email: [email protected] 1 UNIVERSIDAD BLAS PASCAL Ingeniera
en Telecomunicaciones Proyecto de Trabajo Final de Carrera
Implementacin de una red para la empresa Royal Tech Autores: Di
Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose
Luis Asesor: Galleguillo, Juan Asesor metodolgico: Ing. Arguello -
2008 - email: [email protected] 2 ndice Introduccin
.................................................................................................................
4 Metodologa
.................................................................................................................
7 Resultado y discusin
...................................................................................................
9 Estudio bibliogr#fico de Mikrotik
RouterOS.............................................................
9 Caractersticas
principales.....................................................................................
9 Caractersticas de ruteo
.........................................................................................
9 Caractersticas del
RouterOS...............................................................................
10 Calidad de servicio (QoS)
...................................................................................
10 Tipos de colas
.................................................................................................
10 Colas simples
..................................................................................................
10 %rboles de
colas..............................................................................................
10 Interfases del RouterOS
......................................................................................
11 Herramientas de manejo de red
...........................................................................
11 Estudio descriptivo de la empresa
Royaltech...........................................................
12 Router
CBA........................................................................................................
14 Sub-red Administracin
......................................................................................
16 Sub-red
Ventas....................................................................................................
18 Sub-red
Produccin.............................................................................................
20 Sub-red Hotspot
..................................................................................................
21 Sub-red
Servidores..............................................................................................
22 Dise'o de la implementacin virtualizada de la red.
................................................ 23 Instalacin de
Mikrotik
RouterOS.......................................................................
23 Logueo al Mikrotik
.............................................................................................
27 Backup y Restore de Configuracin
....................................................................
30 Backup de la configuracin.
............................................................................
30 Restore de la configuracin.
............................................................................
32 Definicin y configuracin de interfases.
................................................................ 33
Asignacin de nombres a las
interfases................................................................
33 Definicin de Vlans
............................................................................................
40 Asignacin de DireccionesIPs a las interfases
.................................................. 43 Definimos
UPnP para las
interfases:....................................................................
48 Configuracin Pools de Direcciones de
IP........................................................... 50
Definir
DNS........................................................................................................
52 Nat Masquerade para todas las redes
...................................................................
53 Configuracin Servidor
DHCP................................................................................
54 Asignacin de direcciones de ip fijas a partir de direcciones
MAC. ..................... 59 Configuracin Servidor - Cliente NTP:
...................................................................
61 Servidor
NTP......................................................................................................
61 Cliente
NTP........................................................................................................
61 Servidor y Cliente PPPoE
.......................................................................................
64 Configuracin Servidor PPPoE
...........................................................................
64 Configuracin Cliente PPPoE:
............................................................................
66 Servidor Cliente PPTP
.........................................................................................
69 Configuracin Servidor PPTP:
............................................................................
69 Configuracin Cliente PPTP
...............................................................................
72 email: [email protected] 3 Servidor Web
Proxy................................................................................................
80 Bloqueo Pornografa
...........................................................................................
87 Bloqueo paginas que brinden el servicio de Web Messenger
............................... 89 Bloqueo del Live Messenger A
Travs del Proxy................................................ 91
Bloqueo de p#ginas que brinden
webmail............................................................
92 Bloqueo descarga directa de archivos MP3 y
AVI............................................... 93 Bloqueo
descarga directa de archivos RAR, ZIP,
EXE........................................ 94 Bloqueo Archivos
RAR...................................................................................
94 Bloqueo Archivos
ZIP.....................................................................................
95 Bloqueo Archivos
EXE...................................................................................
95 Balanceo de
carga...................................................................................................
96 Control de ancho de banda
....................................................................................
106 Asignacin de ancho de banda por sub red
........................................................ 106
Traffic Shaping de
(P2P)...................................................................................
109 Liberacin del ancho de banda fuera del horario de trabajo
............................... 115 Firewall
................................................................................................................
119 Bloqueo de los P2P para redes de ventas y
produccin...................................... 119 Bloqueo del
cliente MSN Live
Messenger.........................................................
121 Redireccionamiento de
puertos..........................................................................
125 Puerto 80
WEB.............................................................................................
125 Puerto 110
POP3...........................................................................................
126 Puerto 25
SMTP............................................................................................
127 Puerto 1723
PPTP.........................................................................................
128 Descartar conexiones
inv#lidas..........................................................................
131 Aceptar conexiones establecidas
.......................................................................
132 Acepta Trafico
UDP..........................................................................................
133 Acepta icmp Limitados
.....................................................................................
134 Descarta excesivos icmp
...................................................................................
135 Descarta el resto de las conexiones
externas...................................................... 136
Configuracin Hot Spot
........................................................................................
138 Servidor de
SNMP................................................................................................
158 Configuracin Servidor SMNP
.............................................................................
159 Servidor Radius
....................................................................................................
164 Configuracin Servidor Radius
.........................................................................
164 Configuracin
MySQL......................................................................................
167 Configuracin dialup
admin..............................................................................
168 Configuracin servidor - cliente Jabber
.................................................................
175 Servidor Jabber
.................................................................................................
175 Cliente Jabber
...................................................................................................
176 Sniffing de Paquetes
.............................................................................................
183 Instalacin
Ntop................................................................................................
183 Instalacin
Wireshark........................................................................................
186
Conclusin................................................................................................................
197 Bibliografa
..............................................................................................................
198 email: [email protected] 4 Introduccin
Hoyporhoylarealidadnosdicequelasredesinform#ticas,sehanvuelto
indispensables,tantoparalaspersonascomoorganizaciones.Lesda
oportunidad de
interactuarconelrestodelmundo,yaseapormotivoscomerciales,personaleso
emergencias. La optimizacin en el uso de los sistemasinform#ticos
es uno de los elementos
deinteraccinydesarrolloquerigelosdestinosdelacienciainform#tica.Esporello
que la aparicin de las plataformas de interconexin de equipos de
computacin o redes
inform#ticas.Lasmismasresultanserunodeloselementostecnolgicosm#s
importantes al momento de definir un sistema inform#tico en una
organizacin. Entrelasprincipaleslasventajasquelebrindaaunaempresa
elusoderedes
inform#ticas,podemosdetallaralgunas:compartirrecursosespecialmenteinformacin
(datos), proveer la confiabilidad, permite la disponibilidad de
programas y equipos para
cualquierusuariodelaredqueaslosolicitesinimportarlalocalizacinfsicadel
recursoydelusuario.Permitealusuariopoderaccederaunamismainformacinsin
problemasllev#ndolo de un equipo a otro. Tambin es unaforma de
reducirlos costos operativos,
compartiendorecursosdehardwarey/odesoftwareentrelasdiversas
computadoras de su empresa. LaempresaROYAL-TECH
seencuentraubicadaenlaciudaddeCrdoba,
dichaempresacuentacontres#reas,administracin,ventasyproduccin.Adem#s
cuenta con una oficina de ventas en la ciudad de Buenos
Aires.Enlos*ltimosdosa'oslaempresacreciabruptamente, pasodetener200
puestosdetrabajoa600puestosdetrabajo;locualacarreounaseriedeproblemas
estructurales a nivel inform#tico. Entonces se decidi dise'ar una
nueva red inform#tica la cual pueda soportar la nueva estructura de
la empresa. Por medio de esta nueva redla
empresapodr#contarcondosproveedoresdeInternetsimult#neos,loscualesse
distribuir#nbalaceadamente
enel#readeventas.Estoesdebidoalagranutilizacin que se produce en
esta sub-red del ancho de banda. Se utilizan dos proveedores
distintos del servicio de Internet debiendo que en el caso que se
caiga una delas conexiones,la empresa siempre posea conectividad
con el exterior. email: [email protected] 5
Dicharedinform#ticadeber#proveerservicioaltotaldelaempresacon600
puestos de trabajo distribuidos en sus tres #reas y se deber# crear
una red virtual privada (VPN) para interconectar la oficina de
ventas ubicada en la ciudad de Buenos Aires, con
laoficinadeventassituadaenlaciudaddeCrdoba.Brind#ndoleunaconexinm#s
r#pida y segura, considerando aspectos econmicos y tecnolgicos.En
el presente trabajo se documenta la configuracin y puesta a punto
de una red
ascomoladefinicindelaspolticasdeseguridaddelaredparaunfuncionamiento
flexible y ptimo. Tras un an#lisis y estudio de las necesidades
particulares de cada caso, se creara
unaredconcuatrosub-redes:LANAdministracin,LANVentas,LANProduccin,
LAN
Servidores.Seutilizar#unservidorDHCPparacadaunadelassub-redes,conlocual
logramosasignarautom#ticamentelasdireccionesIPacadaunodelospuestosdelos
usuariosdentrodecadasub-red.Paralasub-reddeservidoresselesasignauna
direccin IP dependiendo del n*mero de MAC que tengael
servidor.Secrearaservidorntpyusuariontp,parasincronizarlahoracontodoslos
usuarios.TambinsecrearaunservidorPPTP;queeselservidorVPNconelcualse
conecta la oficina de Ventas de Buenos Aires a nuestra red
deriv#ndola a la red del #rea de Ventas. Se configura un servidor
SNMP. Dicho servidor nos muestra el estado de las interfases, y se
utiliza para monitoreo del estado de las interfaces del Mikrotik Se
aplicara polticas de control de ancho de banda, por sub-redes o por
puesto de
trabajo.ElcontroldeanchodebandadelosP2Pser#aplicadoalaredde
administracinporpolticadelaempresa.Tambinelfiltradototaldelosp2pser#
aplicado a las redes del las #reas de Ventas y Produccin
SebloquearaenlospuestodeusuarioelMSNLiveMessenger ysecrear#un
servidor llamado JABBER de mensajera privada de la
empresa.Lainstalacin deun Web Proxy, se utilizar# para la
optimizacin delancho de banda utilizado en Internetyfiltrado de
p#ginasno aptas.Su funcionamiento consiste en guardar en un
discofijo todaslas p#ginas quesehayanvisitado. A propsito para
email: [email protected] 6 que cuando un nuevo usuario desee
visitar una de las paginas ya guardadas. Entonces el
servidorautom#ticamenteleenvalap#ginaguardadadeldiscofijoynoladescarga
desde la Web. Haciendo este proceso mucho m#s r#pido y eficiente.
Liberacindelanchodebandafueradelhorariodetrabajo:Debidoaquela
empresa no trabaja las 24hs al da, se dispuso la posibilidad de
liberar el ancho de banda
paralareddeAdministracin,enunrangohorariodeterminado.Paraelloloprimero
que debemos hacer es una nueva cola que la habilitaremos en los
horarios de 20:00hs a 06:00hs.Dicharedseimplementaracon
MikrotikRouteros,elmismoesunsistema
operativoysoftwaredelrouter;elcualconvierteaunaPCIntelunMikrotik
RouterBOARD enunrouterdedicado.Setomaestadecisinyaqueestosequipos
brindan seguridad, flexibilidad y son muy econmicos lo cual es un
gran beneficio para la empresa, ya que la red es de un tama'o
considerable.
Enelpresentetrabajoseanalizaralaimplementacindeunaredsimuladacon
Mikrotik en la empresa virtual Royal Tech email:
[email protected] 7 Metodolog#a 1.Estudio Exploratorio
bibliogrfico sobre el manual de referencia de Mikrotik y normas
internacionales. Se busco informacin en el manual de referencia, se
tuvo en cuenta las normativas y reglamentaciones internacionales.
2.Estudio descriptivo de la empresa Royal Tech. 2.1. Unidad de
An#lisis del entorno organizacional de Royaltech Se re dise'o la
red teniendo en cuenta. 2.2.Variables Las nuevas #reas de la
empresa Cantidad de puestos de trabajos Interfaces a utilizar.
Redes Virtuales Privadas Servidor de monitoreo SNMP Servidor de
autenticacin RADIUS Servidor de mensajera privada JABBER Seguridad.
