Mikrotik – Tercera Parte [Breaking Chains para el Administrador]

En ésta última entrega (por ahora) enseñaré a utilizar RB para administradores de red.

Lo más interesante en una red es garantizar la calidad de servicio (QoS) como también algo implícito es cambiar los puertos.

Avancemos con las configuraciones:

 

IP SERVICES

Permite cambiar los puertos por defecto de los servicios, también designar que IP están habilitadas a acceder al servicio lo más importante, es posible instalar certificados para los servicios.

IP SETTINGS

Las configuraciones IP permiten configurar parámetros referentes a redirecciones, tipos de rutas a utilizar, tiempos ARP e ICMP limit entre otras configuraciones de FastTrack.

LOGGING

Éste apartado permite configurar que acciones serán insertadas en el LOG

USERS

La sección de usuarios permite separar tareas, crear grupos de usuarios para administración, lectura de logs agregar las llaves privadas SSH.

IREWALL (FILTER / NAT / MANGLE )

Una sección bastante extensa.

FILTER
Ésta “opción” permite elegir una acción para las siguientes cadenas:

  • INPUT: Los paquetes que van dirigidos al Router.
  • OUTPUT: Los paquetes que salen del Router.
  • FORWARD: Los paquetes que pasan por el Router.

 

Debido a la complejidad de las diferentes configuraciones que es posible realizar, quedará a criterio del lector las alternativas dependiendo del escenario al que se enfrente.

A modo de introducción, dentro de este apartado es posible rechazar conexiones desde un origen o hacia un destino (IP) para trabajar con CIDR debe crear listas para utilizarlas.
Tambien tiene un potente filtro de capa 7 que permite manejar expresiones regulares.
Puede filtrar por contenido en capa 7 y por bytes para realizar un QoS con diferentes paquetes de descargas (10MB / 50MB / 100MB).
Permite realizar marcado de paquetes y conexiones para luego elegir si debe salir a internet o debe quedarse en la red interna.

NAT
Ésta “opción” permite elegir una acción para las siguientes cadenas:

  • SRCNAT: Paquetes que provienen de la red interna y tienen como destino internet.
  • DSTNAT: Paquetes que van dirigidos a la red interna de internet.

Aquí es posible realizar redirecciones (DMZ / IP-FORWARDING), lo más común es realizar un redirect hacia un servidor RDP, entonces el código quedaría:

Código: 

/ip firewall nat add chain=dstnat dst-address=”Dirección IP” action=dst-nat to-addresses=”Dirección IP del servidor ” protocol=TCP dst-port=3389
Realizando la salvedad qué, permite elegir una dirección IP origen para establecer la conexión o cualquier IP origen (por cuestion de mejor administración) lo deseable es indicar la IP desde donde se establecerá la conexion.

MANGLE
Ésta “opción” permite elegir una acción para las siguientes cadenas:

  • INPUT: Todo lo que ingresa al Router.
  • OUTPUT: Todo lo que sale del Router.
  • FORWARD: Todo lo que pasa por el Router.
  • PRE-ROUTING: Cadenas de datos antes de ser enrutadas.
  • POST-ROUTING: Cadenas de datos luego de enrutar.

Principalmente aquí se realiza el trabajo de Load-Balancing (Balanceo de Carga) ya que se marcan conexiones y paquetes, indicando lo que ingresa por una interfaz sale por la misma tambien el corazón de Quee-Tree es Mangle debido que todas las marcas de paquetes son utilizas para garantizar un QoS (Calidad de servicio por protocolos y servicios)

La siguiente imagen tiene por objetivo mostrar las reglas para un balanceo de carga de 3 líneas mixtas (ADSL/WIFI CLIENT/IF FIJA)

 

 

Queues List

Muchas veces ocurre que el ISP brinda un servicio de inferior calidad al que contrata de alli debe recurrir a diferentes alternativas para que la cantidad de MB que ofrece sea igual o equilibrado (en este caso los conceptos no son similares), al ser igual vamos a referirnos que a cada usuario se otorga una velocidad de subida/bajada igual.

Al ser equilibrado indica que el total del ancho de bande será una carga equilibrada entre el total de usuarios.

De aquí debe diferenciar y establecer políticas acorde al lugar dodne lo utiliza o implementará.

Las diferentes solapas describen:

 

  • Simple Queue: Colas Simples, permiten definir de una forma intuitiva la velocidad de bajada/subida, tiempo de BURST (o rafagas), franjas horarias de trabajo o bloqueo.
  • Interface Queue: Colas por interfaces, el RB define éste parámetro.
  • Queue Tree : Árbol de colas, utilizado para QoS, un trabajo que debe diagramar y diseñar previamente, debido que luego de ser implementado es complejo de agregar nuevas reglas que estén por encima o debajo del servicio a priorizar.
  • Queue Types: Tipos de colas, por conexión, fifo, pfifo, red, sfq, permite establecer el tipo de cola a utilizar, útil al trabajar con QoS y Queue Tree.

Aquí verá Queue-Simple, la imagen que visualiza debajo, indica la configuración a realizar para ver el funcionamiento sobre una determinada IP, ejemplificando con la carga de vídeos On-Line.

 

Debe respetar la siguiente regla para Download y Upload.

Código:
  Limit-At < Max-Limit < Burst-Limit
El tiempo es expresado en segundos.

Las siguientes imágenes muestran el funcionamiento de una Cola-Simple con un video en baja calidad y cuando varía la calidad.
Una vez que el limite de velocidad es alcanzado hay estadísticas que indican la cantidad de paquetes que han sido descartados  puestos en cola.

Como se apreció en las imagenes anteriores, al alcanzar el límite establecido, el usuario no podrá utilizar mas Bandwith o ancho de banda, garantizando a cada usuario una velocidad de acceso.

ESTADÍSTICAS DE INTERFACES Y LA HERRAMIENTA DEL ADMINISTRADOR

La siguiente imagen mostrará la estadística de las interfaces globales y también verá una herramienta incluida en los RB llamada TORCH la cual permite monitorear una interfaz, una IP en particular para conocer que hace en la LAN e Internet.

Por: @xyz
Staff Underc0de

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *