viernes, 6 de enero de 2017

Mikrotik routerboard 411UAHR III: Completando la configuración

Hoy, día de Reyes, vamos a completar la configuración del dispositivo RB411UAHR. Ésta se ha hecho en varias fases.. Eso significa que el artículo lo escribí  en un momento determinado, después cambié algunas cosas porque me había encontrado con problemas o hice mejoras y más adelante (justo ahora mientras estoy escribiendo esta parrafada) voy a completar datos. Intentaré que se quede lo más ordenado posible para que no sea el típico caos de añadir datos que después no pegan ni con cola.

Solucionando el problema del acceso de los DNSs. Tal y como edité el anterior artículo, esos eran valores que equivaldrían a los datos del fichero hosts. Los DNS se ponen desde

/ip dns set listaDNSs

Añadiendo lista de servidores DNS a Mikrotik
Añadiendo lista de servidores DNS a Mikrotik
¡Ojo! La lista de las direcciones IP tiene que ir separada por una coma (,) pero sin espacios entre cada una de las direcciones. 

Además, me he encontrado con una utilidad 

/system route check DIR_IP

que te dice cuál sería el siguiente salto a nivel de direccionamiento. Por lo que si pones una dirección de fuera de la red (por ejemplo, la dirección IP de tus DNSs en internet), debería de indicarte el gateway

Según estoy viendo, existe "otro" ping. Al menos el comportamiento es distinto. En este caso, si lo ejecuto como 

/ping address=IP_2_PING

sí que responde, y además lo muestra en una lista. A diferencia que si accedo desde

/tools ping IP_2_PING

muestra sólo dos líneas con la velocidad en bps.

Por lo tanto, se puede dar por corregida esta incidencia.

Para la fecha y hora, quería configurarle un servidor NTP: 0.es.pool.ntp.org (de memoria). Pero a pesar de encontrarme con problemas para encontrar dónde se hacía, acabo de ver desde

/system clock print

que muestra la fecha, hora y timezone correctamente. Lo dejaré para más adelante (a ver si es que se han perdido utilidades al actualizar).

También es importante: no nos olvidemos de cambiar las contraseñas de los usuarios (en algún momento terminé creando alguno directamente) tanto de los nuevos como de los que vienen por defecto.

Ahora vamos al lío: voy a configurar una de las tarjetas wifi. Este es uno de los casos que he ido cambiando cosas, me he encontrado con otros problemas, etc.

Desde

/interface wireless print

vemos las tarjetas instaladas y su configuración:

Ver tarjetas inalambricas en Mikrotik
Ver tarjetas inalambricas en Mikrotik

Como podemos cometer el error de configurar la tarjeta (en mi caso va a ser la 1) sin seguridad (como me ha sucedido al configurarla y activarla) lo primero que se debería de hacer es ir a

/interface wireless security-profile

Esta sección nos permitirá crear un perfil de seguridad. Es decir: el perfil que indicará, entre otras cosas, el tipo de cifrado que se usará, la contraseña, etc. Un perfil que después se podrá asignar a la(s) tarjeta(s) que deseemos. Tendremos que buscar los distintos parámetros que necesitemos. Tipo de cifrado, clave(s) (wpa/wpa2...) el nombre que le vamos a asignar a esa configuración en concreto (para luego usarla), etc. Me he basado en lo que me indican en la wiki para adaptarlo a mis necesidades. Aunque he hecho unos cuantos cambios este debería de ser un ejemplo válido:

add name=nombre_molon mode=dynamic-keys supplicant-identity=nombre_molon_supplicant authentication-types=wpa2-psk,wpa-psk unicast-cipher=aes-ccm wpa-pre-shared-key="123abc123abc123abc" wpa2-pre-shared-key="123abc123abc123abc" management-protection=allowed

Y ahora ya podremos configurar los parámetros de la tarjeta de red. No nos olvidemos de indicarle qué perfil queremos usar para la seguridad:

/interface wireless
set 1 disabled=yes hide-ssid=yes wps-mode=disabled band=2ghz-b/g/n ssid=red_inalambrica mode=ap-bridge allow-sharedkey=no adaptive-noise-immunity=ap-and-client-mode antenna-mode=ant-a basic-rates-a/g=54Mbps
set 1 security_profile=nombre_molon disabled=no

Importante acordarse del wps-mode, que se me había quedado activado. Sólo lo pondremos si queremos reventar la seguridad que nos otorgan las claves WPA/WPA2.

