Configurar hora Mikrotik

Actualizar la hora utilizando el servicio cloud de Mikrotik

Ip Cloud de Mikrotik envía todos los paquetes encriptados a cloud.mikrotik usando el puerto UDP 15252. Detecta la zona horaria dependiendo de la IP pública del dispositivo y Actualiza la hora cada vez que se reinicie el router o después de cambiar la ip por DDNS. Los logs se mostrarán de manera correcta.

Podemos activar el servicio vía terminal a través de winbox. Desde winbox IP > Cloud > Update Time y desde la Terminal se utiliza el comando siguiente:
 > /ip cloud set update-time=yes

Para establecer la detección automática de la zona horaria también se puede realizar desde winbox o desde la terminal.
 > /system clock set time-zone-autodetect=yes

Si vuelvo a ingresar de nuevo a system clock ya debería haber actualizado la zona correcta.

Mikrotik es genial!.

Wireless WAN ethernet LAN en Mikrotik

Como conectar un dispositivo Mikrotik a la interfaz inálambrica del router de nuestro proveedor de acceso a Internet (ISP)

Conectar el pc con un cable a un puerto LAN del router Mikrotik.

Asegurarse de que el AP tiene un servidor DHCP activado para que nuestro dispositivo obtenga una dirección IP automáticamente.

Abrimos winbox a través la ip por defecto del dispositivo Mikrotik (192.168.88.1).

La configuración la podemos hacer haciendo un Reset Configuration que dejará el router totalmente en blanco o dejar la configuración que trae por defecto la cual incluye unas mínimas reglas de firewall:

Eliminamos la interfaz inalámbrica (wlan1) del bridge ya que en la configuración por defecto viene incluida.

Configuramos un cliente DHCP en la interfaz wireless wlan1.

Abrir IP DHCP Client y clicamos en el signo más (+), en interface de la lista desplegable seleccionamos wlan1 y dejamos Add Default Route seleccionado para que nos agregue el gateway o puerta de enlace por defecto.

Nos vamos a la pestaña Security Profile para crear un New security profile al que daremos un nombre este caso profile_wlan1 en Authentication type solo dejamos WPA2-PSK y en WPA2 Pre-Shared Key pondremos el password del del AP al que nos queremos conectar.

Ya tenemos el Security Profile creado, nos falta cambiar el modo e introducir el SSID.

Si hacemos clic en Wireless se abre la ventana Wireless tables doble clic en wlan1 y en la pestaña pestaña Wireless cambiar Mode a station, en la entrada SSID tecleamos el nombre del SSID del AP al que nos conectaremos y seleccionamos en Security Profile profile_wlan1 clic en Apply y en la parte inferior aparecerá "connected to ess" eso quiere decir que mi tarjeta inalámbrica se conectó al AP. Del mismo modo en interfaces wlan1 aparece con una R delante que quiere decir Running.

Para poder tener salida a Internet desde una ip privada debemos enmascararla utilizando IP Firewall NAT eliminando la regla de enmascarado de ether1 y crear una nueva regla de masquerade. En la pestaña General elegimos Chain srcnat como Out interface wlan1 y en Action elegimos masquerade. Ya tendríamos que tener conexión a Internet.

En el menú principal clic en Bridge y le cambiamos el nombre a bridge_lan

En el menú principal hacemos clic en IP Addresses luego en el signo + para asignar  a la interfaz bridge_lan la dirección IP 192.168.100.1/24 aplicar y Ok.

Para que los clientes de la LAN al conectar el cable ethernet obtengan una dirección IP automáticamente (si tienen habilitado dhcp client) vamos a crear un servidor dhcp. En el menú principal seleccionamos IP DHCP Server y utilizando DHCP Setup lo creamos.

Ya tenemos acceso a Internet en nuestro PC.

Seguridad

Actualizar a la última version del sistema operativo RouterOS

Deshabilitar servicios que no vamos a utilizar

Creamos un nuevo usuario y le asignamos una contraseña que pertenezca al grupo full. Cerramos winbox y entramos con el nombre y contraseña del nuevo usuario . Deshabilitar el usuario admin.

A mi PC le ha otorgado una IP del segmento de red que habíamos configurado en la interfaz bridge.

Mikrotik es genial!.

DST-NAT Mikrotik acceder desde Internet

Acceder desde Internet a nuestros dispositivos con IPs Privadas si tenemos una IP estática.

NAT Es utilizado:

1.- para permitir acceso a una red externa desde una que utiliza IPs privadas (srcnat). 

