Professional Documents
Culture Documents
INSTITUTO W
ISP
RECURSOS CLAVE PARA NEGOCIOS WISP GANADORES
MANUAL DEL
TÉCNICO WISP
www. institutowisp .com
CONTENIDO
1. SUBNETTING
1.1. Cálculo Máscaras de Subred
2. REGULACIÓN DE LAS BANDAS LIBRES DE 5GHZ
3. MIKROTIK ROUTEROS PRIMEROS PASOS
4. UBIQUITI NETWORKS PRIMEROS PASOS
5. CONFIGURACIÓN CPE CLIENTE
5.1. Carga de archivos Mikrotik
5.1.1 Cargar archivo de configuración.
5.1.2 Conectar CPE a AP
5.1.3 Configurar PPPoE
5.1.4 Cambiar nombre al dispositivo
5.2. Configuración equipos Ubiquiti
5.2.1 Cargar archivo de configuración.
5.2.2 Conectar CPE a AP
5.2.3 Configurar PPPoE
5.2.4 Cambiar nombre al dispositivo
5.2.4 Herramientas para el día día
6. FIREWALL
6.1. Redireccionar un puerto con Mikrotik RouterOS
6.2. Puerto público a puerto interno con MIkrotik RouterOS
6.3. Zona Desmilitarizada (DMZ)
6.4. UPNP Mikrotik
6.5. Filter Mikrotik RouterOS
6.6. Crear una Pool en Mikrotik RouterOS
6.7. Nat Ubiquiti
7. DALORADIUS
7.1. Crear perfil de velocidad y/o tiempo
7.2. Crear usuario Daloradius
7.3. Asignación IPS públicas estáticas secret Mikrotik RouterOS
7.4. Asignación IPS públicas estáticas Daloradius
7.5. Qué hacer con los Impagos de abonados Daloradius
www. institutowisp .com
8. CONFIGURACIÓN ROUTER WIFI ABONADOS
8.1. Router Wifi Tplink 841N
8.2. Router Wifi Tenda 308R
9. CONFIGURACIÓN ATA CLIENTE
9.1. Configuración ATA equipos Ubiquiti
9.2. Configuración ATA equipos Mikrotik RouterOS.
10. TROUBLESHOOTING
10.1. Utilidad ping
10.2. Utilidad Profile
10.3. Utilidad Bandwidth test
10.4. Herramienta Torch
10.5. Modificar la potencia de las antenas de abonado
10.6. Mejora y alineación de la señal de radio
10.7. Utilizar el cpe adecuado
10.8. Desconexiones wifi por fallos en la conexión a internet
10.8.1. Comprobar tiempo pppoe
10.8.2. Comprobar log antena cliente lan poe
10.8.3. Comprobar tiempo leases dhcp client
11. BUENAS PRÁCTICAS EN INSTALACIONES DE ABONADOS
11.1. Herramientas necesarias para la instalación de abonados
11.2. Instalación de antenas o equipos CPE en el exterior
11.3. Instalación del Router wifi
11.4. Repetidores wifi
11.5. Cableado
11.6. Transformadores
11.7. Conectores
www. institutowisp .com
1. SUBNETTING
1.1 Cálculo Máscara de Subred
CONVERSIÓN DECIMALBINARIO Y BINARIODECIMAL
El Sistema Decimal permite escribir números como 451, 672, 30, etc. Es decir,
podemos formar cualquier combinación de los dígitos del 0 al 9 (cifras).
El Sistema Binario permite escribir números como 01100111, 1110, 011, 1, etc. Es
decir, podemos formar cualquier combinación de los dígitos 0 y 1 (bits).
Cada número en Sistema Decimal tiene su equivalente en Sistema Binario, y
viceversa. Pero…¿Cómo se convierten los números de Sistema Binario a Sistema
Decimal?
Conversión de Sistema Binario a Decimal
Pasos a seguir para convertir el número 11001011(binario) a Sistema decimal:
1. Numeramos los bits de derecha a izquierda comenzando desde el 0.
2. A cada bit le hacemos corresponder una potencia de base 2 y exponente igual
al número de bit.
3. Por último se suman todas las potencias.
EJERCICIO
Convierte de Sistema Binario a Decimal los siguientes números:
a) 10011110
b) 00010001
c) 00100110
d) 1110
e) 111011101110
f) 10110110
g) 0
h) 10
i) 1
Conversión del sistema Decimal a Binario
Pasas a seguir para convertir el número 45 a Sistema Binario:
www. institutowisp .com
1. Dividimos 45 entre 2 sucesivamente, sin sacar decimales, hasta obtener un
cociente igual a 1.
2. Leemos el último cociente y todos los restos en sentido contrario a cómo han
ido apareciendo.
3. En caso de que nos pidan el resultado dentro de un byte rellenamos con ceros
por delante hasta completar los ocho bits.
Calculadora binariodecimal y decimalbinario Online
http://es.calcuworld.com/calculadorasmatematicas/calculadorabinaria/
MÁSCARA DE SUBRED
La máscara de subred o subnetting señala qué bytes (o qué porción) de su
dirección es el identificador de la red. La máscara consiste en una secuencia de unos
seguidos de una secuencia de ceros escrita de la misma manera que una dirección IP,
por ejemplo, una máscara de 20 bits se escribiría 255.255.240.0, es decir una
dirección IP con 20 bits en 1 seguidos por 12 bits en 0, pero separada en bloques de a
8 bits escritos en decimal. La máscara determina todos los parámetros de una subred:
dirección de red, dirección de difusión (broadcast) y direcciones asignables a nodos de
red (hosts).
Los routers constituyen los límites entre las subredes. La comunicación desde y
hasta otras subredes es hecha mediante un puerto específico de un router específico,
por lo menos momentáneamente.
Una subred típica es una red física hecha con un router, por ejemplo una Red
Ethernet o una VLAN (Virtual Local Area Network), Sin embargo, las subredes
permiten a la red ser dividida lógicamente a pesar del diseño físico de la misma, por
cuanto es posible dividir una red física en varias subredes configurando diferentes
computadores host que utilizan diferentes routers. La dirección de todos los nodos en
una subred comienzan con la misma secuencia binaria, que es su ID de red e ID de
subred. En IPv4, las subredes deben ser identificadas por la base de la dirección y una
máscara de subred.
Las subredes simplifican el enrutamiento, ya que cada subred típicamente es
representada como una fila en las tablas de ruteo en cada router conectado. Las
subredes fueron utilizadas antes de la introducción de las direcciones IPv4, para
www. institutowisp .com
permitir a una red grande tener un número importante de redes más pequeñas dentro,
controladas por varios routers.
Las subredes permiten el enrutamiento entre dominios sin clases (CIDR). Para
que las computadoras puedan comunicarse con una red, es necesario contar con
números IP propios, pero si tenemos dos o más redes, es fácil dividir una dirección IP
entre todos los hosts de la red. De esta forma se pueden partir redes grandes en redes
más pequeñas.
Es necesario para el funcionamiento de una subred calcular los bits de una IP y
quitarle los bits de host, y agregarlos a los bits de network mediante el uso de una
operación lógica.
CALCULADORA ONLINE DE SUBNETTING
http://www.aprendaredes.com/cgibin/ipcalc/ipcalc_cgi
www. institutowisp .com
2. REGULACIÓN DE LAS BANDAS LIBRES DE 5GHZ
En España, las bandas libres de 5GHz para comunicaciones inalámbricas en banda
ancha son tres:
1. 51505350 Mhz para comunicaciones interiores.
2. 54705725 y 57255875 para comunicaciones en exteriores
Bandas 51505350 y 54705725 MHz
Redes de área local de altas prestaciones en la banda de 5 GHz.
Banda 51505350 MHz: En esta banda el uso por el servicio móvil en redes de área
local se restringe para su utilización únicamente en el interior de recintos y las
características técnicas deben ajustarse a las indicadas en la tabla adjunta en el caso
que sea de aplicación en función de la subbanda utilizada y de las modalidades
técnicas contempladas en la misma.
Potencia (p.i.r.e.) (*) Banda (MHz) Sistemas con TPC y con DFS Sistemas con
TPC Sistemas sin TPC
51505250 (**) 30 mW 120 mW 200 mW 52505350 (**) 60 mW con DFS 200 mW
con DFS 200 mW
Las condiciones indicadas anteriormente se consideran de uso común.
