Configurar Firewall Básico

Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico de red entrante y saliente, que decide si permite o bloquea tráfico específico en función de un conjunto definido de reglas de seguridad.

El siguiente script contiene reglas básicas para proteger su router Mikrotik y evitar tráfico de reenvió innecesario:

Requisitos previos:

Para esta configuración es necesario tener configuradas la interfaces de red WAN y LAN con salida a internet desde el router Mikrotik

Script:

/ip firewall address-list add address=x.x.x.x/x disabled=no list=support

Donde:

 

address=x.x.x.x/x corresponde al segmento de red LAN

 

/ip firewall address-list add address=192.168.5.0/24 disabled=no list=support

Winbox:

Identificar el segmento de red de la red LAN:

La regla quedaría:

/ip firewall address-list add address=192.168.5.0/24 disabled=no list=support

En terminal:

Copiamos la regla con la red de la LAN y abrimos una nueva terminal en  winbox, dar clic derecho sobre la terminal y finalmente clic en pegar:

 

Al pegar la regla presionar enter:

 

 

Lista de direcciones de Bogon:

El filtrado de Bogons es la práctica de filtrar direcciones IP que son falsas

 

Script:

/ip firewall address-list

add address=0.0.0.0/8 comment=" Auto identificacion " disabled=no list=bogons

add address=10.0.0.0/8 comment="Privado Clase A #Compruebe si necesita esta subred antes de habilitarla"\

disabled=yes list=bogons

add address=127.0.0.0/8 comment="Loopback" disabled=no list=bogons

add address=169.254.0.0/16 comment=" Enlace local" disabled=no list=bogons

add address=172.16.0.0/12 comment="Privado  Clase B  #Compruebe si necesita esta subred antes de habilitarla "\

disabled=yes list=bogons

add address=192.168.0.0/16 comment=" Privado  Clase C # Compruebe si necesita esta subred antes de habilitarla"\

disabled=yes list=bogons

add address=192.0.2.0/24 comment=" Reservado - IANA TestNet1" disabled=no list=bogons

add address=192.88.99.0/24 comment="6to4 Relay Anycast " disabled=no list=bogons

add address=198.18.0.0/15 comment=" Prueba NIDB" disabled=no list=bogons

add address=198.51.100.0/24 comment=" Reservado - IANA - TestNet2" disabled=no list=bogons

add address=203.0.113.0/24 comment=" Reservado - IANA - TestNet3" disabled=no list=bogons

add address=224.0.0.0/4 comment=" Clase D, IANA # Compruebe si necesita esta subred antes de habilitarla"\

 disabled=yes list=bogons

Wimbox en terminal:

 Copiamos las reglas del script anterior y abrimos una nueva terminal en  winbox, dar clic derecho sobre la terminal y elegir pegar:

 

Para aplicar la última regla, presionar enter:

 

Verificamos que se crearon las reglas en el apartado IP > Firewall > Address Lists:

Protección contra: SynFlood, ICMP Flood, Port Scan, Email Spam y mucho más.

Script:

/ip firewall filter

add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input \

comment="Agregar Syn Flood IP" connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn

add action=drop chain=input comment="Bloquear lista syn flood" disabled=no src-address-list=Syn_Flooder

add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect"\

disabled=no protocol=tcp psd=21,3s,3,1

add action=drop chain=input comment="Bloqueo de lista de escaneo de puertos" disabled=no src-address-list=Port_Scanner

add action=jump chain=input comment="Saltar flujo de entrada icmp" disabled=no jump-target=ICMP protocol=icmp

add action=drop chain=input\

comment="Bloquee todo el acceso a winbox.# NO HABILITE ESTA REGLA ANTES DE AGREGAR SU SUBRED LAN."\

disabled=yes dst-port=8291 protocol=tcp src-address-list=!support

add action=jump chain=forward comment="Saltar flujo de icmp" disabled=no jump-target=ICMP protocol=icmp

add action=drop chain=forward comment="Bloquear lsita de direcciones de bogon" disabled=no dst-address-list=bogons

add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Agregar Spammers a la lista por 3 horas"\

connection-limit=30,32 disabled=no dst-port=25,587 limit=30/1m,0 protocol=tcp

add action=drop chain=forward comment="Evitar spammers " disabled=no dst-port=25,587 protocol=tcp src-address-list=spammers

add action=accept chain=input comment="Aceptar DNS - UDP" disabled=no port=53 protocol=udp

