN
Laboratorio VLAN
•
•
•
•
Crear grupos de 4 participantes
Conectar los equipos usando wireless
o
1 AP
o
3 clientes
Crear un enlace VLAN para cada participante
Asignar redes /30 a los enlaces VLAN y verificarsu funcionalidad
IPIP
•
•
IPIP (IPv4) permite crear un túnel encapsulando paquetes IP en paquetes IP para enviarlos a otro router
IPIP es un túnel en capa 3. No puede ser “bridged” (L2)
Academy Xperts
40
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
RouterOS implementa túneles IPIP acorde al RFC 2003, por lo tanto es compatible con las implementaciones IPIP
de otros vendedores
Para crear un túnel se debe especificar la dirección del router local y del router remoto en ambos lados del túnel
Creando una interface IPIP
Laboratorio IPIP
•
•
•
Reemplace todas las VLANs (del laboratorio anterior) con túneles IPIP
Verifique que puede hacer “ping” a la dirección remota antes de crear el túnel
Asigne direcciones /30 (del laboratorio anterior) a las intefaces IPIP y cheque el funcionamiento de los túneles
Direccionamiento /30
Direccionamiento point-to-point
•
•
•
El direccionamiento point-to-point utilzia solo dos Ips por enalce mientras /30 utiliza cuatro Ips
No hay dirección de broadcast, sino que la dirección de red debe ser configurada manualmente a la dirección IP
opuesta. Ejemplo:
o
Router 1: address=1.1.1.1/32, network=2.2.2.2
o
Router 2: address=2.2.2.2/32, network=1.1.1.1
Pueden haber direcciones /32 idénticas en el router. Cada dirección tendrá una diferente ruta conectada
Direccionamiento point-to-point
Academy Xperts
41
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Laboratorio de direccionamiento point-to-point
•
•
•
Reemplace todas las direcciones /30 en las interfaces IPIP (del laboratorio anterior) con direcciones point-to-point
/32
Asegúrese de que cada participante puede hacer “ping” a su dirección IP XY.XY.XY.XY a través de todos los
túneles IPIP
Analice cuántas direcciones IP fueron utilizadas en total en túneles IPIP para todo el grupo
Tunel Ethernet Over IP (EoIP)
•
•
•
•
•
(IP protocol 47/GRE) Tunneling EoIP crea un tunel Ethernet (encapsula frames Ethernet en paquetes IP) entre 2
routers en una conexión IP
Tunneling EoIP es un protocolo propetario de Mikrotik RouterOS
EoIP es un tunel de L2. Puede ser “bridged”
Para crear un tunel se debe especificar la dirección del router remoto y elegir un único Tunnel ID
Se debe chequear que la interfaz EOIP tenga una diferente MAC-address que el lado opuesto
Beneficios de Túnel EoIP
•
•
•
Extender LANs sobre Internet
Extender LANs sobre túneles encriptados
Extender LANs sobre redes wireless “ad-hoc”
Creación de un Tunel EOIP
EOIP y Bridging
Laboratorio EOIP
•
•
•
•
•
Reemplace las VLANs con túneles EOIP
Verificar que es posible hacer “ping” las direcciones remotas antes de crear un túnel hacia el remoto
Asignar direcciones /30 a las interfaces EOIP y chequear todos los túneles
Hacer bridge de todas las interfaces EOIP con la interfaz local
Revisar en el winbox loader la opción “Discovery”
Academy Xperts
42
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Capítulo 5: VRRP
Virtual Router Redundancy Protocol
VRRP
•
•
•
•
•
•
•
La implementación de VRRP en MikroTik RouterOS es compatible con RFC2338
VRRP es un protocolo usado para asegurar el acceso constante a ciertos recursos.
2 o más routers (referidos como routers VRRP) crean un cluster de Alta Disponibilidad (también referidos como
Routers Virtuales) con fail-over dinámico
Cada router puede participar en hasta 255 routers virtuales por interfaz
VRRP
Una o más direcciones IP se pueden asignar a un router virtual
Un nodo de un router virtual puede tener uno de los siguientes estados:
o
Master
o
Backup
VRRP Master/Backup
VRRP Master
•
•
El router adquiere este estado cuando el nodo responde todos los requerimientos a la dirección IP
Puede haber solo un nodo MASTER en un router virtual. Este nodo envía paquetes de aviso a todos los routers
BACKUP (usando dirección multicast) cada cierto tiempo (este tiempo se configura en la opción interval)
VRRP Backup
•
•
No responde ningún requerimiento a las direcciones IP de la instancia.
Si el MASTER se vuelve no-disponible (si al menos 3 paquetes secuenciales VRRP se pierden) se genera un
proceso de elección y se proclama un nuevo MASTER basado en su prioridad.
Notas VRRP
•
•
•
VRRP no trabaja en interfaces VLAN ya que es imposible asegurar que la MAC-address de una VLAN sea
diferente de la MAC-address del router virtual
El máximo número de clusters en una red es 255 teniendo cada uno un único Virtual Router ID (VRID)
Cada router que participa en un cluster VRRP debe tener asignada una prioridad
VRRP: Implementación Básica
R1
/system identity set name=R1
/ip address add address=192.168.1.1/24 interface=ether1
/interface vrrp add interface=ether1 vrid=49 priority=254
/ip address add address=192.168.1.254/32 interface=vrrp1
R1
R2
(eth1) 192.168.1.1/24
Master
(eth1) 192.168.1.2/24
vrrp1
192.168.1.254
192.168.1.0/24
Backup
R2
/system identity set name=R2
/ip address add address=192.168.1.2/24 interface=ether1
/interface vrrp add interface=ether1 vrid=49
/ip address add address=192.168.1.254/32 interface=vrrp1
/interface vrrp print
(cliente)
ping 192.168.1.254
arp -a
* observar MAC address de
192.168.1.1
192.168.1.2
192.168.1.254
Academy Xperts
43
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
VRRP + Internet (router)
Apoyo usando ECMP
Internet
ECMP
Router
(eth1)
(eth2)
(eth3) 172.19.1.1/24
(bridge1) 172.19.1.254/24
(eth3) 172.19.1.2/24
R1
R2
(eth1) 192.168.1.1/24
Master
- Asignar IP a eth3 de R1 y R2
- Router: eth1+eth2 = bridge1
- Asignar IP a bridge1
Aplicar ECMP en Router
[admin@Router] > ip route add dst-address=192.168.1.0/24
gateway=172.19.1.1, 172.19.1.2
check-gateway=ping
(eth1) 192.168.1.2/24
vrrp1
192.168.1.254
Backup
Existen inconvenientes en esta implementación?
192.168.1.0/24
VRRP + Internet (router)
Apoyo usando ECMP – Identificando problemas
Internet
Internet
ECMP
ECMP
Router
(eth1)
(eth2)
(eth3) 172.19.1.1/24
(bridge1) 172.19.1.254/24
(eth3) 172.19.1.2/24
R1
R2
(eth1) 192.168.1.1/24
Master
Router
(eth1) 192.168.1.2/24
vrrp1
192.168.1.254
Backup
192.168.1.0/24
ping 172.19.1.254
Academy Xperts
(eth1)
(eth2)
(eth3) 172.19.1.1/24
(eth3) 172.19.1.2/24
R1
R2
(eth1) 192.168.1.1/24
Master
(bridge1) 172.19.1.254/24
(eth1) 192.168.1.2/24
vrrp1
192.168.1.254
Backup
192.168.1.0/24
ping 172.19.1.254
44
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
VRRP + Internet (router)
Apoyo usando ECMP + Bridge + STP
Internet
Router
Solución: ECMP +
(bridge1) 172.19.1.254/24
Bridge + STP
Router
(bridgeR1R2) 172.19.1.1/24
R1
(eth2)
R1
R2
(eth2)
(eth1) 192.168.1.1/24
Master
[admin@Router] > interface bridge set bridge1 protocol-mode=stp
(bridgeR2R1) 172.19.1.2/24
[admin@R1] > interface bridge add name=bridgeR1R2 protocol-mode=stp
[admin@R1] > interface bridge port add interface=ether2 bridge=bridgeR1R2
[admin@R1] > interface bridge port add interface=ether3 bridge=bridgeR1R2
(eth1) 192.168.1.2/24
vrrp1
192.168.1.254
* la IP (172.19.1.1) se asigna ahora a bridgeR1R2
Backup
R2
[admin@R2] > interface bridge add name=bridgeR2R1 protocol-mode=stp
[admin@R2] > interface bridge port add interface=ether2 bridge=bridgeR2R1
[admin@R2] > interface bridge port add interface=ether3 bridge=bridgeR2R1
192.168.1.0/24
* la IP (172.19.1.2) se asigna ahora a bridgeR2R1
VRRP + Internet (router)
Apoyo usando VRRP en 172.19.1.0
Internet
Router
(bridge1) 172.19.1.254/24
Router
[admin@Router] > interface bridge set bridge1 protocol-mode=stp
[admin@Router] > ip route add dst-address=192.168.1.0/24 gateway=172.19.1.253
Backup
VRRProuter
172.19.1.253
(eth3) 172.19.1.1/24
Master
(eth3) 172.19.1.2/24
R1
[admin@R1] > interface vrrp add name=VRRProuter interface=ether3 vrid=2 priority=100
[admin@R1] > ip address add address=172.19.1.253/24 interface=VRRProuter
R2
(eth1) 192.168.1.1/24
Master
R1
(eth1) 192.168.1.2/24
vrrp1
192.168.1.254
Backup
R2
[admin@R2] > interface vrrp add name=VRRProuter interface=ether3 vrid=2 priority=200
[admin@R2] > ip address add address=172.19.1.253/24 interface=VRRProuter
192.168.1.0/24
Academy Xperts
45
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
VRRP + Internet (router)
Requerimiento de 2 Gateways en LAN
Internet
Router
R1
R1
R2
(eth1) 192.168.1.1/24
(eth1) 192.168.1.2/24
Master
VR1
192.168.1.253
Backup
Backup
VR2
192.168.1.254
Master
/ip address add address=192.168.1.1/24 interface=ether1
/interface vrrp add name=VR1 interface=ether1 vrid=49 priority=254
/interface vrrp add name=VR2 interface=ether1 vrid=77
/ip address add address=192.168.1.253 interface=VR1
R2
192.168.1.0/24
GW: 192.168.1.253
Academy Xperts
/ip address add address=192.168.1.2/24 interface=ether1
/interface vrrp add name=VR1 interface=ether1 vrid=49
/interface vrrp add name=VR2 interface=ether1 vrid=77 priority=254
/ip address add address=192.168.1.254 interface=VR2
GW: 192.168.1.254
46
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Capítulo 6: Túneles
Introducción
Los túneles son una forma de ampliar una red privada a través de una red pública, como Internet. A los Túneles también se
les conoce como VPNs (redes privadas virtuales).
•
El concepto de seguridad se asocia con VPN. Es recomendable ya que no se desea que el tráfico de los usuarios
vaya a través de redes que no son seguras
Se conoce como túnel o tunneling a la técnica que consiste en encapsular un protocolo de red sobre otro (protocolo de red
encapsulador) creando un túnel de información dentro de una red de computadoras. El uso de esta técnica persigue
diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en
escenarios multicast, la redirección de tráfico, etc. La técnica de tunelizar se suele utilizar para trasportar un protocolo
determinado a través de una red que, en condiciones normales, no lo aceptaría. Otro uso de la tunelización de protocolos
es la creación de diversos tipos de redes privadas virtuales.
El establecimiento de dicho túnel se implementa incluyendo una PDU (unidad de datos de protocolo) determinada dentro
de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación
intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son
incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo
de comunicación empleado, que entre otros, podría ser SSH. Así, el protocolo A es encapsulado dentro del protocolo B, de
forma que el primero considera al segundo como si estuviera en el nivel de enlace de datos.