El uso común no garantiza la protección frente a otras utilizaciones ni puede causar
perturbaciones a servicios existentes legalmente autorizados.
El significado atribuido a los términos y símbolos utilizados en esta tabla es el
siguiente:
(*) Se refiere a la potencia (p.i.r.e.) promediada sobre una ráfaga de transmisión
ajustada a la máxima potencia.
TPC: Se refiere a sistemas que dispongan de control de potencia transmitida.
DFS: Se refiere a sistemas que dispongan de selección dinámica de frecuencia de
acuerdo a la Recomendación UITR M.1652 sobre sistemas de acceso radio
incluyendo RLAN en 5 GHz.
www. institutowisp .com
sistemas deberán disponer de técnicas de control de potencia (TPC) y selección
dinámica de frecuencia (DFS) de acuerdo a las especificaciones de la Recomendación
UITR M.1652 sobre sistemas de acceso radio incluyendo RLAN en la banda de 5GHz.
Estas instalaciones de redes de área local tienen la consideración de uso común.
Las instalaciones de estos sistemas en las frecuencias mencionadas, han de cumplir
con los límites de potencia y densidad espectral de potencia, e incorporar técnicas de
control de potencia (TPC) y selección dinámica de frecuencias (DFS) indicados en los
anexos 1, 2 y 3 de la Recomendación ECC(06)04 sobre el uso de la banda 57255875
MHz (o parte de la misma) para acceso fijo de banda ancha (BFWA), las cuales se
consideran requisitos necesarios para compatibilizar este uso con el resto de servicios
y aplicaciones de radiocomunicaciones que pueden funcionar en esta banda de
frecuencias.
En particular, los límites de potencia para las estaciones BFWA en estas frecuencias
según la arquitectura del sistema, se indican en la tabla siguiente.
(1) se refiere a la p.i.r.e. durante una ráfaga de transmisión al mayor nivel de potencia
en caso de activación de técnicas TPC.
Debido a que esta utilización tiene la consideración de uso común, no se garantiza la
protección frente a otros servicios autorizados ni puede causar perturbaciones a los
mismos.
www. institutowisp .com
3. MIKROTIK PRIMEROS PASOS
SOBRE MIKROTIK
Mikrotik. Ltd Es una empresa de Letonia que provee soluciones de software y
hardware para la creación de Redes
¿Qué es RouterOs?
Mikrotik RouterOs es el Sistema Operativo y software que puede convertir un PC o un
Routerboard en un Router Dedicado.
¿Qué es Routerboard?
Routerboard es el hardware de Mikrotik, Cada producto de hardware dispone de una
licencia de nivel 4, 5 o 6 instalada simplemente para configurar.
Licencias
● Existe una licencia de prueba de 24 Horas que se puede descargar desde la
página de http://www.mikrotik.com/downloads en la que se pueden probar
diferentes funcionalidades.
● Existen diferentes niveles de licencia, para instalar una licencia en un pc,
primero es necesario instalar la versión de prueba y luego solicitar la licencia
indicando el SOFTID.
La licencia se puede obtener creando una cuenta de acceso en la web de
Mikrotik e indicando el nivel de la licencia, 4, 5 o 6 y la arquitectura del equipo donde
se pretende instalar, normalmente X86 o PC.
El sistema Operativo RouterOs permite configuraciones para tener un router de borde,
router core, firewall, administrador de ancho de banda, servidor VPN, Punto de Acceso
inalámbrico e infinidad de aplicaciones.
Las licencias no tienen fecha de caducidad y las actualizaciones son gratuitas. La
licencia gratuita está limitada:
● Max EoI Ptunnels 1
● max PPTP tunnels 1
● max PPPoE tunnels 1
● max L2TP tunnels 1
www. institutowisp .com
● maxHotSpot active users 1
● max P2P firewall rules 1
● max VLAN interfaces 1
● max number of NAT rules 1
● Radiusclientisdisabled
● RIP, OSPF, BGP are disabled
● Wireless or Synchronous are disabled
● Upgrade erases all configuration
Para instalar la licencia basta copiar el código que se envía una vez recibido el
pago y pegarlo en la consola del winbox
ACCESO AL ROUTER
Existen varias aplicaciones para acceder a
la configuración de los equipos Mikrotik, entre ellos
el más usado es Winbox, esta aplicación es una
interfaz gráfica del complejo sistema operativo
instalado en el Hardware.
Winbox
Se puede descargar desde la web oficina de MIkrotik.
● http://download2.mikrotik.com/routeros/winbox/3.0beta3/winbox.exe
● A través de Winbox el equipo es accesible por capa 2 (Dirección mac) y capa 3
(Dirección de Red).
Webfig
Permite acceder al equipo a través de nuestro navegador web y la dirección ip
del equipo, mostrándose de igual forma que en Winbox
www. institutowisp .com
Quickset
Es una de las herramientas
que dispone internamente
RouterOs y permite la
configuración básica del router o
punto de acceso. Existen otras
aplicaciones como telnet,
mactelnet, ssh, consola para
poder acceder a la configuración
del equipo.
ACCESO CONSOLA
Comandos principales línea de comandos.
● <tab>, double<tab>
● Historial de Comandos
CONFIGURACIÓN INICIAL ACCESO A INTERNET
Wan Dhcpclient
(DHCP. Protocolo de configuración dinámica de host, permite a los cliente obtener de
forma automática una dirección ip, Gateway, servidor DNS y resto de parámetros que
le pueda asignar el Servidor DHCP)
El equipo puede ser configurado para que una o varias de sus interfaces
obtenga una IP de forma automática permitiendo el acceso a internet de forma
instantánea, sin necesidad de configurar varios parámetros tales como una dirección
ip, gateway y dns).
Cómo crear un clienteDHCP
Menú IP/DHCP Client y añadimos una nueva ventana, hay que seleccionar la interfaz
que actuará como cliente dhcp y hacemos clic en OK.
www. institutowisp .com
Configuración ip, Gateway y Servidor DNS de forma manual
Configuración IP
Menú IP/Address, y añadimos una nueva ventana:
Address: Dirección IP / e indicamos el número de bit correspondiente a la dirección de
red
Network: Se configura automáticamente
Interface: Seleccionamos la interfaz que queremos configurar
Configuración Gateway
Menú IP/Routes y añadimos una nueva ventana:
Dst.Address: 0.0.0.0/0 (Por defecto)
Gateway: Dirección IP (Sin máscara)
En la imágen se encuentra en azul porque la interfaz que hemos configurado aparece desconectada
www. institutowisp .com
Configuración DNS
Menú IP/DNS y configuramos los servidores DNS
de nuestro proveedor de internet. Marcamos
"AllowRemoteRequests" si queremos que nuestro
equipo actúe como servidor dns para el resto de
equipos de la red.
¿Cómo actualizar RouterOs?
La actualización de RouterOS es fácilmente actualizable a través de varias
herramientas: winbox , consola, webfig o QuickSet, simplemente basta con hacer click
en el botón " Checkforupdates " y descargar e instalar la nueva actualización. No es
necesario que el dispositivo Mikrotik RouterOS disponga de una conexión a internet,
sino que la descarga se hace directamente desde el pc que estamos accediendo.
¡Ojo! Debemos asegurarnos siempre de que el equipo no perderá alimentación porque
si le cortamos la alimentación podemos perder el sistema operativo RouterOS y
deberemos volver a instalarlo. Es aconsejable hacer actualizaciones siempre detrás de
un equipo de alimentación ininterrumpida.
QuickSet
Hacemos clic en " CheckforUpdates " y se nos abrirá una nueva ventana que
nos indicará el listado de mejoras de la versión actualizable y de versiones anteriores,
si queremos actualizar deberemos descargar el archivo y actualizarlo haciendo clic en
" Download&Upgrade ". El archivo de actualización será descargado y
automáticamente el equipo se reiniciará solo.