2.- Para permitir acceso desde una red externa a un recurso (p.e., web server) alojado en una red interna utilizamos dst-nat de nuestro Mikrotik. Dstnat también conocido como Port Forwarding

Existen 3 redes privadas que no son ruteables desde Internet. ¿Como un dispositivo con una IP privada pueda navegar en Internet?, gracias a NAT que traduce esa IP privada en una IP pública que pueda ser routeable desde Internet.

Los chains srcnat y dstnat son utilizados para implementar la funcionalidad de NAT.

Dst Nat se refiere a una dirección IP y un puerto (193.153.76.150:80). Si el router recibe un intento de conexión a la IP pública 193.153.76.150 por el puerto 80 tenemos una regla con el chain dst-nat en la pestaña NAT del firewall que va a redirigir el tráfico a la dirección IP del servidor web, p.e., 192.168.88.120 puerto 80. El redireccionamiento lo realiza el Mikrotik. Todas las conexiones van a pasar por el Mikrotik.

La Action Redirect es un tipo especial de dstnat que rediríge el paquete al mismo router, puede ser utilizado para crear servicios proxy transparentes (DNS, HTTP).

Masquerade es un tipo especial de srcnat. Cambia la dirección IP de origen por la IP pública del router.

Abrimos el winbox y nos conectamos al router que tiene acceso a Internet. Lo primero es ir a IP -> Firewall -> NAT para agregar una nueva regla, es importante que se encuentre en el Chain dstnat, a continuación en Dst. Address vamos a introducir la IP pública del router (p.e. 194.187.249.184) seleccionamos el protocolo tcp y el Dst. Port, puerto en el que vamos a escuchar (80). Cuando alguien desde el exterior acceda al puerto 80 vamos a redirigirlo al web Server. Luego en Action vamos a seleccionar dstnat y vemos dos campos que son a la dirección y a los puertos To Address y To Ports. Vamos a redirigir a la dirección 192.168.88.120 y el puerto 80. En comentarlo tecleamos Redirigir al servidor web. 

Como estoy redirigiendo el puerto 80, he cambiado el puerto www del router al 88. O sea, que si quiero acceder a este router vía webfig debo hacerlo utilizando el puerto: 192.168.88.1:88. Si no cambiamos el puerto www no podremos acceder vía web a este router porque lo estará enviando al web Server. En estos momentos la redirección tendría que estar funcionando. Si tecleo en el navegador la dirección IP 194.187.249.184) nos debería redirigir al servidor web.

Si tecleo en el navegador la ip privada 192.168.88.200 me aparece el mismo sitio web, pero este es accesible solo dentro mi red LAN. Si utilizo dstnat, desde cualquier sitio del mundo van a poder acceder a la página web que está alojada dentro de nuestra red LAN.

Acceder desde Internet a nuestros dispositivos con IPs Privadas si tenemos una IP dinámica utilizando Mikrotik IP Cloud y DDNS.

Mikrotik es genial!.

Configurar AP en Mikrotik

 Access Point

El cable ether1 lo conectamos al puerto WAN del dispositivo Mikrotik y utilizamos un DHCP Client para obtener una direción IP de manera automática y, si no desmarcamos la casilla Add Default Route también agrega una ruta por defecto (default route).

Configurar un Access Point en un equipo Mikrotik, o sea, emitiendo señal para permitir la conexión de station o clientes inalámbricos.

Los parámetros fundamentales son:

En la pestaña Wireless de la interfaz wlan1 seleccionamos el Modo ap bridge que permite que se conecten múltiples clientes. El modo bridge sirve para conectar un solo cliente, por ejemplo, enlaces punto a punto.

También tenemos que configurar la banda, donde elegiremos en que banda va a operar nuestro AP, este caso elegimos 2GHz-only-N ya que se conectarán clientes que tienen configuración N.

El ancho de canal elegimos 20/40MHz XX

La frecuencia a la trabajará el AP la determinaremos con herramientas como Snooper, (análisis de espectro), para conocer cual es la menos saturada, la que proporciona la tasa de transmisión más alta y mayor estabilidad de nuestros enlaces. Cuando configuramos un Access Point el campo Scan List no nos funciona, funciona el campo de Frecuencia, lo contrario que en Station.

SSID  es el nombre de la red Wi-Fi a la cual SE conectarán los clientes. Es case sensitive (distingue mayúsculas y minúsculas).

Crear un Security Profile para aumentar la seguridad en la red.

En la interfaz wireless seleccionamos el modo ap bridge y seleccionamos el security profile que acabamos de crear. En la ventana de Wireless vamos a la primera pestaña que dice Wifi interfaces, y clicamos dos veces para abrir la interfaz wlan1 y seleccionamos el modo Advaanced Mode.