Ejemplos de protocolos tunelizados
•
•
•
•
•
•
•
•
L2TP (Layer 2 Tunneling Protocol)
MPLS (Multiprotocol Label Switching)
PPTP (Point-to-Point Tunneling Protocol)
PPPoE (point-to-point protocol over Ethernet)
PPPoA (point-to-point protocol over ATM)
IPSec (Internet Protocol security)
IEEE 802.1Q (Ethernet VLANs)
6to4 (IPv6 over IPv4 as protocol 41)
RouterOS y Túneles
MikroTik RouterOS provee funcionalidad escalable de Autenticación, Autorización y Contabilización
•
AAA = Authentication Authorization Accounting (Contabilización)
La autenticación local se logra usando una Base de Datos de Usuario y una Base de Datos de Perfil (profile). La
configuración del usuario está compuesta por el registro del respectivo usuario (tomado de la Base de Datos de Usuario),
el ítem asociado de la Base de Datos de Perfil (profile) y el ítem en la base de datos de Perfil en cual está configurado
como default para un servicio dado al que el usuario está autenticando. Las configuraciones del Perfil por default de la
base de Datos del Perfil, tienen la prioridad más baja, mientras que las configuraciones de los registros de acceso de
usuario de la Base de Datos de Usuario tiene la más alta prioridad con la única excepción de que siendo una dirección IP
particular toma precedencia sobre los Pools de direcciones IP en las configuraciones local-address y remoteaddress.
El soporte para la autenticación RADIUS le proporciona al ISP o al administrador de red la habilidad para manejar el
acceso y la contabilidad de usuarios PPP desde un solo servidor a través de una gran red. MikroTik RouterOS tiene un
Cliente RADIUS que puede autenticar conexiones PPP, PPPoE, PPTP, L2TP e ISDN.
Los atributos recibidos del servidor RADIUS invalidan las configuraciones del Perfil (profile) por default, pero si algunos
parámetros no son recibidos, entonces son tomados del Perfil por default respectivo
/ppp profile (perfiles de usuario)
Los perfiles PPP se utilizan para definir los valores por default de los registros de usuario que se almacenan en el submenu
/ppp secret. Las configuraciones /ppp secret de la Base de Datos de Usuario invalidan las configuraciones /ppp
profile correspondientes, excepto que las direcciones IP simples siempre tienen precedencia sobre los Pool de
direcciones IP cuando se especifican como parámetros en local-addres o remote-address.
Los PPP profiles representan los parámetros de configuración para ser utilizado por los clientes PPP, pero no limitados a:
•
Dirección IP o Pool de direcciones (remotas o locales)
•
Compresión
•
Cifrado
/ppp profile (example from a client) add change-tcp-mss=yes name=Profile-external\
use-compression=yes use-encryption=yes use-vj-compression=no
/ppp profile (example from a server) add change-tcp-mss=yes local-address=192.168.222.1\
name=Profile-external remote-address=192.168.222.2 use-compression=yes\
use-encryption=yes use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=Profile-internal\
remote-address=Pool-VPN use-compression=yes use-encryption=yes use-vj-compression=no
Academy Xperts
47
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Parámetros
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
address-list (string; Default: ) .- Especifica el nombre del address-list a donde se agregarán las direcciones
asignadas PPP
bridge (string; Default: ) .- Nombre de la interface bridge a la que se agregará la interface ppp como un puerto
esclavo. Ambos puntos finales del tunel (server y cliente) deben estar en un bridge para que esto funcione.
change-tcp-mss (yes | no | default; Default: default) .- Permite cambiar la configuración de la conexión MSS
o
yes : ajusta el valor de la conexión MSS
o
no : no ajusta el valor de la conexión MSS
o
default : obtiene este valor del perfil por default de la interface
comment (string; Default: ) .- Campo para escribir un comentario
dhcpv6-pd-pool (string; Default: ) .- Nombre del Pool Ipv6 que se usará para el servidor DHCPv6-PD creado
dinámicamente cuando los clientes se conectan.
dns-server (IP; Default: ) .- Dirección IP del server DNS que se suministra a los clientes PPP
idle-timeout (time; Default: ) .- Especifica la cantidad de tiempo luego del cual el enlace se terminará si es que
no hay actividad presente.
incoming-filter (string; Default: ) .- Nombre del chain de firewall para paquetes entrantes. El chain
especificado obtiene el control para cada paquete que viene del cliente. El chain PPP debería ser agregado
manualmente, y también deberían agregarse las reglas con action=jump
jump-target=ppp a otros chains
relevantes para que esta característica funcione.
local-address (IP address | pool; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se
asigna la dirección a la interface PPP local
name (string; Default: ) .- Nombre del Perfil PPP
only-one (yes | no | default; Default: default) .- Define si es que un usuario está permitido tener más de una
conexión a la vez.
o
yes – Un usuario NO está permitido tener más de una conexión al mismo tiempo
o
no – El usuario está permitido a tener más de una conexión a la vez
o
default – Obtiene este valor del Perfil por default de la Interface
outgoing-filter (string; Default: ) .- Nombre del chain de firewall para paquetes salientes. El chain
especificado obtiene el control para cada paquete que va hacia el cliente. El chain PPP debería ser agregado
manualmente, y también deberían agregarse las reglas con action=jump
jump-target=ppp a otros chains
relevantes para que esta característica funcione.
rate-limit (string; Default: ) .- La limitación de velocidad desde el punto de vista del router se presenta en la
siguiente forma (rx es el tráfico de subida del cliente, y tx es el tráfico de bajada del cliente):
o
rx-rate[/tx-rate]
[rx-burst-rate[/tx-burst-rate]
[rx-burst-threshold[/txburst-threshold] [rx-burst-time[/tx-burst-time]
[priority] [rx-rate-min[/txrate-min]]]]
o Todas las velocidades están medidas en bits-por-segundo (bps), a menos que le siga el sufijo k (kilobits
por segundo) o el sufijo M (megabits por segundo)
o
Si no se especifica el tx-rate, entonces el rx-rate sirve también como tx-rate
o Lo mismo aplica para tx-burst-rate, tx-burst-threshold y tx-burst-time. Si rx-burstthreshold y tx-burst-threshold no se especifican (but burst-rate está especificado), rxrate y tx-rate se utilizan como burst thresholds.
o
Si rx-burst-time y tx-burst-time no se especifican, se utiliza 1s como default. La prioridad toma
los valores 1..8, donde 1 representa a la prioridad más alta, y 8 la prioridad más baja.
o Si rx-rate-min y tx-rate-min no se especifican, entonces se utilizan los valores rx-rate y txrate
o
Los valores de rx-rate-min y tx-rate-min no pueden exceder a los valores rx-rate y tx-rate.
remote-address (IP; Default: ) .- Especifica la dirección del túnel o el nombre del Pool del cual se asigna la
dirección a la interface PPP remota
remote-ipv6-prefix-pool (string | none; Default: none) .- Asigna el prefijo del Pool IPv6 al cliente e instala la
correspondiente ruta IPv6.
session-timeout (time; Default: ) .- Especifica el máximo tiempo de conexión que se puede establecer. Por
default no se configura límite de tiempo.
use-compression (yes | no | default; Default: default) .- Especifica si se usa compresión o no. Esta
configuración no afecta los túneles OVPN
o
yes – Habilita la compresión de datos
o
no – Deshabilita la compresión de datos
o
default – Obtiene este valor del Perfil por default de la Interface
use-encryption (yes | no | default | require; Default: default) .- Especifica si se usa encriptación o no. Esta
configuración no afecta los túneles OVPN
o
yes – Habilita la encriptación de datos
o
no – Deshabilita la encriptación de datos
o
default – Obtiene este valor del Perfil por default de la Interface
Academy Xperts
48
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
•
•
use-ipv6 (yes | no | default | require; Default: default) .- Especifica si se permite IPv6. Por default se habilita si es
que el paquete IPv6 está instalado.
o
yes – Habilita el soporte IPv6
o
no – Deshabilita el soporte IPv6
o
default – Obtiene este valor del Perfil por default de la Interface
o
require – Requiere explícitamente soporte IPv6
use-mpls (yes | no | default | require; Default: default) .- Especifica si es que se permite MPLS sobre PPP
o
yes – Habilita el soporte MPLS
o
no – Deshabilita el soporte MPLS
o
default – Obtiene este valor del Perfil por default de la Interface
o
require – Requiere explícitamente soporte MPLS
use-vj-compression (yes | no | default; Default: default) .- Especifica si es que se usa el algoritmo de
compresión de cabecera Van Jacobson
o
yes – Habilita la compresión de cabecera Van Jacobson
o
no – Deshabilita la compresión de cabecera Van Jacobson
o
default – Obtiene este valor del Perfil por default de la Interface
wins-server (IP address; Default: ) .- Permite especificar la dirección IP del servidor WINs para suministrar a
los clientes
Notas Importantes
•
Existen dos Perfiles por Default que no pueden ser removidos:
/ppp profile print
Flags: * - default
0 * name="default" use-compression=no use-vj-compression=no use-encryption=no
only-one=no change-tcp-mss=yes
1 * name="default-encryption" use-compression=default use-vj-compression=default
use-encryption=yes only-one=default change-tcp-mss=default
•
Se debe usar el algoritmo de compresión Van Jacobson únicamente si es necesario, ya que se reducen las
comunicaciones en canales malos o congestionados.
Los argumentos incoming-filter y outgoing-filter agregan reglas de jump dinámicas al chain PPP,
donde el argumento jump-target será igual al argumento incoming-filter o outgoing-filter en /ppp
profile. Por lo tanto, el chain PPP debe ser agregado manualmente antes de que se cambien estos
argumentos.
El parámetro only-one se ignora si se usa la autenticación RADIUS
Si hay más de 10 conexiones PPP simultáneas, se recomienda apagar (off) la propiedad change-mss, y usar
una regla general de cambio MSS en la tabla de mangle, para reducir la utilización del CPU.
•
•
•
/ppp secret (base de datos de usuario)
La Base de Datos de Usuario PPP almacena los registros de acceso de usuario PPP con el perfil de usuario PPP asignado
a cada usuario.
Los PPP secrets se encuentran en PPP servers y también podemos especificar los parámetros básicos y necesarios para
autenticar a un cliente, tales como:
•
•
•
•
Nombre: Identificación del usuario
Contraseña: contraseña del usuario
Servicio: el protocolo que está dando servicio (si de dejan en “any” el PPP secret autenticara al usuario a través
de algunos de estos servicios (PPPoE, L2TP, PPTP, etc.))
Perfil: el subconjunto de configuración que utilizara este usuario. Los perfiles permiten parámetros a ser utilizados
por muchos usuarios sin tener que volver a escribir todo cada vez.
Los clientes no utilizan PPP secrets como credenciales de autenticación. Se especifican en la interfaz del cliente PPP bajo
los parámetros de “Usuario” y “Contraseña”
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
Parámetros
•
•
•
•
caller-id (string; Default: ) .- Para PPTP y L2TP, este parámetro es la dirección IP desde la cual un cliente
debe conectarse. Para PPPoE es la dirección MAC (escrito en letras mayúsculas) desde la cual un cliente debe
conectarse. Para ISDN es el número del caller (que puede o no puede ser provisto por el operador) desde el cual
el cliente debe llamar.
comment (string; Default: ) .- Una corta descrición del usuario
disabled (yes | no; Default: no) .- Permite especificar si se usará un secret
limit-bytes-in (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede subir
(upload) en una sesión
Academy Xperts
49
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
•
•
•
•
•
•
•
limit-bytes-out (integer; Default: 0) .- Especifica la máxima cantidad de bytes que un cliente puede
descargar (download)
local-address (IP address; Default: ) .- Dirección IP que será configurada localmente en la interface PPP
name (string; Default: ) .- Nombre usado para la autenticación
password (string; Default: ) .- Contraseña (password) usada para la autenticación
profile (string; Default: default) .- Especifica qué perfil se utilizará
remote-address (IP; Default: ) .- Especifica la dirección IP que se asignará a la interface PPP remota
remote-ipv6-prefix (IPv6 prefix; Default: ) .- Prefijo IPv6 asignado al cliente PPP. El prefijo se agrega a la
lista de prefijo ND que permite la configuración automática de direcciones sin estado en una interface PPP. Esta
opción está disponible desde la v5.0
routes (string; Default: ) .- Especifica las rutas que aparecen en el server cuando el cliente se conecta. El
formato de la ruta es dst-address gateway metric (por ejemplo 10.1.0.0/24
10.0.0.1
1). Se
peude especificar varias rutas separando con comas. Este parámetro será ignorado por OpenVPN
service (any | async | isdn | l2tp | pppoe | pptp | ovpn | sstp; Default: any) .- Especifica el tipo de servicio que un
usuario específico podrá utilizar.
