Archivo de la etiqueta: redes

Mikrotik SXT – Optimiza enlaces Punto a Punto.

Mikrotik SXT Enlaces Punto a Punto

Hace algún tiempo dejé en el blog una entrada en la que se mostraba como configurar un enlace wifi punto a punto con un par de antenas Mikrotik SXT. En esta ocasión vamos a ir un paso más allá y vamos a optimizar dicho enlace para sacarle el máximo rendimiento.

Una vez configurado nuestro enlace punto a punto podemos medir la capacidad del mismo utilizando la funcionalidad de Tools > Bandwidth Test. A través de ella podremos saturar nuestro enlace para determinar su capacidad.

Mikrotik SXT Bad Bandwidth Test

En esta imagen podemos ver, a la luz de los resultados del test, que nuestro enlace Mikrotik SXT no anda muy fino. Por un lado, la capacidad del enlace es asimétrica y no alcanza una tasa de transferencia alta. Por el otro, hay una gran cantidad de paquetes perdidos lo cual no nos augura nada bueno.

Uno de los aspectos que afectan de forma importante a la calidad de nuestro enlace en el nivel de Señal Tx/Rx. Para optimizar nuestro enlace punto a punto los niveles de señal Tx/Rx deberían de situarse entre -45 Db y -60 Db en ambos sentidos.

Mikrotik SXT nivel de señal punto a punto

Para lograr mejorar los niveles de señal tendremos que que manipular los niveles de potencia de las antenas para, de esta forma, aumentar o disminuir la potencia de emisión. En este enlace la distancia apenas alcanza los 200 metros por lo que los Mikrotik SXT se están gritando lo cual provoca distorsión en las señales.

Comenzando siempre por el equipo más lejano modificamos la potencia de las antenas atenuándolas en ambos puntos. De esta forma se obtiene una señal más estable.

Nivel de señal optimizado

Finalmente, una vez que hemos optimizado el nivel de señal vamos a realizar un ajuste un poco más fino modificando los intervalos de guarda. El propósito de estos intervalos es inmunizar nuestro enlace frente a los retardos, ecos y reflexiones de propagación. Dichos intervalos deben de ser modificados en ambos extremos del enlace. Para ello siempre comenzaremos por el más lejano.

Mikrotik SXT configuración de los intervalos de guarda

Finalmente, una vez ajustados los nuevos parámetros procedemos a realizar un nuevo Bandwidth Test el cual nos muestra los siguientes resultados:

Mikrotik SXT resultados óptimos

Como habéis podido comprobar, es posible optimizar tu enlace Mikrotik SXT punto a punto para obtener el máximo rendimiento. No obstante, cuando hablamos de enlaces inalámbricos, la optimización es una labor constante ya que nuevos factores externos pueden dar al traste con nuestras señales.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Abrir Puertos Mikrotik

Mikrotik logoCuando conectamos nuestra red a Internet es habitual querer hacer que algún servicio interno esté disponible desde el exterior. Si utilizamos un equipo Mikrotik vamos a ver cual es la forma genérica de publicar estos puertos.

A la hora de redireccionar un puerto en nuestro Mikrotik debemos acceder al apartado NAT dentro del Firewall el cual se encargará de trasladar el tráfico proveniente del exterior hacia la ip interna destino. A continuación vamos a ver algunos ejemplos sobre las diferentes posibilidades de que disponemos.

/ip firewall nat

add chain=dstnat dst-port=80 protocol=tcp in-interface=ether1-gateway action=dst-nat to-address=192.168.1.X to-ports=80

La regla anterior redireccionará todo el tráfico con puerto de destino 80 y protocolo TCP que llegue a nuestro equipo Mikrotik a través del interface ether1-gateway al puerto 80 de la ip privada 192.168.1.X.

Podríamos hacer esta regla un poco más específica si en lugar de especificar el interface de destino usamos la ip pública directamente:

/ip firewall nat

add chain=dstnat dst-port=80 protocol=tcp dst-address=(ip pública) action=dst-nat to-address=192.168.1.X to-ports=80

Finalmente podríamos ser más estrictos aún si abrimos el puerto sólo para una determinada ip:

/ip firewall nat

add chain=dstnat dst-port=80 protocol=tcp src-address=(ip orígen) dst-address=(ip pública) action=dst-nat to-address=192.168.1.X to-ports=80

A modo de resumen, a la hora de abrir un puerto en nuestro equipo Mikrotik hay dos aspectos a tener en cuenta: primeramente qué condiciones debe cumplir este tráfico y segundo qué hacemos cuando esas condiciones son cumplidas. Respecto a las condiciones todas están recogidas antes del comando action y contienen ip de orígen, puerto de destino, protocolo, etc. Una vez que el tráfico ha cumplido las condiciones es cuando entra en juego el segundo apartado, es decir, todo lo relacionado con el comando action.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

Mikrotik QoS en nuestro enlace wifi

Mikrotik logoHace unas semanas hablamos sobre cómo podríamos crear un enlace wifi punto a punto utilizando equipos Mikrotik. Hoy vamos a ir un poco más allá configurando en nuestro equipo Mikrotik prioridades para evitar que el tráfico sature nuestro enlace.

