RouterOS v6.36.0.01 Introducción a Túneles/HotSpot/User ...

RouterOS v6.36.0.01 – Introducción a Túneles/HotSpot/User-manager con MikroTik RouterOS – Manual de Laboratorio

MTCUME MikroTik Certified User Manager Engineer v6.34.3.01 Libro de Estudio

ABC Xperts ® Network Xperts ®

Academy Xperts ®

Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo

Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o

transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el

permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o

revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones

legales.


Tabla de contenido Laboratorio inicial ...............................................................................................................................................3

Laboratorio 1. EoIP .............................................................................................................................................6

Laboratorio 2. Cliente PPTP ................................................................................................................................8

Laboratorio 3. Servidor PPTP ..............................................................................................................................9

Laboratorio 4. Laboratorio Avanzado EoIP sobre L2TP ................................................................................... 12

Laboratorio 5. Cliente PPPoE ........................................................................................................................... 15

Laboratorio 6. PPPoE con encriptación ........................................................................................................... 16

Laboratorio 7. Servidor PPPoE ......................................................................................................................... 16

Laboratorio 8. PPP Bridging ............................................................................................................................. 17

Laboratorio 9. Túnel IPSec Site-to-Site ............................................................................................................ 21

Laboratorio 10. HotSpot Setup ........................................................................................................................ 23

Laboratorio 11. User ........................................................................................................................................ 30

Laboratorio 12. Trial ........................................................................................................................................ 31

Laboratorio 13. Walled Garden ....................................................................................................................... 32

Laboratorio 14. Walled Garden IP ................................................................................................................... 32

Laboratorio 15. IP Bindings .............................................................................................................................. 33

Laboratorio 16. Modificación de página de Login ........................................................................................... 35

Laboratorio 17. Re-direccionar página web .................................................................................................... 36


Laboratorio inicial

- Previamente para este laboratorio se asignó a cada estudiante los siguientes valores: o X = número de fila o Y = número de estudiante

1. Borrar toda la configuración de nuestro equipo MikroTik

2. Configurar una red Ethernet 192.168.xy.0/24 entre la laptop (.1) y el router en la ether1(.254)

3. Poner direccion ip en su computador y luego entrar al router mikrotik por medio de capa 3

4. Conectarse a su router AP que tiene el SSID MTCUME usando las opciones de la ventana de wireless SCANNER

y verificamos conectividad.

5. Asignar la direccion IP 10.1.1.xy/24 a la interfaz wlan1


6. Asignar como DNS y activar la opción allow remote request y luego Gateway por defecto la IP 10.1.1.254

7. Enmascaramos la interfaz wlan1

8. Configurar la identidad del equipo “xy_NombreApellido


9. Configurar los nombres de las interfaces “xy_NombreApellido_lan” (ether1) y “xy_NombreApellido_wan” (wlan1)

10. Configurar el nombre de su radio (presionar el botón “advanced mode”) w_xy_NombreApellido

11. Configurar el router como cliente NTP, usar el servidor: 10.1.1.254

12. Creamos un respaldo de la configuración realizada


Laboratorio 1. EoIP

- Cree una interfaz EoIP con su vecino

- Crear una interfaz Bridge y agregar el túnel EoIP y la interfaz a la que está conectada la laptop.

- Configurar una nueva IP en su tarjeta de red que este dentro del segmento de red de su vecino y verifique

conectividad directa con su vecino (“ping”)

1. Ambos estudiantes tienen que configurar un nuevo tunal EoIP

Estudiante A: Remote Address: 10.1.1.xy Tunnel ID: 15

Estudiante B: Remote Address: 10.1.1.xy Tunnel ID:15

2. Ambos crear un bridge y ponerle como nombre br_eoip


3. Agregar el puerto “Lan” y el puerto “EoIP” al bridge

4. El estudiante A debe poner una direccion IP en su laptop que sea del mismo segmento de red del estudiante B.

comprobar que se pueden hacer ping de laptop a laptop.