Modelado de colas de tr#fico. Tr#fico cursado. 3.Dise#o de la
implementacin virtualizada de la red, para la empresa Royal Tech
utilizando mikrotik. Los pasos y procedimientos para la
implementacin del Mikrotik fueron: Instalacin Mikrotik Acceso al
Mikrotik email: [email protected] 8 Declaracin de interfaces
Definicin Vlans Asignacin de direccin ip por interfaces Asignacin
de pools de direcciones ips Configuracin servidor DHCP Instalacin
del servidor y cliente NTP. Servidor VPN Balanceo de carga Control
de ancho de banda Instalacin servidor SNMP Instalacin servidor
RADIUS Instalacin servidor JABBER Instalacin servidor PROXY
Configuracin Hotspot. email: [email protected] 9 Resultado y
discusin Estudio bibliogrfico de Mikrotik RouterOSDicha red
seimplementara conMikrotik RouterOS que es el sistema operativo y
software del router, el cual convierte a una PC Intel un Mikrotik
RouterBOARDen un router dedicado. Se toma esta decisin ya que estos
equipos brindan seguridad, flexibilidad y son
muyeconmicos,locualesungranbeneficioparalaempresayaquelaredesdeun
tama'o considerable
ElRouterOSesunsistemaoperativoysoftwarequeconvierteaunaPCenun
ruteadordedicado,bridge,firewall,controladordeanchodebanda,puntodeacceso
inal#mbrico,porlotantopuedehacercasicualquiercosaquetengaqueverconlas
necesidadesde red, adem#s de ciertas funcionalidad como
servidor.
ElsoftwareRourterOSpuedeejecutarsedesdeundiscoIDEmemoriatipo
FLASH.Estedispositivoseconectacomoundiscorgidocom*nypermiteaccedera
las avanzadas caractersticas de este sistema operativo.
Caracter#sticas principales El Sistema Operativo es basado en el
Kernel de Linux y es muy estable. Puede ejecutarse desde discos IDE
o mdulos de memoria flash.Dise'o modularMdulos
actualizablesInterfaz grafica amigable. Caracter#sticas de ruteo
Polticas de enrutamiento. Ruteo est#tico o din#mico.Bridging,
protocolo spanning tree, interfaces multiples bridge, firewall en
el bridge. email: [email protected] 10 Servidores y clientes:
DHCP, PPPoE, PPTP, PPP, Relay de DHCP.Cache: web-proxy, DNS.Gateway
de HotSpot.Lenguaje interno de scripts.
Caracter#sticas del RouterOS Filtrado de paquetes por: Origen,
IP de destino. Protocolos, puertos. Contenidos (seguimiento de
conexiones P2P). Puede detectar ataques de denegacin de servicio
(DoS) Permite solamente cierto n*mero de paquetes por periodo de
tiempo.
Calidad de servicio (QoS) Tipos de colas RED BFIFO PFIFO PCQ
Colas simples Por origen/destino de red. Direccin IP de cliente.
Interfase
&rboles de colas Por protocolo. Por puerto. email:
[email protected] 11 Por tipo de conexin. Interfases del
RouterOS
Ethernet 10/100/1000 Mbit. Inal#mbrica (Atheros, Prism,
CISCO/Airones) Punto de acceso o modo estacin/cliente, WDS.
Sncronas: V35, E1, Frame Relay. Asncronas: Onboard serial, 8-port
PCI. ISDN xDSL Virtual LAN (VLAN)
Herramientas de manejo de red
Ping, traceroute. Medidor de ancho de banda. Contabilizacinde
tr#fico. SNMP.Torch. Sniffer de paquetes.
Estassonlasprincipalescaractersticasdelsistemaoperativoysoftware
Mikrotik RouterOS elegido para la implementacin de la red
virtualizada. email: [email protected] 12 Estudio descriptivo de
la empresa Royaltech Despus de haber hecho un an#lisis exhaustivo
de la estructura de Royaltech,se pudo diagramar la estructura de
cmo estaba conformada dicha empresa.
Tenemosunasub-reddeadministracin,lacual,cuentaconunservidorde
archivos que se utiliza para brindar dicho servicio a todas las
otras redes. Esto acarrea el problema de que se genera demasiado
tr#fico de datos hacia la red de Administracin, lo cual produce
congestin y altas pedidas de paquetes. Por ende tenemos descontento
del
personaldelaempresaaligualqueineficienciadelosmismos.Adem#sposeeuna
impresora en la red del tipo hogare'a para que impriman todas las
otras sub-redes. Tener una sola impresorale trajo muchos
inconvenientes a la empresa debido a
quesegenerancolasinterminablesdedocumentosaimprimir.Tambin,laimpresorase
rompe cotidianamente debido al exceso de carga. Otro inconveniente
que se produce es el ingreso de personal ajeno al #rea de
administracin. Esto genera lentitud a la hora de trabajary perdida
de tiempo delosempleados parair abuscar sus documentos ala
impresora en otra #rea. Rotura de mobiliario en la zona en cuestin
al igual que lafalta injustificada de insumos.
Lassub-redesdeVentasyProduccinsimplementeposeenpcsconectadasa travs
de unswitch. Todo este grupo de computadoras acceden alservidor de
archivos al igual que la impresora a travs del router principal.
email: [email protected] 13
Elrouterencuestin,noesunrouterdealtaproductividad,conlocualse
generangrandesproblemasdecongestin,debidoaquenopuedeadministrarlagran
cantidad y volumen de informacin que transita por la red. Los
switch en cada una de las #reas son idnticos. Ninguno posee la
habilidad de
poderadministrarsuspuertos,aligualqueest#nimposibilitadosdegenerarvlano
cualquier otro tipo de poltica que se pueda generar en otro tipo de
switch. Debido a esta disposicin de red y los constantes problemas
tcnicos que posee, al igual que la pedida de tiempo de los recursos
humanos de tener que desplazarse hasta otro piso para buscar sus
impresiones. Por eso la empresa decidi la reestructuracin de su red
para optimizar y mejorar la produccin de la misma y sus recursos
humanos. Luegodeexaminardichasituacinsedecidiplanificartodauna
reestructuracindelarednueva.Locualsolucionar#losproblemasdecongestinal
igual que proveer# mayor productividad. Lo cual traer# grandes
beneficios. email: [email protected] 14 La nueva red planeada
posee dos nuevas sub-redes, una un hotspot y la otra una
sub-reddeservidores.Tambinenestanuevareestructuracinseinterconectaralas
oficinas deventas que est#n ubicadas enla ciudad de Buenos Aires
conlas oficinas de ventas en la ciudad de Crdoba. Asimismo se opto
por la utilizacin de dos proveedores
deInternetdistintos,debidoaqueconstantementeposeanproblemasdecadadel
servicio de ADSL. Se dejo a este ultimo como backup de las dos
otras conexiones. Router CBA Nuestro router en las oficinas de
Crdoba esta basado en la plataforma Intel con dos placas de red que
poseen 4 puertos Gigabit Ethernet cada una. El sistema operativo
para la implementacin ser# Mikrotik RouterOs.
Elrouterproveer#devariosserviciosparalared.Enloscualespodemos
encontrarServidorDHCP,Firewall,ServidorPPPoE,ClientePPPoE,ServidorPPTP
Server, Modelado de colas, Cliente NTP, Servidor NTP, Web Proxy,
Hotspot.
ElservidorDHCP,nosbrindaralasdirecciondeIP,Gateway,broadcast,dns
para cada una de a las sub redes. email: [email protected] 15 El
Firewall se utilizar# para las siguientes actividades: Bloqueo del
cliente MSN Live Messenger.Bloqueo P2P para redes Produccin y
Ventas. Redireccionamiento de puertos. oPuerto 80 WEB. oPuerto 110
POP3. oPuerto 25 SMTP. oPuerto 1723 PPTP. Descartar conexiones
inv#lidas. Aceptar conexiones establecidas. Acepta Trafico UDP.
Acepta paquetes de icmp Limitados. Descarta excesivos paquetes de
icmp Descarta el resto de las conexiones externas El servidor PPTP,
ser# utilizado para interconectar las oficinas de Buenos Aires y
Crdoba. El servidor PPPoE ser# utilizado para autenticar a los
usuarios que se deseen loguear desde fuera de la red de produccin.
El cliente PPPoEse utilizar# en el caso improbable que las dos
otras conexiones a Internet se caigan. Con lo cual se utilizar#
como ruta alternativa de backup. El modelado de colas se utilizar#
para asignarle un determinado ancho de banda a cada una de las sub
redes. Al igual se utilizar# el modelado de colas para el control
de ancho de banda para los clientes P2P El cliente NTP, se
utilizar# para sincronizar la hora de nuestro mikrotik. El servidor
NTP se utilizar# para que las computadoras de la red estn
sincronizadas. email: [email protected] 16 El Web Proxy se
utilizar# para filtrar el contenido que los usuarios realicen al
navegar a travs de Internet. Para ello se aplicaran las siguientes
polticas: Bloqueo Pornografa Bloqueo paginas que brinden el
servicio de Web MessengerBloqueo del Live Messenger A Travs del
Proxy Bloqueo de p#ginas que brinden webmailBloqueo descarga
directa de archivos MP3 y AVI Bloqueo descarga directa de archivos
RAR, ZIP, EXE Sub-red Administracin
Lanuevarestructuracindelasub-reddeadministracinsediodebidoalalto
tr#fico que tenan entre todas las otras redes. A esta sub-red se
decidi cambiar el switch que posea para utilizar un switch de alta
productividad. email: [email protected] 17
Nuestrasub-redposeer#unpooldeimpresorasderedparaestasola#rea.Esto
disminuir#eltr#ficodeimpresinaligualqueeltr#ficodepersonalajenoa
Administracin. Asimismo se le instalar# un servidor de archivos
propio de administracin en el cual se encontrar# exclusivamente los
archivos de dicha ara.
Losn*merosdeip,Gateway,Broadcastydns,ser#nasignadosporelrouter
mikrotikmedianteDHCP.ElRangodedireccionesser#desde192.168.2.5/24al
192.168.2.254/24.Sedecididejarlasdireccionesdesdeel192.168.2.2/24al
192.168.2.4/24 fuera de este rango para el caso de que se quieran
instalar alg*n otro tipo
deservidoresendicha#reaenunfuturoprximo.Losn*merosdeipasignadosalos
servidores ser#n asignado mediante la direccin mac de cada uno.
Lareddeadministracinser#conectadaatravsdelswitchalroutermediante un
backbonede 1Gbit Ethernet. El cual ser# limitado mediante teora de
colas simples a 250M/bits de subida y300M/bits de bajada. Debido a
que dentro del #rea de administracin se encuentra gerencia, la
misma autoriz la utilizacin de los P2P para dicha #rea. El trafico
P2P ser# modelado para que no ocupe gran cantidad de ancho de
banda. email: [email protected] 18 Sub-red Ventas A esta sub-red
se le decidi cambiar el switch que posea para utilizar un switch de
alta productividad.
Nuestrasub-redposeer#unpooldeimpresorasderedparaestasola#rea.Esto
disminuir#eltr#ficodeimpresinaligualqueeltr#ficodepersonalajenoa
Administracin.Asimismo se le instalar# un servidor de archivos
propio de ventas en el cual se encontrar# exclusivamente los
archivos de dicha ara.
Losn*merosdeip,Gateway,Broadcastydns,ser#nasignadosporelrouter
mikrotikmedianteDHCP.ElRangodedireccionesser#desde192.168.3.5/24al
192.168.3.254/24.Sedecididejarlasdireccionesdesdeel192.168.3.2/24al
192.168.3.4/24 fuera de este rango para el caso de que se quieran
instalar alg*n otro tipo email: [email protected] 19
deservidoresendicha#reaenunfuturoprximo.Losn*merosdeipasignadosalos
servidores ser#n asignado mediante la direccin mac de cada uno.
Lareddeventasser#conectadaatravsdelswitchalroutermedianteun
backbonede1GbitEthernet.Elcualser#limitadomedianteteoradecolassimplesa
400M/bits de subida y300M/bits de bajada.
Estasub-redalbergaratambinlaspcsdelaoficinadeBuenosAires.Dicha
oficinaser#conectadaalasoficinasdeCrdobamedianteunaVPN.Seutilizar#el
protocolo PPTPpara crear el t*nel. El tr#fico de P2P quedar#
bloqueado absolutamente para esta sub-red. Ya que se prohibi el
trafico p2p para esta #rea.
ParacontrarestarlacargahaciaInternetdesdeestared,sedecidirealizarun
balanceodecargaentrelosdosproveedoresdeInternet.Locualtraer#grandes
email: [email protected] 20
beneficioyaquenodesbordaraunosolodelosenlaces.Sinotodoeltr#ficogenerado
ser# balanceado entre ambas conexiones. Sub-red Produccin
Alasub-reddeproduccinsedecidicambiarleelswitchqueposeapara
utilizarunswitchdealtaproductividad,quenosbrindelaposibilidaddeadministrar
puertos.