/ppp active (usuarios activos)
Este submenú permite minitorear los usuarios activos o usuarios conectados. Representa el estado actual de las
conexiones. Útil para depurar y verificar el funcionamiento correcto de sus túneles.
•
/ppp active print mostrará todos los usuarios conectados actualmente
•
/ppp active print stats mostrará los bytes y paquetes recibidos
/ppp active print detail
Flags: R - radius
0 name=”alain” service=pppoe caller-id=”28:D2:44:2C:06:EE”\
address=192.168.5.100 uptime=3m56s encoding=”MPPE128 statefull” session-id=0x81B00044\
limit-bytes-in=0 limit-bytes-out=0
1 name=”Pod4-external” service=pppoe caller-id=”D4:CA:6D:8E:1ª:97”\
address=192.168.222.2 uptime=37s encoding=”MPPE128 stateless” session-id=0x81B00045\
limit-bytes-in=0 limit-bytes-out=0
/ppp active print
Flags: R – radius
# NAME
0 alainpppoe
1 Pod4-exte... pppoe
SERVICE CALLER-ID
28:D2:44:2C:06:EE
D4:CA:6D:8E:1ª:97
ADDRESS
192.168.5.100
192.168.222.2
UPTIME
4m12s
53s
ENCODING
MPPE128 statefull
MPPE128 stateless
Parámetros
•
•
•
•
•
•
•
•
•
•
•
address (IP address) .- La dfirección IP que el cliente obtiene del server
bytes (integer) .- Cantidad de bytes transferidos a través de esta conexión. La primera representa la cantidad de
tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad de tráfico
recibido.
caller-id (string) .- Para PPTP y L2TP es la dirección IP desde la que el cliente está conectado. Para PPPoE
es la dirección MAC desde la que el cliente está conectado.
encoding (string) .- Muestra la encriptación y codificación (separado con “/” si es asimétrico) que está siendo
usado en esta conexión.
limit-bytes-in (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al router
limit-bytes-out (integer) .- Máxima cantidad de bytes que el usuario está permitido enviar al cliente
name (string) .- Nombre de usuario proporcionado en la fase de autenticación
packets (integer/integer) .- Cantidad de paquetes transferidos a través de esta conexión. La primera representa
la cantidad de tráfico transmitido desde el punto de vista del router, mientras que la segunda muestra la cantidad
de tráfico recibido.
service (async | isdn | l2tp | pppoe | pptp | ovpn | sstp) .- Tipo de servicio que el usuario está usando
session-id (string) .- Muestra el identificador de cliente único
uptime (time) .- Tiempo de actividad del usuario
/ppp aaa (AAA remoto)
Las configuraciones en este menú permiten sonfigurar la contabilización (accounting) y autenticación (authentication)
RADIUS. La base de datos de usuario RADIUS se consulta únicamente si el nombre usuario (username) requerido no se
encuentra en la base de datos de usuario local
Parámetros
•
•
•
accounting (yes | no; Default: yes) .- Habilita la contabilización (accounting) RADIUS
interim-update (time; Default: 0s) .- Intervalo de tiempo de actualización interino
use-radius (yes | no; Default: no) .- Habilita la autenticación de usuario vía RADIUS. Si no se encuentra le
entrada en la base de datos Secret Local, entonces el cliente será autenticado vía RADIUS.
Academy Xperts
50
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
/ppp client (cliente PPP)
Parámetros
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
add-default-route (yes | no; Default: no) .- Especifica si se agrega la ruta por default para encaminar todo el
tráfico sobre el túnel.
allow (pap | chap | mschap1 | mschap2; Default: pap,chap,mschap1,mschap2) .- Especifica los protocolos
permitidos a usar para la autenticación
apn (string; Default: ) .- Nombre del Access Point (APN = Access Point Name) del Proveedor de Servicio
comment (string; Default: ) .- Nombre que describe el item
data-channel (integer; Default: 0) .- Especifica cuál de los canales de puertos es usado para transferir datos.
default-route-distance (integer; Default: 1) .- A partir de la v6.2, configura el valor distancia aplicado para
la ruta por default creada automáticamente, si es que también se ha seleccionado add-default-route
dial-command (string; Default: "ATDT") .- Comando dial que se va a usar. Por default se configura el modo del
tono de marcado
dial-on-demand (yes | no; Default: no) .- Habilita/deshabilita dial on demand
disabled (yes | no; Default: yes) .- Especifica si es que la interface esta deshabilitada o no. Por default está
deshabilitada
info-channel (integer; Default: 0) .- Especifica cuál de los canales de puerto (por channels) se utiliza para info
keepalive-timeout (integer [0..4294967295]; Default: 30s) .- Keepalive timeout PPP en segundos
max-mru (integer; Default: 1500) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface PPP estará habilitada para recibir sin fragmentación de paquetes
max-mtu (integer; Default: 1500) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit).
Tamaño máximo del paquete que la interface PPP estará habilitada para enviar sin fragmentación de paquetes
modem-init (string; Default: "") .- String de inicialización del modem
mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel.
name (string; Default: ) .- Nombre descriptivo de la interface
null-modem (yes | no; Default: no) .- Habilita/deshabilita el modo null-modem (cuando está habilitado, no se
envían cadenas de inicialización al modem)
password (string; Default: "") .- Contraseña (password) usada para autenticación
phone (string; Default: "") .- Número de teléfono para marcar (dial-out)
pin (string; Default: "") .- Código de Pin de las Tarjetas SIM
port (string; Default: "") .- Nombre del puerto Serial o USB donde está conectado el modem
profile (name; Default: default) .- Perfil PPP que se utiliza
remote-address (IP Address; Default: ) .- Dirección IP remota
use-peer-dns (yes | no; Default: yes) .- Usa las configuraciones DNS server del servidor remoto
user (string; Default: ) .- Nombre de usuario usado para autenticación
/ip pool
El Pool IP define un rango de direcciones IP que es utlizado por el Server DHCP y también por los Servers Point-to-Point.
Es decir que no sólo es utilizado para DHCP, sino que también se puede utilizar para los clientes PPP y Hotspot.
Útil cuando una interfaz puede dar servicio a muchos clientes. Las direcciones se asignan a partir del Pool de forma
automática.
Rangos de IPs son listas de direcciones IP que no se repiten entre si y que se pueden asignar a los clientes a través de
servicios (DHCP, PPP, Hotspot).
Parámetros
•
•
•
name (name) .- El nombre del Pool
next-pool (name) .- Cuando la dirección se adquiere de un pool que no tiene direcciones libres, y la propiedad
next-pool está configurada a otro pool, entonces la siguiente dirección se obtendrá del next-pool
ranges (IP address) .- La lista de dirección IP de los rangos de dirección IP en la forma: desde1-hasta1,
desde2-hasta2, …, desdeN-hastaN. Por ejemplo, 10.0.0.1-10.0.0.27,10.0.0.32-10.0.0.47
Vamos a demostrar con un ejemplo. Usted tiene 50 ordenadores de la LAN corporativa y 50 que vienen desde VPN.
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
Supongamos ahora que usted necesita agregar 50 equipos en el Pool de la LAN
/ip pool print
# NAME
RANGES
0 Pool-PC
192.168.5.50-192.168.5.99
1 Pool-VPN
192.168.5.100-192.168.5.149
/ip pool
Academy Xperts
51
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
/ip pool> print
# NAME
RANGES
0 Pool-PC
192.168.5.50-192.168.5.99
192.168.5.150-192.168.5.199
1 Pool-VPN
192.168.5.100-192.168.5.149
Asignaciones para un servicio
•
•
Un Pool puede ser asignado para diferentes servicios tales como DHCP, PPP y Hotspot.
Veremos la sintaxis más adelante
Ejercicio: Cómo comunicamos las redes A y B?
PPPoE
El protocolo PPPoE (Point to Point Protocolo ver Ethernet) proporciona una amplia administración de usuario,
administración de red y beneficios de contabilización (accounting) a los ISPs y administradores de red. En muchos sitios el
PPPoE se utiliza principalmente en los ISPs para controlar las conexiones de clientes por xDSL y Cable Modem, así como
también por redes Ethernet planas (plain networks).
PPPoE es una extensión del estándar PPP. La diferencia entre ambos esta en el medio de transporte, ya que PPPoE
utiliza Ethernet en lugar de conexiones de modem serial.
Generalmente PPPoE se utiliza para manejar las direcciones IP a clientes basados en autenticación por nombre de usuario
(incluso si se requiere también por estación de trabajo) en lugar de la autenticación únicamente por estación de trabajo
donde se utiliza direccionamiento estático o DHCP. Se recomienda no utilizar direccionamiento estático o DHCP en las
mismas interfaces como PPPoE por razones de seguridad.
El cliente y server PPPoE trabajan sobre:
•
•
•
•
•
Cualquier interface Ethernet Capa 2
Wireless 802.11 (Aironet, Cisco, WaveLan, Prism, Atheros)
Ethernet 10/100/1000 Mbit/s
RadioLan
EoIP (túnel Ethernet sobre IP)
Características principales de PPPoE
•
•
•
•
•
Soporte para cliente y server PPPoE
Multilink PPP (MLPPP)
MLPPP sobre un enlace simple (habilidad para transmitir frames de tamaño completo)
Soporte para BCP (Bridge Control Protocol). Permite el envío de frames Ethernet sobre enlaces PPP
Encriptación MPPE 40bits
Academy Xperts
52
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
•
Encriptación MPPE 128 RSA
Autenticación pap, chap, mschap v1, mschap v2
Soporte RADIUS para autenticación y contabilización de clientes
Nótese que cuando el servidor RADIUS está autenticando un usuario con CHAP, MS-CAHPv1 o MS-CHAPv2, el protocolo
RADIUS no usa una clave compartida (shared secret), ya que esta calve compartida se utiliza únicamente en la
respuesta a la autenticación. Esto significa que si se tiene una clave compartida errónea, el servidor RADIUS aceptará el
requerimiento.
Se puede entonces utilizar el comando /radius monitor para visualizar el parámetro bad-replies. Este valor debería
incrementar cada vez que un cliente intenta conectarse.
Conexiones soportadas
•
•
El Cliente PPPoE MikroTik RouterOS se puede conectar con cualquier servidor PPPoE (concentrador de acceso)
El Servidor PPPoE MikroTik RouterOS (concentrador de acceso) se puede conectar con múltiples clientes PPPoE
(los clientes pueden provenir de casi todos los sistemas operativos y la mayoría de routers)
Operación PPPoE
Estados
PPPoE tiene 2 estados
1)
Descubrimiento (Discovery) .- Un cliente descubre todos los concentradores de acceso disponible, y selecciona
uno de ellos para establecer la sesión PPPoE. Este estado tiene cuatro pasos:
a. Inicialización (initialization)
b. Oferta (offer)
c. Request (requerimiento)
d. Confirmación de sesión (sesión confirmation)
•
PPPoE Discovery utiliza frames Ethernet especiales con su propio tipo de frame Ethernet (0x8863)
•
Para iniciar el descubrimiento, el cliente PPPoE envía un frame PADI a la dirección Ethernet
broadcast FF:FF:FF:FF:FF:FF, y opcionalmente puede especificar un nombre de servicio
(service name)
•
Cuando el server recibe el frame PADI, el server responde con un frame PADO a la dirección
Ethernet unicast del Cliente. Puede haber más de un servidor en el rango broadcast del cliente. En
tal caso el Cliente colecciona los frames PADO y elige uno para iniciar la sesión. En la mayoría de
los casos elige el servidor que responde primero.
•
El Cliente envía un frame PADR a la dirección Ethernet unicast del Server que elige. Si el Server
está de acuerdo en configurar una sesión con este Cliente, entonces asigna recursos para configurar
una sesión PPP y asigna un número de Identificación de Sesión (Session ID). Este número se
envía de retorno al Cliente en un frame PADS. Cuando el Cliente recibe el frame PADS, conoce la
dirección MAC de los servidores y el Session ID, asigna los recursos y la sesión puede comenzar.