Si queremos actualizar la versión de Firmware, debemos hacerlo a través de la
consola "N ew Terminal ".
system routerboardpr (Hace una impresión y podemos comprobar si existe una nueva
actualización
system routerboard up (nos pedirá que confirmemos "y" y descarga la actualización y
luego deberemos reiniciar el equipo para aplicar los nuevos cambios)
systemreboot (nos pedirá que confirmemos "y" y reinicia el equipo)
En el menú general System/Package existe el mismo botón que nos permite
hacer la actualización siguiendo estos mismos pasos.
www. institutowisp .com
Instalación, Desinstalación, Activación y Desactivación de Paquetes RouterOS
RouterOS dispone de una serie de paquetes que podemos manejar a nuestro
parecer con el fin de que no ocupen espacio en nuestro dispositivo RouterBoard,
rebajar la carga de trabajo del equipo, o simplemente porque no los estamos
utilizando.
Para desinstalar un paquete en RouterOs a través de la herramienta Winbox debemos
ir al menú System/Package, donde nos aparecerá un listado de los paquetes que
tenemos instalados actualmente.
En la imagen anterior se muestran los paquetes Ipv6 y Wirelessfp desactivados.
Para activarlos debemos primero seleccionarlos y picar el botón "Enable" situado en la
parte de arriba de la ventana. Si queremos deshabilitar algunos paquetes, que no
vamos a utilizar, deberemos picar el botón "Disable". Una vez realizados todos los
movimientos deberemos reiniciar el M
ikrotik p
ara que se realicen los cambios.
Para desinstalar un paquete seguiremos el mismo procedimiento, seleccionamos el
paquete que queremos desinstalar y picamos el botón "Uninstall".
Siguiendo el mito "Si algo funciona bien, no lo toques".
En muchas ocasiones infinidad de técnicos de comunicaciones se empeñan
siempre en actualizar a la última versión del sistema operativo, más si la actualización
es gratuita. Pero, ¿de qué sirve?, ¿a caso se han parado a ver el changelog? ,
cualquier red puede disponer perfectamente de 203040... 100 equipos que hay que
actualizar cada vez que aparece una nueva versión. Menudo trabajazo!!!
Eso sin contar que después de hacer una actualización masiva, puede que
pasen "cosas" que antes no pasaban. Sin ánimo de "echar un discurso", faltaría más,
es aconsejable revisar el listado de mejoras que conlleva actualizar los equipos de
nuestra red a una nueva versión, y si realmente vemos que vamos a mejorar
tomaremos la decisión de actualizar nuestros equipos.
www. institutowisp .com
A lo que voy...
Cuando vayamos a realizar una nueva actualización, una vez leído el
changelog y comprobado que realmente podemos mejorar el funcionamiento de
nuestra red y antes de lanzarnos a realizar una nueva actualización, es aconsejable
disponer del archivo de actualización de la versión que tenemos actualmente instalada
en nuestros equipos M ikrotik.
En principio, actualizaremos únicamente 23 equipos, si la actualización no ha ido
bien, podremos volver a la anterior versión. Si pasadas 23 días de la actualización
comprobamos que todo es correcto y la actualización ha supuesto mejoras, nos
lanzaremos a realizar una actualización masiva de los equipos de toda nuestra red
corporativa.
Si actualizamos los equipos y comprobamos que el funcionamiento no es del todo
correcto, esos cambios los podemos observar al instante o pasadas unas horas,
siempre tenemos la posibilidad de volver a la versión anterior, para ello deberemos
realizar los siguientes pasos:
¿Cómo volver a una versión anterior RouterOS?
1. Subir el archivo de la versión anterior: Para ello basta con arrastrar el archivo
de actualización desde nuestro escritorio al interior de la herramienta Winbox y
esperar a que termine de subirse.
2. Comprobar en el menú general files el tamaño del archivo, a veces puede que
no se termine de subir y tenemos que volver a subirlo. Comprobar que el
tamaño del archivo subido es igual al que tenemos en el escritorio.
3. Nos vamos al menú general System/Package y hacemos clic en el botón
Downgrade .
4. Automáticamente el equipo RouterBoard se va a reiniciar. ¡Debemos tener en
cuenta que el equipo no puede quedarse sin alimentación!
5. Por último comprobamos si el firmware hay que bajarlo a una versión anterior.
Copias de seguridad, backup, .rsc
Una de las tareas más importantes para un Network Manager es que debe
tener resuelto el sistema de backup de la configuración que tanto tiempo le ha llevado
www. institutowisp .com
hacer y que le permitirán restablecer el funcionamiento de la red en un corto periodo
de tiempo.
En este apartado explicaremos diferentes funciones que nos permitirán crear
un sistema de copias de seguridad con el sistema operativo Mikrotik RouterOs . A
continuación explicamos las ventajas e inconvenientes de generar cada uno de los
ficheros de seguridad de configuración:
Ficheros .backup
Estos ficheros nos vienen bien si hacemos configuraciones y vamos guardando copias
de seguridad, o si queremos restablecer el equipo a un estado anterior porque nos
hemos equivocado al hacer una configuración, basta sólo con seleccionar el archivo y
hacer clic en restaurar, automáticamente el equipo se reiniciará y tendrá de nuevo una
configuración anterior.
● Contraseñas: Debemos tener claro que la configuración tiene un usuario y
contraseña que debemos saber cual es, si la hemos cambiado después de
hacer la última copia, y no nos acordamos, tendremos que restaurarlo a
valores de fábrica para poder acceder a él y perderemos toda la configuración
antigua y la actual.
● Renombrar Interfaces: No existe ningún problema en cuanto a renombrar
interfaces virtuales, túneles, bridge, Ethernet o cualquier otra, siempre que esta
sea virtual, que nosotros mismos hemos creado en la configuración Mikrotik.
Sin embargo las interfaces físicas del equipo debemos dejarlas tal como vienen
de fábrica, si utilizamos Mini PCI para Routerboard con slot, debemos dejar los
nombres que se crean por defecto, wlan1, wlan2, wlan3… en cuanto a las
Ethernet ehter1, ether2, ether3… para identificar cada una de las interfaces es
mucho mejor insertar un comentario y nos podrá aportar mucha más
información sobre la interfaz.
● Restaurar copias de seguridad .backup en otros equipos Mikrotik : Es este
caso pueden pasar varias cosas, que se vuelvan a renombrar interfaces, que
se cargue la configuración y parte de esta no quede bien restaurada, o que la
configuración se haga tan complicada que lo mejor es restaurar a valores de
fábrica y empezar a configurar de nuevo. Tendremos que revisar la
configuración y corregir los errores, hay que tenerlo en cuenta…
Nota: Para insertar un comentario en una interfaz basta con seleccionarla y hacer clic
en la tecla “ c” del teclado y se abrirá una ventana para escribir texto o bien apretando
el botón del documento amarillo que aparece en la parte de arriba de la ventana.
www. institutowisp .com
Hacer una copia de la configuración .backup, abrir el menú general File y hacer
click en el botón Backup. Generará un archivo en el disco duro del equipo
RouterBoard que podremos extraer al escritorio simplemente con arrástralo.
A través de la consola debemos escribir los siguientes comandos:
System backup save name =(nombre del archivo que se creará)
Ficheros .rsc
Otra de las opciones que tenemos es la copia de seguridad .rsc . Esta copia de
seguridad genera un archivo de texto de toda la configuración del equipo o sólo del
apartado que nos interesa guardar o exportar.
Debemos tener en cuenta una serie de circunstancias para hacer uso de este sistema:
● Archivo de texto: Es un archivo de texto que podemos abrir desde cualquier
editor de texto y la información queda expuesta, así que cuidado donde dejáis
estos archivos porque pueden ver la configuración de vuestra red.
● No guarda contraseña: Otro de los inconvenientes o ventaja, al exportar la
configuración completa a un archivo de texto es que no exporta contraseñas de
acceso al sistema, por lo que una vez importada la configuración, debemos
crear una contraseña al equipo para impedir accesos no autorizados.