Podemos realizar una gran cantidad de configuraciones en nuestro equipo Mikrotik para gestionar el QoS. Podremos gestionarlo por interface de entrada, de salida, por ip de origen, por ip de destino, así mismo podremos configurar la calidad de servicio en función del tipo de protocolo.

Para ilustrar esta entrada vamos a suponer que queremos priorizar el tráfico de una aplicación SQL que cruza nuestro enlace. Para ello vamos a crear una regla que marque aquellos paquetes que cumplan nuestra condición con la máxima prioridad.

Configuración Mikrotik QoS. Creación de la regla.

Primeramente dado que nuestro equipo Mikrotik está configurado en modo Bridge vamos a crear una regla dentro de ip > firewall > mangle del tipo forward con las opciones que hemos expuesto en nuestro ejemplo.

Mikrotik QoS creación regla mangle

En nuestro caso hemos configurado el parámetro chain, donde le hemos configurado la opción forward, el tipo de protocolo 6(tcp) ya que la conexión contra el servidor SQL utiliza TCP y el puerto de destino que es el 1433. Adicionalmente hemos configurado la ip del servidor por lo que estaremos configurando nuestro equipo Mikrotik para que únicamente marque con prioridad el tráfico SQL dirigido a esta ip.

Mikrotik QoS. Aplicamos prioridad al tráfico.

Una vez configurada la regla tenemos que definir qué es lo que queremos hacer con este tráfico.

Acción del mangle en equipo Mikrotik

Como nuestro objetivo es priorizar el tráfico que cumple con los parámetros definidos en el apartado anterior modificamos el campo action y seleccionamos la opción priority y le asignamos un valor que de prioridad a este tipo de tráfico.

Finalmente podemos ver si realmente el tráfico está cayendo dentro de esta regla si accedemos a a la solapa stadistics y esperamos un poco a que aparezcan las primeras trazas.

Mikrotik QoS apartado Statistics

Podeis encontrar más información sobre configurar prioridades de tráfico en la wiki de Mikrotik.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik ipsec VPN

En este artículo vamos a unir dos sedes remotas utilizando Mikrotik ipsec VPN. Ésta solución nos servirá para interconectar dos sedes remotas de manera segura a través de internet. Para nuestra configuración seguiremos este diagrama:

Ejemplo Mikrotik ipsec VPN

Configuración Mikrotik ipsec VPN.

Antes de comenzar debemos de tener en cuenta algunas consideraciones, la primera es que las redes LAN en cada oficina deben ser diferentes, en caso contrario, aunque se establezca el túnel, los paquetes no se transmitirán al otro extremo. Por otro lado, hay que verificar que las ips públicas de cada sede se ven a través de un ping. Finalmente debes de tener cuidado si estás detrás de un router adsl o similar que utilice NAT ya que tendrías que configurar ipsec en modo ESP y no AH además de abrir el puerto 500 en udp para que el intercambio de claves pueda llevarse a cabo.

Lo primero que debemos hacer es configurar los interfaces. Configuraremos primeramente el interface LAN de la primera sede siguiendo nuestro esquema:

Interface LAN MKT ipsec VPN

A continuación configuraremos el interface WAN.

Configuración WAN MKT ipsec VPN

Luego crearemos una política ipsec que nos permita levantar un tunnel.

Politica General Mikrotik ipsec

Acciones de Política ipsec VPN

Para terminar la configuración en el apartado ipsec tenemos que añadir la configuración del extremo opuesto del túnel, así como la forma en la que vamos a validarnos contra dicho extremo.

Peer Configuration ipsec VPN

Por último, sólo nos quedaría configurar una política NAT que convierta las direcciones ips de la LAN local en direcciones válidas en la red remota.

MKT ipsec VPN NAT rule

MKT ipsec NAT Action

Con esto habremos configurado el primer equipo Mikrotik, si has llegado hasta este punto la configuración del otro peer no te resultará complicada ya que sólo tienes que realizar la configuración en el sentido inverso.

Puedes obtener más información sobre Mikrotik e ipsec en este enlace: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

 

 

Cómo proteger mi red wifi de intrusos.

Cómo Proteger mi Red Wifi de Intrusos¿Cómo puedo proteger mi red wifi?. Esta es, sin duda, una de las preguntas que se hacen los usuarios de redes inalámbricas. Lo que más preocupa a los usuarios es que utilicen su conexión de forma fraudulenta para acceder a internet, sin embargo, lo que más debería preocuparnos es que intenten acceder a nuestros datos, capturar nuestras contraseñas o utilizar nuestra conexión para cometer algún delito. Lamentablemente hay que comenzar indicando que las redes inalámbricas, debido al medio que utilizan para transmitir la información (el aire), son inseguras.

