Post on 01-Jul-2022
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
MTCUME MikroTik Certified User Manager Engineer v6.34.3.01 Libro de Estudio
ABC Xperts ® Network Xperts ®
Academy Xperts ®
Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o
transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el
permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o
revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones
legales.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Tabla de contenido Laboratorio inicial ...............................................................................................................................................3
Laboratorio 1. EoIP .............................................................................................................................................6
Laboratorio 2. Cliente PPTP ................................................................................................................................8
Laboratorio 3. Servidor PPTP ..............................................................................................................................9
Laboratorio 4. Laboratorio Avanzado EoIP sobre L2TP ................................................................................... 12
Laboratorio 5. Cliente PPPoE ........................................................................................................................... 15
Laboratorio 6. PPPoE con encriptación ........................................................................................................... 16
Laboratorio 7. Servidor PPPoE ......................................................................................................................... 16
Laboratorio 8. PPP Bridging ............................................................................................................................. 17
Laboratorio 9. Túnel IPSec Site-to-Site ............................................................................................................ 21
Laboratorio 10. HotSpot Setup ........................................................................................................................ 23
Laboratorio 11. User ........................................................................................................................................ 30
Laboratorio 12. Trial ........................................................................................................................................ 31
Laboratorio 13. Walled Garden ....................................................................................................................... 32
Laboratorio 14. Walled Garden IP ................................................................................................................... 32
Laboratorio 15. IP Bindings .............................................................................................................................. 33
Laboratorio 16. Modificación de página de Login ........................................................................................... 35
Laboratorio 17. Re-direccionar página web .................................................................................................... 36
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio inicial
- Previamente para este laboratorio se asignó a cada estudiante los siguientes valores: o X = número de fila o Y = número de estudiante
1. Borrar toda la configuración de nuestro equipo MikroTik
2. Configurar una red Ethernet 192.168.xy.0/24 entre la laptop (.1) y el router en la ether1(.254)
3. Poner direccion ip en su computador y luego entrar al router mikrotik por medio de capa 3
4. Conectarse a su router AP que tiene el SSID MTCUME usando las opciones de la ventana de wireless SCANNER
y verificamos conectividad.
5. Asignar la direccion IP 10.1.1.xy/24 a la interfaz wlan1
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
6. Asignar como DNS y activar la opción allow remote request y luego Gateway por defecto la IP 10.1.1.254
7. Enmascaramos la interfaz wlan1
8. Configurar la identidad del equipo “xy_NombreApellido
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
9. Configurar los nombres de las interfaces “xy_NombreApellido_lan” (ether1) y “xy_NombreApellido_wan” (wlan1)
10. Configurar el nombre de su radio (presionar el botón “advanced mode”) w_xy_NombreApellido
11. Configurar el router como cliente NTP, usar el servidor: 10.1.1.254
12. Creamos un respaldo de la configuración realizada
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 1. EoIP
- Cree una interfaz EoIP con su vecino
- Crear una interfaz Bridge y agregar el túnel EoIP y la interfaz a la que está conectada la laptop.
- Configurar una nueva IP en su tarjeta de red que este dentro del segmento de red de su vecino y verifique
conectividad directa con su vecino (“ping”)
1. Ambos estudiantes tienen que configurar un nuevo tunal EoIP
Estudiante A: Remote Address: 10.1.1.xy Tunnel ID: 15
Estudiante B: Remote Address: 10.1.1.xy Tunnel ID:15
2. Ambos crear un bridge y ponerle como nombre br_eoip
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
3. Agregar el puerto “Lan” y el puerto “EoIP” al bridge
4. El estudiante A debe poner una direccion IP en su laptop que sea del mismo segmento de red del estudiante B.
comprobar que se pueden hacer ping de laptop a laptop.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 2. Cliente PPTP
Crear un cliente PPTP
- Servidor: 10.1.1.254
- Usuario: “userxy”
- Contraseña: “userxy”
- Add default route = yes
Agregar las configuraciones necesarias para salir a internet a través del túnel creado
1. Cada estudiante configurar el cliente PPTP con las credenciales ya puestas en la descripción del laboratorio.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
2. Confirmar que fue entregada una ruta por defecto
3. Para asegurar tener la salida a internet, enmascararemos la interfaz pptp-outx generada.
4. Verificar que tengamos salida a internet.
Laboratorio 3. Servidor PPTP
- Habilitar el servidor PPTP
- Configurar un perfil para usar encriptación
- Crear un usuario en el menú /ppp secrets
o Colocar IP Local: 10.0.0.1 Remota: 10.0.0.2
- Configurar su laptop para conectarse al servidor PPTP
- Verificar que tiene acceso a internet a través del túnel
1. Crear un nuevo profile con cifrado para la conexión hacia el servidor PPTP
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
2. Crear un usuario en /ppp secret
3. Activar el servidor PPTP en la ventana PPP en la primera pestaña tenemos el botón PPTP Server, le daremos clic
en enabled y quedara activo el servicio.