Para hacer una copia de seguridad a un archivo de texto debemos abrir la consola de
Mikrotik “N
ew Termina l” y escribir lo siguiente:
export file =(nombre del archivo que se creará). Exporta la configuración general de
Mikrotik RouterOS.
export compact file =(nombre del archivo que se creará). Exporta sólo las
modificación en la configuración que nosotros mismos hemos hecho. Es la más
recomendable
www. institutowisp .com
print terse file =(nombre del archivo que se creará). Nos permite hacer una
exportación de un apartado concreto dentro del sistema operativo
www. institutowisp .com
4. UBIQUITI NETWORKS PRIMEROS PASOS
Ubiquiti Networks, Inc., es una compañía estadouniden se proveedora que se dedica
principalmente al diseño de hardware de redes inalámbricas, tanto para la
comunicación a largas distancias, como para el despliegue de pequeñas redes wifi,
Acceso al equipo
Se hace mediante web, es decir, a través de cualquier navegador. Normalmente los
equipos Ubiquiti tienen por defecto la IP 192.168.1.20 ó 192.168.1.2.
Cuenta con un interfaz gráfica sencilla e intuitiva que vamos a ver por encima ya que
profundizaremos más en ella más adelante.
La primera ventana que nos aparece es la de la opción de menú MAIN , aquí se
muestra un resumen de la conexión.
En la opción WIRELESS encontramos la configuración relacionada con la radio del
equipo.
www. institutowisp .com
En la opción NETWORK vemos la configuración de red del equipo (wan, lan, dhcp
server, redirección de puertos, etc…).
Dentro de la opción SERVICES podremos modificar el puerto de acceso al equipo,
activar o desactivar servicios (SSH; Telnet, etc…)
www. institutowisp .com
En SYSTEM podremos cambiar el usuario y contraseña de acceso al equipo, reiniciar
la antena, resetearla y dejarla con la configuración de fábrica, ponerle un hombre al
equipo, cargar archivos de configuración, actualizar firmware del equipo…
A continuación veremos con más detalles la configuración de los equipos de cliente.
www. institutowisp .com
5. CONFIGURACIÓN CPE CLIENTE
5.1 Configuración equipos Mikrotik
5.1.1 Carga de archivos de configuración
A continuación vamos a explicar como subir y ejecutar un archivo de configuración
(cuya extensión es .rsc) que previamente tendremos en nuestro ordenador.
Abrimos el archivo con cualquier editor de texto (Bloc de Notas, Wordpad, Notepad ++,
etc), seleccionamos el contenido y lo copiamos.
Accedemos a nuestro equipo Mikrotik mediante winbox (ver más arriba), en nuestro
caso Routerboard SXT Lite y abrimos un nuevo terminal haciendo clic en New
Terminal y pegamos el contenido haciendo clic con el botón derecho del ratón dentro
de la ventana New Terminal y haciendo clic en Paste a continuación se cargarán todas
órdenes para la configuración de la antena. Una vez termine ya tenemos configurada
nuestra antena.
www. institutowisp .com
5.1.2 Conectar CPE a AP
Una vez configurada nuestra antena vamos a conectarla al AP con mejor señal. Para
ello vamos a escanear las redes que ve nuestra antena y después editar el Connect
List.
Para ver que AP nos viene mejor accedemos a la radio de la antena haciendo clic en
Wireless . En esta ventana viene la opción Scanner que al hacer clic se abre otra
ventana a parte y daremos a Start y nos aparecerán los APs que ve nuestra antena.
Localizamos el SSID de uno de nuestros AP y será éste el que pongamos en el
Connect List.
Para editar el Connect List hacemos clic en la pestaña con el mismo nombre y
editaremos la primera línea, en este caso SECTOR PRINCIPAL, haciendo doble clic
sobre ella y aparece una nueva ventana en la que tendremos que modificar el SSID ,
una vez hecho haremos clic en OK para guardar cambios y si todo está bien al lado de
la interfaz wlan1 nos aparecerá una R, la cual nos indica que estamos conectados al
AP.
www. institutowisp .com
5.1.3 Configurar PPPoE
Antes de poner el usuario y contraseña PPPoE en nuestra antena estos datos deben
estar creados en nuestro Radius. En este ejemplo vamos a utilizar el usuario pruebas
y la contraseña pruebas. Para poner estos datos debemos hacer clic en PPP y
editar el PPPoE que ya hay creado haciendo doble clic sobre él y se abrirá otra
ventana donde debemos hacer clic en Dial Out y poner nuestro usuario y contraseña.
Una vez puesto los datos le damos a OK para guardar cambios. Si todo ha ido bien a
la izquierda de pppoeout1 deberá aparecer una R
.
5.1.4 Cambiar nombre al dispositivo
5.2 Configuración equipos Ubiquiti
5.2.1 Cargar archivo de configuración
En este apartado se explicará cómo cargar un archivo de configuración que
deberemos tener guardado en nuestro ordenador.
Lo primero que hay que tener en cuenta, es que por defecto los equipos Ubiquiti
suelen tener la ip 192.168.1.20 para acceder a ellos con lo que lo primero que se debe
hacer es configurar la tarjeta de red de nuestro ordenador y ponerle una IP que este en
el mismo rango, para ello haremos lo siguiente:
www. institutowisp .com
Accederemos a la configuración de red de nuestro ordenador y pondremos por
ejemplo la siguiente IP. Como se puede ver sólo hemos puesto una IP del mismo
rango. No hace falta poner ni Puerta de enlace ni DNS.
Y nos aparece la siguiente pantalla, por defecto, el usuario es ubnt y la contraseña
ubnt. Elegimos el país Spain e idioma Español y marcamos la casilla para aceptar los
Términos. L uego hacemos clic en Login.
Una vez dentro del equipo aparece el menú principal en la parte superior, en el que
haremos clic en la opción S
YSTEM
www. institutowisp .com
Dentro de S
YSTEM e
n la parte inferior buscamos la opción S
ubir configuración.
Veremos un botón Seleccionar archivo y se abrirá una ventana emergente donde
deberemos buscar y seleccionar nuestro archivo de configuración. Una vez hecho esto
hacer clic en el botón S
ubir
Justo después de haber hecho clic en Subir en la parte superior nos aparece el
siguiente mensaje
Debemos hacer clic en Aplicar y con esto se cargará la configuración. La antena se
reiniciará y tendrá la configuración nueva.
El siguiente paso es volver a modificar la configuración de red de nuestro ordenador y
ponerla en automática.
www. institutowisp .com
Volvemos a nuestro navegador y ahora debemos poner la IP 192.168.1.1:8080 para
poder acceder a la antena. A continuación nos pedirá usuario y contraseña.
5.2.2 Conectar CPE a AP.
Hacemos clic en la opción W
ireless del menú superior y después en S
eleccionar
www. institutowisp .com
Cuando hacemos clic en Seleccionar aparece una nueva ventana en la cual se
muestra aquellos APs que el CPE puede ver. Tendremos que buscar cual o cuales son
nuestros aps y conectarnos a la red que mejor Señal/Ruido obtengamos.
En este ejemplo N0.AP1 y N1.AP2 serían nuestros APs y N0.AP1 es el que mejor
señal nos da con 62/61 dBm, así que sería este donde nos tendríamos que conectar.
Para ello marcamos el sector (en la imagen el cuadro azul) y pinchamos en
Seleccionar y volveremos a la ventana W
ireless.
www. institutowisp .com
Para guardar cambios y que nuestra CPE se conecte al AP tenemos que pinchar en
Cambiar y a continuación en Aplicar. Una vez que se han guardado los cambios nos
pinchamos en el menú superior en M
AIN para ver el estado de la conexión.
Nuestro CPE ya está conectado. Continuamos con la configuración.
5.2.3 Configurar PPPoE
En el menú superior hacemos clic en la opción N
ETWORK
www. institutowisp .com
5.2.4 Cambiar nombre al dispositivo
Para ello nos vamos a la opción S
YSTEM d
el menú
Sólo deberíamos modificar donde pone Nombre del dispositivo y poner el nombre del
cliente o código dependiendo como identifiquemos los clientes. Después para aplicar
cambios haríamos clic en C
ambiar y seguidamente en A
plicar .
5.2.5 Herramientas para el día a día
PING: P
ara hacer ping tanto a host interno como externo.
www. institutowisp .com
La herramienta PING se encuentra en la parte superior en el desplegable
Herramientas
Y se abrirá una nueva ventana donde deberemos añadir algunos datos
Por ejemplo: Queremos saber si la antena de un cliente tiene salida a internet pues
pondremos como IP de destino por ejemplo las de google (8.8.8.8). En Cuenta de
Paquetes pondremos el número de pines que queremos hacer y hacemos clic en
Iniciar, entonces la antena empieza hacer ping a la IP y muestra los resultados. Se
puede ver si pierde algún paquete (timeout), el tiempo mínimo, medio y máximo.