Por lo tanto, lo único que podemos hacer es  intentar retrasar el momento en el que algún extraño consiga acceder, o en el mejor de los casos, que hayamos puesto el listón tan alto que finalmente el atacante desista y lo intente con otra de las redes a su alcance.

Como hemos dicho nuestro medio de transmisión es el aire y por lo tanto nuestros datos, mejor o peor protegidos, circulan por este medio. A continuación vamos a indicar una serie de medidas que podemos poner en práctica para poner las cosas más difíciles:

Medidas para proteger mi red wifi.

Ocultar el SSID.

El SSID es el nombre de tu red wifi y aparece en la ventana de redes inalámbricas disponibles cuando alguien busca redes wifi dentro de su alcance. El nombre de la red SSID por defecto se incluye en los paquetes que nuestro router lanza al aire a no ser que le indiquemos que no lo haga. No obstante, un usuario experimentado puede fácilmente conocer el SSID de tu red aunque esté oculto.

Indicaciones para el SSID.

Como hemos dicho el SSID es el nombre de tu red inalámbrica. Por ello no debería “publicar” datos como tu nombre, tu dirección, etc. Ten en cuenta que, si alguien quiere conectarse concretamente a tu red, el SSID puede funcionar como un indicador luminoso guiando al atacante hasta tu router. Nombres de SSIDs como “Antonio Pérez” o “Paqui 2B” pueden dar demasiadas pistas a un intruso.

Otro nombre que debes evitar para tu SSID es la marca del router, nombres como “Netgear” o “Thompson” hacen que un atacante pueda conocer el modelo de tu router y tratar de utilizar algún error de esta marca para intentar ganar el acceso a tu red wifi.

Mi recomendación es que utilices nombres genéricos como “miwifi”, “casa”, “wifi”, etc.

Cifrado wifi.

Existen varias formas de cifrar los datos que viajan por tu red. Este cifrado hará que, aunque nuestros datos vuelen por el aire pudiendo ser escuchados nadie que no tenga la clave pueda interpretarlos.

A la hora de configurar nuestra red tenemos diferentes opciones de cifrado ordenadas de menor a mayor seguridad:

  • NONE: Sin cifrado. Sé que piensas que eres guay por compartir tu conexión a internet pero, si alguno de tus invitados anónimos hace alguna trastada en internet, los señores de azul van a llamar a TÚ casa. En ese momento les cuentas lo guay y solidario que eres.
  • WEP (Wired Equivalent Protocol): Este protocolo de encriptación nació en 1999 y para 2001 ya era fácilmente descifrable. Muchas redes aún lo utilizan por razones de compatibilidad con otros dispositivos antiguos. Para un posible atacante un cifrado WEP es una invitación al salón de tu casa.
  • WPA (Wifi Protected Access): Comenzó su andadura en 2001 y trataba de corregir las vulnerabilidades conocidas del protocolo WEP.
  • WPA2 (Wifi Protected Access 2): Aparece en 2004 y hasta la actualidad es el protocolo más seguro.

Elegir una clave para nuestro wifi.

Si has leído el apartado sobre el cifrado estoy seguro que utilizarás como mínimo WPA para cifrar tu red. Tanto WPA como WPA2 se basan en el protocolo PSK (Pre-Shared Key), es decir, una frase de seguridad que es conocida por todos los equipos que se conectan a la red. En este tipo de protocolos nuestra contraseña puede ser de hasta 63 caracteres, por ello, no te limites a escribir tu DNI o tu número de teléfono. Escribe una frase contundente que te resulte sencilla de recordar como por ejemplo un refrán y añade al final un año por ejemplo.

Por último modifica esta clave periódicamente.

Filtrado MAC.

Todos los elementos que coexisten en una red tienen un identificador único que les permite comunicarse con otros elementos. Este identificador también conocido como MAC es la dirección física del adaptador wifi en nuestro caso.

Ya que este identificador es único, es decir, no hay dos iguales en el mundo, podemos indicarle a nuestro router cuales son las direcciones físicas (MACs) de nuestros dispositivos con las que puede comunicarse. Esta medida implica que, cada vez que conectemos un nuevo dispositivo a nuestra red, tengamos que darlo de alta manualmente en nuestro router.

Actualiza el Firmware de tu router.

El router es el que te proporciona acceso wifi a internet. Independientemente de la marca, cada fabricante publica mejoras en forma de actualizaciones de firmware para sus equipos. La mayoría de los routers proporcionan un apartado en su configuración que hace referencia a la búsqueda automáticas de actualizaciones.

Estas actualizaciones pueden dotar a nuestro router de nuevas características así como solucionar posibles problemas de seguridad que hayan sido detectados.

Consideraciones finales.

Tal y como he comentado al principio las redes inalámbricas no son seguras. Si realmente quieres estar seguro apaga el wifi y usa sólo el cable.

Modificar la configuración de tu router es algo que debes hacer sólo si tienes los conocimientos necesarios. Si no estás seguro de cómo hacerlo ponte en contacto con tu operador o contacta con alguna empresa de informática.

 

Image courtesy of [Master Isolated] / FreeDigitalPhotos.net