add action=accept chain=input comment="Aceptar DNS - TCP" disabled=no port=53 protocol=tcp

add action=accept chain=input comment="Aceptar las conexiones establecidas" connection-state=established\

disabled=no

add action=accept chain=input comment="Aceptar conexiones relacionadas" connection-state=related disabled=no

add action=accept chain=input comment="Acceso completo a la lista de direcciones de SOPORTE" disabled=no src-address-list=support

add action=drop chain=input comment="Bloquea cualqeuir cosa! #  NO ACTIVES ESTA REGLA SIN ANTES ASEGURARTE QUE ACEPTES TODAS LAS REGLAS QUE NECESITAS"\

disabled=yes

add action=accept chain=ICMP comment="Echo request - Evitar ping Flood" disabled=no icmp-options=8:0 limit=1,5 protocol=icmp

add action=accept chain=ICMP comment="Echo reply" disabled=no icmp-options=0:0 protocol=icmp

add action=accept chain=ICMP comment="Tiempo excedido" disabled=no icmp-options=11:0 protocol=icmp

add action=accept chain=ICMP comment="Destinatino inalcanzable" disabled=no icmp-options=3:0-1 protocol=icmp

add action=accept chain=ICMP comment=PMTUD disabled=no icmp-options=3:4 protocol=icmp

add action=drop chain=ICMP comment="Bloqueo de otro ICMPs" disabled=no protocol=icmp

 add action=jump chain=output comment="Saltar salida icmp" disabled=no jump-target=ICMP protocol=icmp

Winbox en terminal:

Copiamos las reglas del script anterior y abrimos una nueva terminal en  winbox, dar clic derecho sobre la terminal y elegir  pegar:

 

Para aplicar la última regla, presionar enter:

Verificamos que se crearon las reglas en el apartado IP > Firewall > Filter Rules:

 

 

Curso taller de Routers Mikrotik

 

 

Curso taller de Routers Mikrotik

 

 

Objetivo del curso

Aprenderá desde cero a configurar e implementar routers mikrotik en una red WISP

Beneficios

  1. Conocerá y podrá configurar cualquier modelo de router de la marca mikrotik
  2. Aprenderá nociones básicas indispensables de una red para WISP
  3. Podrá implementar routers mikrotik en su red WISP para administración
  4. Optimizara su diseño de red WISP

 

Días 10 y 11 de Noviembre de 2018 de 9:00am a 5:00pm.

Sede:

Oficinas de Mubu Network

Mapa: https://goo.gl/maps/b6WJy

Que incluye:

  • Manual del curso
  • Prácticas de laboratorio
  • Servicio de café todo el día

Asesor:

Ing. Rogelio González de Jesús 
Contacto: 722 55 309 14
Correo: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

 

Temario

  1. RouterOS y winbox
  2. Creación de una red
  3. Direccionamiento IP
  4. Ruteo estático y dinámico
  5. DHCP Server
  6. DHCP Cliente
  7. Firewall y NAT
  8. Wireless
  9. Control de ancho de banda
  10. Balanceo de Carga
  11. Hotspot
  12. Portal cautivo
  13.  User-Manager

Manual conectar Mikrotik a Servidor Radius en la Nube

Para asociar sus Mikrotik a un servidor Radius en la nube para la autenticación de usuarios, y la creación de fichas para la venta de internet por tiempo  es necesario seguir los siguientes pasos:

  1. Obtener una cuenta de acceso al sistema de administración del Servidor Radius, ingresar el usuario y contraseña:
  2. Al ingresar al sistema debemos registrar el Mikrotik en el sistema, en el apartado Management , elegir la opción Routers Mikrotik, donde aparece un listado de opciones para administrar los Mikrotik, en este caso será registrar el Mikrotik en la opción Nuevo Router Mikrotik:                               
    Ingresamos un Nombre del Mikrotik representativo para el mikrotik a registrar, y un usuario y contraseña para poder hacer la conexión entre el Mikrotik y el servidor radius en la nube:                                           
    Al registrar el Mikrotik se muestra la IP que se le ha asignado:
                                              
  3. Lo siguiente es configurar el Mikrotik para Internet por Tiempo, configurando el hotspot y asociando en el servidor Radius en la nube para la autenticación de usuarios.