Esto mismo lo podemos hacer con cualquier IP interna como la de nuestro CCR para
ver el tiempo de respuesta que hay dentro de nuestra red.
www. institutowisp .com
6. FIREWALL
6.1 Redireccionar un puerto con MIkrotik RouterOS
res un WISP que asignan direcciones ip públicas a tus abonados, y uno de
E
tus clientes te pide que "abrir" los puertos para jugar online con su XBOX 360.
Te explicamos los pasos:
1. Debes conocer el número de puerto y protocolo que es necesario para jugar
online a su juego favorito, en este caso escogeremos el puerto 88 UDP.
2. Configurar la XBOX con una ip de rango privado y que no se encuentre
ocupada por ningún equipo de la red de tu cliente, además deber ser una ip
que has de extraer de la Pool que utilizas para el servidor DHCP. Es a esta ip a
la que vamos a redireccionar el puerto 88 UDP, escogeremos la ip
192.168.1.10.
3. Accedemos al equipo Routerboard en el menú general IP/Firewall/Nat y
añadimos una nueva ventana.
Pestaña General
● Chain : dstnat (Cadena)
● Protocol : udp (Protocolo)
● Dst.Port : 88 (Puerto de destino)
● In. Interface : pppoeout1 (Interfaz de entrada, debemos seleccionar la
interfaz wan del equipo, en este caso pppoeout1)
Pestaña Action
● Action: dstnat (nat de destino)
● To Address: 192.168.1.10 (Dirección ip del equipo que queremos
redireccionar el puerto)
● To Ports: 88 (De nuevo elegimos el puerto que utilizar el host interno del
cliente (XBOX)
www. institutowisp .com
4. Hacemos clic en OK. Se creará una nueva línea en el pestaña N
at d
el Firewall.
6.2 Puerto público a puerto interno con Mikrotik RouterOS
n un anterior Post explicamos como redireccionar un puerto público a uno
E
interno, pero que ocurre cuando el puerto que queremos asignar está ocupado por otra
aplicación. En este caso tendremos 2 opciones:
1. Cambiamos el puerto interno del host al que queremos redireccionar el puerto
público. Puede ser un quebradero de cabeza acordarse de todos los puertos si
disponemos de varios host, porque nos tendremos que acordar de la dirección
ip y el número de puerto correspondiente.
2. Cambiamos sólo el puerto público. Nuestra dirección ip pública, entendemos
que es fija y que no cambiará por lo que cambiar el número de puerto externo
es una solución mucho más fácil de recordar.
Escenario
La empresa "Maderas Robles" dispone de 3 cámaras de videovigilancia IP a las que
es necesario acceder desde el exterior para visualizar el estado de las máquinas. Si
nos encontramos en un pc dentro de la red local la dirección ip de cada una de las
cámaras es la siguiente:
Cámara 1 http://192.168.1.11
Cámara 2 http://192.168.1.12
Cámara 3 http://192.168.1.13
Anteriormente Maderas Robles ha contratado una ip Fija con su proveedor de Internet
y le ha sido asignada la dirección 5.26.158.8 y necesita hacer la redirección de puertos
para poder ver sus cámaras desde la oficina de la empresa que se encuentra ubicada
a 5 km de la Maderera en la zona urbana. Su proveedor le comenta que el puerto 80
no puede ser utilizado porque es utilizado para que el proveedor acceda en remoto a
su router.
www. institutowisp .com
Se ha decidido utilizar los puertos 81, 82 y 83 para visualizar cada una de las
cámaras de la planta.
El acceso a través de la ip pública será el siguiente:
Cámara 1 http:// 5.26.158.9:81
Cámara 2 http:// 5.26.158.9:82
Cámara 3 http:// 5.26.158.9:83
Cómo configurar el proveedor la redirección de puertos en el equipo Mikrotik:
1. IP/Firewall/Nat y añadimos una nueva entrada
Pestaña General
● Chain : dstnat (Cadena)
● Protocol : tcp (Protocolo)
● Dst.Port : 81 (Puerto de destino asignado a la cámara 1 (puerto
público))
● In. Interface : pppoeout1 (Interfaz de entrada, debemos seleccionar la
interfaz wan del equipo, en este caso pppoeout1)
● Coment : Cámara 1
Pestaña Action
● Action: dstnat (nat de destino)
● To Address: 192.168.1.1 (Dirección ip del equipo que queremos
redireccionar el puerto)
● To Ports: 80 (Indicamos el puerto de acceso interno que utiliza la
cámara 1)
www. institutowisp .com
2. Hacemos clic en OK. Se creará una nueva línea en el pestaña Nat del Firewall
para que se cree la entrada
3. Repetimos el proceso para la cámara 2 y 3 cambiando únicamente el puerto
público
6.3 Zona Desmilitarizada (DMZ Mikrotik)
DMZ es una red local ubicada entre una red interna y una red externa. El
objetivo de un DMZ es permitir las conexiones desde la red externa a un host de la red
interna. Debemos tener en cuenta que una vez activado el host de la red interna debe
estar protegido contra posibles ataques.
Multitud de dispositivos domésticos disponen de una opción que podemos
seleccionar para activar la zona, sin embargo Mikrotik no dispone de ninguna opción
para poder activarla. Existen diferentes configuraciones para poder realizar un DMZ,
en esta ocasión explicaremos la configuración básica.
¿Cómo crear un DMZ en Mikrotik RouterOS?
Pestaña A
ction ( menú superior)
●
Action: d stnat
●
To Address: 192.168.201.10 (dirección ip
del host interno al que vamos a
redireccionar todos los puertos)
2. Hacemos clic en O
K
www. institutowisp .com
Si queremos hacerlo desde N
ew Terminal:
/ip firewall nat
add action=dstnat chain=dstnat comment=DMZ ininterface=ether1 to
addresses=192.168.201.10
6.4 UPNP Mikrotik
Upnp es un conjunto de protocolos de comunicación que permite a los host que
están en red, descubrir de forma transparente la presencia de otros dispositivos en la
red y establecer comunicaciones, compartir datos y entretenimiento. Diseñado
principalmente para redes de hogar.
En este Post explicaremos cómo activar fácilmente UPNP en Mikrotik , los
pasos son los siguientes:
1. Accedemos al menú general I P/UPnP
2. Marcamos la pestaña Enable y OK
3. Hacemos clic en Interfaces, en esta misma ventana y añadimos una nueva
entrada
4. Indicamos la interfaz wan de nuestro equipo (en este caso ether1) y Type:
external
5. Hacemos clic en OK
Automáticamente se abrirán puertos de forma transparente para aquellos host
que utilizan aplicaciones que necesiten la redirección de puertos.
6.5 Filter Mikrotik RouterOS
En la wiki de Mikrotik (http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter)
podemos encontrar conceptos específicos sobre este apartado del Sistema Operativo.
Iremos explicando a lo largo de varios Post, de forma más gráfica, diferentes
escenarios y configuraciones que permitirán proteger nuestros dispositivos de red.
En primer lugar, la cadena de un firewall debe empezar siempre por permitir
aquellas conexiones que son fiables y seguras para nuestro router y la red que
tenemos detrás, esto nos permitirá que los paquetes no estén obligados a pasar por
www. institutowisp .com
toda la cadena del firewall para llegar a su destino. El objetivo es aumentar al máximo
el rendimiento de nuestros equipos y nuestra red en general.
Bloquear ssh
1. Menú general I p/firewall/filter y añadimos una nueva entrada
2. En la pestaña general Seleccionamos la cadena imput,
porque estamos bloqueando los ataques ssh al propio router.
3. Protocol: tcp
4. Dst.Port: 22
5. In. Interface : ether1, en nuestro caso seleccionamos la interfaz
que tiene una ip pública y que puede ser atacada desde
cualquier parte del mundo.
6. En la pestaña action cortamos
cualquier intento de conexión al
puerto 22 de nuestro equipo
7. Desde hace algunas versiones, podemos marcar la pestaña log e indicar un
prefijo para poder identificar rápidamente la dirección ip que nos está atacando
y bloquearla.