En este punto este equipo está emitiendo su propia señal, es decir los hemos convertido en un Access Point (AP).

La interfaz wlan1 la agregamos al bridge de nombre bridge_LAN.

Crear un DHCP Server en la interfaz bridge_LAN para que los clientes que se conecten a cualquiera de las interfaces del bridge, obtengan una dirección IP automáticamente. Los clientes 

Comprobar los clientes que están conectados al AP en la pestaña Registration

Este es un equipo Mikrotik hAP ac² AP dual banda de 2.4/5GHz, 802.11a/b/g/n/ac, cinco puertos Gigabit Ethernet, USB para soporte 3G/4G y soporte de cifrado de hardware IPsec. La configuración de la banda 5GHz es similar. Agregamos wlan2 al bridge.

En la pestaña Wireless encontramos la opción Default Forward. Se utiliza para permitir o denegar la comunicación entre las estaciones. Forwarding puede ser sobre-escrita por clientes específicos en el Access List.

Mikrotik es genial!.

DDNS Mikrotik IP dinamica

DDNS funciona revisando la IP cada segundos. El tiempo de espera del servidor Cloud Mikrotik (15 segundos). Registro DDNS TTL (60 segundos). Envía paquetes encryptados a cloud.mikrotik.com usando el puerto UDP = 15252.
 
Activar el servicio DDNS
IP Cloud

DDNS enabled

Ya asignada una dirección de dominio del tipo a4b00b98ca6c.sn.mynetname.net. La primera parte está relacionada con nuestro disopositivo y la segunda es la parte del dominio que maneja Mikrotik. A partir de este punto cuando querramos ingresar al router utilizaremos el dominio y no la IP. En el momento que la dirección IP cambie el router automáticamente esa ip y en el Cloud estará la nueva IP disponible y nosotros vamos a tener acceso a nuestro router.

Pero no es suficiente con el dominio para alcanzar nuestro router porque tenemos políticas de firewall que nos están impidiendo el acceso a esa IP. La última regla del firewall dice: todo lo que venga hacia el router (input) que entre por la interfz WAN drop.

Es decir, cualquier servicio que no esté explícitamente permitido por el firewall será rechazado.

Crear la regla

IP Firewall
New Firewall Rule

Todo lo que vaya al router (input) a través del protocolo tcp y puerto 80 lo aceptamos. Y luego colocar esta nueva regla por encima del drop, si no no se va a ejecutar porque el firewall se ejecuta de manera lineal.

Chain input
Protocol tcp
Dst. Port 80 (Todo lo que vaya al puerto 80)
Action Accept

Abrir Firefox y en la barra de direciones pegar el nombre del dominio proporcionado por Mikrotik y ya tengo acceso al Router desde mi red interna.

Si tenemos un modem un router y después otro router y en este último quiero utilizar IP Cloud. Habilitar IP Cloud para que el segundo routerMikrotik nos asigne el DNS Name. Un mensaje nos informa que el Router está detrás de un NAT y que la conexión remota podría no funcionar. En este segundo router el servicio web está en el puerto 81. Por tanto en el navegador será DNS Name:81. pero no funcionará porque no hemos establecido la regla en el Firewall del router principal.

IP Firewall
Chain input
Protocol tcp
Dst. Port 81
Action Accept

También necesitamos una regla NAT para redirigir el tráfico desde el Router principal al router secundario. Creamos una Address List que llamaremos WAN donde copiaremos DNS Name desde IP Cloud. Luego creamos la regla en IP Firewall NAT

IP Firewall pestaña NAT
Chain: dstnat
Protocol tcp
Dst. Port 81
Pestaña Advanced
Dst.Address List: WAN
Pestaña Action
Action: dst-nat
To Address: 192.168.10.1
To. Address: 192.168.10.1
To Ports: 81

Ya tenemos acceso a los dos Router Mikrotik.

MikroTik es genial!.

Enlace punto a multipunto MikroTik

Conectando clientes finales al router repetidor

Enlace Punto a Punto Transparente

Los enlaces punto a multipunto permiten interconectar a más de dos clientes. Tendremos equipos operando en modo AP bridge para proporcionar acceso a Internet a clientes residenciales, clientes corporativos.

Cada uno de estos clientes finales va a tener su equipo con NAT es decir nuestra IP de acceso va a estar en una interfaz que vamos a llamar WAN y luego habrá otra interfaz que va a tener otra red LAN para el cliente en particular. Estamos creando una segmentación de la red de nuestro lado y del lado del cliente, hecho que ayuda a aumentar la seguridad en nuestra red.