    Acceso a Internet para el Mikrotik

    En este caso se usa un Router Mikrotik RB750, el cual se configura de inicio para que tenga conexión a internet, vamos a configurar la interfaz ether1 que está conectada al modem de internet, esta debe solicitar la ip por medio del dhcp-client. para eso entramos la opción de menú IP/DHCP Client/+
                                   

    En la opción interface elegimos ether1 de damos clic sobre el botón aplicar, y después ok nos debe aparecer la IP que nos asigna el modem de internet



    Ahora vamos asignar una ip a nuestra interfaz LAN (ether2), para eso nos vamos a la opción IP/Address/+



    Para a la interfaz ether2 vamos agregar dirección ip 192.168.5.1/24 en la opción Address, y seleccionar la interface ether2 en la opción Interface. después presionar botón Apply y OK.



    ConfiguraciónHotspot

    Como siguiente paso vamos al levantar un servidor hotspot, para eso elegimos la opcion IP / Hotspot / HotspotSetup



    Le damos clic sobre el botón HotspotSetup y elegimos en la opción Hotspotinteface, la interface ether2 y presionamos botón Next.



    En la siguiente pantalla revisar que los datos estén correctos, que en Local Address Network tenga la dirección 192.168.5.1/24 y que le check Masquerade Network este seleccionado y presionamos botón Next.



    En la imagen que sigue debe tener en rango de IP de la siguiente forma: 192.168.5.10-192.168.5.254 en la opción Address pool of Network y presionamos el botón Next.



    Después en la opción SelectCertificate, elegimos la opción none y presionamos botón Next



    En la opción de IPAddress of SMTP Server, lo dejamos con la dirección ip: 0.0.0.0 y presionamos Next.



    En la siguiente pantalla tecleamos las direcciones ip de los servidores dns en la opcion DNS servers, empezando con la ip: 192.168.5.1 para dns cache del router y los otros dns: 8.8.8.8 y 8.8.4.4. y presionamos boton Next.



    En la siguiente pantalla elegimos el DNS Name, este puede ser relacionado con el nombre del negocio, y presionamos boton Next



    Posteriorelegimos Name of Local Hotspot User, como admin y tecleamos un password 12345 en Password for the User. Este usuario y password son para loguearse por primera ves con el hotspot. y después presionamos botón Next



    Al final nos queda un resultado como la siguiente imagen:



    Configuración para comunicar con servidor Radius en la nube

    VPN

    Para comunicar el Mikrotik con el servidor Radius en la nube se crea un cliente VPN en el apartado



    En el apartado Dial Out ingresar la IP del servidor para hacer la conexión con el servidor, ingresar en User y Passwor del usuario y contraseña que se ingresaron al momento de registrar el RouterMikrotik en el sistema:



    Para comprobar que se conectó correctamente vemos en Interface que la conexión tiene una letra R lo que significa que se hizo la conexión y en IP > Addresses aparece la interfaz pptp-out con la IP que le asignó el sistema al momento de registrar en Mikrotik:



    Radius

    En el apartado Radius asociamos la IP del servidor VPN, para hacer la comunicación con el servidor Radius, como se muestra a continuación, donde en secret se coloca la misma contraseña que se asignó al momento de registrar el Mikrotik en el sistema:



  4. Para comprobar que se asoció correctamente el Mikrotik con el servidor Radius en la nube, creamos un usuario desde el sistema, en el apartado Management y en la opción Usuarios, en el submenú elegir Nuevo Usuario:



    En el apartado Autenticación con nombre de usuario, ingresamos los datos del usuario en este caso sería Pedro13 y contraseña 123456, donde elegimos un perfil cualquiera



    Probamos conectándonos a la red del HotspotMikrotik, e ingresamos el usuario y contraseña que acabamos de crear:



    Y nos muestra el mensaje de que se logueo correctamente el usuario



    Podemos comprobar que en el Mikrotik efectivamente esté el usuario conectado, nos vamos al apartado IP >Hotspot> Active y podemos ver que está el usuario Pedro13 conectado:



Sistema de Tickets (MuNOS)

Descargar Munos 

Para comenzar a utilizar el sistema MUNOS es necesario que el Mikrotik a administrar este configurado con un puerto como entrada de Internet y otro puerto como salida de Internet para los clientes configurado como Hotspot, como se muestra en la imagen:

Una vez instalado el sistema MUNOS en su computadora dar clic al icono de MUNOS para ejecutar la aplicación (En algunas ocasiones, para instalar la aplicación es necesario tener instalado .NET Framework)

 

Configuración Inicial

Cuando el sistema MUNOS detecta por primera vez el Mikrotik mostrará la configuración de las interfaces que se tienen configuradas, que son: la interfaz de Internet (WAN) y la interfaz de salida con Hotspot