8. Repetiremos los pasos únicamente cambiando el número de puerto y el
protocolo si es necesario.
6.6 Crear una Pool en Mikrotik RouterOS
Una pool es un conjunto de direcciones ip, que posteriormente podrá ser utilizada por
un servidor, pppoe, dhcp, pptp... o cualquier otro servicio que precise asignación
dinámica de direcciones IP. Explicamos paso a paso cómo crear una pool:
1. Acceder al menú general I P/Pool y añadimos una nueva entrada.
www. institutowisp .com
2. Name: Indicamos el nombre para identificar la pool
3. Address: En este apartado debemos indicar las direcciones ip, o rangos de
direcciones ip que se podrán asignar en el servicio
4. Next pool: Existe la posibilidad de crear varias pool y que puedan estar
disponibles si la pool principal ha asignado la totalidad de las direcciones ip.
El disponer de varias entradas de pool suele utilizarse si tenemos configurado en el
mismo Mikrotik diferentes servicios. En ocasiones podemos encontrarnos que nuestro
rango de direcciones ips públicas es insuficiente a determinadas horas del día, por lo
que es conveniente disponer de un rango de direcciones ip de uso privado que
permitirá seguir asignando direcciones ip.
Otra aplicación que podemos tener con las pool son los impagos, los clientes que no
están abonando la prestación del servicio podemos introducirlos dentro de la pool
"Frac" y cortarle el servicio a internet y/o redireccionarlo a un servidor web que le
indique que el servicio ha sido cortado por problemas en sus pagos.
6.7 Nat Ubiquiti
Al igual que en el apartado REDIRECCIONAR UN PUERTO CON MIKROTIK, aquí
explicaremos como hacerlo en Ubiquiti . Vamos a utilizar el mismo ejemplo que en el
apartado de MIKROTIK.
Supongamos que uno de nuestros clientes necesita “abrir” un puerto para jugar con su
consola. Antes de nada debemos tener claro algunas cosas:
1. Debes conocer el número de puerto y protocolo que es necesario para jugar
online a su juego favorito, en este caso escogeremos el puerto 88 UDP.
2. Configurar la XBOX con una ip de rango privado y que no se encuentre
ocupada por ningún equipo de la red de tu cliente, además deber ser una ip
que has de extraer de la Pool que utilizas para el servidor DHCP. Es a esta ip a
la que vamos a redireccionar el puerto 88 UDP, escogeremos la ip
192.168.1.10.
Una vez claro los pasos anteriores entraremos en la antena Ubiquiti (ver apartado 5.2)
y haremos clic en NETWORK y buscamos el apartado Redirigir de puerto y
rellenamos los campos como se ven en la imagen.
En parte Privada:
● IP: 192.168.1.10 (IP de la consola)
● Puerto: 88
www. institutowisp .com
Tipo: Hacemos clic y aparece un desplegable elegimos el protocolo adecuado, en
nuestro caso UDP
En la parte pública:
● Puerto: 88
Comentario: XBOX, es aconsejable ir poniendo comentarios para saber que hacen
cada regla.
Por último haríamos clic en Agregar y para guardar cambios haríamos clic en
Cambiar y por último Aplicar
www. institutowisp .com
7. DALORADIUS
7.1 Crear perfil de velocidad y/o tiempo
Aunque en otros ebook o post explicaremos cómo “eliminar” queue simple en nuestro
router mikrotik para pasar a utilizar queue tree , en esta ocasión explicaremos cómo
crear un perfil de velocidad para asignar la ip a un address list de forma dinámica y
luego poder trabajar con ello.
Profile Name: Profile_1
Custom Attribute: MikrotikAddressList
Añadimos el Atributo (Add Attribute) e indicamos los siguientes valores:
Utilizamos Reply Atrributes
Indicamos el nombre de la lista: en este caso list_group_2 (:=)
Aplicamos cambios: A
pply
7.2 Crear usuario Daloradius
Una vez en la página principal de daloradius accedemos al menú
Management/User/New User, ojo!!! New User simplemente porque queremos crear un
solo usuario. (Una aclaración: En la imagen podemos observar una gráfica indicando
el número de usuarios que este servidor tiene creados en su base de datos)
www. institutowisp .com
Nos aparecerá la siguiente ventana (que hemos simplificado):
Password: Utilizar de forma aleatoria, si necesitáis recordarle siempre podréis volver a
consultarla de nuevo
Group: Por último elegimos el grupo que indicará el perfil de velocidad que nos ha
contratado el cliente.
7.3 Asignación IPS públicas estáticas secret Mikrotik RouterOS
Como sabéis la ley obliga a guardar un registro de direccionamiento público a los
Operadores. Una de las principales funciones de un servidor radius es guardar un
registro de las direcciones ip públicas asignadas nuestros clientes de forma dinámica o
estática y que cambia cada vez que apaga y enciende su router o antena.
Nos ponemos en situación…
Alguno de nuestros clientes ha cometido un delito informático o de pederastia, un
Agente nos ha entregado una orden judicial en el que se indica claramente los
siguientes datos:
www. institutowisp .com
Dirección ip pública: x.x.x.x
Fecha: 04/05/2015
Hora: 14:59 Gmt+1
La dirección ip pública y la fecha lo tenemos claro. Tenemos que tener claro también
que estamos en la misma franja horaria que nos indica la orden, sino lo tenéis claro
podéis preguntar a los propios agentes para que os ayuden a cuadrar la hora con la de
vuestro servidor, esto es muy importante para tener claro cuál de vuestros clientes ha
sido el infractor.
¿Cómo consultar el registro en daloradius?
Puede parecer un trabajo laborioso pero muy fácil. Acceso al menú A
ccounting
User Accounting: Tenemos la posibilidad de buscar el usuario si sabemos cuál es
pero normalmente no es es caso.
IP Accounting: I ndicamos la ip que queremos buscar
Date Accounting: Rango de fechas, podemos indicar el mismo día y que aparezca el
usuario con la ip, en este caso buscaremos en el tiempo de la sesión, día y hora de
inicio de sesión y día y hora de fin de sesión. O puede pasar que no aparezca nada, es
porque la sesión es mayor de un día, por lo que tendremos que aplicar el rango de
fecha para que sea por ejemplo 2 o más días
Asignando IPS públicas estáticas con secret Mikrotik RouterOS
En ocasiones podemos encontrarnos que algunos de nuestros clientes,
normalmente empresas, precisan de poder acceder a las cámaras de la empresa,
servidores, aplicaciones... para poder desarrollar su actividad laboral con normalidad.
Para asignar una ip pública fija seguiremos los siguientes pasos:
www. institutowisp .com
1. Extraer la ip fija que queremos asignar al cliente de la pool creada para
asignarla a los clientes. ( IP/Pool ). Es aconsejable empezar a asignar ips fijas
desde el inicio o en final del rango, de esta forma no tendremos que dividirlo.
2. Comprobar en la pestaña " Active Connections ", ubicada dentro del menú
general de Mikrotik RouterOs, que la IP que hemos extraído de la Pool no se
encuentre asignada en alguno de nuestros clientes, si es así debemos
removerlo para que vuelva a conectarse y adquiera otra de las direcciones
disponibles en ese momento.
3. En la pestaña Secret buscaremos el cliente al que vamos asignar la ip fija y
abrimos la ventana.
4. La ventana dispone de un campo " Remote Address " en el que insertamos la
IP Pública que anteriormente hemos extraído de nuestra Pool.
5. De nuevo en la pestaña " Active Connections " buscaremos al cliente al que le
hemos asignado la ip fija y lo removemos para que se vuelva registrar y
comprobamos que se le ha asignado la ip fija que hemos elegido.
La IP pública quedará siempre disponible para este cliente, podrá apagar su equipo y
cuando lo vuelva a conectar volverá a tener disponible su propia I P Pública fija.
7.4 Asignación IPS públicas estáticas Daloradius
Para asignar una ip pública fija en D
aloradius seguiremos los siguientes pasos:
1. Extraer la ip fija que queremos asignar al cliente de la pool creada para
asignarla a los clientes. ( IP/Pool ). Es aconsejable empezar a asignar ips fijas
desde el inicio o en final del rango, de esta forma no tendremos que dividirlo.