Laboratorio 2. Cliente PPTP

Crear un cliente PPTP

- Servidor: 10.1.1.254

- Usuario: “userxy”

- Contraseña: “userxy”

- Add default route = yes

Agregar las configuraciones necesarias para salir a internet a través del túnel creado

1. Cada estudiante configurar el cliente PPTP con las credenciales ya puestas en la descripción del laboratorio.


2. Confirmar que fue entregada una ruta por defecto

3. Para asegurar tener la salida a internet, enmascararemos la interfaz pptp-outx generada.

4. Verificar que tengamos salida a internet.

Laboratorio 3. Servidor PPTP

- Habilitar el servidor PPTP

- Configurar un perfil para usar encriptación

- Crear un usuario en el menú /ppp secrets

o Colocar IP Local: 10.0.0.1 Remota: 10.0.0.2

- Configurar su laptop para conectarse al servidor PPTP

- Verificar que tiene acceso a internet a través del túnel

1. Crear un nuevo profile con cifrado para la conexión hacia el servidor PPTP


2. Crear un usuario en /ppp secret

3. Activar el servidor PPTP en la ventana PPP en la primera pestaña tenemos el botón PPTP Server, le daremos clic

en enabled y quedara activo el servicio.

4. Crear el cliente PPTP en su laptop. Abrimos en nuestra laptop la ventana de centro de redes y recursos

compartidos. Y luego ponemos en configurar una conexión o red. Seleccionaremos la opción que nos dice

conectarse a un área de trabajo, luego podemos siguiente. Y cuando nos pregunten ¿Cómo desea

conectarse? Le pondremos usar mi conexión a internet (VPN). Especificaremos la direccion WAN de nuestro

router MikroTik y posterior a ello poner en usuario y contraseña los que creamos en el paso 2.


5. Comprobamos en el router en la pestaña interface de la ventana PPP que nos salga el user milaptop conectado.



Laboratorio 4. Laboratorio Avanzado EoIP sobre L2TP

- Crear un túnel L2TP con su vecino

- Crear un túnel EoIP sobre el túnel L2TP

- Crear una interfaz Bridge y agregar el túnel EoIP y la interfaz a la que está conectada la laptop.

- Configurar una nueva IP en su tarjeta de red y verificar conectividad directa con su vecino (“ping”)

1. Cargar el respaldo de la configuración inicial

2. Definir entre estudiante A y estudiante B quien será servidor L2TP

3. El estudiante Servidor deberá crear un usuario y password para el vecino

4. El estudiante Servidor debe activar el servidor L2TP

5. El estudiante cliente debe configurar el cliente L2TP desde la pestaña interface en la ventana PPP


6. Ambos estudiantes deben crear un túnel EoIP usando las direcciones IP que fueron entregados por el túnel L2TP.

7. Ambos crear un bridge y ponerle como nombre br_eoip

8. Agregar el puerto “Lan” y el puerto “EoIP” al bridge


9. El estudiante A debe poner una direccion IP en su laptop que sea del mismo segmento de red del estudiante B.

comprobar que se pueden hacer ping de laptop a laptop.


Laboratorio 5. Cliente PPPoE

- Restaurar el backup inicial

- Crear un cliente PPPoE con la siguiente configuración

o Interface: wlan1

o Service: “MikroTik-Clase”

o Usuario: “userxy”

o Contraseña: “userxy”

o Add default route=yes

- Agregar las configuraciones necesarias para salir a internet a través del túnel creado.

1. Cargar el backup inicial

2. Cada estudiante configurar el cliente PPPoE con las credenciales ya puestas en la descripción del laboratorio.

3. Confirmar que fue entregada una ruta por defecto

4. Para asegurar tener la salida a internet, enmascararemos la interfaz pppoe-outx generada.



Laboratorio 6. PPPoE con encriptación

- El servidor PPPoE ahora se ha modificado para usar encriptación

- Por lo tanto, el cliente también debe usar encriptación:

o Cambiar el perfil utilizado por el cliente, a “default-encryptation”; o

o Modificar el perfil utilizado por el cliente para que se use encriptación

- Verificar que la conexión PPPoE se ha establecido correctamente.

Laboratorio 7. Servidor PPPoE

- Crear un servidor PPPoE

- Crear un usuario en el menú /ppp secrets

- Configurar se laptop para conectarse al servidor PPPoE

o Ir a crear una conexión nueva / conectar a internet / nueva conexión / broadband PPPoE

- Verificar que tiene acceso a internet a través del túnel.