Como se indica en la ventana de configuración inicial, se debe seleccionar la interfaz que será asignada como salida de Internet para los clientes, es decir la interfaz configurada con Hotspot , así como también se debe asignar el rango de IPs disponibles según se desee:

Se mostrará el apartado para registrar el router Mikrotik, donde se debe asignar el nombre del router, la IP de la interfaz de salida con hostpot del Mikrotik, el usuario y contraseña, para finalmente dar clic en Continuar:

Si todo se configuro correctamente, se puede observar que el producto no está activado y se tendrán solo 14 días de prueba:

Activar licencia del Producto

Para activar la licencia del producto es necesario dirigirnos al botón de inicio, y dar clic en el logo de MUNOS:

En la parte inferior derecha se puede observar que se muestra la etiqueta de Producto no registrado y en seguida el botón para activar el producto en el que daremos clic:

Nos muestra los campos para ingresar los datos de la licencia para la activación, los cuales vamos a ingresar y después damos clic en Registrar:

Y podemos ver que se cambia la etiqueta a Producto registrado:

Routers

En el apartado de Routers se pueden ver los datos de nuestro router con la opción de modificar los datos de nuestro router: (los cuales debemos tener cuidado al modificar ya que de esto depende el correcto funcionamiento de MUNOS)

En el apartado Listar podemos observar el router que ya tenemos registrado, al seleccionar el router podemos observar los datos de nuestro router:

Se muestra la IP del router, el usuario y la contraseña:

Al dar clic en el botón siguiente podemos observar la información de las interfaces de nuestro router_

En el apartado Editar se pueden modificar los datos de nuestro Router si es que se desea, cuidando los parámetros como la IP del Router ya que si no es la correcta no se podrá usar MUNOS, clic en continuar:

Al dar clic en continuar, se pueden modificar los datos de las interfaces o simplemente dar clic en Editar para guardar todos los datos modificados:

Clientes

El apartado clientes en MUNOS, permite administrar los clientes residenciales , así como identificar el tiempo en el que se vencerá su tiempo o deshabilitar al cliente antes del tiempo asignado si es que se desea:

Agregar Clientes

Para agregar clientes, es necesario ir al apartado Agregar, y llenar los datos del cliente como el Nombre, la dirección, el teléfono y el correo electrónico, dando clic en siguiente para continuar:

Al dar clic en siguiente, se debe elegir el router que tenemos registrado, la IP que le vamos a asignar, la MAC del equipo del cliente, la velocidad asignada el monto del pago y la fecha en que vencerá su servicio:

Para finalmente dar clic en el botón Agregar, para guardar los datos:

 

 

Deshabilitar cliente

Para poder desactivar el servicio a algún cliente, debemos elegir el cliente en el apartado Listar:

Nos vamos directamente en el botón Siguiente:

Y en la sección Estatus Cliente, deshabilitamos la sección Vigente:

Cuando se deshabilita la opción Estatus del cliente, se puede observar que cambia a Estatus Vencido, para finalmente dar clic en Editar:

Cuando regresamos al listado de clientes se ve una etiqueta de VENCIDO con color naranja:

Editar datos de cliente

Cuando se quiere modificar los datos de un cliente se debe elegir al usuario a modificar en el apartado Listar:

Cuando de abre la información del cliente, se debe elegir el apartado Editar donde podemos modificar la información del cliente, para continuar clic en botón Siguiente:

Se puede modificar la información para administrar al cliente en este apartado, para finalmente dar clic en Editar:

Borrar cliente

Si se quiere borrar toda la información de un cliente se debe seleccionar el cliente en el apartado Listar:

Cuando abra los datos del cliente damos clic en el apartado Borrar para finalmente dar clic en el botón Borrar:

Planes

En Planes podemos crear lo que comúnmente se le llama perfiles de navegación, esto para los usuarios que se manejan por tiempo (Fichas), puede crear los planes de tiempo que desee, los cuales serán los que estarán disponibles al momento de crear las fichas.