4. Crear el cliente PPTP en su laptop. Abrimos en nuestra laptop la ventana de centro de redes y recursos
compartidos. Y luego ponemos en configurar una conexión o red. Seleccionaremos la opción que nos dice
conectarse a un área de trabajo, luego podemos siguiente. Y cuando nos pregunten ¿Cómo desea
conectarse? Le pondremos usar mi conexión a internet (VPN). Especificaremos la direccion WAN de nuestro
router MikroTik y posterior a ello poner en usuario y contraseña los que creamos en el paso 2.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
5. Comprobamos en el router en la pestaña interface de la ventana PPP que nos salga el user milaptop conectado.
6. Verificar que tengamos salida a internet.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 4. Laboratorio Avanzado EoIP sobre L2TP
- Crear un túnel L2TP con su vecino
- Crear un túnel EoIP sobre el túnel L2TP
- Crear una interfaz Bridge y agregar el túnel EoIP y la interfaz a la que está conectada la laptop.
- Configurar una nueva IP en su tarjeta de red y verificar conectividad directa con su vecino (“ping”)
1. Cargar el respaldo de la configuración inicial
2. Definir entre estudiante A y estudiante B quien será servidor L2TP
3. El estudiante Servidor deberá crear un usuario y password para el vecino
4. El estudiante Servidor debe activar el servidor L2TP
5. El estudiante cliente debe configurar el cliente L2TP desde la pestaña interface en la ventana PPP
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
6. Ambos estudiantes deben crear un túnel EoIP usando las direcciones IP que fueron entregados por el túnel L2TP.
7. Ambos crear un bridge y ponerle como nombre br_eoip
8. Agregar el puerto “Lan” y el puerto “EoIP” al bridge
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
9. El estudiante A debe poner una direccion IP en su laptop que sea del mismo segmento de red del estudiante B.
comprobar que se pueden hacer ping de laptop a laptop.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 5. Cliente PPPoE
- Restaurar el backup inicial
- Crear un cliente PPPoE con la siguiente configuración
o Interface: wlan1
o Service: “MikroTik-Clase”
o Usuario: “userxy”
o Contraseña: “userxy”
o Add default route=yes
- Agregar las configuraciones necesarias para salir a internet a través del túnel creado.
1. Cargar el backup inicial
2. Cada estudiante configurar el cliente PPPoE con las credenciales ya puestas en la descripción del laboratorio.
3. Confirmar que fue entregada una ruta por defecto
4. Para asegurar tener la salida a internet, enmascararemos la interfaz pppoe-outx generada.
5. Verificar que tengamos salida a internet.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 6. PPPoE con encriptación
- El servidor PPPoE ahora se ha modificado para usar encriptación
- Por lo tanto, el cliente también debe usar encriptación:
o Cambiar el perfil utilizado por el cliente, a “default-encryptation”; o
o Modificar el perfil utilizado por el cliente para que se use encriptación
- Verificar que la conexión PPPoE se ha establecido correctamente.
Laboratorio 7. Servidor PPPoE
- Crear un servidor PPPoE
- Crear un usuario en el menú /ppp secrets
- Configurar se laptop para conectarse al servidor PPPoE
o Ir a crear una conexión nueva / conectar a internet / nueva conexión / broadband PPPoE
- Verificar que tiene acceso a internet a través del túnel.