Para realizar este laboratorio partiremos de la configuración del WDS enlace punto a punto trasparente realizado anteriormente.

Estoy conectado a uno de los puertos LAN del Cliente (station) para acceder vía winbox. Ni el AP ni el cliente están haciendo direccionamiento IP de Internet únicamente es un enlace transparente.

En estos momentos la IP que está proporcionándome el router administrador es la 192.168.88.246 la IP que tomó mi computadora y está el gateway como 192.168.88.1 eso significa que la dirección de red es la 192.168.88.0/24 así que vamos a crear una segmentación de red en este equipo cliente.

Empezamos en el router Cliente. El primer paso es cambiar al modo Station, donde antes teníamos station_wds, ya que no necesitamos tener activado el Mode wds, no nos interesa lo que va a estar en la parte de la red LAN del cliente. Nos interesa hasta este puerto (la interfaz wlan1), donde vamos a gestionar el control de ancho de banda y otros parámetros.

                                                         
A la interfaz wlan1 le llamaremos WAN y le agregaremos una dirección IP.

Antes teníamos una dirección IP al bridge_wds que vamos a eliminar, al bridge_wds a partir de ahora le llamaremos LAN. Vamos a tener en LAN (bridge) todos los puertos Ethernet (desde ether1 a ether4) del equipo y eliminamos el puerto WAN de la configuración anterior (enlace punto a punto).

Para asignar una IP a LAN tenemos dos opciones: una IP estática o una ip por cliente DHCP, en este caso utilizaremos una IP por cliente DHCP y para ello vamos a DHCP Client y agregamos un cliente DHCP en la interfaz WAN que es la que nos dará acceso a Internet. En estos momentos la interfaz WAN está buscando IP pero como no estamos enlazados al AP nunca encontrará el servidor DHCP.

Nos falta hacer el masquerade, EL NAT de la red privada LAN a la red de Internet que estará en el puerto WAN. Para ello vamos a IP Firewall, NAT. Clic en más (+) en Chain seleccionamos srcnat, Out interface WAN y en la pestaña Action elegimos masquerade.

                                    
En este punto vamos a crear una red con una dirección IP que se la vamos a asignar a la red LAN. Este segmento de red es donde vamos a tener los equipos de los clientes (PC, tablets, teléfonos móviles,etc) o si ponemos un router WiFi, tendrá una IP de esta red. Será la 192.168.0.1/24 que pertenece a la red 192.168.1.0/24

También crearemos un servidor DHCP en la interfaz LAN utilizando DHCP setup para que los clientes obtengan una dirección IP automáticamente si tienen habilitado el cliente DHCP. De manera que si renovamos la IP del PC desde el que estamos conectados al router que estamos configurando, veremos que adquiere una IP del segmento de la red LAN que acabamos de crear. SI vamos al Winbox, IP, DHCP Server, Leases, aquí ya aparece la IP que asignó a mi computadora 192.168.0.246. En resumen, cada uno de los clientes inalámbricos tendrá: Una IP en un puerto de WAN que va a ser wireless y una IP en el puerto de LAN y hacer masquerade en NAT a la interfaz de Internet.

En System Identity cambiamos el nombre a Equipo-cliente y en la pestaña Wireless de la interfaz WAN el Radio Name también escribimos Equipo-cliente y clic en Ok.

Configuración del AP

Me conecto al AP con cable Ethernet a un puerto LAN. Cambiar el modo de operar y eliminar el WDS. Abrimos winbox y vamos a Interfaces wlan1 y en la pestaña WDS deshabilitar WDS Mode y en WDS Default Bridge none luego clic en Aplicar. En la pestaña Wireless cambiamos el modo bridge a ap bridge ya que este modo permite conectar más de un cliente inalámbrico, clic en aplicar y Ok.

Llegados a este punto el Equipo_cliente debería estar enlazado. Para comprobarlo vamos a Wireless, se nos abre la ventana Wireless tables, en la pestaña Registration aparece un equipo llamado Equpipo_station.

Ahora renombramos el bridge bridge_WDS a RED_LAN y agregamos el resto de interfaces incluyendo wlan1 que es la que realiza la transmisión desde el AP hacia el cliente.

Ahora voy a conectar el cable desde mi PC a cualquier puerto ethernet del Equipo_cliente  y automáticamente va a recibir una dirección IP que será del rango de la red 192.168.0.0/24.

Mikrotik es genial!.