Agregar Planes

Para agregar planes es necesario elegir el apartado Agregar:

Ingresamos los datos para crear el Plan, principalmente es elegir el router registrado, elegir el tiempo asignado para el perfil, si es Corrido (el tiempo se consume desde la primera vez que se conecta el usuario) o Pausado (el tiempo se consume solo las veces que se conecta el usuario), se asigna el nombre del plan, el tiempo que durara el plan para las fichas así como la velocidad asignada, finalmente el número de usuarios que se podrán conectar a la vez con una ficha (Conexiones por ficha) si todo está bien, se debe dar clic en Agregar:

Editar Planes

En el apartado Listar se debe elegir el plan a editar

Cuando se abre la información del Plan se debe elegir el apartado Editar:

Se modifican los datos que se desean para finalmente dar clic en Editar:

Para regresar al listado de perfiles dar clic en el botón Atrás:

Borrar Planes

Elegir el plan a borrar desde el listado de planes:

Cuando se abren los datos del plan se debe seleccionar Borrar:

Ya dentro del apartado borrar dar clic el botón Borrar:

Fichas

La función de fichas permite crear las fichas para la venta de internet por tiempo, así como la personalización de los formatos para la impresión de las fichas, cuando se configura por primera vez el sistema MUNOS se debe configurar primero el formato de fichas como se describe a continuación:

Crear formato de fichas

Para crear el formato de fichas se crea en el apartado Formatos:

De inicio se debe asignar un nombre al formato a crear:

Dentro del diseño del formato es necesario asignar primero el nombre que llevaran las fichas, para ello se debe arrastrar el logo con los símbolos A + al cuadro de diseño:

 

 

Una vez ubicado se debe dar doble clic en el cuadro de texto para poder editarlo:

Al editar el texto podemos también modificar la fuente y el color del texto:

Así como también puede modificarse el color del texto:

Para agregar una imagen al formato de fichas se debe arrastrar el cuadro de imagen al cuadro de diseño:

Una vez agregado se pueden ver las opciones para el cuadro arrastrado dando clic derecho sobre ese cuadro:

Para agregar la imagen se debe dar doble clic sobre el cuadro de imagen:

Para cargar la imagen se debe ir al apartado de editar y dar clic en Cargar imagen:

Elegimos la imagen a cargar:

Para darle buen formato podemos ajustar la imagen:

Si se quiere generar un fondo para la imagen o el texto se debe arrastrar el cuadro de color:

Cuando se arrastra se ubica donde se desea, donde también es posible cambiar el color que se quiera:

Finalmente clic en el botón Guardar Formato:

Eliminar Formato

Para borrar un formato se debe ir al apartado Formatos y elegir el formato a eliminar, para finalmente dar clic en el botón Eliminar Formato:

Agregar Fichas

Para crear las fichas se debe elegir el apartado Agregar:

Se debe elegir el router que tenemos registrado, así como el plan al que le vamos a asignar a las fichas, si se desea un prefijo, el número de caracteres para el usuario y contraseña, el número de fichas a crear y seleccionar si se quiere que el usuario y la contraseña sean iguales y clic en Siguiente:

Elegimos el formato a utilizar para las fichas:

Y finalmente ajustamos el tamaño que tendrán las fichas, para finalmente dar clic en Generar:

Cuando se crean las fichas se pueden imprimir inmediatamente dando clic en Imprimir:

Nos muestra una ventana con vista previa a la impresión, para finalmente elegir la orientación de la página o dar clic directamente en el símbolo de impresión:

Imprimir Fichas

Para imprimir fichas que ya se crearon se debe ir al apartado Archivos donde aparece el listado de las fichas creadas, donde elegimos el archivo de fichas a imprimir:

Cuando se muestran las fichas a imprimir se da clic en el botón Imprimir:

Borrar Fichas

Si desea eliminar los archivos de fichas es necesario elegir el archivo a eliminar en el listado de Archivos:

Para finalmente dar clic en el botón Eliminar:

Borrar Fichas Usadas

Para poder eliminar las fichas que ya se consumieron todo el tiempo, se pueden eliminar en el apartado Agregar y después al elegir el botón Limpiar Fichas Vencidas:

Cree su configuración para balanceo de carga con mikrotik

Sistema para balanceo de carga con mikrotik

Proceso a través del cual el tráfico saliente es distribuido por múltiples enlaces, con el fin de ampliar el ancho de banda de la red.

 

Ahora ya puede crear su script de configuración de balanceo de carga de 2 a 9 lineas de Internet, solo copie y pegue a su mikrotik y listo.

Click aqui

 

 Pantalla de inicio del sistema

Puede personalizar puerta de enlace, direccion ip de cada interface, velocidad de cada linea de internet y direccionamiento IP de la red LAN.

Aquí se muestra el resultado del script, que ya solo se copia y pega el mikrotik para aplicar la configuración