Archivo de la etiqueta: Mikrotik

Mikrotik SXT – Optimiza enlaces Punto a Punto.

Mikrotik SXT Enlaces Punto a Punto

Hace algún tiempo dejé en el blog una entrada en la que se mostraba como configurar un enlace wifi punto a punto con un par de antenas Mikrotik SXT. En esta ocasión vamos a ir un paso más allá y vamos a optimizar dicho enlace para sacarle el máximo rendimiento.

Una vez configurado nuestro enlace punto a punto podemos medir la capacidad del mismo utilizando la funcionalidad de Tools > Bandwidth Test. A través de ella podremos saturar nuestro enlace para determinar su capacidad.

Mikrotik SXT Bad Bandwidth Test

En esta imagen podemos ver, a la luz de los resultados del test, que nuestro enlace Mikrotik SXT no anda muy fino. Por un lado, la capacidad del enlace es asimétrica y no alcanza una tasa de transferencia alta. Por el otro, hay una gran cantidad de paquetes perdidos lo cual no nos augura nada bueno.

Uno de los aspectos que afectan de forma importante a la calidad de nuestro enlace en el nivel de Señal Tx/Rx. Para optimizar nuestro enlace punto a punto los niveles de señal Tx/Rx deberían de situarse entre -45 Db y -60 Db en ambos sentidos.

Mikrotik SXT nivel de señal punto a punto

Para lograr mejorar los niveles de señal tendremos que que manipular los niveles de potencia de las antenas para, de esta forma, aumentar o disminuir la potencia de emisión. En este enlace la distancia apenas alcanza los 200 metros por lo que los Mikrotik SXT se están gritando lo cual provoca distorsión en las señales.

Comenzando siempre por el equipo más lejano modificamos la potencia de las antenas atenuándolas en ambos puntos. De esta forma se obtiene una señal más estable.

Nivel de señal optimizado

Finalmente, una vez que hemos optimizado el nivel de señal vamos a realizar un ajuste un poco más fino modificando los intervalos de guarda. El propósito de estos intervalos es inmunizar nuestro enlace frente a los retardos, ecos y reflexiones de propagación. Dichos intervalos deben de ser modificados en ambos extremos del enlace. Para ello siempre comenzaremos por el más lejano.

Mikrotik SXT configuración de los intervalos de guarda

Finalmente, una vez ajustados los nuevos parámetros procedemos a realizar un nuevo Bandwidth Test el cual nos muestra los siguientes resultados:

Mikrotik SXT resultados óptimos

Como habéis podido comprobar, es posible optimizar tu enlace Mikrotik SXT punto a punto para obtener el máximo rendimiento. No obstante, cuando hablamos de enlaces inalámbricos, la optimización es una labor constante ya que nuevos factores externos pueden dar al traste con nuestras señales.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik Ipsec detrás de router NAT

Mikrotik Ipsec detrás de un router NATHace unas semanas comenté la forma de crear un túnel entre dos equipos Mikrotik utilizando Ipsec. En aquella ocasión los equipos que establecían el túnel Ipsec eran a su vez los equipos que hacían NAT para el resto de nuestra red.

Esta situación, que es la recomendable, no siempre se produce y por consiguiente, en uno de los extremos, por delante de nuestro equipo Mikrotik tenemos un router que utiliza NAT para trasladar las direcciones ips internas al exterior. Estos routers generan un problema cuando hablamos de Ipsec ya que, al realizar la traslación de direcciones ips, modifica las cabeceras de los paquetes ip haciendo que el host remoto rechace dichos paquetes.

Existen no obstante routers en el mercado, los más nuevos, que soportan Ipsec Passthrough los cuales deberían detectar el tráfico Ipsec y permitir, no sólo que el túnel se establezca (cosa relativamente simple), sino que las tramas cifradas sean validadas por el host remoto y viceversa.