2)
Sesión (Session) .- Cuando se completa el estado Discovery, ambas partes conocen el PPPoE Session ID y
la dirección MAC Ethernet de cada uno, con lo cual juntos definen la sesión PPPoE. Los frames PPPoE son
encapsulados en frames de sesión PPPoE, los mismos que tienen un tipo de frame Ethernet 0x8864
Cuando el Server envía la confirmación y el Cliente la recibe, se inicia el estado de Sesión PPP que consiste de
los siguientes pasos:
a. Negociación LCP
b. Autenticación
c. Negociación IPCP, donde se le asigna una dirección IP al Cliente
Academy Xperts
53
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
El Server PPPoE envía paquetes Echo-Request al Cliente para determinar el estado de la sesión, de otra forma
el Server no podrá determinar que la sesión está terminada en los casos en que el Cliente termina la sesión sin
enviar el paquete Terminate-Request
Tipos de paquetes utilizados
PADI – PPPoE Active Discovery Initialization
El Cliente PPPoE envía un paquete PADI a la dirección broadcast. Este paquete también puede poblar el campo
service-name si un nombre de servicio ha sido ingresado en las propiedades de networking dial-up del
cliente PPPoE. Si no se ha ingresado un service-name, este campo nos será poblado
PADO – PPPoE Active Discovery Offer
El Server PPPoE (Concentrador de Acceso) debe responder al PADI con un PADO si el Concentrador de Acceso
está habilitado para servir el campo service-name que ha sido listada en el paquete PADI. Si ningún campo
service-name ha sido listado, el Concentrador de Acceso responderá con un paquete PADO que tiene el
campo service-name poblado con los nombres de servicio que el Concentrador de Acceso puede servir. El
paquete PADO se envía a la dirección unicast del cliente PPPoE
PADR – PPPoE Active Discovery Request
Cuando se recibe un paquete PADO, el Cliente PPPoE responde con un paquete PADR. Este paquete se envía a
la dirección unicast del Concentrador de Acceso. El cliente puede recibir múltiples paquetes PADO, pero el cliente
responde al primer PADO válido que el cliente recibió. Si el paquete inicial PADI tiene un campo service-name
en blanco, el cliente puebla el campo service-name del paquete PADR con el nombre del primer servicio que
retorna en el paquete PADO.
PADS – PPPoE Active Discovery Session confirmation
Cuando se recibe el PADR, el Concentrador de Acceso genera una identificación de sesión única (ID) para la
sesión PPP y regresa este ID al Cliente PPPoE en el paquete PADS. Este paquete es enviado a la dirección
unicast del Cliente.
PADT – PPPoE Active Discovery Terminate
Puede ser enviado en cualquier momento después de que se establece una sesión para indicar una sesión
PPPoE terminada. Puede ser enviada por el Server como por el Cliente.
MTU
Típicamente el frame Ethernet más grande que se puede transmitir sin fragmentación es 1500 bytes. El protocolo PPPoE
agrega 6 bytes de overhead y el campo PPP agrega 2 bytes más, dejando 1492 bytes para el datagrama IP. Por lo tanto
los valores máximos de MTU y MRU para PPPoE no deben ser mayores a 1492.
Las pilas TCP tratan de evitar la fragmentación, por lo que usan un MSS (Maximum Segment Size). Por default el MSS es
elegido como el MTU de la interface saliente menos el tamaño usual de las cabeceras IP y TCP (40 bytes), lo cual resulta
en 1460 bytes para una interface Ethernet. Desafortunadamente puede haber enlaces intermedios con un MTU más bajo el
cual puede ocasionar fragmentación. En tal caso, la pila TCP ejecuta un path MTU discovery. Los routers que no
pueden pasar el datagrama sin fragmentación se supone que abandonarán/rechazarán (drop) el paquete y enviarán un
mensaje ICMP-Fragmentation-Required al host origen. Cuando el host recibe este paquete ICMP, intenta disminuir el
MTU. Esto debería funcionar en un esquema ideal, sin embargo en el mundo real muchos routers no generan los
datagramas fragmentation-requiered, y también muchos firewalls abandonan/rechazan (drop) todos los datagramas
ICMP.
La solución para este problema es ajustar el MSS si es que es demasiado grande. Por default el RouterOS agrega reglas
de mangle para interceptar los paquetes TCP SYN y silenciosamente ajusta cualquier opción MSS anunciando la que será
apropiada para el enlace PPPoE.
pppoe client (Cliente PPPoE)
Propiedades
•
•
•
•
•
•
•
•
ac-name (string; Default: "") .- Nombre del Concentrador de Acceso. Este campo puede ser dejado en blanco y el
cliente se conectará a cualquier Concentrador de Acceso en el dominio de broadcast.
add-default-route (yes|no; Default: no) .- Habilita/Deshabilita si es que se agregará automáticamente la ruta
por default.
allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de
autenticación permitidos. Por default todos los métodos están permitidos.
default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por
default creada automáticamete, si es que también se ha seleccionado add-default-route
dial-on-demand (yes | no; Default: no) .- Se conecta al Concentrador de Acceso únicamente cuando se genera
tráfico de salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red
10.112.112.0/24 será agregada mientras la conexión no está establecida
interface (string; Default: ) .- Nombre de la interface en la cual correrá el cliente
keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos
max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit).
Academy Xperts
54
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
•
•
•
•
•
•
•
max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit
mrru (disabled | integer 512..65535; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en
el enlace. Si un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el
tamaño total de los paquetes IP o Ethernet sean enviados sobre el túnel
name (string; Default: ) .- Nombre de la interface PPPoE. Se genera automáticamente por el RouterOS si es que
no se especifica.
password (string; Default: "") .- Contraseña (password) usado para la autenticación
profile (name; Default: default-encryption) .- Especifica el perfil por default para la conexión definida en /ppp
profiles
service-name (string; Default: "") .- Especifica el nombre de servicio configurado en el Concentrador de Acceso.
Puede ser dejado en blanco para conectarse a cualquier Server PPPoE
use-peer-dns (yes|no; Default: no) .- Habilita/Deshabilita la obtención de las configuraciones DNS desde su
peer
user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPPoE service-name
•
•
El service-name puede ser visto como el SSID de 802.11, lo que significa que es el nombre de red que el cliente
este buscando.
A diferencia del SSID, si el cliente no especifica uno, el concentrador de acceso (servidor PPPoE) enviara todos
los service-names que administre. El cliente responderá al primero que llegue.
Status
El comando /inteface pppoe-client monitor mostrará el estatus PPPoE actual
Propiedades
•
•
•
•
•
•
•
•
•
•
•
ac-mac (MAC address) .- La dirección MAC del Concentrador de Acceso al que el Cliente está conectado
ac-name (string) .- Nombre del Concentrador de Acceso
active-links (integer) .- Número de las conexiones MLPPP unidas (‘1’ si no se está usando MLPPP)
encoding (string) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo usado en esta
conexión.
local-address (IP Address) .- Dirección IP asignada al cliente
remote-address (IP Address) .- Dirección IP remota asignada al Server (por ejemplo la dirección del Gateway)
mru (integer) .- MRU efectivo del enlace
mtu (integer) .- MTU efectivo del enlace
service-name (string) .- Nombre del servicio utilizado
status (string) .- Estatus actual del enlace. Los valores disponibles son:
•
dialing (marcando)
•
verifying password... (verificando contraseña)
•
connected (conectado)
•
disconnected (desconectado)
uptime (time) .- Tiempo de conexión mostrado en días, horas, minutos y segundos.
Scanner
A partir de la v3.21 RouterOS agregó la herramienta PPPoE Scanner. Esta herramienta permite escanear todos los
servidores PPPoE activos en el dominio de broadcast.
/interface pppoe-client scan <interface>
Propiedades
•
•
•
service (string) .- Nombre del servicio configurado en el Server
mac-address (MAC) .- Dirección MAC del Server detectado
ac-name (string) .- Nombre del Concentrador de Acceso
Notas importantes
En Windows, algunas instrucciones de conexión pueden usar la forma donde el phone number, por ejemplo
MikroTik_AC\mt1, se especifica para indicar que MikroTik_AC es el nombre del Concentrador de Acceso (AC), y mt1
es el nombre del servicio.
La especificación del MRRU significa que se habilita MP (Multilink
para dividir los paquetes grandes en paquetes más pequeños.
Networking, botón Configuración, opción “Negociar multi-link para
está codificado en 1614. Esta configuración es útil para resolver
debe estar habilitada en ambas partes.
PPP) sobre un enlace simple. Este protocolo se utiliza
En Windows esto se puede habilitar en la pestaña
conexiones de enlace simple”. El MRRU en Windows
fallas de PathMTU Discovery. La configuración MP
Configuración del Server PPPoE (Concentrador de Acceso)
/interface pppoe-server server
Academy Xperts
55
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
El Server PPPoE (Concentrador de Acceso) soporta múltiples servers para cada interface, con diferentes nombres de
servicio (service-name). El Throughput del Server PPPoE ha sido probado a 160 Mbps en un CPU Celeron 600. El uso de
CPUs de mayor velocidad debería incrementar proporcionalmente el Throughput.
El nombre del Concentrador de Acceso y el nombre del servicio PPPoE son usados por los clientes para identificar el
concentrador de acceso al cual se quieren registrar. El nombre del concentrador de acceso es el mismo que la identidad
del router que se muestra antes del command prompt. La identidad se puede configurar en /system identity
Es importante recordar que si no se especifica un nombre de servicio en Windows XP, únicamente usará un servicio sin
nombre. Por lo tanto si se desea atender clientes Windows XP, se debe dejar el nombre de servicio vacío.
Propiedades
•
•
•
•
•
•
•
•
•
•
authentication ( mschap2 | mschap1 | chap | pap; Default: "mschap2, mschap1, chap, pap") .- Algoritmo de
autenticación.
default-profile (string; Default: "default") .- Perfil de usuario por default que se va a utilizar
interface (string; Default: "") .- Interface a la que los clientes se conectan
keepalive-timeout (time; Default: "10") .- Define el período de tiempo (en segundos) después del cual el
router inicia el envío de paquetes keepalive cada segundo. Si es que no existe tráfico y no arriban respuestas
keepalive en ese período de tiempo (por ejemplo, 2*keepallive-timeout), el cliente que no responde se
proclama como desconectado.
max-mru (integer; Default: "1480") .- Maximum Receive Unit. El valor óptimo es el MTU de la interface en la que
el túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe
configurar el MTU en 1480 para evitar la fragmentación de paquetes.
max-mtu (integer; Default: "1480") .- Maximum Transmission Unit. El valor óptimo es el MTU de la interface en la
que el túnel está trabajando, disminuido en 20. Por ejemplo, para un enlace Ethernet de 1500-bytes, se debe
configurar el MTU en 1480 para evitar la fragmentación de paquetes.
max-sessions (integer; Default: "0") .- Número máximo de clientes que el Concentrador de Acceso puede
atender. 0 (cero) significa que no hay limitantes.
mrru (integer: 512..65535 | disabled; Default: "disabled") .- Tamaño máximo del paquete que puede ser recibido
en el enlace. Si un paquete es más grande que el túnel MTU, será divido en múltiples paquetes, permitiendo el
tamaño completo de los paquetes IP o Ethernet que serán enviados a través del túnel.
one-session-per-host (yes | no; Default: "no") .- Se permite únicamente una sesión por host (determinado
por la dirección MAC). Si un host intenta establecer una nueva sesión, la anterior será cerrada.
service-name (string; Default: "") .- El nombre de servicio PPPoE. El servidor aceptará clientes a los cuales
envía el mensaje PADI con service-names que concuerden con esta configuración o si el campo de servicename en el mensaje PADI no está configurado.
Notas importantes
El valor por default de 10 segundos del parámetro keepalive-timeout es adecuado en la mayoría de los casos. Si se
configura este parámetro como 0 (cero), el router no desconectará a los clientes hasta que ellos explícitamente hagan
log-out o hasta que el router reinicie. Para resolver este problema, se puede utilizar la propiedad one-session-perhost.
Como punto importante de seguridad recuerde que no debe asignar una dirección IP a la interface en la cual se recibirán
los requerimientos PPPoE.
La especificación del MRRU significa que se habilita MP (Multilink
para dividir los paquetes grandes en paquetes más pequeños.
Networking, botón Configuración, opción “Negociar multi-link para
está codificado en 1614. Esta configuración es útil para resolver
debe estar habilitada en ambas partes.