1. Crear un servidor PPPoE
2. Crear un usuario en el menú /ppp secrets
3. Configurar se laptop para conectarse al servidor PPPoE: Ir a crear una conexión nueva / conectar a internet /
nueva conexión / broadband PPPoE:
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Abrir centro de redes y recursos compartidos – configurar un nueva conexión o red – conectarse a
internet – configurar una nueva conexión de todas formas – banda ancha (PPPoE)
Laboratorio 8. PPP Bridging
- Restaurar el backup inicial
- Crear un túnel PPTP con su vecino
- Colocar el túnel en bridge con la interfaz de su LAN
- Configurar el MTU y MRRU del enlace PPP por lo menos con 1500 bytes
- Realizar pruebas cambiando el tamaño de paquete de ping y verificar si es posible el envió sin fragmentación con
el comando: ping x.x.x.x -f -l #tamañodepaquete
1. Ambos estudiantes deben crear un bridge y definir como MAC-Address 00:00:00:00:00:xy
2. Ambos estudiantes deben poner la interfaz LAN dentro del bridge creado anteriormente.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
3. Ambos deben crear un profile para el túnel, aplicando BCP o modificar el perfil de default
4. Ambos estudiantes cambiar en ip-address la interfaz lan por la interfaz bridge.
5. El estudiante que será servidor PPTP debe crear un usuario con contraseña para el otro estudiante que será
cliente PPTP.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
6. Configurar el MTU y MRRU del enlace PPP por lo menos con 1500 bytes
7. El estudiante cliente debe configurar un cliente PPTP
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
8. El estudiante que es cliente PPTP debe cambiar el direccionamiento IP en su laptop por una direccion IP que se
encuentre dentro del mismo segmento de red que la del estudiante que ser servidor PPTP.
9. Realizar pruebas cambiando el tamaño de paquete de ping y verificar si es posible él envió sin fragmentación con
el comando: ping x.x.x.x -f -l #tamañodepaquete
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 9. Túnel IPSec Site-to-Site - Sincronizar el cliente NTP con el servidor 10.1.1.254
- Restaurar el backup inicial en caso de ser necesario
- Formar grupos de 2 personas
- Crear una VPN entre sus redes locales basado en los ejemplos de los slides anteriores.
1. Restauran el archivo inicial
2. Ambos estudiantes deben configurar un Peer contra su vecino, configurar el parámetro address: con la direccion
WAN del vecino y luego definir un secret: con la clave “ipseclab”
3. Ambos estudiantes deben crear un Proposal con el método de autenticacion “sha1” y el método de encriptación
3des
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
4. Ambos estudiantes deben crear un Police donde deberemos especificar las redes Lan de nosotros y de nuestro
vecino para que se puedan comunicar entre si y pasen a través del túnel IPSec (estudiante A):
(Estudiante B)
5. Ambos de crear una regla de NAT para poder realizar un Bypass de las redes LAN y poder así lograr que se
puedan ya comunicar entre sí. Estudiante A:
Estudiante B
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 10. HotSpot Setup
Escenario:
Vamos a tener una red la cual es conformada por un dispositivo MikroTik RouterOS modelos CRS226-24G-2S+ donde vamos a realizar las configuraciones del servidor HotSpot.
El equipo debe estar sin ninguna configuración
La interface ether24 será nuestra WAN
La interface ether1 será nuestra LAN (Red HotSpot)
Figura
1
Detalle
Escenario inicial HotSpot
ID de alumno
Diagrama elaborado por:
ACADEMY XPERTS
Internet
172.17.1.0/24
ether1172.16.1.x/26
ether2172.17.1.1/24
1. Ingresamos a nuestro equipo MikroTik Para ello usaremos la herramienta del winbox la cual pueden descargar en www.mikrotik.com/download
2. Configurar un DHCP-Cliente en la interface ether1 Para este escenario tenemos esta configuración
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
3. Comprobamos que tengamos salida a internet Podemos comprobar realizando un ping desde new terminal
4. Configurar una dirección Valida en la interface ether2 La dirección que pongan será la dirección como gateway que queremos que se entregue a los usuarios autorizados una vez que realicen el proceso de Login.
5. Usaremos la opción de HotSpot Setup IP HotSpot HotSpot Setup
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
6. Demos click en HotSpot Setup Seleccionamos la interface donde estará configurado el servidor HotSpot, Click en Next.
7. La IP dirección de Red aparecerá de forma automática, enmascararemos la red, click en Next.
8. Especificamos el pool de direcciones para los usuarios que se conecten, click en Next.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
9. Seleccionamos certificado SSL si es que vamos a usar el HTTPS como método de Login, click en Next.
.
10. Especificamos dirección IP de algún servidor SMTP para gestión de notificaciones, click en Next
11. Especificar ip de servidores DNS para entregar a los usuarios. Click en Next
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
12. El nombre de DNS name para acceder a la página de Login.
13. Crear el primer usuario para el servidor HotSpot.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
14. Al finalizar nos saldrá esta ventana mencionando que la configuración se ha completado satisfactoriamente. Click en “OK”
Verificamos que las configuraciones: Reglas de Filter Firewall
Reglas de NAT Filter
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
15. Configuración de DHCP Server y Pool de direcciones
16. En la pantalla de Login debemos especificar el nombre de usuario y contraseña que creamos en las configuraciones anteriores.