2. Comprobar en la pestaña " Active Connections ", ubicada dentro del menú
general de Mikrotik RouterOs, que la IP que hemos extraído de la Pool no se
encuentre asignada en alguno de nuestros clientes, si es así debemos
removerlo para que vuelva a conectarse y adquiera otra de las direcciones
disponibles en ese momento.
3. Entramos en nuestro servidor Radius y buscamos el usuario PPPoE que
queremos asignar
4. Una vez en la ficha del cliente, entramos en la pestaña atributos y añadimos el
atributo
www. institutowisp .com
5. En la pestaña Secret buscaremos el cliente al que vamos asignar la ip fija y
abrimos la ventana "A
ttributes ".
6. Añadimos un nuevo atributo. Quickly Locate attribute with autocomplete imput:
"FramedIPAddress" y hacemos click en Add Attribute
7. Nos aparecerá una ventana más abajo en el que tendremos que insertamos la
IP Pública que anteriormente hemos extraído de nuestra Pool.
8. Por último seleccionamos en los desplegables las siguientes opciones, tal
como se muestra en la imagen, y hacemos clic en Apply.
Op: (:=)
Target: (reply)
7.5 Qué hacer con los Impagos de los abonados Daloradius
Esta operación la haremos cuando algunos de nuestros clientes dejen de pagar su
cuota y hay que cortar su conexión . Simplemente hay que elegir el Profile
daloRADIUSDisableduser ( Ver punto: ¿Cómo crear un nuevo usuario en
freeradius y daloradius y asignarle un profile?)
Una vez hecho esto, tendremos que que ir a nuestro router principal Mikrotik RouterOS
e irnos a PPP /A
ctive Connections , buscar el cliente y eliminarlo. Veremos que se
desconecta y se vuelve a conectar con una IP diferente (IP que asigna la Pool de
Impagados previamente configurada).
www. institutowisp .com
8. CONFIGURACIÓN ROUTER WIFI ABONADOS
8.1 Router wifi TPLINK 841N
Para la configurar el router wifi TPLINK 841N lo primero que debemos hacer es
acceder al él. Por defecto los router TPLINK tienen la IP 192.168.0.1 asi que
deberemos configurar la tarjeta de red de nuestro ordenador y poner una IP dentro del
rango (192.168.0.0/24) por ejemplo la IP 192.168.0.21 (Ver principio del punto:
Configuración equipos Ubiquiti)
Una vez que nuestro ordenador tiene una IP del mismo rango procedemos abrir
cualquier navegador web y en la barra de direcciones escribimos la IP 192.168.0.1 y
nos saldra una pantalla para loguearnos (por defecto: usuario admin / contraseña:
admin)
Una vez dentro del router vamos a configurar la parte LAN (Network/LAN) para poder
acceder al router ya con una IP del mismo rango que asigna el DHCP server de la
antena del cliente.
En nuestro caso le vamos a poner la IP 192.168.1.2. Para guardar cambios hay que
hacer clic en S
ave
www. institutowisp .com
Una vez hecho esto deberemos poner la configuración de la tarjeta de red de nuestro
ordenador en automática (Ver principio del punto: Configuracion equipos Ubiquiti) ya
que desde ahora para acceder al router será desde la IP 1
92.168.1.2
Volvemos acceder a nuestro router con la IP 192.168.1.2 y nos logueamos
(admin/admin). Una vez dentro vamos a configurar el SSID y contraseña de la
conexión wifi . Para ellos nos vamos a Wireless/Wireless Settings ponemos el
nombre del S SID y hacemos en clic en S
ave para guardar cambios.
Ahora vamos a proceder a cambiar la contraseña. Para ello tenemos que hacer clic en
Wireless /W ireless Security y poner la contraseña que elijamos. Hacer clic en Save
para guardar cambios.
www. institutowisp .com
Por último, vamos a desactivar el Servidor DHCP del router ya que éste está creado en
la antena del cliente, es decir, el encargado de asignar IPs en la red local del cliente es
la antena no el router wifi. Para ello hacer clic en D
HCP y desactivarlo (disabled).
IMPORTANTE: hay que conectar el cable que viene del LAN del POE a uno de los
puertos amarillos (LAN) d
el router wifi, siempre que sea posible al puerto 1.
www. institutowisp .com
NOTA: En ocasiones algunos de nuestros clientes no van a necesitar una antena para
tener conexión a Internet. Por ejemplo tenemos en una comunidad un router o switch
central y la marcación PPPoE la puede hacer directamente el router wifi TPLINK 841N
de la siguiente forma:
Hemos visto un poco más arriba cómo cambiar la IP de la parte LAN del router wifi, en
este caso si queremos podemos dejar la que viene por defecto (192.168.0.1) y
modificar solo la parte WAN para que haga la marcación PPPoE de la siguiente forma:
Una vez dentro de nuestro router wifi haremos clic en Network/WAN en el tipo de
conexión elegimos PPPoE/Russia PPPoE y poner el usuario y contraseña PPPoE.
Para guardar cambios hacer clic en S ave.
Después configuramos el SSID y contraseña y desactivamos el servidor DHCP (ver
más arriba)
IMPORTANTE: con esta configuración hay que conectar el cable que viene del LAN
del POE al puerto azul (WAN) d
el router wifi.
8.2 Configuración router wifi Tenda
La configuración de un router wifi Tenda es muy similar a la que hemos visto en
el router TPLINK. Para la configurar el router wifi Tenda, lo primero que debemos
hacer, es acceder a la ip por defecto. Los router Tenda tienen la IP 192.168.0.1 asi que
www. institutowisp .com
deberemos configurar la tarjeta de red de nuestro ordenador y poner una IP dentro del
rango (192.168.0.0/24) por ejemplo la IP 192.168.0.21.
Una vez que nuestro ordenador tiene una IP del mismo rango procedemos abrir
cualquier navegador web y en la barra de direcciones escribimos la IP 192.168.0.1 y
nos saldra una pantalla para loguearnos (por defecto: usuario admin / contraseña:
admin)
Al acceder al router la primera pantalla que vemos es la que se muestra más abajo y
tenemos que hacer clic en A
dvanced
Para cambiar la IP en la parte LAN del router para poder acceder a él lo haremos
haciendo clic en LAN Settings que aparece en el menú y pondremos la IP, en nuestro
caso vamos a poner la 192.168.1.2 (recordar que después debermos acceder con esta
K
IP al router) después para guardar cambios haremos clic en O
www. institutowisp .com
Ahora vamos a configurar la parte wifi, es decir, cambiar el SSID y contraseña con la
que se va a conectar el cliente al router. Hacemos clic en Wireless y en el campo
Primary SSID pondremos el nombre de la red wifi. Para guardar cambios hacer clic en
OK
Para cambiar la contraseña haremos clic en Wireless Security y pondremos una
contraseña. Para guardar cambios hacer clic en OK .
www. institutowisp .com
Recordemos que el servidor DHCP está creado en la antena del cliente así que vamos
a desactivar el DHCP del router. Para ello hacemos clic en Advanced / DHCP Server
y desactivamos el D
HCP Server . Para guardar hacer clic en O
K .
IMPORTANTE: hay que conectar el cable que viene del LAN del POE en uno de los
puertos amarillos (LAN) d el router wifi.
Para que la marcación PPPoE la haga nuestro router Tenda hacemos clic en Home y
saldrá la pantalla de inicio. Marcamos la opción PPPoE y rellenamos los campos con
los datos PPPoe (usuario y contraseña). Después hacer clic en O
K .
IMPORTANTE: con esta configuración hay que conectar el cable que viene del LAN
del POE al puerto azul (WAN) d
el router wifi.
www. institutowisp .com
9. CONFIGURACIÓN ATA CLIENTE
NOTA : En este ejemplo se va utilizar un ATA Grandstream HT701
Antes de empezar con la configuración del ATA tenemos que saber que no podemos
conectarnos directamente a él mediante un cable. Por defecto los ATA obtienen IPs
mediante DHCP, así que deberemos conectarlo por ejemplo en la red de nuestra
oficina (donde debe existir un servidor DHCP activo) o bien configurarlo cuando
estemos en casa del cliente ya que será la antena la que le asigne un IP.