Nuestrasub-redposeer#unpooldeimpresorasderedparaestasola#rea.Esto
disminuir#eltr#ficodeimpresinaligualqueeltr#ficodepersonalajenoa
Administracin. Asimismo se le instalar# un servidor de archivos
propio de produccin en el cual se encontrar# exclusivamente los
archivos de dicha ara. email: [email protected] 21
Losn*merosdeip,Gateway,Broadcastydns,ser#nasignadosporelrouter
mikrotikmedianteDHCP.ElRangodedireccionesser#desde192.168.4.5/24al
192.168.4.254/24.Sedecididejarlasdireccionesdesdeel192.168.4.2/24al
192.168.4.4/24 fuera de este rango para el caso de que se quieran
instalar alg*n otro tipo
deservidoresendicha#reaenunfuturoprximo.Losn*merosdeipasignadosalos
servidores ser#n asignado mediante la direccin mac de cada uno.
Lareddeventasser#conectadaatravsdelswitchalroutermedianteun
backbonede1GbitEthernet.Elcualser#limitadomedianteteoradecolassimplesa
350M/bits de subida y400M/bits de bajada.
Estasub-redposeer#laposibilidadqueusuariosqueestnenotras#reasdela
empresa, se puedan conectar a esta sub-red mediante PPPoE. El
tr#fico de P2P quedar# bloqueado absolutamente para esta sub-red.
Ya que se prohibi el trafico p2p para esta #rea. Sub-red Hotspot
email: [email protected] 22
Laredhotspotesunanuevaredquesedecidiimplementardebidoaquela empresa
ahora posee un #rea de recreacin. La misma red solo poseer# la
capacidad de navegar a travs de Internet.
Losn*merosdeip,Gateway,Broadcastydns,ser#nasignadosporelrouter
mikrotikmedianteDHCP.ElRangodedireccionesser#desde192.168.10.2/24al
192.168.10.254/24.
Paralaproteccindelosdatosenlaseccinwirelesssedecidiasegurarlosmediante
WPAPSKoWPA2PSK.Estonosdar#fiabilidadyseguridadenlosmismos.No
obstantelaseguridadWPAxquesedeseeimplementar,todoslosusuariosquese
conecten al hotspot deber#n ser autenticados mediante el servidor
radius instalado en la granja de servidores. Sub-red Servidores
email: [email protected] 23
Alasub-reddeServidoressedecidicambiarleelswitchqueposeapara
utilizarunswitchdealtaproductividad,quenosbrindelaposibilidaddeadministrar
puertos.
Nuestrasub-redposeer#unpooldeimpresorasderedparaestasola#rea.Esto
disminuir#eltr#ficodeimpresinaligualqueeltr#ficodepersonalajenoa
Administracin.
Losn*merosdeip,Gateway,Broadcastydns,ser#nasignadosporelrouter
mikrotikmedianteDHCP.ElRangodedireccionesser#desde192.168.1.5/24al
192.168.1.254/24.Losn*merosdeipasignadosalosservidoresser#nasignado
mediante la direccin mac de cada uno. Asimismo se le instalar# un
servidor de archivos propio de administracin en el cual se
encontrar# exclusivamente los archivos de dicha ara.
Enestasub-redseinstalar#unservidorradiusparalaautenticacindelos
usuarios que se conecten desde el hotspot.
Elservidordecorreodelaempresaseencontrar#dentrodeestasub-red.Este
servidor se utilizar# tanto para correo interno al igual que correo
externo. El servidor de SNMP se utilizara para la monitorizacin de
la red. Dise#o de la implementacin virtualizada de la red.
Instalacin de Mikrotik RouterOS A continuacin vamos a mostrar paso
por paso como se realiza la instalacin de
Mikrotiksobreunaplataformax86.Laplataformacuentacon2placasderedpcique
poseen4bocasderedgigabyteEthernet.Utilizaremos2bocasparaconectarnosados
proveedoresdeInternetdistintosyunaterceraparaconectarnosaunproveedorde
email: [email protected] 24
ADSL.Elrestodelasplacasseutilizaranparaladistribucindenuestraredinterna.
Utilizaremos la versin 2.9.27 Nivel 6 del software Mikrotik Router
Os. Booteamos con un CD que contenga la imagen del Mikrotik
RouterOs ya quemada. Luego nos aparecer# el men* de instalacin que
nos preguntar# que paquetes deseamos instalar. Para desplazarnos
por elmen* utilizamoslas teclaP oN o sinolasflechas del
teclado.ParaseleccionarodeseleccionarlospaquetesainstalarutilizamoslaBarra
Espaciadora.LuegopresionamoslateclaIparacomenzarlainstalacinlocalen
nuestra plataforma. Los paquetes seleccionados para nuestra
configuracin son los siguientes:
System:Paqueteprincipalqueposeelosserviciosb#sicosaligualquelos
drivers b#sicos. Ppp: Provee de soporte para PPP, PPTP, L2TP, PPPoE
e ISDN PPP. Dhcp: Servidor y cliente DHCP. Hotspot: provee de un
hot spot.
Hotspot-fix:Proveeelparcheparaactualizarelmodulohotspotquetiene
problemas en las versin 2.9.27. Ntp: Servidor y cliente NTP. email:
[email protected] 25 Routerboard: provee de las utilidades para
el routerboard. Routing: Provee soporte para RIP, OSPF y BGP4.
Rstp-bridge-test: provee soporte para Rapid Spanning Tree Protocol.
Security: Provee soporte para IPSEC, SSH y conectividad segura con
Winbox. Telephony: Provee soporte para H.323. Ups: provee soporte
para UPS APC. User-manager: Servicio de usuario del RouterOs
Web-Proxy: Paquete para realizar un Web Proxy.
wireless-legacy:ProveesoporteparaplacasCiscoAironet,PrismII,Atheros
entre otras.
Luegolainstalacinnospreguntasideseamosquedarnosconlaconfiguracin
anterior,contestamos que no N.
Lasiguientepreguntahacereferenciaaqueperderemostodoslosdatosquese
encuentran en el disco fijo le contestamos que si Y. A continuacin
comienza el proceso de particionado y formateado del disco fijo que
es autom#tico y no nos hace ning*n tipo de preguntas. Luego nos
dice que presionemos Enter para que el sistema se reinicie.
Seguidamentequesereiniciaelsistema,nospreguntasideseamoschequearla
superficie del disco fijo le contestamos que si Y.
Luegocomienzalainstalacindelospaquetesseleccionadosconanterioridad.Al
finalizardichoprocesonospidequepresionemosEnternuevamenteparareiniciarel
sistema. email: [email protected] 26
Conelsistemareiniciadoeinstalado,laconsolanospideelusuarioycontrase'a.
Por defecto dicho nombre de usuario es: admin y para la contrase'a
se deja el casillero en blanco y se presiona enter. Acontinuacinnos
dalabienvenidaynos pregunta si deseamosleerlalicencialo cual
contestamos que si Y. email: [email protected] 27 Luego de haber
ledo la licencia ya nos queda la consola para comenzar a configurar
nuestro Mikrotik. Logueo al Mikrotik
HayvariasmanerasparaaccederalaadministracindelMikrotiksinhaber
configurado nada en un principio.
Laprimeraesdirectamentedesdelaconsolafinalizadalainstalacin,otro
mtodo es utilizando una consola Telnet a travs delel puerto serie o
Ethernet por mac
oip,sinomediantelautilizacindelsoftwarewinbox,elcuallobrindalos
desarrolladores de Mikrotik. Debido a la flexibilidad, rapidez y
ventajas que presenta la utilizacin de winbox
respectoalosotrosmtodos,steser#lamaneraconlacualrealizaremosla
configuracin de la red. email: [email protected] 28 Desde una PC
remota con Windows xp instalado. Conectados mediante un cable
cruzadoalMikrotikalpuertoEthernet.HacemoscorrerelsoftWinbox,elcualnos
brindara una ventana para loguearse al Mikrotik.
EnestaventananosdejaintroducirlasdireccionesMacoipdelaplacadel
Mikrotik a la cual estamos conectados. Debido a que no hemos
configurado el Mikrotik
desdelaconsola.Hacemosclicen()estohar#queelsoftwarenosdevuelvalas
direcciones Mac de las interfases de red que posean un Mikrotik
instalado y
corriendo.SeleccionamoslainterfaseyluegoutilizaremosdeLogin:adminycomoPassword:
(nada). Al finalizar esta carga de datos hacemos clic en Connect.
LuegocuandoelsoftseconectaalMikrotikautom#ticamenteempiezaa
descargar los plugins instalados en el Mikrotik para poder
administrarlos remotamente. email: [email protected] 29
Alfinalizarladescargadelospluginsnosaparecelapantalladeconfiguracin
delMikrotik.Enlacualamanoizquierdaseencuentraelmen*deconfiguracinde
cada uno de los mdulos instalados.
Enlabarrasuperiordelsoftwarenosencontramosconlabarradeherramienta.
Enlamismasobremanoizquierdaposeelasopcionesdeundoyredo.Sobremano
derecha podemos encontrar dos iconos, el primero muestra la
utilizacin del Mikrotik y el segundo nos indica si la conexin que
estamos realizando es segura o no. email: [email protected] 30
Backup y Restore de Configuracin Debido a los problemas que pueden
producirse en los equipamientos, siempre es
buenapolticatenerbackupdetodaslasconfiguracionesdelossistemas.Ahora
mostraremos como se realizar un backup de la configuracin y como se
recupera. Backup de la configuracin.
PrimeronosDirigimosalmen*FILESallsenosabrir#unaventanaynos
mostrar#losarchivosqueseencuentranalmacenados.Debemoshacerclicsobreel
botn de BACKUP para realizar nuestro backup. Luego de haber hecho
clic nos aparece un nuevo archivo en la lista que poseamos, que es
nuestro backup de toda la configuracin del Mikrotik. email:
[email protected] 31 Sabiendo que el almacenamiento puede fallar,
siempre es bueno tener una copia de resguardo en otro sitio. Para
ello debemos hacer lo siguiente. Seleccionamos el archivo de backup
que deseamos y luego hacemos clic sobre el icono de COPY. Esto har#
que nuestro archivo de configuracin quede almacenado en el
portapapelesdeWindows.Acontinuacincreamosunacarpetaeneldiscofijodela
PCypegamoselarchivo.Nosaparecer#yyatendremoselbackupdenuestroarchivo
de configuracin en nuestra PC. email: [email protected] 32
Restore de la configuracin.
Siestamosrecuperandoelarchivodeconfiguracinqueestadentrodel
Mikrotik.Simplementedebemosiralmen*FILES.Enlaventanaquenosaparece
debemos seleccionar la versin del backup que deseamos recuperar y
hacer clic sobre el botn de RESTORE.
Paraelcasoqueelarchivodebackupseencuentreennuestrodiscofijo.
Seleccionamoselarchivodebackup,luegohacemosclicconelbotnderechodel
mouseyseleccionamoscopiar.Luegoenelwinbox,simplementedebemosiralmen*
FILES. En la ventana que nos aparece, debemos hacerle clic en el
icono de pegar y nos
aparecer#nuestranuevaconfiguracin.Acontinuacinseleccionamosnuestranueva
con figuracin y apretamos el botn de restore. Se nos abrir# una
nueva ventana que nos aplicara la nueva configuracin y nos har#
reiniciar nuestro Mikrotik. email: [email protected] 33 Definicin
y configuracin de interfases. Actualmentelas placas de red
est#nfuncionando pero lesfaltala configuracin b#sica para quese
pueda acceder a ellas. Paraesto deberemosasignarleslos IP a cada
una de las interfases. Asignacin de nombres a las interfases.