PPP) sobre un enlace simple. Este protocolo se utiliza
En Windows esto se puede habilitar en la pestaña
conexiones de enlace simple”. El MRRU en Windows
fallas de PathMTU Discovery. La configuración MP
PPPoE Server (Servidor PPPoE)
/interface pppoe-server
Una interface se crea por cada túnel establecido al servidor dado. Las interfaces estáticas se agregan administrativamente
si es que existe la necesidad de referenciar el nombre de la interface en particular (en reglas en firewall u otro lugar)
creada para el usuario en particular.
Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP
Server
•
•
Las interfaces estáticas se agregan administrativamente si es que existe una necesidad para referenciar el
nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un
usuario en particular.
Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su
nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada
ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre. Si
existe problema se debe configurar el valor one-session-per-host.
Academy Xperts
56
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por
lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así
que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo
contrario es seguro usar la configuración dinámica. Es importante notar que en ambos casos los usuarios PPP deben ser
configurados apropiadamente. Las entradas estáticas no reemplazan la configuración PPP.
Propiedades
•
•
•
•
•
•
•
•
encoding (read-only: text) .- Encriptación y codificación (si es asimétrico, separado con ‘/’) que está siendo
usado en esta conexión.
mru (integer) .- MRU del cliente
mtu (integer) .- MTU del cliente
name (name) .- Nombre de la interface
remote-address (read only: MAC address) .- Dirección MAC del cliente conectado
service (string) .- Nombre del servicio al que el usuario está conectado
uptime (time) .- Tiempo que el cliente ha estado conectado
user (name) .- Nombre del usuario conectado (debe estar presente en la base de datos de usuario)
Creando un PPPoE server
•
•
•
•
•
Un PPPoE server es el dispositivo que ofrece el servicio de tunelización
Permite a los clientes obtener un servicio de VPN seguro a la capa 3 a través de la infraestructura de la capa 2.
Usted no puede llegar a un servidor PPPoE a través de routers. Ya que es un protocolo de capa 2, el servidor solo
se puede llegar a través del mismo dominio de difusión Ethernet a la que los clientes pertenecen.
Antes de crear el servidor, creamos los parámetros de configuración que usted requiere tales como:
o
IP Pool
o
PPP profiles
PPP secrets Crear la interfaz de servidor de la interfaz física frente a los clientes Ejemplo:
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99, 192.168.5.150-192.168.5.199
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
/ppp profile
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
\
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1\
name=Profile-internal remote-address=Pool-VPN use-compression=yes\
use-encryption=yes use-vj-compression=no
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external
add name=alain password=alain!! profile=Profile-internal
routes=192.168.4.0/24
/interface pppoe-server server
add authentication=mschap2 default-profile=Profile-external disabled=no \
interface=ether1 mrru=1600 service-name=PPPoE-external
add authentication=mschap2 default-profile=Profile-internal disabled=no \
interface=ether5 mrru=1600 service-name=PPPoE-internal
Tip: Usted puede dejar un puerto Ethernet sin un puerto maestro, un bridge o una dirección IP y el cliente que está
conectado a este puerto pueden conseguir todavía el acceso a Internet si el servidor PPPoE (y el cliente PPPoE) está
configurado correctamente.
Direcciones Point-to-Point
•
•
•
Direcciones desde /ppp secret tienen prioridad sobre /ppp profile, y ellos tienen prioridad sobre /ip pool.
Tanto las direcciones locales y remotas pueden ser únicas o de un Pool
Direcciones estáticas o direcciones por medio de DHCP no se deben utilizar en interfaces de clientes PPPoE.
Creando Clientes PPPoE en un RouterOS
•
•
•
Si desea utilizar un perfil diferente que el de por defecto, crearlo primero.
Crear la interfaz de cliente en la interfaz de cara al ISP
Ya está!
Ejemplo
/ppp profile
add change-tcp-mss=yes name=Profile-external use-compression=yes \
use-encryption=yes use-vj-compression=no
/interface pppoe-client
add ac-name=" " add-default-route=yes allow=mschap2 default-route-distance=1\
Academy Xperts
57
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
dial-on-demand=no
disabled=no
mrru=disabled name=Client-PPPoE
peer-dns=no user=Pod4-external
interface=ether1
password=pod4-123
keepalive-timeout=60
max-mru=1480
max-mtu=1480
profile=Profile-external service-name=" "
use-
Habilite la interfaz del cliente.
Tip
El router no tendría que ser configurado con un cliente DHCP en la interfaz WAN y esto aún funcionará si el servidor
PPPoE está en la misma infraestructura de capa 2 como puerto WAN.
PPTP
PPTP es un túnel seguro para transportar tráfico IP usando PPP. PPTP encapsula PPP en líneas virtuales que corren
sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados.
El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP. Los
clientes PPTP están disponibles en casi todos los sistemas operativos, incluso en Windows.
RouterOS soporta Multilink PPP (también conocido como MP, MLPPP, MPPP, MLP, o Multilink) con lo cual se provee un
método para esparcir el tráfico a través de múltiples conexiones PPP distintas. En una simple línea PPP los frames no
pueden arribar fuera de orden, pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP.
Por este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. MP es
un ejemplo de tecnología de agregación de enlace.
MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP.
•
•
MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño.
o
MRRU = Maximum Received Reconstructed Unit
o
El MRRU es similar al MTU (Maximum Transmission Unit), pero solo se aplica a los paquetes Multilink.
o
El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar.
o Por default el MRRU es 1500 bytes, pero se puede configurar un diferente de MRRU si el equipo con el
que va a conversar permite/acepta ese nuevo valor.
La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar
frames Ethernet a través de enlaces PPP.
De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. Para esto se necesita que el Bridge
tenga una dirección MAC o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC.
PPTP incluye contabilización (accounting) y autenticación (authentication) PPP para cada conexión PPTP.
La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local
RouterOS soporta los tipos de encriptación
•
•
MPPE 40bit RC4
MPPE 128bit RC4
El tráfico PPTP utiliza
•
•
TCP puerto 1723
IP protocol GRE
o
GRE = Generic Routing Encapsulation
o
GRE = IP protocol ID 47
PPTP puede ser usado con la mayoría de firewalls y routers habilitando TCP 1723 y GRE (protocolo 47). De esta manera
el tráfico puede ser ruteado a través del firewall o router.
Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura através de
una conexión enmascarada (NATeada).
PPTP es un protocolo de túnel que utiliza la información y direccionamiento del enrutamiento IP, para ligar a los clientes a
los servidores PPTP.
•
•
La definición del servidor PPTP es casi lo mismo que para PPPoE, excepto que ninguna interfaz tiene que ser
especificada.
El cliente se define casi de la misma manera como un cliente PPPoE, excepto que una dirección IP tiene que ser
especificada para el servidor.
Consejo: Se debe desbloquear el puerto 1723 en el firewall del router (el servidor PPTP) para que pueda llegar con su
tunel.
Es un túnel seguro para el transporte de trafico IP mediante PPP. La encapsulación de PPTP en líneas virtuales que corren
sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point-to-Point Encryption) para hacer enlaces cifrados.
El objetivo de este protocolo es hacer conexiones seguras bien administradas entre los routers, así como entre los router
clientes PPTP. Clientes están disponibles para y/o incluido en casi todos los sistemas operativos incluyendo Windows).
Se crea una interfaz para cada túnel establecido con el servidor dado. Hay dos tipos de interfaces en la configuración de
PPTP.
•
Las interfaces estáticas se añaden administrativamente si hay una necesidad de hacer referencia al nombre de la
interfaz en particular (en las reglas de firewall) creados por el usuario en particular.
Academy Xperts
58
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
Las interfaces dinámicas se añaden a esta lista de forma automática cada vez que se conecta un usuario y su
nombre de usuario no coincide con ninguna entrada estática existente.
Interfaces dinámicas aparecen cuando un usuario se conecta y desaparecen una vez que el usuario se desconecta, por lo
que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en el servidor de
seguridad), así que si necesitas reglas persistentes para ese usuario, crear una entrada estática para el usuario, de lo
contrario es seguro usar configuración dinámica.
El siguiente ejemplo muestra como conectar un ordenar a un red de oficina remota a través de una túnel PPTP encriptado,
dando ese equipo una dirección IP de la misma red que la oficina remota tiene (sin necesidad de tender un bridge sobre
túneles EoIP)
El router de la oficina está conectado a internet a través de ether1. Las estaciones de trabajo están conectados a ether2.
Las portátiles están conectadas a internet, y puede alcanzar IP publica del router de la oficina (en nuestro ejemplo es
192.168.80.1)
Primer paso es crear un usuario
/ppp secret add name=Laptop service=pptp password=123 local-address=10.1.101.1\
remote-address=10.1.101.100
/ppp secret print detail
Flags: X – disabled
0
name=”Laptop” service=pptp caller-id=” ” password=”123” profile=default
local-address=10.1.101.1 remote-address=10.1.101.100 routes==” “
Observe que la dirección local PPTP es la misma que la dirección del router en la interfaz local y la dirección remota es del
mismo rango que la red local (10.1.101.0/24). El siguiente paso es habilitar el servidor PPTP y el cliente PPTP en la
computadora portátil.
/interface pptp-server server set enabled=yes
/interface pptp-server server print
Enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
default-profiles: default
El cliente PPTP de la computadora portátil debe conectarse a routers IP publica que en nuestro ejemplo es 192.168.80.1
(consulte el manual respectivo sobre como configurar un cliente PPTP con el software del sistema operativo que esté
utilizando).
En este punto (cuando el cliente PPTP está conectado con éxito) si intenta hacer ping a cualquier estación de trabajo que
forma parte de la red del ordenador portátil, el ping será el tiempo de espera debido a que el ordenador portátil está en
condiciones de obtener aplicaciones de estaciones de trabajo. La solución es la creación de proxy arp en la interfaz local.
/interface ethernet set Office arp=proxy-arp
/interface ethernet print
Flags: X – disabled, R – running
#
Name
MTU
MAC-ADDRESS
ARP
0 R ether1
1500
00:30:4F:0B:7B:C1
enabled
1 R ether2
1500
00:30:4F:06:62:12
proxy-arp
Luego que el proxy-arp este activado, el cliente remoto puede alcanzar con éxito todas las estaciones de trabajo en la red
local detrás del router.
Academy Xperts
59
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
PPTP Client (cliente pptp)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
add-default-route (yes | no; Default: no) .- Especifica si es que se agrega una dirección remota PPTP como
una ruta por default
allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de
autenticación permitidos
connect-to (IP; Default: ) .- Dirección remota del servidor PPTP
default-route-distance (byte [0..255]; Default: 1) .- Configura el valor de distancia aplicado para la ruta por
default creada automáticamete, si es que también se ha seleccionado add-default-route
dial-on-demand (yes | no; Default: no) .- Se conecta al servidor PPTP únicamente cuando se genera tráfico de
salida. Si esta opción está seleccionada, entonces la ruta con la dirección del gateway desde la red
10.112.112.0/24 será agregada mientras la conexión no está establecida
disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está
deshabilitada.
keepalive-timeout (integer; Default: 60) .- Configura el keepalive timeout en segundos
max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes
max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit).
Tamaño máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes
mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel
name (string; Default: ) .- Nombre descriptivo de la interface
password (string; Default: "") .- Contraseña (password) usado para la autenticación
profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa
user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
PPTP Server (servidor pptp)
Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración PPTP
Server
•
•
Las interfaces estáticas son administrativamente agregadas si es que existe una necesidad para referenciar el
nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un
usuario en particular.
Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su
nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada
ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre)
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por
lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así
que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo
contrario es seguro usar la configuración dinámica.
Nota Importante
En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la
configuración PPP
Parámetros
•
•
•
•
•
•
•
authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2) .- Especifica los métodos de
autenticación que el servidor aceptará
default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará
enabled (yes | no; Default: no) .- Define si es que el servidor PPTP está habilitado o no
keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive no recibe ningún paquete,
se enviará paquetes keepalive cada segundo por cinco veces. Si el server no recibe respuesta del cliente,
entonces se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los mensajes
“LCP missed echo reply” y luego se desconectará.
max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface PPTP estará habilitada para recibir sin fragmentación de paquetes
max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit).
