mikrotik manual - red bu
TRANSCRIPT
MANUAL DE USUARIO MIKROTIK
ACCESO A MIKROTIK
Para accesar a la configuración del router es necesario bajar la herramienta grafica winbox, que la podemos encontrar en el siguiente link:
http://www.mikrotik.com/download.html y hacer clic en la opción de: winbox configuration tool
2
A continuación se debe salvar la aplicación preferentemente en el escritorio para accesos más rápidos. Nota: no se necesita instalar ningún otro paquete ni configuraciones adicionales, solo cuando se quiera accesar por primera vez es probable que lo detecte el firewall de Windows pero basta solo con permitirlo en la opción que nos brinde el firewall.
Una vez que ya se tiene la aplicación el en escritorio procedemos abrir y nos presentara la siguiente pantalla:
A continuación se deben proporcionar los datos de login y password que previamente se establecieron y seleccionar el botón de Connect
Nota: por default el campo login es: admin y el campo de password bachuni2009.
3
PANTALLA PRINCIPAL DE CONTROL
En la siguiente figura se muestra las diferentes opciones con las que cuenta este router:
A continuación se irán describiendo las herramientas básicas de configuración:
4
Seleccionando la pestaña de interfaces se muestra la siguiente pantalla:
Aquí se muestra las diferentes interfaces con las que cuenta este modelo de router, seguido por el tipo de interfase, la unidad de transmisión máxima (MTU), consumo de transmisión, consumo de recepción, paquetes de transmisión y paquetes de recepción.
Cabe mencionar los 5 botones son usados para agregar, eliminar, activar, desactivar y agregar comentario respectivamente.
En la siguiente pestaña de la ventana principal se muestran al igual que en la opción de interfaces, las diferentes tarjetas wireless que contenga el router.
5
BRIDGE
En la opción de bridge de la ventana principal, nos muestra la opción de agregar, esta función nos sirve para hacer una especie de switch con las interfaces que deseemos, un ejemplo seria:
Bridge, agregar, asignar nombre al bridge y después en la sub-pestaña de bridge se encuentra la opción port en donde asignaremos los puertos a el bridge deseado.
IP ADDRESSES
En este apartado se asignan las IP´s a las interfaces creadas en el router la forma de agregar una ip es como se muestra en la siguiente figura:
En el apartado de Address se introduce la ip seguido de la mascara deseada, en este caso /24 que significa que la mascara será de 24 bits, comprendiendo que el la red abarca del 192.168.1.0 (network)192.168.1.255 (broadcast), estos dos parámetros no lo asigna el router automáticamente cuando aplicamos los cambios, también tenemos que tener en cuenta a la interfase que se le asignara esta IP.
6
IP ROUTES
Aquí podemos realizar enrutamiento, de la siguiente manera:
Ejemplo, suponiendo que tenemos la red 192.168.1.0/24 y queremos hacer una ruta para que cuando queramos salir a Internet nos vallamos por el gateway de la interfase previamente definida como la WAN ejem:60.154.28.1/24
Con la IP 0.0.0.0/0 indicamos que cualquiera que sea el destino se valla por la IP 60.154.28.1
IP FIREWALL
Este router nos permite crear reglas para controlar el tráfico de nuestros host, permitir o denegar accesos, agregarlos a una lista en forma de bitácora etc. Por ejemplo, si tenemos la red 192.168.1.0/24 y queremos que el host 192.168.1.10 no tenga acceso a la pagina www.sat.gob.mx.
Primeramente hay que saber que IP corresponde a el SAT, eso lo podemos saber haciendo un ping a ese domino mediante la ventana de comando de MS-DOS, para llegar a la ventana solo hay que hacer clic en inicio de la barra de tareas, después en ejecutar, y en la ventana emergente teclear cmd, dar enter y se nos abrira la ventana de comando, después solo hacer lo siguiente: C:/>ping www.sat.gob.mx esto nos arrojara la IP que corresponde a la pagina que en este caso es la 200.33.74.112, ahora en el Router seria de la siguiente manera:
Clic en IP, firewall después en add new rule e introducimos la siguiente información:
7
Luego de introducir las IP nos movemos a la pestaña de action y seleccionamos la opción drop y aceptar
IP - FIREWALL – NAT
El NAT (network address translation) es un proceso por el cual pasan los paquetes cuando entran o salen del router, por ejemplo, cuando tenemos una maquina con IP 192.168.1.10 mascara 255.255.255.0 y Gateway 192.168.1.1conectada a un router con IP 192.168.1.1, cuando el host intenta salir a Internet la información se empaqueta con la IP publica que se le halla asignado al router ejemplo: 60.152.24.78, de esta manera este host puede sin ningún problema navegar en la red. Tomando los datos del ejemplo lineas arriba, se hace el ejemplo para aplicar el NAT a la red 192.168.1.0/24
8
srcnat = nos indica que la petición viene de la red hacia Internet
De igual manera cuando la información viene desde Internet y queremos direccionar a un host específico el NAT se encarga de este proceso, cabe mencionar que en algunos routers se conoce como port forwarding.