Nosdirigimosalmen*yelegimosINTERFASES.Acontinuacinnosaparecela
lista de interfases que posee nuestro sistema. Hacemos doble clicks
sobre las interfases
ylesvamoscambiandoelnombreasign#ndolelosnombrescorrespondientesacada
una. En nuestro caso utilizaremos: Globalphone, para nuestra
conexin dedicada con IP fijo.Movifonicapara nuestra conexin
dedicada con IP fijo con el otro proveedor. Ventas: Ser# la
interfase exclusiva de ventas. Administracin: Ser# la
interfaseexclusiva de Administracin. Produccin: Ser# la interfase
exclusiva de Produccin. Servers: Ser# la interfase para la granja
de servidores. email: [email protected] 34 ADSL: Ser# la
interfase para conectarse al ADSL de Backup Hotspot: ser# la
interfase que proveer# acceso a la red mediante el hotspot
Interfase: Movifonica Pesta'a General: oName: Movifonica oMTU: 1500
oARP: Enable email: [email protected] 35 Pesta'a Ethernet:
100Mbps: Seleccionado Auto negotiation: seleccionado Full duplex:
seleccionado. email: [email protected] 36 Pesta'a Status: En esta
ventana podemos ver el estatus la interfase actual. Pesta'a
Traffic: 1.Vemos la grafica de kbps enviados y recibidos por dicha
interfase. 2.Vemos la grafica de p/s enviados y recibidos por la
interfase. email: [email protected] 37 Interfase: ADSL Pesta'a
General: oName:ADSL oMTU: 1500 oARP: Enable Interfase:
Administracion Pesta'a General: oName: Adminitracion oMTU: 1500
oARP: Enable email: [email protected] 38 Interfase: Globalphone
Pesta'a General: oName: Globalphone oMTU: 1500 oARP: Enable
Interfase: Hotspot Pesta'a General: oName: Hotspot oMTU: 1500 oARP:
Enable email: [email protected] 39 Interfase: Ventas Pesta'a
General: oName: Ventas oMTU: 1500 oARP: Enable Interfase:
Produccion Pesta'a General: oName: Produccion oMTU: 1500 oARP:
Enable email: [email protected] 40 Definicin de Vlans Debido a
las caractersticas departamentales de la empresa debemos realizar 3
vlanspara separar las #reas de: Administracin VentasProduccin Para
configurar las vlans debemos ir al men* Interfases, se nos abrir#
la ventana de
configuracindeinterfases.Hacemosclicsobreelicono(+)ysenosdesplegar#un
men*, elegimos la opcin Vlan y entramos a la ventana de
configuracin de las mismas. Vlan Ventas Pesta'a General: oName:
Vlan_Ventas oType: Vlan oMTU: 1500 oMAC:00:0C29:76:88:25 oARP:
Enable oVlan ID:1 oInterfase: Ventas email: [email protected] 41
Pesta'a Traffic: Ver la grafica de kbps enviados y recibidos por
dicha vlan Ver la grafica de p/s enviados y recibidos por la vlan
email: [email protected] 42 Vlan Administracin Pesta'a General:
oName: Vlan_Administracion oType: Vlan oMTU: 1500
oMAC:00:0C29:76:88:25 oARP: Enable oVlan ID:1 oInterfase:
Adminitracion Vlan Produccion Pesta'a General: oName:
Vlan_Produccion oType: Vlan oMTU: 1500 oMAC:00:0C29:76:88:25 oARP:
Enable oVlan ID:1 oInterfase: Produccion email: [email protected]
43 Asignacin de DireccionesIPs a las interfases Con los nombres
asignados a las interfases, debemos asignarle el IP a las mismas.
Para ello debemos ir al men* IP / Addresses. email:
[email protected] 44 Haciendo clic sobre el icono (+) nos abre
una ventana que nos deja introducir los datos necesarios para
nuestras interfases. InterfaseGlobalphone: Address: 200.45.3.10/30
Network 200.45.3.0 Broadcast: 200.45.3.255 Interfase: Globalphone
email: [email protected] 45 Interfase Movofonica: Address:
200.45.4.10/30 Network: 200.45.4.0 Broadcast: 200.45.4.255
Interfase: Movifonica Interfase Servers: Address:
192.168.4.10/24Network: 192.168.4.0 Broadcast: 192.168.4.255
Interfase: Servers email: [email protected] 46 Interfase
Administracin: Address: 192.168.2.1/24Network: 192.168.2.0
Broadcast: 192.168.2.255 Interfase: Administracin Interfase Ventas:
Address: 192.168.3.1/24Network: 192.168.3.0 Broadcast:
192.168.3.255 Interfase: Ventas email: [email protected] 47
Interfase Produccin: Address: 192.168.4.1/24Network: 192.168.4.0
Broadcast: 192.168.4.255 Interfase: Produccin Interfase Hot spot:
Address: 192.168.5.1/24Network: 192.168.5.0 Broadcast:
192.168.5.255 Interfase: Hot spot email: [email protected] 48
Interfase ADSL Address: 192.168.0.1/24Network: 192.168.0.0
Broadcast: 192.168.0.255 Interfase: ADSL La configuracin final se
ve de la siguiente manera: Definimos UPnP para las interfases: En
este segmento simplemente tenemos que definir cuales de nuestras
interfases van a mirar hacia Internet y cuales van a estar dentro
de nuestra red. Nosotros configuraremos a las conexiones como:
email: [email protected] 49 Ventas: Interna. Administracin:
Interna Produccin: Interna Servers: Interna Hotspot: Interna
Movifoncia: Externa. Globalphone: Externa. ADSL: Externa Para
realizar dicha configuracin debemos ir en el men* a: IP / UNPnP.
Hacemos clic sobre el icono (+) y asignamos a cada una de las
interfases si es interna o externa.
Luegodehaberasignadolostiposdeinterfasedebemosconfigurarun*ltimo
detalle en settings. Le deseleccionamos la opcin allow to disable
External Interfase email: [email protected] 50 Configuracin Pools
de Direcciones de IP
Enunaprimerainstanciahayquecrearlospoolsdeipsquevanaposeerlos
grupos de administracin, ventas y produccin y servers.
ParaelloVamosalmen*IP/POOL.Senosabrelaventanadeconfiguracinde
poolyhacemos clic en elicono (+). Enlanuevaventana creamos cada
pool para cada una de los grupos. La configuracin de los mismos es:
Nombre: Pool Servers Rango de ip: 192.168.1.5 a 192.168.1.254
email: [email protected] 51 Nombre: Pool Ventas Rango de ip:
192.168.2.5 a 192.168.2.254 Nombre: Pool Produccin Rango de ip:
192.168.4.5 a 192.168.4.254 email: [email protected] 52 Nombre:
Pool Administracin Rango de ip: 192.168.2.5 a 192.168.2.254
Sehaelegidocomenzartodoslosrangosapartirdelipx.x.x.5parareservar
n*meros de ip en el caso que se necesite instalar alg*n tipo de
servidor en cada grupo. Definir DNS Para definir los DNS
simplemente hay que ir al men* IP / DNS. Se nos abre una ventana de
configuracin. Hacemos clic en Settings y escribimos los dns del
proveedor de Internet. email: [email protected] 53 Los datos que
ingresamos son: Primary DNS: 200.45.191.35 Secondary DNS:
200.45.191.40 Nat Masquerade para todas las redes
Parrealizarelnattransparenteentretodaslasredesdebemosiralmen*
IP/FIREWALL. Ah en la nueva ventana nos dirigimos a la pesta'a NATy
hacemos clic
sobreelicono(+).Acontinuacinapareceunaventananuevadeconfiguracinpara
polticas de NAT y la configuramos de la siguiente manera: Pesta'a
General: Chan: srcnat Pesta'a Action: email: [email protected] 54
Action: masquerade Configuracin Servidor DHCP A continuacin daremos
de alta el servidor de DHCP en si. Para ello debemos ir al men* IP
/DHCP Server.Se nos abrir# una ventana de configuracin de
servidores dhcp. Hacemos clic en el icono (+) y creamos nuestros
servidores de dhcp para cada una de las #reas ya mencionadas.
Ventana de configuracin DHCP: En esta ventana iremos introduciendo
todos los requisitos necesario para ir levantado los servidores de
dhcp. La configuracin para cada uno de los servidores dhcp fue la
siguiente: DHCP Produccin: Nombre: DHCP Produccin Interfase:
Produccin Address Pool: Pool Produccin email: [email protected]
55 DHCP Administracin: Nombre: DHCP Administracin Interfase:
Administracin Address Pool: Pool Administracin email:
[email protected] 56 DHCP Servers: Nombre: DHCP Servers
Interfase: Servers Address Pool: Pool Servers DHCP Ventas: Nombre:
DHCP Ventas. Interfase: Ventas. Address Pool: Pool Ventas. email:
[email protected] 57
Noobstantelosservidoresdedhcpest#nconfigurados,necesitamosconfigurar
lasredes.ParaelloenlaventanadeDHCPServerhacemosclicenlapesta'a
Network. Luego hacemos clic en el icono (+) y cargamos los datos de
la red. Configuracin: Red Servers: Address: 192.168.1.0/24 Gateway:
192.168.1.1 Dns Server: 192.168.0.3 email: [email protected] 58
Red Administracin: Address: 192.168.2.0/24 Gateway: 192.168.2.1 Dns
Server: 192.168.0.3 Red Ventas: Address: 192.168.3.0/24 Gateway:
192.168.3.1 Dns Server: 192.168.0.3 email: [email protected] 59
Red Produccin: Address: 192.168.4.0/24 Gateway: 192.168.4.1 Dns
Server: 192.168.0.3 Asignacin de direcciones de ip fijas a partir
de direcciones MAC.
Debemosasignarleipfijoanuestrosservidoresparaqueseamassimplenuestra
configuracindelsistema.Paraellolaasignacindeipfijolahacemosmedianteel
servidor de dhcp, asignando una direccin de ip fija a una Mac.
Lospasosdeconfiguracinsonlossiguientes.Nosdirigimosalmen*IP/DHCP
Server.Enlaventanaquenosaparecehacemosclicenlapesta'aLEASES.En
mencionada pesta'a hacemos clic en el icono (+). La configuracin de
la ventanuela es: Server de snmp, jabber: oAddress: 192.168.1.2
oMAC Address: 00:0C:29:64:45:9E (MAC del servidor snmp, jabber)
oServers: all email: [email protected] 60 Server RADIUS:
oAddress: 192.168.1.3 oMAC Address: 00:0C:29:C6:59:DA (MAC del
servidor) oServers: all Luego para que esta asignacin quede
est#tica debemos hacer clic en el botn de MAKE STATIC. De la
pesta'a LEASES. email: [email protected] 61 Configuracin Servidor
- Cliente NTP: Debido a que utilizaremos polticas referenciadas a
tiempo debemos ser precisos
conelmismo.ParaellodebemosinstalarunclienteennuestroMikrotikparatenerla
hora precisay un servidor para brindarles dichahora alos clientes.
Consecuentemente debemos seguir los siguientes pasos. Servidor NTP
Paraelservidornosdirigimosalmen*SYSTEM/NTPSERVER.Enlanuevaventana
SeleccionamossolamentelaopcinMANYCASTyhacemosclicenelbotnde ENABLE
Ahora Con esta configuracin delservidor podemos hacer que todaslas
computadoras de la red estn sincronizadas con nuestro servidor de
tiempo.Cliente NTP
ParaconfigurarnuestroclienteNTP,paraquenossincronicenuestrahoradel
Mikrotik conjuntamente con la de un reloj nuclear. Debemos ir al
men* SYSTEM/ NTP CLIENT. Se nos abrir#laventana de configuracin del
cliente NTP yle asignamoslos calores siguientes: Mode: Unicast
Primary NTP Server: 129.6.15.28 Secondary NTP Server: 129.6.15.29
email: [email protected] 62 Luego hacemos clic en ENABLE. Dichos
servidores son: time-a.nist.gov 129.6.15.28NIST, Gaithersburg,
Maryland time-b.nist.gov 129.6.15.29NIST, Gaithersburg, Maryland
Acontinuacinnosdirigimosalmen*SYSTEM/CLOCK.Enlanuevaventanale
cargamos los datos de fecha, hora, y uso horario. Para nuestro caso
los mismos son: Date: Apr/04/2008 Time: 16:17:00 Time Zone: -03:00
Utilizamos -03:00 parala Time Zoneya quenosotros en Cordoba tenemos
ese uso horario que es el mismo de Buenos Aires respecto a
Greenwich. email: [email protected] 63 Enla pesta'a DST,
configuraremos cambios deluso horario por ejemplo: en el horario de
verano que tenemos 1 hora de diferencia. Par ello hacemos clic en
DST. Los datos que utilizaremos como ejemplo son los siguientes:
DST Delta: +:01:00 DST Start: Dec/01/2007 DST Start Time: 00:00:00
DST End: Mar/16/2008 DST End Time:00:00:00 Habilitando esta
opcinnos ahorramos todoslosinconvenientes de cambiarlos horarios de
todas las polticas que se hayan generado. email:
[email protected] 64 Servidor y Cliente PPPoE Configuracin
Servidor PPPoE Debido a que la sub red de produccin se podr#
acceder desde otras subredes de
laempresasedecidiporcuestionesdeseguridadaccedermedianteunaconexin
PPPoE.DebemoshabilitarleelservidordePPPoE.Paraellonosdirigimosalmen*
PPP. Se nos abre la ventana de configuracin de PPP. Luego nos
dirigimos a la pesta'aProfiles. Ah hacemos clic en el icono (+)
para generar el perfil de usuario que necesitamos. A continuacin se
nos abre una ventanay la llenamos con los siguientes datos: Name:
PPPoE_Produccion Local Address: Pool_Produccion Remote Address:
Pool_Produccion Luego toda la otra informacin la dejamos por
defecto.