Tamaño máximo del paquete que la interface PPTP estará habilitada para enviar sin fragmentación de paquetes
mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel
L2TP
L2TP es un protocolo de túnel seguro para transportar tráfico IP usando PPP.
Academy Xperts
60
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
L2TP encapsula PPP en líneas virtuales que corren sobre IP, frame Relay y otros protocolos (que no son soportados
actualmente por MikroTik RouterOS)
L2TP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados. El propósito de este
protocolo es permitir que los extremos PPP y Capa 2 residan en diferentes dispositivos interconectados por una red
conmutada de paquetes (packet-switched network)
Con L2TP, un usuario tiene una conexión en Capa 2 a un concentrador de acceso – LAC (ejemplo: manco de módems,
ADSL DSLAM, etc.), y el concentrador entonces hace túneles de frames PPP individuales al Servidor de Acceso de Red
(NAS = Network Access Server). Esto permite que el procesamiento real de paquetes PPP sea separado de la terminación
del circuito de Capa 2. Desde la perspectiva del usuario, no existe diferencia funcional entre tener que el circuito en Capa 2
termine en un NAS directamente o usando L2TP.
Puede ser útil usar L2TP únicamente como cualquier otro protocolo de túnel con o sin encriptación. El estándar L2TP
establece que la forma más segura de encriptar datos es usar L2TP sobre IPsec (este es el modo por default para cliente
Microsoft L2TP) ya que todos los paquetes de control y datos de L2TP de un túnel aparecen como paquetes de datos
UDP/IP homogéneos para el sistema IPsec.
Se soporta Multilink PPP (MP) para poder proveer MRRU (la habilidad para transmitir paquetes de 1500 y más grandes) y
Bridging sobre enlaces PPP (usando BCP=Bridge Control Protocol, el cual permite enviar frames Ethernet sobre enlaces
PPP). De esta forma es posible configurar Bridging sin EoIP. El bridge debería tener ya sea una dirección MAC
administrativa o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC.
L2TP incluye autenticación (authentication) y contabilización (accounting) PPP para cada conexión L2TP. Una completa
autenticación y contabilización de cada conexión puede ser realizada a través de un cliente RADIUS o localmente.
Métodos de encriptación soportados
•
•
MPPE 40bit RC4
MPPE 128bit RC4
El protocolo L2TP utiliza el protocolo UDP para los paquetes de control y de datos. El puerto UDP 1701 se utiliza
únicamente para establecer el enlace, el tráfico adicional puede utilizar cualquier puerto UDP (que puede o no ser el 1701).
Esto significa que L2TP puede ser usado con la mayoría de firewalls y routers (incluso con NAT) tan solo habilitando que el
tráfico UDP sea ruteado a través del firewall o del router.
L2TP Client (cliente l2tp)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
add-default-route (yes | no; Default: no) .- Especifica si es que se agrega una dirección remota L2TP como
una ruta por default
allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap) .- Especifica los métodos de
autenticación permitidos
connect-to (IP; Default: ) .- Dirección remota del servidor L2TP
coment (string; Default: ) .- Breve descripción del túnel
default-route-distance (byte; Default:) .- Desde la v6.2 se configura el valor de distancia aplicado para la
ruta por default creada automáticamete, si es que también se ha seleccionado add-default-route
dial-on-demand (yes | no; Default: no) .- Se conecta únicamente cuando se genera tráfico de salida. Si esta
opción está seleccionada, entonces la ruta con la dirección del gateway desde la red 10.112.112.0/24 será
agregada mientras la conexión no está establecida
disabled (yes | no; Default: yes) .- Especifica si la interface está deshabilitada o no. Por default está
deshabilitada.
keepalive-timeout (integer [1..4294967295]; Default: 60s) .- Desde l av6.0rc13, el keepalive timeout en
segundos
max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes
max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit).
Tamaño máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes
mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel
name (string; Default: ) .- Nombre descriptivo de la interface
password (string; Default: "") .- Contraseña (password) usado para la autenticación
profile (name; Default: default-encryption) .- Especifica el perfil PPP que se usa
user (string; Default: ) .- Nombre de usuario (user name) usado para la autenticación
L2TP Server (servidor l2tp)
Se crea una interface por cada túnel establecido al servidor. Existen dos tipos de interfaces en la configuración L2TP
Server
•
Las interfaces estáticas son agregadas administrativamente si es que existe una necesidad para referenciar el
nombre de interface en particular (por ejemplo en las reglas de firewall o en algún otro lugar) creada para un
usuario en particular.
Academy Xperts
61
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
•
Las interfaces dinámicas son agregadas a esta lista automáticamente si es que un usuario está conectado y su
nombre de usuario (username) no coincide con cualquier entrada estática existente (o en caso de que la entrada
ya está activa, ya que no puede haber dos interfaces de túnel separadas referenciadas por el mismo nombre)
Las interfaces dinámicas aparecen cuando un usuario se conecta y desaparece una vez que el usuario se desconecta, por
lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en firewall), así
que si se necesitan reglas persistentes para ese usuario, se debe crear una entrada estática para ese usuario. De lo
contrario es seguro usar la configuración dinámica.
Nota Importante
En ambos casos los usuarios PPP deben ser configurados apropiadamente, las entradas estáticas no reemplazan la
configuración PPP
Parámetros
•
•
•
•
•
•
•
authentication (pap | chap | mschap1 | mschap2; Default: mschap1,mschap2) .- Especifica los métodos de
autenticación que el servidor aceptará
default-profile (name; Default: default-encryption) .- Perfil PPP por default que se usará
enabled (yes | no; Default: no) .- Define si es que el servidor L2TP está habilitado o no
keepalive-timeout (time; Default: 30) .- Si el servidor durante el período keepalive-timeout no recibe
ningún paquete, se enviará paquetes keepalive cada segundo, por cinco veces. Si el server no recibe respuesta
del cliente, entonces se desconecta después de 5 segundos. La bitácora de eventos (LOG) mostrará 5 veces los
mensajes “LCP missed echo reply” y luego se desconectará. Este parámetro está disponible a partir de las
versiones v5.22 y v6rc3
max-mru (integer; Default: 1460) .- Unidad de Recepción Máxima (MRU = Maximum Receive Unit). Tamaño
máximo del paquete que la interface L2TP estará habilitada para recibir sin fragmentación de paquetes
max-mtu (integer; Default: 1460) .- Unidad de Tránsmisión Máxima (MTU = Maximum Transmission Unit).
Tamaño máximo del paquete que la interface L2TP estará habilitada para enviar sin fragmentación de paquetes
mrru (disabled | integer; Default: disabled) .- Máximo tamaño del paquete que puede ser recibido en el enlace. Si
un paquete es más grande que el tunel MTU, será dividido en múltiples paquetes, permitiendo que el tamaño total
de los paquetes IP o Ethernet sean enviados sobre el túnel
Clientes y servidores SSTP
VPN SSTP es un tipo de VPN de acceso remoto que permite una conexión VPN por SSL de HTTPS, o lo que es lo mismo
encapsula trafico PPP sobre un canal SSL. Esto le permite atravesar Firewalls donde las conexiones VPN por PPTP o
L2TP estén prohibidas. SSTP utilizara el puerto 443 para atravesar los firewalls y a través de SSL tenemos
cifrado, autenticación y negociación de claves.
•
•
•
•
Definición del servidor SSTP es casi lo mismo que para PPTP, salvo que se especifique un puerto TCP para
conectarse (443 por defecto).
Se usa con certificados digitales para crear Túneles sobre internet.
El cliente se define casi la misma forma que un cliente PPTP, salvo que se especifique un puerto TCP a utilizar
para establecer una conexión (443 por defecto).
Consejo: Debe permitir el puerto 443 para que su túnel pueda llegar sin problemas. Además, dejar el puerto en
443 para asegurarlo con SSL y poderlo utilizar para sus comunicaciones.
Configuración en línea de comando:
/interface sstp-server server
set authentication=mschap2 enabled=yes
/interface sstp-client
add add-default-route=no authentication=mschap2 certificate=none connect-to=\
192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \
Academy Xperts
62
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \
password=pod4-123 profile=Profile-external user=Pod4-external \
verify-server-address-from-certificate=no verify-server-certificate=n
Clientes y Servidores OpenVPN
Es una solución de conectividad basada en software libre: SSL (Secure Sockets Layer) VPN Virtual Private Network (red
virtual privada), OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados
remotamente.
•
•
•
Sigue el mismo patrón de configuraciones anteriores, similar a SSTP.
Con la única diferencia, que con esta herramienta (OPVN) nos permites crear nuestros propios certificados
digitales públicos, para poder usarlos, sin tener que pagar por ellos.
Una muy buena herramienta a la hora de pensar en el factor COSTO.
Configuración de Rutas entre redes
Es necesaria la configuración de rutas estáticas para que exista comunicación, tomar en cuenta:
•
•
Una vez que el túnel está configurado y operativo, usted necesita rutas para mover los paquetes de un lado a
otro.
La primera forma, es usar la ruta que se crea automáticamente en el router del cliente para ese túnel.
/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#
DST-ADDRESS
PREF-SRC
GATEWAY
DISTANCE
0 ADS 0.0.0.0/0
192.168.0.254
0
1 ADC 192.168.0.0/24
192.168.0.5
ether1
0
2 ADC 192.168.5.0/24
192.168.5.1
Bridge-PC
0
3 ADC 192.168.5.101/32
192.168.5.1
<pptp-ejemplo>
0
•
La segunda opción es especificar una o múltiples rutas con PPP secret para cada cliente:
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external \ routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
/ppp secret print
Flags: X - disabled
#
NAME
ADDRESS
0 Pod4-external
1 alain
SERVICE CALLER-ID
any
any
PASSWORD
pod4-123
alain!!
PROFILE
REMOTE-
Profile-external
Profile-internal
/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24
/ppp secret export
add
name=Pod4-external
password=pod4-123
routes=192.168.4.0/24,10.10.2.0/24
add name=alain password=alain!! profile=Profile-internal
•
•
profile=Profile-external
\
La tercera forma es agregar rutas estáticas a una o varias redes a través de un túnel.
Este método es útil si ambos routers tienen su propia ruta por defecto, pero implica más mantenimiento y
parámetros.
/ip route
add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24
add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21
\ gateway=192.168.254.10
\ gateway=192.168.254.10
Preguntas de repaso del Módulo 6
1.
Qué protocolos pueden ser tunelizados?
2.
Qué es el SECRET y qué es el PROFILE?
3.
Cuál es la principal característica del túnel PPPoE?
4.
Cuál es el puerto y el protocolo que se debe tener en cuenta para habilitar una regla en Firewall para permitir
túneles PPTP?
Academy Xperts
63
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
7 – Repaso Laboratorios Detallados Túneles
Objetivos y Conceptos previos a túneles IPIP
Objetivos:
•
•
Entender cuál es el objetivo de los túneles y cómo configurarlos.
En este ejercicio se realizará un túnel IP-IP que es uno de lo túneles más básicos.
Bases Conceptuales:
Es importante entender por qué realizamos un túnel y los elementos que formarán parte de esta importante herramienta
que permitirá interconectar a dos redes remotas separadas por la nube de Internet.
Si se desea tener comunicación entre las redes A y B (Figura 8.1.1) que están separadas por la nube de Internet, la opción
de ruteo no es viable ya que las IPs privadas 172.16.1.0/24 y 192.168.1.0/24 no son direcciones IP públicamente
ruteables. Esto significa que los routers públicos en Internet no pueden usar las IPs privadas como una red de destino (a
menos que sea para uso exclusivo & privado de cada ISP).
Por esta razón, si se desea que las redes A y B se comuniquen, se debe crear una VPN
•
•
•
VPN = Virtual Private Network
En Español = Red Privada Virtual
También se la conoce como = Túnel
Esto se realiza creando una Interface Virtual en cada router remoto. Una vez creada esta interface, dependiendo de la
naturaleza de la misma, se podrán establecer conexiones en Capa 2 (L2) o en Capa 3 (L3).
Recuerde que las siguientes redes son Redes Privadas y NO son Públicamente Ruteables
•
•
•
10.0.0.0 /8
172.16.0.0 /12
192.168.0.0 /16
Existen diferentes tipos de túneles que se usan para diferentes aplicaciones.