Tampoco hay que olvidarse de ponerle su propia dirección IP a cada una de las tarjetas wifi con las que trabajemos. Recordemos que se hacía:

/ip address add interface=nombreInterfaz address=direccionIp netmask=mascaraRed 

No des por hecho que están puestas. Muchos cambios de aquí para allá pueden liarte. Y esto podría ser una de las razones por las que no eres capaz de conectarte a esa tarjeta de red en concreto.

Falta otro paso más: activar la comunicación entre las distintas tarjetas del sistema. Por ejemplo, entre las dos tarjetas integradas en el sistema. Eso significa que si se intenta hacer un ping de una de las tarjetas a la otra no vamos a obtener respuesta. También me he encontrado algún ejemplo (o eso parece) en el que usan NAT para hacer esa comunicación. Primero miraré cómo hacerlo con las opciones de bridge. Además, en algún caso he visto un ejemplo en el que configuraban WDS. Aunque me ha costado encontrarlo (y lo tenía en una de las páginas ya abiertas), WDS fundamentalmente convierte varios APs en un hub/switch.

/interface bridge add=nombreBridge
/interface bridge port add interface=ether1 bridge=nombreBridge
/interface bridge port add interface=wlan1 bridge=nombreBridge

Varias cosas sobre el bridge:

  • Su dirección MAC está toda a ceros en consola. En la GUI me aparece con la MAC de la tarjeta ethernet. Habrá que estudiar si se le pone una (por ejemplo, impersonalizando algunas de las que tiene el dispositivo) o si deja tal cual está.
  • He visto cómo le asignan una dirección IP al bridge (como una tarjeta más): 
/ip address add interface=nombreBridge address=ipBridge netmask=netMask comment=descripcion


Con esto he conseguido que un equipo conectado a la wifi pueda salir a Internet a través del punto de acceso. Pero no me deja(ba) hacer ping a otros dispositivos dentro de la misma red. Incluyendo desde el mismo Mikrotik. Hay que tener mucho cuidado al activar y desactivar las distintas direcciones IP que se tengan configuradas. Para solucionar este problema: buscamos en

/ip route print

Veremos que tenemos la dirección del gateway en una línea en la siguiente línea las distintas tarjetas con una sóla dirección IP. Pues fundamentalmente es como si esa dirección IP dijera por dónde va a salir. Ahí, en nuestro caso, tendremos que conseguir que ponga aquella que tiene asignado el bridge. Una forma puede ser ir a

/ip address set NUMERO_IP disabled=yes

para cada una de las que no queremos que aparezcan. Después las podemos volver a activar, pero así se fuerza a que ponga la que queremos que sea la principal. Seguro que hay otras formas, pero esta es una de ellas.

Con respecto a al cliente NTP, he tenido que hacer un ping al servicio 0.es.pool.ntp.org para obtener su dirección IP porque no me está dejando poner su URL (aunque hay vídeos donde sí se ve que se puede hacer).

/system ntp client set enabled=yes primary-ntp=193.145.15.15 server-dns-names=listaDNSs

Y ya tendríamos el equipo puesto en hora (casi) siempre en punto.

Es posible que toque hacer algún cambio más ya que la señal que me aparece en uno de los móviles para la tarjeta mini-PCI es mínima. De todas formas, para la integrada no va nada mal.

A medida que vaya solucionando estos problemas lo iré avisando. Aunque para ello tenga que mirarlo en la interfaz web o la herramienta WinBox que según entiendo al fin y al cabo parsea la interfaz web en una GUI para Windows. 

No hay comentarios:

Publicar un comentario