Mikrotik Ipsec ejemplo

Bien, para conseguir que nuestra VPN basada en Mikrotik Ipsec se establezca y funcione debemos  abrir los siguientes puertos hacia la ip del equipo Mikrotik que va a lanzar el túnel:

Port 50 TCP – Encapsulación de Cabeceras (ESP)

Port 51 TCP – Autenticación de Cabeceras (AH)

Port 500 UDP – Intercambio de claves (IKE)

Port 4500 TCP/UDP – Nat Transversal

Una vez configurado el PAT debemos prestar atención a la configuración del Policy Action de nuestro nodo Mikrotik en el cual habilitaremos la opción de NAT-Transversal. Posteriormente como dirección de inicio del túnel src-address usaremos la ip de nuestro equipo mikrotik en el segmento que le une al router, es decir, la misma ip sobre la que hemos redirigido los puertos desde nuestro router mientras que como dst-address usaremos la ip pública del concentrador de túneles.

Acciones de Política Mikrotik ipsec VPN

Finalmente, siempre que sea posible conecta tu equipo Mikrotik a tu operador sin routers intermedios eso te ahorrará quebraderos de cabeza. Por otro lado, la mayoría de los routers ADSL del mercado soportan la configuración en modo bridge, lo cual tampoco es una mala solución.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik QoS en nuestro enlace wifi

Mikrotik logoHace unas semanas hablamos sobre cómo podríamos crear un enlace wifi punto a punto utilizando equipos Mikrotik. Hoy vamos a ir un poco más allá configurando en nuestro equipo Mikrotik prioridades para evitar que el tráfico sature nuestro enlace.

Podemos realizar una gran cantidad de configuraciones en nuestro equipo Mikrotik para gestionar el QoS. Podremos gestionarlo por interface de entrada, de salida, por ip de origen, por ip de destino, así mismo podremos configurar la calidad de servicio en función del tipo de protocolo.

Para ilustrar esta entrada vamos a suponer que queremos priorizar el tráfico de una aplicación SQL que cruza nuestro enlace. Para ello vamos a crear una regla que marque aquellos paquetes que cumplan nuestra condición con la máxima prioridad.

Configuración Mikrotik QoS. Creación de la regla.

Primeramente dado que nuestro equipo Mikrotik está configurado en modo Bridge vamos a crear una regla dentro de ip > firewall > mangle del tipo forward con las opciones que hemos expuesto en nuestro ejemplo.

Mikrotik QoS creación regla mangle

En nuestro caso hemos configurado el parámetro chain, donde le hemos configurado la opción forward, el tipo de protocolo 6(tcp) ya que la conexión contra el servidor SQL utiliza TCP y el puerto de destino que es el 1433. Adicionalmente hemos configurado la ip del servidor por lo que estaremos configurando nuestro equipo Mikrotik para que únicamente marque con prioridad el tráfico SQL dirigido a esta ip.

Mikrotik QoS. Aplicamos prioridad al tráfico.

Una vez configurada la regla tenemos que definir qué es lo que queremos hacer con este tráfico.

Acción del mangle en equipo Mikrotik

Como nuestro objetivo es priorizar el tráfico que cumple con los parámetros definidos en el apartado anterior modificamos el campo action y seleccionamos la opción priority y le asignamos un valor que de prioridad a este tipo de tráfico.

Finalmente podemos ver si realmente el tráfico está cayendo dentro de esta regla si accedemos a a la solapa stadistics y esperamos un poco a que aparezcan las primeras trazas.

Mikrotik QoS apartado Statistics

Podeis encontrar más información sobre configurar prioridades de tráfico en la wiki de Mikrotik.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik ipsec VPN

En este artículo vamos a unir dos sedes remotas utilizando Mikrotik ipsec VPN. Ésta solución nos servirá para interconectar dos sedes remotas de manera segura a través de internet. Para nuestra configuración seguiremos este diagrama:

Ejemplo Mikrotik ipsec VPN

Configuración Mikrotik ipsec VPN.

Antes de comenzar debemos de tener en cuenta algunas consideraciones, la primera es que las redes LAN en cada oficina deben ser diferentes, en caso contrario, aunque se establezca el túnel, los paquetes no se transmitirán al otro extremo. Por otro lado, hay que verificar que las ips públicas de cada sede se ven a través de un ping. Finalmente debes de tener cuidado si estás detrás de un router adsl o similar que utilice NAT ya que tendrías que configurar ipsec en modo ESP y no AH además de abrir el puerto 500 en udp para que el intercambio de claves pueda llevarse a cabo.