AContinuacinnosdirigimosnuevamentealmen*PPPyenlaventanaquese
abrinosdirigimosalapesta'aSecrets.Ahhacemosclicenelicono(+)y email:
[email protected] 65
generaremosnuestrousuario.Paraellollenaremoslaventanaconlasiguiente
informacin: Name: Usuario_Produccion Password: Usuario_Produccion
Service: pppoe Profile PPPoE_Produccion Nos dirigimos nuevamente al
men* PPP. En la ventana nueva hacemos clic sobre el botn PPPoE
Server. En la nueva ventana que se nos abre configuraremos el nuevo
servidor de PPPoE. Para ello debemos hacer clic en el botn (+). La
configuracin del mismo ser#: Service Name: PPPoE Server Interfase:
Hotspot Max MUT: 1488 Min MUT: 1488 Keep Alive time out: 10 email:
[email protected] 66 Default Profile: PPPoE_Produccion
Autenticaciones: PAP, chap mschap1 y mschap2 Configuracin Cliente
PPPoE:
ParaconfigurarlaconexinaInternetmedianteelADSLdebemosgenerarla
conexin con el proveedor, para ello debemos ir al men* y
seleccionar PPP. Se nos abre
unaventanaydebemospresionarenel(+)yelegirPPPoEClient.Paraconfigurarla
conexin de ADSL seguimos los siguientes pasos. En la pesta'a
General: Introducimos el nombre de la conexin Ciudanet Max MTU:1480
Max MRU: 1480 Seleccionamos la interfase por donde queremos
realizar la conexin de Adel ADSL. email: [email protected] 67 En
la pesta'a Dial Out: User: royaltech@ciudanet-cordoba-apb Password:
royaltech Profile: Default Add default Route PAP, chap, Mschap,
mschap2: (seleccionados) email: [email protected] 68 En la
pesta'a Status Podemos: Ver el tiempo activo de la conexin Ver el
tiempo que estuvo inactivo la conexin El tipo de codificacin Tama'o
MTU Tama'o MRUEl nombre del servicio El AC Name AC MAC Address En
la pesta'a Traffic podemos: Ver la grafica que los bps enviados y
recibidos. Ver la grafica de p/s enviados y recibidos. email:
[email protected] 69 Servidor Cliente PPTP Configuracin Servidor
PPTP:
Debidoaquetenemosoficinasdeventasfueradecrdoba,surgilanecesidad de
realizar una VPN entre Buenos AiresyCrdoba. Para ellosenecesita
configurar el servidor de PPTP en la ciudad de Crdoba. Los pasos
para dicha con figuracin son:
Debemosiralmen*PPP,senosabrir#laventanadeconfiguracindeconexiones
PPPx.Luegohacemosclicenlapesta'aPROFILES.Acontinuacinhacemosclicen
icono(+).Conlanuevaventanadeprofilesabiertalaconfiguramosdelasiguiente
manera:Name: Profile_VPN Local Address: Pool_Ventas Remote Address:
Pool_Ventas Use compresin: Default Use Vj Compression: Default User
Encryption: Yes Change TCP MMS: Yes email: [email protected] 70
ConelprofileyageneradoparaVPNdebemoscrearelusuarioqueutilizaradicho
profile.Paraellovamosalmen*PPP,hacemosclicenlapesta'aSECRESTS.
Hacemosclicsobreelicono(+)yenlanuevaventanalaconfiguramosdela
siguiente manera: Name: vpn Password: vpn Service: pptp Profile:
Profile_VPN email: [email protected] 71 Finalmente debemos dar de
alta el servidor de PPTP. Para ello nos dirigimos al
men*PPP,enlapesta'aInterfaseshacemosclicsobreelbotnPPTPServer. En
la nueva ventana la configuramos de la manera siguiente: Enable
(seleccionado) Max MTU: 1460 Max MRU: 1460 Keepalive Timeout:30
Default Profile: Profile_VPN Mschap1 y mschap2 (seleccionados)
email: [email protected] 72 Configuracin Cliente PPTP
UtilizaremoslaconexindevpndeWindowsXpparaelejemplo.Enel
escritoriodeWindowsnosdirigimosaINICIO/PANELDECONTROL/ CONEXIONES
DE RED. Creamos una conexin nueva siguiendo los prximos pasos.
Hacemos clic en siguiente email: [email protected] 73
Seleccionamos Connect to the network at my place Seleccionamos
Virtual Private Network Connection email: [email protected] 74
Escribimos el nombre de la conexin: Royaltech
Seleccionamosquenonosdisqueunaconexininicial.Paraelcasodeque
utilicemos el ip fijo en nuestras oficinas en Buenos Aires. Luego
clic en Siguiente email: [email protected] 75 Finalmente
escribimos la direccin web de nuestro servidor. Address:
royaltech.com.ar A continuacin hay que configurar el tipo de
autenticacin que vamos a utilizar para ello nos paramos sobre la
conexin Royaltech, la abrimos. A la ventana la configuramos de la
siguiente manera: Nombre de usuario: victor Contrase'a: victor
Guardar nombre de usuario y contrase'a (seleccionado) email:
[email protected] 76 Luego hacemos clic en propiedades. email:
[email protected] 77 Hacemos clic en la pesta'a Seguridad.
Seleccionamos Avanzado y luego clic en Settings.
Ennuestraventanadeconfiguracinavanzadadeseguridadlaseteamosdela
siguiente manera: Allow this Protocols: Seleccionado Uncrypted
Password: Deseleccionado Shiva Autenticacin Password Protocol :
Deseleccionado Chalenge handshake authentication protocol:
Deseleccionado Microsoft CHAP : Seleccionado Microsoft CHAP Versin
2 : Seleccionado Luego hacemos clic en OK email:
[email protected] 78 Luego hacemos clic en la pesta'a Networking
y Editamos las propiedades de Internet Protocol (TCP/IP) email:
[email protected] 79 En dicha ventana hacemos clic en Avanzado.
En la ventana de avanzado la configuramos as: User default Gateway
on remote network: Deseleccionado. email: [email protected] 80
Servidor Web Proxy Se decidi utilizar unservidor Web Proxy para
ahorrar ancho de banda utilizado por los usuarios en Internet. Para
ello nos dirigimos al men* IP / WEB-PROXY.
EnnuestraventanadeconfiguracinhacemosclicenSETTINGS.Seestamanera
entramosalaventanadeconfiguracindelservidorProxy.Dichaventanala
configuraremos de la siguiente manera. Src. Address: La dejamos en
blanco Port: 3128 Hostname: Proxy Transparent Proxy: Seleccionado.
Parent Proxy: lo dejamos en blanco Parent Proxy Port: lo dejamos en
blanco Cache Administrator: [email protected] Maximum
Object size: 4096 Cache Drive: system Maximum cache Size : 2000000
Maximum Ram Cache Size 128000 email: [email protected] 81
AcontinuacinhacemosclicenENABLE. Senosabreunaventanitaylehacemos
clic en ok. Como segundo paso debemos generar un una regla en
elfirewall para quehaga un redireccionamiento al servidor Proxy.
Para ello nos dirigimos al men* IP / FIREWALL
ennuestraventanadeconfiguracinhacemosclicenlapesta'aNAT,luegoclicenel
botn (+). La ventana la configuramos de la siguiente manera.
Interfase Produccin: Chain: dstnat Protocol: 6 (tcp) Interfase
produccin. email: [email protected] 82 Luego hacemos clic sobre
la pesta'a ACTION y la configuramos de la siguiente manera: Action:
Redirect To ports: 3128 Realizamos esta misma configuracin para
cada una de las interfases de nuestra red. La configuracin de las
mismas es: Interfase Administracin: Pesta'a General: Chain: dstnat
Protocol: 6 (tcp) Interfase: administracin email:
[email protected] 83 Pesta'a Action: Action: Redirect To ports:
3128 Interfase Ventas: Pesta'a General: Chain: dstnat Protocol: 6
(tcp) Interfase: ventas email: [email protected] 84 Pesta'a
Action: Action: Redirect To ports: 3128
PorultimoconfiguraremoselNATparaelruteo entretodaslassubredesdela
empresa.Paraellonosdirigimosalmen*IP/FIREWALLennuestraventanade
configuracin hacemos clic en la pesta'a NAT, luego clic en el botn
(+). La ventana la configuramos de la siguiente manera. Pesta'a
General: Chain: srcnat email: [email protected] 85 Pesta'a
Action: Action: Masquerade Nuestra configuracin de polticas de NAT
se ven de la siguiente manera: A continuacin debemos proteger
nuestro servidor de cualquier utilizacin desde
elexteriordelared.Paraellonosdirigimosalmen*IP/FIREWALL.Enlaventana
nuevahacemosclicenlapesta'aFILTERRULES,acontinuacinhacemosclicenel
icono (+). Nuestra nueva poltica de filtrado de paquetes la
configuramos as: Pesta'a: General: Chain: input Protocol: 6 (tcp)
Dst. Port.: 3128 In. Interfase: Ciudanet email: [email protected]
86 Pesta'a Action: Action: Drop Nuestras polticas de filtrado se
ven de la siguiente manera: email: [email protected] 87
Bloquearemosalgunasp#ginasconlautilizacindelWebProxy.Paraellose
defini queno se podr# ingresar a sitios pornogr#ficos desdela
rednila utilizacin de p#ginas que tengan el servicio de Web
Messenger al igual que Yahoo u otros. Bloqueo Pornograf#a Nos
dirigimos al men* IP / Web Proxy. En la nueva ventana dentro de la
pesta'a Access hacemos clic en el icono (+). Las nuevas polticas se
configuran de la siguiente manera: Src. Address: 0.0.0.0/0 Dst.
Address: 0.0.0.0/0 URL: *porn* Method: any Action: deny
Estefiltronosbloquearacualquiersitequeposealapalabra*porn*ensu
nombre. Tambin nos sirve debido a que si el usuario busca algo con
la palabra porn en Google o cualquier otro buscador tambin nos
bloquee la b*squeda. email: [email protected] 88 Poltica 2 Src.
Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *sex* Method: any
Action: deny Poltica 3 Src. Address: 0.0.0.0/0 Dst. Address:
0.0.0.0/0 URL: *xxx* Method: any Action: deny email:
[email protected] 89 Bloqueo paginas que brinden el servicio de
Web Messenger ElBloqueo delas p#ginas quebrindan elservicio de Web
Messenger tambinser#
bloqueado.Paradichaconfiguracinrealizamoslossiguientespasos.Nosdirigimosal
men* IP / Web Proxy. En la nueva ventana dentro de la pesta'a
Access hacemos clic en el icono (+). Las nuevas polticas se
configuran de la siguiente manera: Src. Address: 0.0.0.0/0 Dst.
Address: 0.0.0.0/0 URL: *webmessenger.yahoo.com* Method: any
Action: deny La configuracin se repite para los siguientes sites:
Site: webmessenger.msn.com Src. Address: 0.0.0.0/0 Dst. Address:
0.0.0.0/0 URL: *webmessenger.msn.com* Method: any Action: deny
email: [email protected] 90 Sitio: www.ebuddy.com Src. Address:
0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: * ebuddy.com* Method: any
Action: deny Site: meebo.com Src. Address: 0.0.0.0/0 Dst. Address:
0.0.0.0/0 URL: *meebo.com* email: [email protected] 91 Method:
any Action: deny Bloqueo del Live Messenger A Travs del Proxy Para
e bloqueo del Messenger utilizamos la siguiente poltica en el Web
Proxy para bloquearlo. Para ello realizamoslossiguientes pasos. Nos
dirigimos almen* IP /Web
Proxy.Enlanuevaventanadentrodelapesta'aAccesshacemosclicenelicono(+).
Las nuevas polticas se configuran de la siguiente manera: Bloqueo
MessengeroSrc. Address: 0.0.0.0/0 oDst. Address: 0.0.0.0/0 oURL:
*Gateway.messenger.* oMethod: any oAction: deny email:
[email protected] 92 Bloqueo de p%ginas que brinden webmail
Paraebloqueodep#ginasquebrindenwebmailcomomail.yahoo.com,
Hotmail.com,etc.debemosutilizamoslasiguientepolticaenelWebProxypara
bloquearlo. Para ello realizamoslossiguientes pasos. Nos dirigimos
almen* IP /Web
Proxy.Enlanuevaventanadentrodelapesta'aAccesshacemosclicenelicono(+).
Las nuevas polticas se configuran de la siguiente manera: Src.
Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *mail* Method: any
Action: deny email: [email protected] 93 Bloqueo descarga directa
de archivos MP3 y AVI
ParaebloqueodedescargadirectadearchivosMP3yavidebemosutilizamosla
siguiente poltica en elWeb Proxy parabloquearlo. Para ello
realizamoslos siguientes pasos. Nos dirigimos al men* IP / Web
Proxy. En la nueva ventana dentro de la pesta'a Accesshacemos clic
en elicono (+). Las nuevas polticas se configuran dela siguiente
manera: Bloqueo archivos Mp3 Src. Address: 0.0.0.0/0 Dst. Address:
0.0.0.0/0 URL: *.mp3 Method: any Action: deny Bloqueo Archivos Avi
Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.avi* Method:
any Action: deny email: [email protected] 94 Bloqueo descarga
directa de archivos RAR, ZIP, EXE
ParaebloqueodedescargadirectadearchivosMP3yavidebemosutilizamosla
siguiente poltica en elWeb Proxy parabloquearlo. Para ello
realizamoslos siguientes pasos. Nos dirigimos al men* IP / Web
Proxy. En la nueva ventana dentro de la pesta'a Accesshacemos clic
en elicono (+). Las nuevas polticas se configuran dela siguiente
manera: Bloqueo Archivos RAR Src. Address: 0.0.0.0/0 Dst. Address:
0.0.0.0/0 URL: *.rar* Method: any Action: deny email:
[email protected] 95 Bloqueo Archivos ZIP Src. Address: 0.0.0.0/0
Dst. Address: 0.0.0.0/0 URL: *.zip* Method: any Action: deny
Bloqueo Archivos EXE Src. Address: 0.0.0.0/0 Dst. Address:
0.0.0.0/0 URL: *.exe* Method: any Action: deny email:
[email protected] 96 Las politicas del servidor web Proxy se ven
de la siguiente manera. Balanceo de carga
DebidoaqueposeemosdosconexionesalosproveedoresdeInternet
utilizaremos el balanceo de carga para optimizar el tr#fico en la
red. Debido a que la sub red ventas genera grandes vol*menes de
trafico hacia Internet el balanceo de carga Ser# aplicado a ella.
Paraconfigurarnuestrobalanceodebemosrealizarlossiguientespasos.Nos
dirigimos al men* IP / FIREWALL. De ah vamos a la pesta'a Mangle.
Hacemos clic en
elicono(+)ycomenzamosnuestraconfiguracindelaspolticasparaelbalaceode
cargas. A la nueva ventana la configuramos de la siguiente manera.
email: [email protected] 97 Pesta'a General: Chain: prerouting
In. Interfase Ventas Connection State: new Pesta'a Extra: Every: 1
Counter: 1 Packet:0 email: [email protected] 98 Pesta'a Action:
Action: mark connection New Connection Mark: Salida_Movifonica Pass
thought: seleccionado Creamos una segunda poltica y la configuramos
as: Pesta'a General: Chain: prerouting In. Interfase: Ventas
Connection mark: Salida_Movifonica email: [email protected] 99
Pesta'a Action: Action: mark routing New Routing Mark:
Marca_Salida_Movifonica Tercera poltica de mangle. Se configura as:
Pesta'a General: Chain: prerouting In. Interfase email:
[email protected] 100 Connection State: New Pesta'a Extra: Every:
1 Counter:1 Packet:1 email: [email protected] 101 Pesta'a Action:
Action: mark connection New Connection Mark: Salida_globalphone
Pass thought (seleccionado) Cuarta poltica de mangle se configura
as: Pesta'a general: Chain: prerouting In. Interfase: Ventas
Connection mark: Salida Globalphone email: [email protected] 102
Pesta'a Action: Action: mark routing New routing Mark:
Marca_Salida_Globalphone Pass Thought: (No Seleccionado) Nuestras
polticas de Mangle se ven as:
AcontinuacindebemoscreardospolticasdeNATparacontinuarconla
configuracin.Paraellonosdirigimosalmen*IP/FIREWALL.Hacemosclicenla
pesta'a NAT, luego clic en el icono (+). email: [email protected]
103 La primera poltica de NAT se configura as: Pesta'a General:
Chain: srcnat Connection Mark: Salida_Movifonica Pesta'a Action:
Action: src-nat To addresses: 200.45.4.10 To Ports: 0-65535 email:
[email protected] 104 La segunda poltica de NAT se configura as:
Pesta'a General: Chain: srcnat Connection Mark: Salida_Movifonica
Pesta'a Action: Action: src-nat To Addresses: 200.45.4.10 0-65535
email: [email protected] 105 Nuestras polticas de NAT se ver#n
asi: Porultimoparafinalizarlaconfiguracindebemosrealizarunas*ltimas
polticas de ruteo. Para ello entramos en el men* NEW TERMINAL. En
la terminal que nos aparece tipeamos lo siguiente: /ip route add
dst-address=0.0.0.0/0 gateway=200.45.3.1 scope=255 t arget-scope=10
routing-mark=Marca_Salida_Globalphone comment="" disabled=no /ip
route add dst-address=0.0.0.0/0 gateway=200.45.4.1 scope=255 t
arget-scope=10 routing-mark=Marca_Salida_Movifonicacomment=""
disabled=no /ip route add dst-address=0.0.0.0/0 gateway=200.45.4.1
scope=255 t arget-scope=10 comment="Gateway por Defecto"
disabled=no email: [email protected] 106 Nuestras polticas de
Ruteo se ven de la siguiente manera: Control de ancho de banda
Asignacin de ancho de banda por sub red
Debidoaquemuchasveceslosusuariosrealizanmalosusosdelosanchosde
banda,hemosdecididoagregarlepolticasalrouterparapodercontrolardicho
problema. Para los distintos grupos de usuarios les asignaremos
distinto ancho de banda: Administracin :Subida 250 M/Bits Bajada
300 M/Bits email: [email protected] 107 Produccin:Subida 400
M/bits Bajada 300 M/bits Ventas: Subida 350 M/bits Bajada 400
M/bits Paraelcontroldelanchodebandadebemosiralmen*QUEUES.Allsenos
abrir# una ventana de configuracin. Hacemos clic en el icono (+) de
la pesta'a Simple Queues. Se nos abre la nueva para configurar la
nueva cola. Cola Administracin: Pesta'a General: Name:
Queue_Administracion Target Address: 192.168.2.0/24 Max Limit: 250M
(upload) , 300M (download) email: [email protected] 108 Cola
Ventas: Pesta'a General: Name: Queue_Ventas Target Address:
192.168.3.0/24 Max Limit: 350M (upload) , 400M (download) Cola
Produccin: Pesta'a General: Name: Queue_Produccion Target Address:
192.168.4.0/24 Max Limit: 400M (upload) , 300M (download) email:
[email protected] 109 Las colas configuradas se ver#n de la
siguiente manera: Traffic Shaping de (P2P)
Polticasinternasdelaempresaplantearonquesolamenteenel#reade
administracinsepuedautilizarlosp2p.Anteriormentehabamosasignadouncierto
ancho de banda para administracin ahora deberemos modelar las colas
del trafico para que los p2p no se consuman todo el trafico.
Debemosiralmen*IP/FIREWALL.Ahsenosabrir#nuestraventanade
configuracindepolticasdelfirewall.Hacemosclicsobrelapesta'aMangle,a
continuacin hacemos clic sobre el botn (+). email:
[email protected] 110 En la ventanade mangle con figuramos lo
siguiente: Chain: prerouting P2P: all-p2p A continuacin hacemos
clic en la pesta'a Action. All la configuracin es la siguiente:
Action: mark_connection New Connection Mark: (tipeamos)
connexion_p2p Passthough (seleccionado).
Acontinuacindentrodelapesta'amanglehacemosclicnuevamenteenelbotn
(+) para crear una nueva regla. La configuracin para la ventana es:
email: [email protected] 111 Chan: prerouting Connection Mark:
conexin_p2p (la que habamos creado anterior mente)
Luegonosdirigimosalapesta'aAction,enlamismalaconfiguramosdela
siguiente manera: Action: Mark Packet New Packet Mark: (tipeamos)
p2p email: [email protected] 112 Ahora deberemos configurar las
polticas para que nos marque los paquetes p2p para poder
bloquearlos en las otras redes. Para ello debemos ir al men* IP
/FIREWALL. Hacemos clic en la pesta'a mangley luego clic en el
icono (+). En la pesta'a General de la nueva ventana la
configuramos de la siguiente manera: Chain: prerouting Connection
Mark: conexin_p2p
Luego nos dirigimos a la pesta'a Action y la configuramos de la
siguiente manera: Action: mark packet Packet mark: (tipeamos)
p2p_bloqueado Pass though: (seleccionado) email:
[email protected] 113 Las reglas creadas se ver#n de la siguiente
manera.
Nosdirigiremosalmen*QUEUES.Enlaventanaquenosaparece,crearemos
cuatro nuevas colas para la poltica de los p2p. Hacemos clic sobre
la pesta'a Queue Tree. Y luego clic sobre el botn (+). La
configuracin de la cola de entrada ser# la siguiente: Name:
Queue_p2p_in Parent: Global-in Packet Mark: p2p Queue Type: default
Priority: 8 Max Limit: 256k email: [email protected] 114 Hacemos
clic en el botn (+) y generamos una nueva cola La configuracin de
la cola de salida ser#: Name: Queue_p2p_out Parent: global-out
Packet Mark: p2p Queue type: default Priority: 8 Max Limit: 256k
email: [email protected] 115 Liberacin del ancho de banda fuera
del horario de trabajo Debido a que la empresa no trabajalas 24hs
al da, se dispusola posibilidad de
liberarelanchodebandaparalareddeAdministracin,enunrangohorario
determinado.
Paraelloloprimeroquedebemoshaceresunanuevacolaquelahabilitaremosen
loshorariosde20:00hsa06:00hs.Iralmen*QUEUESenlapesta'aQueuesTree,
hacemos clic en el icono (+). Se nos abre la ventana de
configuracin. La configuracin de la misma es: Name:
Queue_in_Global_P2P_libre Parent: global-in Packet Mark: p2p Queue
Type: Default Priority: 8 Antes de hacer clic sobre aceptar,
hacemos clic en DISABLE y luego hacemos clic en aceptar. La segunda
cola que debemos realizar es de la siguiente manera: Name:
Queue_out_Global_P2P_Libre email: [email protected] 116 Parent:
global-out Packet Mark: p2p Queue Type: Default Priority: 8
AntesdehacerclicsobreaceptarhacemosclicenDISABLEyluegohacemos clic
en aceptar.
Vamosalmen*SYSTEM/SCRIPTS.Senosabrelaventanadeadministracinde
scripts.Hacemosclicenelicono(+)yconfiguramoslaventananuevaconlos
siguientes datos: Name: Bloquea_Bw Policy: Write y Read
Source:/queue tree enable Queue_In_Global_P2P_Limitado /queue tree
disableQueue_In_Global_P2P_Libre /queue tree enable
Queue_Out_Global_P2P_Limitado /queue tree
disableQueue_Out_Global_P2P_Libre Ahora con nuestro segundo script.