17. Verificamos los datos entregados por nuestro servidor hotspot. Este enlace también nos sirve para verificar status de nuestra conexión.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 11. User
Objetivos:
Crear un nuevo usuario
Permitir que dicho usuario solo pueda iniciar sesión desde su laptop
Configurar que pueda conectarse por 5 Horas
Configurar 1GB de Upload y 1GB de Download por día.
Recomendación: Desactivar las Cookies
o IP HotSpot Server Profiles Seleccionamos nuestro servidor hotspot Login Quitar Check en Cookie OK
o ¡Más adelante veremos más detalles de cookies! Pasos:
1. En la ventana de HotSpot encontraremos la opción de Users Lo crearemos con los daros que nos pide el laboratorio:
2. Para poder cumplir con la segunda parte del laboratorio usaremos la herramienta de Scheduler.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 12. Trial
Objetivos:
Habilitar las conexiones trial por 1 hora por día. Pasos:
1. En la opción de server profile entrar al perfil que se creó y vamos a la opción de Login.
2. Comprobar: Hacemos Log off de la sesión actual
Para hacer log off de la sesión actual tenemos que ingresar a la ventana de estatus que tenemos entrando al link:
Y luego ya podríamos darle clic en log off:
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 13. Walled Garden
Objetivos:
Dar acceso a las siguientes páginas web sin la necesidad de autenticación.
www.mikrotik.com
www.bancoguayaquil.com
cursos.abcxperts.com Pasos:
1. En Hotspot vamos a la opción de Walled Garden y especificamos el action: allow, el servidor y en Dst Host especificamos la página web; y así para cada una de las páginas web.
2. Comprobamos
Laboratorio 14. Walled Garden IP
Objetivos:
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Permitir acceso vía FTP al servidor HotSpot
Pasos:
En Hotspot vamos a la opción de Walled Garden IP List y especificamos el action: accept, el servidor y en Dst Address especificamos la dirección IP de destino del servidor, protocolo a utilizar, Dst port el puerto que se va utilizar.
Laboratorio 15. IP Bindings
Objetivos:
Agregar una nueva red en la misma interfaz y que esa nueva red no pase por el Hotspot
Pasos:
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
En Hotspot vamos a la opción de IP Bindings, especificamos la dirección Ip, el servidor HotSpot con el que se trabajara y el tipo.
Errores Comunes
Cuando vamos a implementar un servidor HotSpot en un bridge, se debe configurar en la interfaz bridge generada y no es un puerto bridge.
Configurar correctamente un DNS name para el Servidor HotSpot.
El arp debe estar habilitado en cada interfaz.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 16. Modificación de página de Login Objetivos:
- Modificaremos el archivo Login.html para poder crear un Login Oculto con el usuario admin
1. Exportaremos la carpeta hotspot al escritorio desde nuestro Router, para ello podemos ir a la ventana de File y seleccionar la carpeta de HotSpot y dar clic derecho y Download, poner el archivo en el escritorio de su Laptop.
2. Buscamos la carpeta en el escritorio, buscaremos el archivo Login y tendremos que modificar las siguientes líneas
para realizar los siguientes puntos: ocultar los campos de username y password. Definir como valor (value) “admin”
Antes
Después
3. Una vez realizado los cambios, guardamos y copiaremos la carpeta con los cambios dentro del equipo MikroTik 4. Ahora si vamos a realizar Login, nos debería aparecer la siguiente ventana
5. Notaremos que ya no son visibles los campos de username y password, y con tan solo dar clic podremos
ingresar.
RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio
Laboratorio 17. Re-direccionar página web Objetivos:
- Para este laboratorio trabajaremos sobre la misma configuración de ahora - Modificaremos el archivo Alogin.html
1. Abrimos el archivo alogin.html y nos ubicaremos en la línea 34 y entre las comillas simples pondremos la página a la que queremos que se direccione luego de hacer Login.
Antes:
Después:
2. Una vez realizado los cambios, guardamos y copiaremos la carpeta con los cambios dentro del equipo MikroTik 3. Ahora si vamos a realizar Login.
Laboratorio 18. Instalar el paquete user-manager 1. Descargar el paquete de user-manager correspondiente a nuestra arquitectura de Router que tenemos,