Lo primero que debemos hacer es configurar los interfaces. Configuraremos primeramente el interface LAN de la primera sede siguiendo nuestro esquema:

Interface LAN MKT ipsec VPN

A continuación configuraremos el interface WAN.

Configuración WAN MKT ipsec VPN

Luego crearemos una política ipsec que nos permita levantar un tunnel.

Politica General Mikrotik ipsec

Acciones de Política ipsec VPN

Para terminar la configuración en el apartado ipsec tenemos que añadir la configuración del extremo opuesto del túnel, así como la forma en la que vamos a validarnos contra dicho extremo.

Peer Configuration ipsec VPN

Por último, sólo nos quedaría configurar una política NAT que convierta las direcciones ips de la LAN local en direcciones válidas en la red remota.

MKT ipsec VPN NAT rule

MKT ipsec NAT Action

Con esto habremos configurado el primer equipo Mikrotik, si has llegado hasta este punto la configuración del otro peer no te resultará complicada ya que sólo tienes que realizar la configuración en el sentido inverso.

Puedes obtener más información sobre Mikrotik e ipsec en este enlace: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

 

 

OpenVPN y Mikrotik.

Mikrotik logoEn este artículo veremos cómo funciona el binomio OpenVPN y Mikrotik. Openvpn es una de las soluciones más utilizadas en el mundo Linux para establecer túneles de manera segura . Esta solución nos permite a través de certificados conectar tanto usuarios del tipo RoadWarriors como sedes remotas.

En el siguiente ejemplo usaremos un equipo Mikrotik RB750 como cliente ovpn para unir una sede remota a la oficina principal.

El primer paso es copiar los tres archivos que debe haber generado el servidor OpenVPN para el cliente. Tendremos un certificado con la clave pública de la Autoridad de Certificación, un certificado con la clave pública del cliente y finalmente un certificado con la clave privada del cliente.

Openvpn y Mikrotik | Copia de certificados.

Una vez copiados debemos importar dichos certificados para poder usarlos para establecer el túnel. Para ello podemos ir al terminal y ejecutar los siguientes comandos:

/certificate
import file=client1.crt
import file=client1.pem
import file=ca.crt

Acto seguido verificamos que los certificados han sido importados correctamente con el comando:

/certificate print

Antes de seguir con la configuración debemos saber si nuestro servidor OpenVPN está configurado con el driver TAP o TUN. Ambos son drivers de bajo nivel desarrollados para el kernel de Linux. Sin embargo mientras que TUN trabaja con tramas IP, TAP lo hace con tramas ethernet. ¿En qué nos afecta esto? básicamente si nuestro servidor OpenVPN está configurado como TUN trabajaremos enrutando el tráfico a la VPN y si es TAP tendremos que hacer una configuración en modo BRIDGE.

 A la hora de la configuración  crearemos un nuevo interface con la siguiente configuración:

interface ovpn-client add name=”ovpn-out1″ connect-to[IP_DESTINO] port [PUERTO] mode=[si el enlace es TUN selecciona “ip” si es TAP selecciona “ethernet” user=”nobody” password=”” profile=default certificate=[CERTIFICADO IMPORTADO] auth=sha1 cipher=blowfish128

mikrotik interface ovpn-client

Finalmente tenemos que definir qué tráfico debe encaminarse el túnel.

ip firewall nat add action=masquerade chain=srcnat out-interface=ovpn-out1 dst-address=[LAN_SEDE_REMOTA]

NOTA: No olvides añadir una regla de NAT si quieres permitir que los usuarios de la sede remota puedan salir a internet.

ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway to-addresses=0.0.0.0

A partir de aquí podemos utilizar todo el potencial que OpenVPN y mikrotik ponen a nuestro alcance como priorizar determinado tipo de trafico que cruce nuestro túnel o visualizar en tiempo real qué ancho de banda tenemos disponible. Así mismo nos podría resultar de utilidad definir reglas en el firewall que limite el tipo de tráfico que utiliza nuestro túnel.

Más información: Mikrotik Wiki.