1. Crear un servidor PPPoE

2. Crear un usuario en el menú /ppp secrets

3. Configurar se laptop para conectarse al servidor PPPoE: Ir a crear una conexión nueva / conectar a internet /

nueva conexión / broadband PPPoE:


Abrir centro de redes y recursos compartidos – configurar un nueva conexión o red – conectarse a

internet – configurar una nueva conexión de todas formas – banda ancha (PPPoE)

Laboratorio 8. PPP Bridging

- Restaurar el backup inicial

- Crear un túnel PPTP con su vecino

- Colocar el túnel en bridge con la interfaz de su LAN

- Configurar el MTU y MRRU del enlace PPP por lo menos con 1500 bytes

- Realizar pruebas cambiando el tamaño de paquete de ping y verificar si es posible el envió sin fragmentación con

el comando: ping x.x.x.x -f -l #tamañodepaquete

1. Ambos estudiantes deben crear un bridge y definir como MAC-Address 00:00:00:00:00:xy

2. Ambos estudiantes deben poner la interfaz LAN dentro del bridge creado anteriormente.


3. Ambos deben crear un profile para el túnel, aplicando BCP o modificar el perfil de default

4. Ambos estudiantes cambiar en ip-address la interfaz lan por la interfaz bridge.

5. El estudiante que será servidor PPTP debe crear un usuario con contraseña para el otro estudiante que será

cliente PPTP.


6. Configurar el MTU y MRRU del enlace PPP por lo menos con 1500 bytes

7. El estudiante cliente debe configurar un cliente PPTP


8. El estudiante que es cliente PPTP debe cambiar el direccionamiento IP en su laptop por una direccion IP que se

encuentre dentro del mismo segmento de red que la del estudiante que ser servidor PPTP.

9. Realizar pruebas cambiando el tamaño de paquete de ping y verificar si es posible él envió sin fragmentación con

el comando: ping x.x.x.x -f -l #tamañodepaquete


Laboratorio 9. Túnel IPSec Site-to-Site - Sincronizar el cliente NTP con el servidor 10.1.1.254

- Restaurar el backup inicial en caso de ser necesario

- Formar grupos de 2 personas

- Crear una VPN entre sus redes locales basado en los ejemplos de los slides anteriores.

1. Restauran el archivo inicial

2. Ambos estudiantes deben configurar un Peer contra su vecino, configurar el parámetro address: con la direccion

WAN del vecino y luego definir un secret: con la clave “ipseclab”

3. Ambos estudiantes deben crear un Proposal con el método de autenticacion “sha1” y el método de encriptación

3des


4. Ambos estudiantes deben crear un Police donde deberemos especificar las redes Lan de nosotros y de nuestro

vecino para que se puedan comunicar entre si y pasen a través del túnel IPSec (estudiante A):

(Estudiante B)

5. Ambos de crear una regla de NAT para poder realizar un Bypass de las redes LAN y poder así lograr que se

puedan ya comunicar entre sí. Estudiante A:

Estudiante B


Laboratorio 10. HotSpot Setup

Escenario:

Vamos a tener una red la cual es conformada por un dispositivo MikroTik RouterOS modelos CRS226-24G-2S+ donde vamos a realizar las configuraciones del servidor HotSpot.

El equipo debe estar sin ninguna configuración

La interface ether24 será nuestra WAN

La interface ether1 será nuestra LAN (Red HotSpot)

Figura

1

Detalle

Escenario inicial HotSpot

ID de alumno

Diagrama elaborado por:

ACADEMY XPERTS

Internet

172.17.1.0/24

ether1172.16.1.x/26

ether2172.17.1.1/24

1. Ingresamos a nuestro equipo MikroTik Para ello usaremos la herramienta del winbox la cual pueden descargar en www.mikrotik.com/download

2. Configurar un DHCP-Cliente en la interface ether1 Para este escenario tenemos esta configuración

http://www.mikrotik.com/download


3. Comprobamos que tengamos salida a internet Podemos comprobar realizando un ping desde new terminal

4. Configurar una dirección Valida en la interface ether2 La dirección que pongan será la dirección como gateway que queremos que se entregue a los usuarios autorizados una vez que realicen el proceso de Login.

5. Usaremos la opción de HotSpot Setup IP HotSpot HotSpot Setup


6. Demos click en HotSpot Setup Seleccionamos la interface donde estará configurado el servidor HotSpot, Click en Next.

7. La IP dirección de Red aparecerá de forma automática, enmascararemos la red, click en Next.

8. Especificamos el pool de direcciones para los usuarios que se conecten, click en Next.


9. Seleccionamos certificado SSL si es que vamos a usar el HTTPS como método de Login, click en Next.

.

10. Especificamos dirección IP de algún servidor SMTP para gestión de notificaciones, click en Next

11. Especificar ip de servidores DNS para entregar a los usuarios. Click en Next


12. El nombre de DNS name para acceder a la página de Login.

13. Crear el primer usuario para el servidor HotSpot.


14. Al finalizar nos saldrá esta ventana mencionando que la configuración se ha completado satisfactoriamente. Click en “OK”

Verificamos que las configuraciones: Reglas de Filter Firewall

Reglas de NAT Filter


15. Configuración de DHCP Server y Pool de direcciones

16. En la pantalla de Login debemos especificar el nombre de usuario y contraseña que creamos en las configuraciones anteriores.