Vamos al men* SYSTEM / SCRIPTS. Se nos abre la ventana de
administracin de scripts. Hacemos clic en el icono (+) y
configuramos la ventana nueva con los siguientes datos: Name:
Libera_Bw email: [email protected] 117 Policy: Write y Read
Source:/queue tree disable Queue_In_Global_P2P_Limitado /queue tree
enableQueue_In_Global_P2P_Libre /queue tree disable
Queue_Out_Global_P2P_Limitado /queue tree
enableQueue_Out_Global_P2P_Libre De la siguiente manera se ve como
queda configurada nuestra lista de scripts: Siguiendo conla
configuracinvamos almen* SYSTEM / SCHEDULER. Enla ventana nueva que
se nos abre, comenzaremos con la configuracin de nuestros eventos.
Hacemos clic sobre el botn (+). La configuracin del primer evento
es: Name: Bloquea_Bw State Date: Apr/16/2008 Start Time: 06:00:00
Interval: 1d 00:00:00 On Event: Bloquea_Bw email:
[email protected] 118 Luego hacemos clic nuevamente en el icono
(+) y creamos nuestro segundo evento, cuya configuracin es: Name:
Libera_Bw State Date: Apr/16/2008 Start Time: 20:00:00 Interval: 1d
00:00:00 On Event: Libera_Bw As es como se ve configurada nuestra
lista de scripts: email: [email protected] 119 Firewall Bloqueo
de los P2P para redes de ventas y produccin
Debidoalaspolticasimplementadasporgerenciasolamenteenel#reade
administracin se podr# utilizar los P2P. para ello la configuracin
para bloquear dicho trafico es la siguiente. Nos dirigimos a IP /
FIREWALL. En la ventana que se nos abre hacemos clic en el icono
(+). A continuacin configuramos de la siguiente manera: Pesta'a
general: Chain: forward P2P: all-p2p Out. Interface: Produccin
Pesta'a Action: Action: drop email: [email protected] 120 Nos
dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos
clic en el icono (+). A continuacin configuramos de la siguiente
manera: Pesta'a general: Chain: forward P2P: all-p2p Out.
Interface: Ventas Pesta'a Action: Action: drop email:
[email protected] 121 Bloqueo del cliente MSN Live Messenger
Debidoaquelosempleadosdelaempresasuelenperderdemasiadotiempo
utilizando elMSN Live Messenger,la empresa decidibloquear dicho
programa. Para ello se establecieron las siguientes polticas de
firewall. Nos dirigimos a IP / FIREWALL. En la ventana que se nos
abre hacemos clic en el icono (+). A continuacin configuramos de la
siguiente manera: Primera poltica de firewall: Pesta'a
General:oChain: Forward oProtocol: Tcp (6) oDst. Port: 1863 Pesta'a
General:oAction: Drop email: [email protected] 122 Segunda
poltica de Firewall: Pesta'a General:oChain: Forward oProtocol: Tcp
(6) oDst. Port: 5190 Pesta'a Action oAction: Drop Tercera poltica
de Firewall: email: [email protected] 123 Pesta'a General:oChain:
Forward oProtocol: Tcp (6) oDst. Port: 6901 Pesta'a Action:
oAction: Drop . Cuarta poltica de Firewall: Pesta'a General:oChain:
Forward oProtocol: Tcp (6) oDst. Port: 6891-6900 email:
[email protected] 124 Pesta'a Action: oAction: Drop Quinta
poltica de firewall: Pesta'a General:oChain: Forward oProtocol: Tcp
(6) oDst. Address: 65.54.239.211 Pesta'a Action: oAction: Drop
email: [email protected] 125
Finalizadadichaconfiguracinning*nusuariopodr#conectarsealMSNLive
Messenger. Para que el bloqueo sea completo debemos utilizar una
poltica en el Web-Proxy que instalaremos mas adelante.
Redireccionamiento de puertos A continuacin debemos redireccionar
puertos para que el tr#fico que se genere
haciaadentrodelaredobtenganlasrespuestadeseada.Porejemploquenuestro
servidorwebmuestrelasp#ginascorrespondientes,queelservidordeSMTPyPOP3
puedan enviar y recibir mails etc. Puerto 80 WEB
Pararedireccionarelpuerto80desdeelexterioranuestroservidorwebip:
192.168.1.2debemosrealizarlossiguientespasos.Iralmen*IP/FIREWALL.Hacer
clicenlapesta'aNAT.Luegohacerclicenelicono(+).Alanuevaventanala
configuramos de la siguiente manera. Pesta'a General:Chain:dstnat
Dst. Address: 200.45.3.10 Protocol: 6 (tcp) Dst. Port: 80 email:
[email protected] 126 Pesta'a Action: Action:dst-nat To
Addresses: 192.168.1.2 To Port: 80 Puerto 110 POP3
Pararedireccionarelpuerto110desdeelexterioranuestroservidorpop3ip:
192.168.1.2debemosrealizarlossiguientespasos.Iralmen*IP/FIREWALL.Hacer
clicenlapesta'aNAT.Luegohacerclicenelicono(+).Alanuevaventanala
configuramos de la siguiente manera. Pesta'a General:Chain: dstnat
Dst. Address: 200.45.3.10 Protocol: 6 (tcp) Dst. Port: 110 email:
[email protected] 127 Pesta'a Action: Action:dst-nat To
Addresses: 192.168.1.2 To Port: 110 Puerto 25 SMTP Para
redireccionar el puerto 25 desde el exterior a nuestro servidor
pop3 ip: 192.168.1.2 debemos realizar los siguientes pasos. Ir al
men*IP / FIREWALL. Hacer clic en la pesta'a NAT. Luego hacer clic
en el icono (+). A la nueva ventana la configuramos de la siguiente
manera. Pesta'a General:Chain:dstnat Dst. Address: 200.45.3.10
Protocol: 6 (tcp) Dst. Port: 25 email: [email protected] 128
Pesta'a Action: Action:dst-nat To Addresses: 192.168.1.2 To Port:
25 Puerto 1723 PPTP Para aceptar conexiones al puerto 1723 desde el
exterior debemos realizar los siguientes pasos. Ir al men*IP /
FIREWALL. Hacer clic en la pesta'a FILTER RULES. Luego hacer clic
en el icono (+). A la nueva ventana la configuramos de la siguiente
manera. La primer politica es para aceptar el trafico al puerto
1723 tcp Pesta'a General: Chain: input Protocol 6 (tcp) Dst. Port:
1723 email: [email protected] 129 Pesta'a Action: Action: accept
La segunda politica es para aceptar todo el trafico al puerto 1723
UDP Pesta'a General: Chain: input Protocol 17 (udp) Dst. Port: 1723
Por ultimo aceptaremos todas las comunicaciones que estn
establecidas. email: [email protected] 130 Pesta'a General:
Chain: input Connection State: established Pesta'a Action: Action:
accept email: [email protected] 131 Descartar conexiones
inv%lidas
Paradescartarlasconexionesinv#lidasdesdeelexteriordebemosrealizarlos
siguientes pasos. Ir al men*IP / FIREWALL. Hacer clic en la pesta'a
FILTER RULES.
Luegohacerclicenelicono(+).Alanuevaventanalaconfiguramosdelasiguiente
manera Pesta'a General: Chain: input Connection State: Invalid
Pesta'a Action: Action: drop email: [email protected] 132 Aceptar
conexiones establecidas
Paraaceptarlasconexionesestablecidasdesdeelexteriordebemosrealizarlos
siguientes pasos. Ir al men*IP / FIREWALL. Hacer clic en la pesta'a
FILTER RULES.
Luegohacerclicenelicono(+).Alanuevaventanalaconfiguramosdelasiguiente
manera Pesta'a General: Chain: input Connection State: established
email: [email protected] 133 Pesta'a Action: Action: accept
Acepta Trafico UDP Para aceptar las conexiones UDP establecidas
desde el exterior debemos realizar
lossiguientespasos.Iralmen*IP/FIREWALL.Hacerclicenlapesta'aFILTER
RULES.Luegohacerclicenelicono(+).Alanuevaventanalaconfiguramosdela
siguiente manera Pesta'a General: Chain: input Protocol: 17 (udp)
Pesta'a Action: Action: Accept email: [email protected] 134
Acepta icmp Limitados
Paraaceptaricmplimitadosdesdeelexteriordebemosrealizarlossiguientes
pasos.Iralmen*IP/FIREWALL.Hacerclicenlapesta'aFILTERRULES.Luego
hacer clic en el icono (+). A la nueva ventana la configuramos de
la siguiente manera Pesta'a General: Chain: input Protocol: 1
(icmp) Pesta'a Extra: Rate: 50 / 5 Burst: 2 email:
[email protected] 135 Pesta'a Action: Action: accept Descarta
excesivos
icmpParadescartarexcesivosicmpdesdeelexteriordebemosrealizarlossiguientes
pasos.Iralmen*IP/FIREWALL.Hacerclicenlapesta'aFILTERRULES.Luego
hacer clic en el icono (+). A la nueva ventana la configuramos de
la siguiente manera Pesta'a General: Chain: input Protocol: 1
(icmp) Pesta'a Action: Action: Drop email: [email protected] 136
Descarta el resto de las conexiones externas Para descartar el
resto de las conexionesdesde el exterior debemos realizarlos
siguientes pasos. Ir al men*IP / FIREWALL. Hacer clic en la pesta'a
FILTER RULES.
Luegohacerclicenelicono(+).Alanuevaventanalaconfiguramosdelasiguiente
manera Pesta'a General: Chain: input In. Interface: Globalphone
Pesta'a Action: Action: drop email: [email protected] 137
Agregamos una poltica nueva para bloquear el acceso externo desde
la internase Movifonica de esta manera: Pesta'a General: Chain:
input In. Interface: Movifonica. Pesta'a Action: Action: drop
email: [email protected] 138 El orden de las polticas se ven en
la siguiente grafica. Configuracin Hot Spot
Debidoaquenuestra#readeesparcimientonoestacercanaalrouterprincipal.
Sehadecidoinstalarunaredwireless.ParaelloseutilizaraunrouterAPMikrotik
RB600. Logueados al Mikrotik mediante Winbox. Nos dirigimos al men*
INTERFASES.
Enlaventanaquenosaparecehacemosclicsobrelainterfasewlan1ylahabilitamos
apretando el botn derecho del Mouse y elegimos la opcin Enable
email: [email protected] 139 A continuacin le hacemos doble clic
a la interfase y comenzamos la configuracin de la misma. La pesta'a
General se configura de la siguiente manera. Name: wlan1 MTU: 1500
MAC Address: 00:0C:42:05:A9:A3 Arp: enabled Pesta'a Wireless: Radio
Name: AP-1 Mode: AP bridge SSID: Royal_Tech_Hotspot Band: 5Ghz
Frequency: 5200 Security Profile: default email:
[email protected] 140 Frequency Mode: manual Txpower County:
no_country_set DFS Mode: none Proprietary Extensions: post-2.9.25
Default Authenticate: Seleccionado Default forward: Seleccionado
email: [email protected] 141 Pesta'a Data Rates: No se le
modificara la configuracin Standard. Pesta'a Advanced: Max Station
Count: 2007 Act Timeout: dynamic Periodic Calibration : Default
Calibration level: 00:01:00 Antenna mode: antenna a Preamble mode:
both Disconnect time out: 00:00:03 On Fail Retry Time:100 email:
[email protected] 142 Pesta'a WDS: WDS Mode: Disable WDS default
Bridge: none WDS Default Cost: 100 WDS Cost Range: 50-100 email:
[email protected] 143 Pesta'a Nstreme: Enable Ntreme:
Deseleccionado Enable Polling: Seleccionado Framer Policy: none
Framer Limit: 3200 Pesta'a Tx Power:Tx Power Mode: default email:
[email protected] 144 Pesta'a Status: Esta pesta'a nos muestra el
Status de la interfase Wireless. Pesta'a compression Status: Esta
pesta'a nos muestra el estado de la compresin de datos. email:
[email protected] 145 Pesta'a Traffic: Nos muestra el tr#fico
actual de la interfase en paquetes enviados y recibidos al igual
que bits por segundo. Luego nos dirigimos al men* IP / ADDRESS. En
la nueva ventana hacemos clic
sobreelicono(+)yconfiguramosunanuevaip,paralainterfaseether1.La
configuracin de la misma es: Address: 192.168.5.3/24 Network:
192.168.5.0 Broadcast: 192.168.5.255 Interfase: ether1 email:
[email protected] 146
Acontinuacinconfiguraremoslainterfasewlan1.Paraellonosdirigimosal
men* IP / ADDRESSES y hacemos clic sobre el icono (+) Address:
192.168.10.1/24 Network: 192.168.10.0 Broadcast: 192.168.10.255
Interfase: wlan email: [email protected] 147 Las interfases
configuradas se ven de la siguiente manera.