RouterOS de MikroTik permite trabajar con túneles
•
•
•
•
•
IPIP
EoIP
GRE
PPP (PPP, L2TP, PPTP, EoIP, OVPN SSTP)
IPsec
Academy Xperts
64
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Para efectos de nuestros laboratorios debe quedar muy claro que cuando levantamos un túnel a través de Internet nos
encontramos ante una nube de la cual prácticamente desconocemos todo lo que ocurre dentro (Figura 8.1.2).
Los ejercicios que desarrollaremos serán una simulación del escenario en la red pública para lo cual trabajaremos con el
router del Trainer como medio de acceso a la nube (Figura 8.1.3)
En este escenario cada estudiante trabajará con las IPs privadas (192.168.n.0/24) y las IP externas (10.1.1.m/30)
asignadas al inicio del curso
Academy Xperts
65
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Nota Importante: Recordar que cuando se va a crear un túnel, la única información que posee cada localidad es la IP
externa de los routers de borde de cada destino remoto (Figura 8.1.4)
Proceso Túnel IPIP
Como denota el nombre de este túnel (IPIP), se creará un túnel Capa 3 (IP) sobre una conexión Capa 3 (IP).
Este tipo de túnel es muy básico y no posee autenticación ni encriptación.
Para el ejemplo en este texto usaremos las siguientes interfaces y direcciones IP (Figura 8.1.5)
R1 (Router 1)
192.168.a.0/24
192.168.a.1
192.168.a.254
10.1.1.w/30
10.1.1.x/30
ID de red de LAN en Red A
IP de la Laptop en Red A
IP de interface LAN en R1 (ether2 en este LAB)
IP de interface WAN en R1 (wlan1 en este LAB)
IP de interface WAN en R-trainer (wlan1 en este LAB)
R2 (Router 2)
192.168.b.0/24
192.168.b.1
192.168.b.254
10.1.1.z/30
10.1.1.y/30
ID de red de LAN en Red B
IP de la Laptop en Red B
IP de interface LAN en R2 (ether2 en este LAB)
IP de interface WAN en R2 (wlan1 en este LAB)
IP de interface WAN en R-trainer (wlan1 en este LAB)
Nota Importante: Para las configuraciones en este laboratorio asumiremos los siguientes valores para a, b, w, x, y & z.
Estos valores fueron asignados previamente por el instructor al inicio del curso. Si tiene dudas por favor consulte su
entrenador.
•
•
•
•
•
•
a=1
b=2
w=2
x=1
y=5
z=6
Academy Xperts
(192.168.1.0/24)
(192.168.2.0/24)
(10.1.1.2/30)
(10.1.1.1/30)
(10.1.1.5/30)
(10.1.1.6/30)
66
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Laboratorio 7.1 – Túnel IP-IP
Los pasos a seguir en este ejercicio son los siguientes:
Paso 1
R1 (Router 1) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel.
Recuerde que:
•
•
local-address se refiere la IP externa local (R1)
remote-address se refiere a la IP externa remota (R2)
/interface ipip add name=ipip-tunnel1 local-address=10.1.1.2
remote-address=10.1.1.6
R2 (Router 2) debe configurar las direcciones IP local (externa) y remota (externa) para armar el túnel.
Recuerde que:
•
•
local-address se refiere la IP externa local (R2)
remote-address se refiere a la IP externa remota (R1)
/interface ipip add name=ipip-tunnel1 local-address=10.1.1.6
remote-address=10.1.1.2
Paso 2
R1 (Router 1) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada
/ip address add address=10.20.30.1/30 interface=ipip-tunnel1
R2 (Router 2) debe asignar una dirección IP a la interface ipip-tunnel1 recién generada
/ip address add address=10.20.30.2/30 interface=ipip-tunnel1
Paso 3
R1 (Router 1) debe verificar que llega a la IP del tunel remoto ejecutando un ping
/ping
SEQ
0
1
2
3
10.20.30.2
HOST
10.20.30.2
10.20.30.2
10.20.30.2
10.20.30.2
SIZE TTL TIME
56 64 3ms
56 64 3ms
56 64 0ms
56 64 14ms
STATUS
R2 (Router 2) debe verificar que llega a la IP del tunel remoto ejecutando un ping
/ ping 10.20.30.1
SEQ HOST
0 10.20.30.1
1 10.20.30.1
2 10.20.30.1
3 10.20.30.1
Academy Xperts
SIZE TTL TIME
56 64 3ms
56 64 1ms
56 64 1ms
56 64 1ms
STATUS
67
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Paso 4
R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como
Gateway la dirección IP de la inteface del túnel IPIP remota
/ip route add dst-address=192.168.2.0/24 gateway=10.20.30.2
R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como
Gateway la dirección IP de la inteface del túnel IPIP remota
/ip route add dst-address=192.168.1.0/24 gateway=10.20.30.1
Paso 5
R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.2.254
R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.1.254
Finalmente la interconexión entre las Redes remotas A & B queda según la Figura 8.1.6
Academy Xperts
68
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Laboratorio 7.2 – Túnel EoIP
Objetivos:
•
Crear un túnel EoIP y verificar que las redes remotas se encuentran en el mismo dominio de broadcast
Bases Conceptuales:
El túnel Ethernet Sobre IP (Ether Over IP) es un túnel de Capa 2 (Ethernet) sobre una conexión en Capa 3 (IP). Esto
significa que genera una dirección MAC en la interface del túnel.
Al final de este laboratorio se comprobará que efectivamente se genera un túnel de Capa 2 (Ethernet) porque se podrá
agregar la interface EoIP en un Bridge. De esta manera las redes remostas A y B estarán en el mismo dominio de
broadcast, y puesto que formarán parte del mismo Bridge también estarán dentro del mismo dominio de Colisión.
Esta última característica (formar parte del mismo dominio de Colisión) es la razón por la cual los Bridges o las redes
Bridge deben ser evitadas al máximo.
Una de las formas de constatar que ambas redes están trabajando en el mismo dominio de Broadcast es que las
direcciones IP de las laptops estén en la misma subred.
Otra forma de verificar es que a pesar de que ambas laptops tengan direcciones IP de distintas subredes, al ejecutar el
Winbox podrán ver las direcciones MAC de los routers remotos. Esto no podría ser posible si es que ambas redes no
compartieran el mismo dominio de Broadcast.
El diagrama inicial de configuración es el que se presenta en la Figura 8.2.1
Los pasos a seguir en este ejercicio son los siguientes:
Paso 1
R1 (Router 1) debe remover la ruta creada en el Laboratorio
8.1 (dst-address=192.168.2.0/24
gateway=10.20.30.2)
R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.1 (dst-address=192.168.1.0/24
gateway=10.20.30.1)
•
Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes
•
No es necesario que los Routers desactiven/eliminen los túneles IPIP
Paso 2
R1 (Router 1) debe configurar la dirección IP remota (externa) para armar el túnel. Para este tipo de túnel (EoIP) no es
obligatorio configurar la dirección IP local (externa). Sin embargo se debe configurar el tunnel-id que debe ser el mismo
en los routers que arman el túnel.
Recuerde que:
•
•
local-address se refiere la IP externa local (R1)
remote-address se refiere a la IP externa remota (R2)
/interface eoip add name=eoip-tunnel1 remote-address=10.1.1.2
Academy Xperts
tunnel-id=10
69
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
R2 (Router 2) debe configurar la dirección IP remota (externa) para armar el túnel.
Recuerde que:
•
•
local-address se refiere la IP externa local (R2)
remote-address se refiere a la IP externa remota (R1)
/interface eoip add name=eoip-tunnel1 remote-address=10.1.1.1 tunnel-id=10
Paso 3
R1 (Router 1) debe crear un Bridge, y en este bridge agregar las interfaces ether2 y eoip-tunnel1
/interface bridge add name=bridge1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=eoip-tunnel1
R2 (Router 2) debe crear un Bridge, y en este bridge agregar las interfaces ether2 y eoip-tunnel1
/interface bridge add name=bridge1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=eoip-tunnel1
Paso 4
Las laptops de las Redes A y B deben configurar una IP de la misma subred. Por ejemplo:
Laptop Red A: 192.168.1.1/24
Laptop Red B: 192.168.1.2/24
Con esta configuración ambas laptops debe poder hacer PING entre ellos. Figura 8.2.2
Note que la Laptop de la Red B (192.168.1.2) no podrá hacer PING a R2 (Router 2) ya que están en una subred diferente.
Academy Xperts
70
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Academy Xperts
71
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Objetivos y Conceptos previos a túneles PPTP
Objetivos:
•
Crear un túnel PPTP, para lo cual se requerirá que R1 actúe como PPTP-Server y R2 actúe como PPTP-Client
Bases Conceptuales:
•
•
•
PPTP es un túnel seguro para transportar tráfico IP usando PPP.
PPTP encapsula el PPP en líneas virtuales que corren sobre IP.
PPTP incorpora PPP y MPPE (Microsoft Point to Point Encryption) para crear enlaces encriptados.
El propósito de este protocolo es crear conexiones seguras entre routers y también entre routers y clientes PPTP. Los
clientes PPTP están disponibles en casi todos los sistemas operativos, incluso en Windows.
RouterOS soporta Multilink PPP (también conocido como MP, MLPPP, MPPP, MLP, o Multilink) con lo cual se provee un
método para esparcir el tráfico a través de múltiples conexiones PPP distintas. En una simple línea PPP los frames no
pueden arrivar fuera de orden, pero esto se puede solucionar si los frames se los divide entre múltiples conexiones PPP.
Por este motivo el MP debe numerar los fragmentos para que puedan ser reordenados cuando lleguen al destino. MP es
un ejemplo de tecnología de agregación de enlace.
MP (Multilink PPP) provee MRRU y capacidad de Bridging a través de enlaces PPP.
•
•
MRRU consiste en la habilidad de transmitir paquetes de tamaño 1500 y de mayor tamaño.
o
MRRU = Maximum Received Reconstructed Unit
o
El MRRU es similar al MTU (Maximum Transmission Unit), pero solo se aplica a los paquetes Multilink.
o
El MRRU es el máximo tamaño de paquete que una interface Multilink puede procesar.
o Por default el MRRU es 1500 bytes, pero se puede configurar un diferente de MRRU si el equipo con el
que va a conversar permite/acepta ese nuevo valor.
La capacidad de hacer Bridging se obtiene del uso de BCP (Bridge Control Protocol) que es el que permite enviar
frames Ethernet a través de enlaces PPP.
De esta forma es posible configurar un Bridge (usando PPTP) en lugar de utilizar EoIP. Para esto se necesita que el Bridge
tenga una dirección MAC o una interface tipo Ethernet, ya que los enlaces PPP no tienen direcciones MAC.
PPTP incluye contabilización y autenticación PPP para cada conexión PPTP.
La autenticación y contabilización de cada conexión puede ser hecha a través de un cliente RADIUS o de forma local
RouterOS soporta los tipos de encriptación
•
•
MPPE 40bit RC4
MPPE 128bit RC4
El tráfico PPTP utiliza
•
•
TCP puerto 1723
IP protocol GRE
o
GRE = Generic Routing Encapsulation
o
GRE = IP protocol ID 47
PPTP puede ser usado con la mayoría de firewalls y routers habiitando TCP 1723 y GRE (protocolo 47). De esta manera el
tráfico puede ser ruteado a través del firewall o router.
Las conexiones PPTP pueden resultar muy limitadas o incluso a veces hasta imposibles cuando se configura através de
una conexión enmascarada (NATeada).
Academy Xperts
72
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Laboratorio 7.3 – Túnel PPTP (R1 Server – R2 Client)
El diagrama inicial de configuración es el que se presenta en la Figura 8.3.1
Los pasos a seguir en este ejercicio son los siguientes:
Paso 1
R1 (Router 1) debe remover los puertos (ether2 y eoip-tunnel1) agregados a Bridge1, y también debe eliminar el Bridge1
creados en el Laboratorio 8.2
R2 (Router 2) debe remover los puertos (ether2 y eoip-tunnel1) agregados a Bridge1, y también debe eliminar el Bridge1
creados en el Laboratorio 8.2
•
•
Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes
No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP
Paso 2
R1 (Router 1) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración:
1.