17. Verificamos los datos entregados por nuestro servidor hotspot. Este enlace también nos sirve para verificar status de nuestra conexión.


Laboratorio 11. User

Objetivos:

Crear un nuevo usuario

Permitir que dicho usuario solo pueda iniciar sesión desde su laptop

Configurar que pueda conectarse por 5 Horas

Configurar 1GB de Upload y 1GB de Download por día.

Recomendación: Desactivar las Cookies

o IP HotSpot Server Profiles Seleccionamos nuestro servidor hotspot Login Quitar Check en Cookie OK

o ¡Más adelante veremos más detalles de cookies! Pasos:

1. En la ventana de HotSpot encontraremos la opción de Users Lo crearemos con los daros que nos pide el laboratorio:

2. Para poder cumplir con la segunda parte del laboratorio usaremos la herramienta de Scheduler.


Laboratorio 12. Trial

Objetivos:

Habilitar las conexiones trial por 1 hora por día. Pasos:

1. En la opción de server profile entrar al perfil que se creó y vamos a la opción de Login.

2. Comprobar: Hacemos Log off de la sesión actual

Para hacer log off de la sesión actual tenemos que ingresar a la ventana de estatus que tenemos entrando al link:

Y luego ya podríamos darle clic en log off:


Laboratorio 13. Walled Garden

Objetivos:

Dar acceso a las siguientes páginas web sin la necesidad de autenticación.

www.mikrotik.com

www.bancoguayaquil.com

cursos.abcxperts.com Pasos:

1. En Hotspot vamos a la opción de Walled Garden y especificamos el action: allow, el servidor y en Dst Host especificamos la página web; y así para cada una de las páginas web.

2. Comprobamos

Laboratorio 14. Walled Garden IP

Objetivos:


Permitir acceso vía FTP al servidor HotSpot

Pasos:

En Hotspot vamos a la opción de Walled Garden IP List y especificamos el action: accept, el servidor y en Dst Address especificamos la dirección IP de destino del servidor, protocolo a utilizar, Dst port el puerto que se va utilizar.

Laboratorio 15. IP Bindings

Objetivos:

Agregar una nueva red en la misma interfaz y que esa nueva red no pase por el Hotspot

Pasos:


En Hotspot vamos a la opción de IP Bindings, especificamos la dirección Ip, el servidor HotSpot con el que se trabajara y el tipo.

Errores Comunes

Cuando vamos a implementar un servidor HotSpot en un bridge, se debe configurar en la interfaz bridge generada y no es un puerto bridge.

Configurar correctamente un DNS name para el Servidor HotSpot.

El arp debe estar habilitado en cada interfaz.


Laboratorio 16. Modificación de página de Login Objetivos:

- Modificaremos el archivo Login.html para poder crear un Login Oculto con el usuario admin

1. Exportaremos la carpeta hotspot al escritorio desde nuestro Router, para ello podemos ir a la ventana de File y seleccionar la carpeta de HotSpot y dar clic derecho y Download, poner el archivo en el escritorio de su Laptop.

2. Buscamos la carpeta en el escritorio, buscaremos el archivo Login y tendremos que modificar las siguientes líneas

para realizar los siguientes puntos: ocultar los campos de username y password. Definir como valor (value) “admin”

Antes

Después

3. Una vez realizado los cambios, guardamos y copiaremos la carpeta con los cambios dentro del equipo MikroTik 4. Ahora si vamos a realizar Login, nos debería aparecer la siguiente ventana

5. Notaremos que ya no son visibles los campos de username y password, y con tan solo dar clic podremos

ingresar.


Laboratorio 17. Re-direccionar página web Objetivos:

- Para este laboratorio trabajaremos sobre la misma configuración de ahora - Modificaremos el archivo Alogin.html

1. Abrimos el archivo alogin.html y nos ubicaremos en la línea 34 y entre las comillas simples pondremos la página a la que queremos que se direccione luego de hacer Login.

Antes:

Después:

2. Una vez realizado los cambios, guardamos y copiaremos la carpeta con los cambios dentro del equipo MikroTik 3. Ahora si vamos a realizar Login.

Laboratorio 18. Instalar el paquete user-manager 1. Descargar el paquete de user-manager correspondiente a nuestra arquitectura de Router que tenemos,

RouterOS v6.36.0.01 Introducción a Túneles/HotSpot/User ...

Documents

Transcript of RouterOS v6.36.0.01 Introducción a Túneles/HotSpot/User ...