En el siguiente ejemplo se nos presenta que de alguna parte de Internet se necesita entrar al host 192.168.1.10 por escritorio remoto, que a su vez este host se encuentra “bajo” un router el cual tiene la IP pública 60.253.15.54
Nota, es importante saber el puerto que usará la aplicación para efecto de redireccionar el tráfico solo a esos puertos, y así si hay nuevos re-direccionamientos poder hacerlos.
9
Chain=dstnat, que nos indica que la petición es de Internet hacia nuestra red
Protocol tcp= que es el que utiliza terminal Server
Dst. Port= 3389 puerto que utiliza terminal Server
IP – DNS
Esta opción es para cuando a un host en los campos de asignación de DNS no sabemos cuales son y queremos que el router nos resuelva, poniendo en el campo primario de DNS del host, la IP del router. Ejemplo:
10
Ahora bien para que el router Mikrotik resuelva esa petición, se necesita habilitar la siguiente opción e introducir los dns:
IP<DNS<SETTINGS
Habilitando la opcion:Allow Remote Request
Proxy
Esta herramienta nos funciona para restringir accesos a paginas no deseadas, dejando a un lado el problema de el redireccionamiento IP dado que con Web-Proxy las restricciones son por dominios, un ejemplo es el acceso a la pagina www.banamex.com.mx esta pagina corresponde una ip, pero al momento de navegar en la pagina se esta en riesgo de que se redirecciones y ahora estemos accesando a otra ip y
11
si esta ip no esta permitida, el acceso será negado. Con Web-Proxy no importa a donde naveguemos dentro de una página porque nos regiremos por el dominio y este es muy raro que cambie.
Para habilitar esta opción basta con accesar a el apartado de IP<Web-proxy, en la ventana que aparecerá solo se clikea la opción Web-Proxy settings y se habilita la opción ENABLE, todos los parámetros por defecto se aceptan tal y como aparece en la siguiente pantalla:
Ahora que nuestro Web-Proxy esta habilitado, es necesario mandar el trafico que tiene como destino el puerto 80 (Internet) hacia el puerto 8080 que es el que maneja nuestro Web-Proxy, en el apartado de IP<Firewall<Nat se introducen los siguientes campos:
12
Ahora que tenemos listo nuestro Web-Proxy, podremos restringir o permitir los accesos a Internet de la siguiente manera:
IP<Web-Proxy-add new rule
13
En el campo Dst. Host se introduce el domino, y para evitar los xxx.dominio.xx se introduce el asterisco antes y después del domino para evitar cualquier direccionamiento, asi solo basta con que el dominio contenga los caracteres iontroducidos en Dst. Host , acontinuacion solo basta en el campo de Action allow o deny para habilitar o desabilitar el acceso.
Tambien con Web-Proxy podemos restringir las descargas de archivos, en el campo de Path se introduce *.mp3 si es que deseamos permitir o negar estas descargas, o *.pps si deseamos habilitar o desabilitar las descargas de archivos con extensión power point.
QUEUES
Con esta opción nos permite restringir anchos de banda a direcciones específicas como por ejemplo:
14
Aquí se muestra la siguiente figura en la cual ya se encuentra restringiendo algunos sitios.
El icono de color verde nos indica que el consumo para esa restricción no ha alcanzado su límite de consumo.
El icono de color amarillo nos indica que el consumo esta próximo a ser alcanzado.
El icono de color rojo nos indica que el consumo llego a su limite pero este nunca será sobrepasado.
Para agregar un queue basta con seleccionar el botón de adición (+) y nos muestra la siguiente pantalla:
15
RED DE BACHILLERATO DESPUÉS DE LA CONFIGURACIÓN DE MIKROTIK
16
17