AcontinuacindebemosasignarlealhotspoteldefaultGatewayparaello,nos
dirigimos al men*IP / ROUTES. En la nueva ventana le hacemos clic
al icono (+) y configuramos la nueva ventana de la siguiente
manera. Destination: 0.0.0.0/0 Gateway: 192.168.5.1 email:
[email protected] 148 Las rutas se ven configuradas de la
siguiente manera:
AcontinuacindeberemosconfigurarnuestroHotSpot.Paraellonosdirigimos
almen*IP/Hotspot.Enlanuevaventanadentrodelapesta'aServers,hacemos
clic sobre el botn SETUP. En la ventana que nos aparece la
configuramos de la siguiente manera. HotSpot interfase: wlan1 Enla
ventana siguiente elegimosla direccin deip paralainterfase
dehotspot. La configuracin es: Local Address of Network
192.168.10.1/24 Masquerade Network: Seleccionado email:
[email protected] 149
Acontinuacinleasignamoselpooldeipquenosinteresaquedichainterfase
nos brinde a los clientes. La configuracin es: Address Pool
ofNetwork: 192.168.10.2-192.168.10.254 Luego no le seleccionamos
ning*n certificado SSL email: [email protected] 150 Siguiendo nos
pide la direccin del servidor STMP de nuestra red local es: IP
Address of SMTP Server: 192.168.1.1 Luego le asignamos los dns
correspondientes. DNS Servers: 192.168.0.3 200.45.191.35 Seguimos
con el nombre de nuestro servidor dns el cual es: DNS Name:
hotspot.royaltech.com.ar email: [email protected] 151 Finalizando
creamos nuestro usuario administrador. Nuestro hotspot configurado
se ve de la siguiente manera. Le hacemos doble clic al hotspot1
para configurar sus par#metros. La configuracin de los mismos son:
Name: hotspot Interfase: wlan1 Hs-pool-5 Profile hsprofile1 Idel
Timeout: 00:05:00 Addresses per Mac: 2
Luegodentrodelapesta'aServershacemosclicenprofiles.Yluegoeditamos
la configuracin del profile hsprof1. La configuracin del mismo es:
email: [email protected] 152 Pesta'a General: Name: hsprof1
Hotspot Address: 192.168.10.1 DNS Name: Hotspot.royaltech.com.ar
HTML Directory: hotspot SMTP: 192.168.1.1 Pesta'a Login: HTTP CHAP
y Cookie: Seleccionado MAC, HTTP PAP, HTTPS y Trial:
deseleccionado. HTTP Cookie Lifetime: 01:00:00 email:
[email protected] 153 Pesta'a RADIUS: Use RADIUS: (seleccionado)
Default Domain: 192.168.1.3 NAS PORT Type 19 (Wireless-802.11)
Luegohacemosclicsobrelapesta'aUsershacemosclicenelbotnProfiley
generamos uno. La configuracin del mismo es: Name Profile_Hotspot
Address Pool: hs-pool-5 Idle Timeout. None Keekalive Timeout:
00:02:00 Shared Users: 1 Rate limit: 128k/256k email:
[email protected] 154 Pesta'a Advertise: Advertise:
deseleccionado Pesta'a Script: No se genera ning*n script y queda
configurada por default. email: [email protected] 155
FinalmentegeneraremosunperfildeseguridadparalasconexionesWireless.
Para ello debemos ir al men* WIRELESS, luego hacemos clic en al
pesta'a Security Profiles. Y creamos un profile nuevo haciendo clic
en el icono (+). Pesta'a General: Name: Royaltech-Secure Mode:
dynamic keys WPA PSK, WPA2 PSK: Seleccionados Unicast ciphers
oTkip: Seleccionado oAes ccm: Seleccionado Group Ciphers oTkip:
Seleccionado oAes ccm: Seleccionado WPA Pre-Shared Key: royaltech
WPA2 Preshared Key:royaltech RADIUS MAC Authentication
(deseleccionado) email: [email protected] 156 Pesta'a EAP: EAP
Methods:TLS Mode: no certifcate TLS certifcate: none Pesta'a Static
Keys: No utilizaremos llaves est#ticas.
email: [email protected] 157
Acontinuacindebemosasgnaleesteperfildeseguridadanuestrainterfase
wilan1. Para ello nos dirigimos al men* WIRELESS. Dentro de la
pesta'a Interfases. Le hacemos doble clic a nuestra interfase wlan1
y modificamos el siguiente valor. Security Profile:
royaltech-Secure.
FinalmenteVamosalmen*RADIUS.Enlaventananuevaquesenosabrela
hacemosclicenelicono(+).Lanuevaventanalaconfiguramosdelasiguiente
manera: Ppp, hotspot, login, wireless, telephony, dhcp:
Seleccionados Address: 192.168.0.3 email: [email protected] 158
Secret: Radius Authentication port:1812 Accounting:1813 Time out :
600 Servidor de SNMP Debido alos beneficios quebrinda elmonitoreo
remoto de los servicios de una
red.Hemosdecididoimplementaryhabilitarleelservidordesnmpdeunrouter
Mikrotik. Para poder realizar dichaimplementacinla dividiremos en
dos partes. Primero
lahabilitacinoactivacindelsnmpenelrouterdeCBAparalared192.168.1.0.
Luegoutilizandolaaplicacinmrtginstaladaenelservidordeladireccindeip
192.168.1.2 graficaremos algunos datos obtenidos. email:
[email protected] 159 Configuracin Servidor SMNP
Dentrodelwinbox,nosdirigimosalmen*SNMP,senosabrelaventanade
configuracin, hacemos clic en el botnSettingsy le cargamos los
siguientes datos. Enabled (marcado) Contact info: tatubias@server
Location: cba
Llenandoesoscasillerosyatendremoshabilitadoelservidordesnmpdelmikrotik.
Luegohayquecrearlacomunidadsnmp,lacuallallamaremosservers.Paraello
hacemos clic en el icono (+) y se nos abre la ventana de
configuracin de comunidady le cargamos los siguientes datos: Name:
communa Address: 192.168.1.0/24 Read Access (marcado) Para una
configuracin b#sica esto nos alcanza para poder obtener cierta
informacin del Mikrotik. email: [email protected] 160 Dentro de
winbox ir al men* New Terminal se nos abre una ventana de terminal.
Ah dentro debemos escribir lo siguiente para obtener las oid del
sistema # /interfase print oid Dicho comando nos mostrara la salida
de pantalla con los datos de oid requeridos.
[admin@MikroTik]interfase print oid 0R name=.1.3.6.1.2.1.2.2.1.2.1
mtu=.1.3.6.1.2.1.2.2.1.4.1mac-address=.1.3.6.1.2.1.2.2.1.6.1
admin-status=.1.3.6.1.2.1.2.2.1.7.1oper-status=.1.3.6.1.2.1.2.2.1.8.1
bytes-in=.1.3.6.1.2.1.2.2.1.10.1packets-in=.1.3.6.1.2.1.2.2.1.11.1
discards-in=.1.3.6.1.2.1.2.2.1.13.1errors-in=.1.3.6.1.2.1.2.2.1.14.1
bytes-out=.1.3.6.1.2.1.2.2.1.16.1packets-out=.1.3.6.1.2.1.2.2.1.17.1
discards-out=.1.3.6.1.2.1.2.2.1.19.1errors-out=.1.3.6.1.2.1.2.2.1.20.1
1R name=.1.3.6.1.2.1.2.2.1.2.2
mtu=.1.3.6.1.2.1.2.2.1.4.2mac-address=.1.3.6.1.2.1.2.2.1.6.2
admin-status=.1.3.6.1.2.1.2.2.1.7.2oper-status=.1.3.6.1.2.1.2.2.1.8.2
bytes-in=.1.3.6.1.2.1.2.2.1.10.2packets-in=.1.3.6.1.2.1.2.2.1.11.2
discards-in=.1.3.6.1.2.1.2.2.1.13.2errors-in=.1.3.6.1.2.1.2.2.1.14.2
bytes-out=.1.3.6.1.2.1.2.2.1.16.2packets-out=.1.3.6.1.2.1.2.2.1.17.2
discards-out=.1.3.6.1.2.1.2.2.1.19.2errors-out=.1.3.6.1.2.1.2.2.1.20.2
2R name=.1.3.6.1.2.1.2.2.1.2.3
mtu=.1.3.6.1.2.1.2.2.1.4.3mac-address=.1.3.6.1.2.1.2.2.1.6.3
admin-status=.1.3.6.1.2.1.2.2.1.7.3oper-status=.1.3.6.1.2.1.2.2.1.8.3
bytes-in=.1.3.6.1.2.1.2.2.1.10.3 email: [email protected] 161
packets-in=.1.3.6.1.2.1.2.2.1.11.3
discards-in=.1.3.6.1.2.1.2.2.1.13.3errors-in=.1.3.6.1.2.1.2.2.1.14.3
bytes-out=.1.3.6.1.2.1.2.2.1.16.3packets-out=.1.3.6.1.2.1.2.2.1.17.3
discards-out=.1.3.6.1.2.1.2.2.1.19.3errors-out=.1.3.6.1.2.1.2.2.1.20.3
3R name=.1.3.6.1.2.1.2.2.1.2.7
mtu=.1.3.6.1.2.1.2.2.1.4.7mac-address=.1.3.6.1.2.1.2.2.1.6.7
admin-status=.1.3.6.1.2.1.2.2.1.7.7oper-status=.1.3.6.1.2.1.2.2.1.8.7
bytes-in=.1.3.6.1.2.1.2.2.1.10.7packets-in=.1.3.6.1.2.1.2.2.1.11.7
discards-in=.1.3.6.1.2.1.2.2.1.13.7errors-in=.1.3.6.1.2.1.2.2.1.14.7
bytes-out=.1.3.6.1.2.1.2.2.1.16.7packets-out=.1.3.6.1.2.1.2.2.1.17.7
discards-out=.1.3.6.1.2.1.2.2.1.19.7errors-out=.1.3.6.1.2.1.2.2.1.20.7
4R name=.1.3.6.1.2.1.2.2.1.2.10
mtu=.1.3.6.1.2.1.2.2.1.4.10mac-address=.1.3.6.1.2.1.2.2.1.6.10
admin-status=.1.3.6.1.2.1.2.2.1.7.10oper-status=.1.3.6.1.2.1.2.2.1.8.10
bytes-in=.1.3.6.1.2.1.2.2.1.10.10packets-in=.1.3.6.1.2.1.2.2.1.11.10
discards-in=.1.3.6.1.2.1.2.2.1.13.10errors-in=.1.3.6.1.2.1.2.2.1.14.10
bytes-out=.1.3.6.1.2.1.2.2.1.16.10packets-out=.1.3.6.1.2.1.2.2.1.17.10
discards-out=.1.3.6.1.2.1.2.2.1.19.10errors-out=.1.3.6.1.2.1.2.2.1.20.10
Observemos los valores obtenidos:
packets-in=.1.3.6.1.2.1.2.2.1.11.10
packets-out=.1.3.6.1.2.1.2.2.1.17.10
packets-in=.1.3.6.1.2.1.2.2.1.11.7
packets-out=.1.3.6.1.2.1.2.2.1.17.7
packets-in=.1.3.6.1.2.1.2.2.1.11.3
packets-out=.1.3.6.1.2.1.2.2.1.17.3
packets-in=.1.3.6.1.2.1.2.2.1.11.2
packets-out=.1.3.6.1.2.1.2.2.1.17.2 Dichos valores los utilizaremos
mas adelante en la configuracin del mrtg
Concluidalaprimerapartedelaconfiguracin,deberemosinstalarelsoftware
mrtgenelservidordedebianquetenemosenlared.Damosporentendidoqueel
servidor apache ya esta instalado y corriendo. email:
[email protected] 162 Para la instalacin seguiremos los
siguientes pasos. # apt-get install mrtg Con el software ya
instalado editamos el archivo de configuracin que se encuentra en
/etc/mrtg.cfg. EnableIPv6: no WorkDir: /var/www/mrtg
######################################################################
# System: 192.168.1.1 # Description: router # Contact:
tatubias@server # Location: cba
######################################################################
Target[192.168.1.1_cpu]: 1.3.6