Crear el PPP SECRET. El perfil/profile que se utilizará es DEFAULT (sin encriptación)
/ppp secret add name=prueba password=prueba service=pptp local-address=10.2.2.2 \
remote-address=10.3.3.3
2.
Habilitar el servicio PPTP SERVER
/interface pptp-server server set enabled=yes default-profile=default
Academy Xperts
73
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Paso 3
R2 (Router 2) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración:
/interface pptp-client add name=pptp-out1 connect-to=10.1.1.2 \
user=prueba password=prueba profile=default disabled=no
Paso 4
1.
2.
R1 (Router 1) debe verificar que se ha generado una interface pptp y que se encuentra corriendo (R). Esta interface se
ha generado dinámicamente (D)
/interface pptp-server print
Flags: X - disabled, D - dynamic, R - running
#
NAME
USER
MTU CLIENT-ADDRESS
UPTIME
ENCODING
0 DR <pptp-prueba>
prueba
1450 10.1.1.6
2m31s
R1 debe verificar el estatus de la conexión (connected)
/interface pptp-server monitor <pptp-prueba>
status: connected
uptime: 7m1s
user: prueba
caller-id: 10.1.1.6
encoding:
mtu: 1450
mru: 1450
local-address: 10.2.2.2
remote-address: 10.3.3.3
-- [Q quit|D dump|C-z pause]
Nota: El pptp-server asignó las direcciones local (local-address) y remota (remote-address) a ambas interfaces del túnel
Paso 5
1.
2.
R2 (Router 2) debe verificar que la interface pptp-client se encuentra corriendo (R).
/interface pptp-client print
Flags: X - disabled, R - running
0
R
name="pptp-out1"
max-mtu=1450
max-mru=1450
mrru=disabled
connect-to=10.1.1.2
user="prueba"
password="prueba" profile=default keepalive-timeout=60 add-default-route=no
dial-on-demand=no allow=pap,chap,mschap1,mschap2
R2 debe verificar el estatus de la conexión (connected)
/interface pptp-client monitor
pptp-out1 do file interval numbers
[admin@R2] > interface pptp-client monitor pptp-out1
status: connected
uptime: 12m22s
encoding:
mtu: 1450
mru: 1450
local-address: 10.3.3.3
remote-address: 10.2.2.2
-- [Q quit|D dump|C-z pause]
Academy Xperts
74
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Paso 6
R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como
Gateway la dirección IP de la interface del túnel PPTP remota
/ip route add dst-address=192.168.2.0/24 gateway=10.3.3.3
R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como
Gateway la dirección IP de la interface del túnel PPTP remota
/ip route add dst-address=192.168.1.0/24 gateway=10.2.2.2
Paso 7
R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.2.254
R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.1.254
Academy Xperts
75
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Laboratorio 7.4 – Túnel PPTP (R1 Client – R2 Server)
El diagrama inicial de configuración es el que se presenta en la Figura 8.4.1
Los pasos a seguir en este ejercicio son los siguientes:
Paso 1
R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.3 (dst-address=192.168.2.0/24
gateway=10.3.3.3)
R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.3 (dst-address=192.168.1.0/24
gateway=10.2.2.2)
•
•
•
Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes
No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP
Es IMPORTANTE que se mantenga el túnel PPTP creado en el Laboratorio 8.3 para demostrar que un mismo
router puede actuar como Cliente y Server a la vez.
Paso 2
R2 (Router 2) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración:
1.
2.
Crear el PPP SECRET. El perfil/profile que se utilizará es DEFAULT (sin encriptación)
/ppp secret add name=prueba password=prueba service=pptp local-address=10.4.4.4
remote-address=10.5.5.5
Habilitar el servicio PPTP SERVER
/interface pptp-server server set enabled=yes default-profile=default
\
Paso 3
R1 (Router 1) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración:
/interface pptp-client add name=pptp-out1 connect-to=10.1.1.6 \
user=prueba password=prueba profile=default disabled=no
Paso 4
1.
R2 (Router 2) debe verificar que se ha generado una interface pptp
ha generado dinámicamente (D)
/interface pptp-server print
Flags: X - disabled, D - dynamic, R - running
#
NAME
USER
MTU
0 DR <pptp-prueba>
prueba
1450
2. R2 debe verificar el estatus de la conexión
interface pptp-server monitor <pptp-prueba>
status: connected
uptime: 4m23s
user: prueba
caller-id: 10.1.1.2
encoding:
mtu: 1450
mru: 1450
local-address: 10.4.4.4
remote-address: 10.5.5.5
-- [Q quit|D dump|C-z pause]
y que se encuentra corriendo (R). Esta interface se
CLIENT-ADDRESS
10.1.1.2
(connected)
UPTIME
1m16s
ENCODING
Nota: El pptp-server asignó las direcciones local (local-address) y remota (remote-address) a ambas interfaces del
túnel
Academy Xperts
76
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Paso 5
1. R1 (Router 1) debe verificar que la interface pptp-client se encuentra corriendo (R).
/interface pptp-client print
Flags: X - disabled, R - running
0 R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.1.1.2 user="prueba"
password="prueba"
profile=default
keepalive-timeout=60
add-default-route=no
dial-ondemand=no
allow=pap,chap,mschap1,mschap2
2. R1 debe verificar el estatus de la conexión (connected)
/interface pptp-client monitor
pptp-out1 do file interval numbers
[admin@R2] > interface pptp-client monitor pptp-out1
status: connected
uptime: 12m22s
encoding:
mtu: 1450
mru: 1450
local-address: 10.5.5.5
remote-address: 10.4.4.4
-- [Q quit|D dump|C-z pause]
Paso 6
R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como
Gateway la dirección IP de la interface del túnel PPTP remota
/ip route add dst-address=192.168.2.0/24 gateway=10.4.4.4
R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como
Gateway la dirección IP de la interface del túnel PPTP remota
/ip route add dst-address=192.168.1.0/24 gateway=10.5.5.5
Paso 7
R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.2.254
R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping
/ping 192.168.1.254
Nota: Al final de este ejercicio puede constatar que un mismo router puede actuar como Cliente y como Server al mismo
tiempo cuando se configuran túneles.
Academy Xperts
77
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
Laboratorio 7.5 – Bridge a través de un túnel PPTP usando BCP
Objetivos:
•
•
•
Interconectar 2 redes remotas (Red A y Red B) y formar una sola red Ethernet (un mismo dominio de broadcast)
Se requiere usar encriptación para proteger la integridad de los datos.
Esta actividad se realizará con túnel PPTP y protocolo BCP
Bases Conceptuales:
•
•
•
•
RouterOS soporta BCP (Bridge Control Protocol) para las interfaces PPP, PPTP, L2TP y PPPoE.
BCP permite que los paquetes pasen en Bridge a través de un enlace PPP.
Para hacer Bridging, BCP puede utilizarse en lugar de EoIP + Túnel VPN
Para hacer Bridging, BCP puede utilizarse en lugar de un enlace WDS en una red inalámbrica
Cuando se establece el BCP, éste constituye una parte independiente del túnel PPP. No está relacionado a ninguna
dirección IP de la interface PPP, razón por la cual el Bridging y el Routing se pueden realizar al mismo tiempo de forma
independiente.
Requerimientos:
•
•
BCP debe ser habilitado en ambos lados (PPP server y PPP cliente) para poder funcionar.
RouterOS puede trabajar con otros dispositivos que soporte BCP de acuerdo al estándar siempre y cuando el
BCP esté habilitado.
El diagrama de configuración al que se desea llegar es el que se presenta en la Figura 8.5.1
Paso 1
1.
2.
3.
4.
5.
R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.4 (dst-address=192.168.2.0/24
gateway=10.5.5.5)
R1 (Router 1) debe eliminar la IP asignada a la interface ether2 (192.168.1.254/24)
R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.4 (dst-address=192.168.1.0/24
gateway=10.4.4.4)
R2 (Router 2) debe eliminar la IP asignada a la interface ether2 (192.168.2.254/24)
Después de eliminar las direcciones IP de las interfaces ether2, los estudiantes deberán ingesar por MAC Winbox a
los respectivos dispositivos.
Notas importantes:
•
•
•
Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes
No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP
No es necesario que los Routers desactiven/eliminen los túneles PPTP creados en los Laboratorios 8.3 y 8.4
Paso 2 (configuración en R1 <Router 1> en la RED A)
1.
Primero se debe crear una interface Bridge, y se debe segurar que el Bridge tiene una dirección MAC. El motivo es
porque los puertos PPP no tienen dirección MAC.
/interface bridge add name=bridge_local protocol-mode=rstp
2.
Debemos asegurarnos que el Bridge posee una dirección MAC. Para esto asignamos la MAC de la interface ether2 al
bridge com MAC de Administración. D4:CA:6D:E5:7F:DF es la dirección MAC de ether2 en el router del laboratorio
ejemplo. Usted debe obtener la dirección MAC de su equipo.
/interface bridge set bridge_local admin-mac=D4:CA:6D:E5:7F:DF
/interface bridge port add bridge=bridge_local
Academy Xperts
interface=ether2
78
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
3.
Asignamos las IP a la interface bridge_local. Se asume que la interface wlan ya tiene asignada su IP desde los
laboratorios anteriores.
/ip address add address=192.168.1.254/24 interface=bridge_local
4.
En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge, por lo que la configuración del Profile
PPP es sencilla y no requiere que se asignen direcciones IP a las interfaces de túnel local y remoto. Por lo tanto solo
se va a user/password, y muy importante especificar la opción bridge en el Profile.
/ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes
/ppp secret add profile=ppp_bridge name=pruebabridge password=pruebabridge
5.
Cuando se hace Bridge, el túnel PPP necesita pasar los paquetes con la cabecera de Capa 2 incluida, por lo que el
valor MTU de la interface no es suficiente. Para el caso de túneles PPTP el MTU es de 1460. Para asegurar una
operación apropiada se sugiere modificar el valor del MRRU en el router que hace de Server, po lo que se debe
especificar un valor de MRRU mayor. Recuerde que MRRU permite habilitar soporte multi-link sobre un enlace único,
y lo hace dividiendo el paquete hacia múltiples canales y por consiguiente incrementando el valor de MTU y MRRU.
/interface pptp-server server set enabled=yes mrru=1600
Paso 3 (configuración en R2 <Router 2> en la RED B)
1.
Primero se debe crear una interface Bridge, y se debe asegurar que el Bridge tiene una dirección MAC. El motivo es
porque los puertos PPP no tienen dirección MAC.
/interface bridge add name=bridge_local protocol-mode=rstp
2.
Debemos asegurarnos que el Bridge posee una dirección MAC. Para esto asignamos la MAC de la interface ether2 al
bridge con MAC de Administración. D4:CA:6D:B4:31:19 es la dirección MAC de ether2 en el router del laboratorio
ejemplo. Usted debe obtener la dirección MAC de su equipo.
/interface bridge set bridge_local admin-mac=D4:CA:6D:B4:31:19
3.
Asignamos las IP a la interface bridge_local. Se asume que la interface wlan ya tiene asignada su IP desde los
laboratorios anteriores.
/ip address add address=192.168.1.253/24 interface=bridge_local
4.
En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge, por lo que la configuración del Profile
PPP es sencilla. Por lo tanto es muy importante especificar la opción bridge en el Profile. Recuerde que R2 actuará
como Cliente PPTP por lo que NO necesita configurar SECRET.
/ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes
/interface bridge port add bridge=bridge_local
Academy Xperts
interface=ether2
79
RouterOS v6.33.5.01 – Libro de Estudio & Laboratorio
5.
Se debe crear la interface pptp-client. Recuerde que se debe especificar el valor de MRRU del mismo valor al que se
especificó en el pptp-server. De esta forma se asegura que los paquetes pasen adecuadamente por el túnel PPP.
/interface
pptp-client
add
profile=ppp_bridge
mrru=1600
connect-to=10.1.1.2
user=pruebabridge password=pruebabridge disabled=no
Paso 4
Las laptops de las Redes A y B deben configurar una IP de la misma subred. Por ejemplo:
Laptop Red A: 192.168.1.1/24
Laptop Red B: 192.168.1.2/24
Con esta configuración ambas laptops debe poder hacer PING entre ellos.
Academy Xperts
80
Ruteo Avanzado y
Alta Disponibilidad
con MikroTik RouterOS
por Mauro Escalante