En nuestro caso la IP la va asignar la antena del cliente.
9.1 Configuración de ATA en equipos Ubiquiti
Para saber que IP le asigna la antena Ubiquiti a nuestro ATA debemos ver las
Concesiones DHCP. Normalmente sabremos que es el ATA aquel dispositivo que en
Nombre del Host viene en blanco (Ver punto: Herramientas para el día a día de
Ubiquiti). En nuestro caso le asigna la IP 1
92.168.1.125
Una vez que sabemos la IP de nuestro ATA la ponemos en cualquier navegador y
procedemos a su configuración. Por defecto la contraseña es a
dmin
www. institutowisp .com
Empecemos con la configuración. Solo hay que completar 3 campos: IP del servidor y
usuario y contraseña SIP. Para ello una vez dentro del ATA nos vamos a la opción
FXS PORT del menú y rellenamos campos. Una vez completamos los campos nos
vamos al final de la pantalla y hacemos clic en A
pply .
También tenemos que modificar los siguientes campos: Register Expiration (1) y
Preferred DTMF (RFC2833) t al y como se muestra en la imagen.
www. institutowisp .com
Si todos lo datos son correctos al hacer clic en la opción Status del menú principal nos
debería aparecer algo como esto:
● On Hook: T eléfono colgado
● Off Hook: T
eléfono descolgado
● Registered: S IP registrado
Como hemos dicho anteriormente, el ATA obtiene IP por DHCP pero esa configuración
la podemos modificar y ponerle a nuestro ATA una IP fija de la siguiente forma.
Hacemos clic en la opción Basic Settings del menú y seleccionamos statically
configured as y rellenamos con la IP que queremos (por ejemplo: 192.168.1.160 ) que
tenga nuestro ATA (al hacer este cambio el ATA desaparecerá de las Concesiones
DHCP de la antena Ubiquiti y habrá que acceder con la IP que pongamos)
www. institutowisp .com
9.2 Configuración de ATA en equipos Mikrotik RouterOS
Como ya hemos dicho varias veces por defecto el ATA obtendrá IP por DHCP, para
saber que IP le asigna nuestra antena Mikrotik debemos hacer los siguiente: Acceder a
la antena, hacer clic en IP /D HCP Server y clic en la pestaña Leases. Normalmente
podremos identificar el ATA aquel dispositivo que aparezca en Host Name en blanco o
desconocido En nuestro caso la antena le asigna la IP 192.168.1.251 así que será
con esta IP con la que tendremos que acceder a nuestro ATA poniendola en cualquier
navegador.
La configuración es igual que en el punto anterior .
www. institutowisp .com
10. TROUBLESHOOTING
10.1 Utilidad Ping
La Utilidad PING de RouterOS Mikrotik se encuentra ubicada dentro del menú
General: Tool/Ping.El objetivo de un ping es comprobar si un determinado host, que
está identificado por una dirección IP es accesible desde el equipo en el que nos
encontramos.
La herramienta dispone de otros parámetros configurables:
● Ping to: Dirección ip, MacAddress, Domnio, host al que le vamos hacer la
comprobación
● Elegir la interfaz desde la que queremos hacer el ping (Interface)
● Packetcount: Número de comprobaciones que queremos hacer al host
● Timeout: Tiempo de respuesta, expresado en ms.
● Src. Address: Dirección desde la que vamos a enviar la comprobación, se
encuentra en la pestaña Advanced
● PacketSize: Peso del paquete
● TTL: Tiempo de vida
www. institutowisp .com
10.2 Utilidad Profile
Mikrotik RouterOs dispone de la Utilidad Profile , se encuentra ubicada en el
menú General de herramientas Tools/Profile , nos indica el porcentaje de utilización de
CPU del equipo Routerboard en cada uno de los servicios o aplicaciones de las que
dispone.
El equipo puede estar trabajando con una CPU alta, sin embargo el uso del
equipo es bajo, puede ser que el firewall disponga de una regla mal colocada que esté
haciendo que la CPU del equipo Routerboard trabaje en exceso, la propia herramienta
Winbox a veces genera una alta carga de CPU, o cualquier otra utilidad del sistema
operativo M
ikrotik RouterOs . Idle es el espacio de CPU que está libre de trabajo.
10.3 Utilidad Bandwidth test
La Utilidad Bandwidth Test de Mikrotik RouterOs, nos permite realizar un test de
ancho de banda entre dos equipos Routerboard y conocer el tráfico real que pasará en
un enlace, bien sea por fibra, cobre o wireless.
Esta utilidad se encuentra ubicada en el menú general Tools/Bandwidth Test y nos
permite realizar las siguientes comprobaciones:
● Comprobar el ancho de banda de envío desde el
equipo que actúa como Servidor
● Comprobar el ancho de banda de recepción
desde el equipo que actúa como Servidor
● Identificar el protocolo de comprobación de ancho
de banda, UDP o TCP
● Insertar la dirección ip del equipo RouterBoard
con el que queremos comprobar el ancho de
banda entre host
● Debemos saber además el usuario y password
del equipo remoto, debe ser un usuario que tenga
habilitada la política de test.
● El test de ancho de banda que aparece en la
imagen nos indica el ancho de banda entre dos
equipos mirkrotik, este test se está haciendo con
el protocolo UDP y no tiene marcado el máximo
de ancho de banda, en Local Tx Speed y Remote
Tx Speed, que normalmente se utilizan para no
saturar enlaces wireless
www. institutowisp .com
10.4 Herramienta Torch
La herramienta TORCH de Mikrotik RouterOS se
encuentra ubicada en el menú general Tools/Torch y en uno de
los botones de la ventana de cada una de las interfaces del
equipo Routerboard. Ether, wlan, Vlan, Túneles.. cualquier
interfaz física o virtual dentro del equipo R
outerboard .
Nos permite analizar todo el tráfico que está pasando por
una interfaz en tiempo real y conocer parámetros como:
● Dirección de origen IPv4 (Src.Address)
● Dirección de destino IPv4 (Dst.Address)
● Dirección de origen IPv6 (Src.Address6)
● Dirección de destino IPv6 (Dst.Address6)
● Protocolo Mac: 802.2, arp, pppoe... (Mac Protocol)
● Protocolo: tcp, udp, icmp... (Protocol)
● Número de puerto (Port)
● Id VLAN (VLAN id)
● Transmisión y Recepción de paquetes (Tx Packets Rate y Rx Packets Rate)
● Transmisión y Recepción de bps (Tx Rate y Rx Rate)
10.5 Modificar la potencia de las antenas de abonado
En ocasiones nos encontremos que al realizar una instalación el cliente está muy
cerca del NODO y la señal es “demasiado buena” (30 / 40 dBm) y puede saturar la
antena, prouducir interferencias en nuestro propio nodo y molestar los equipos de
otros clientes. Por eso bajaremos la potencia de salida de la antena de abonado:
Equipos Mikrotik
Para limitar la potencia de salida de nuestra antena Mikrotik debemos modificar la
configuración de la radio. Para ello hacemos clic en Wireless y seguidamente doble
www. institutowisp .com
clic sobre wlan1 para abrir la configuración de la radio. En parte Antenna Gain iremos
probando el valor que más se ajuste a nuestras necesidades. A más alto el valor más
limitaremos la antena. El valor 0 no limita la potencia. Después haremos clic en OK
para guardar cambios.
Equipos Ubiquiti
Para limitar la potencia de salida de nuestra antena Ubiquiti nos iremos a WIRELESS y
buscaremos Out Power , moveremos izquierda (bajar potencia) o derecha (subir
potencia) el indicador dependiendo si queremos bajar o subir la potencia.
10.6 Mejora y alineación de la señal de radio
A la hora de hacer la instalación en casa del cliente es muy importante orientar muy
bien la antena tanto vertical como horizontalmente. Iremos moviendo la antena y
viendo la fuerza de la señal. Además iremos subiendo o bajando la potencia de la
www. institutowisp .com
señal como hemos indicado en el apartado anterior para que todos los clientes lleguen
a los APs más o menos con la misma intensidad de señal.
Intensidad señal equipos Ubiquiti. Lo veremos en la pestaña M AIN
Intensidad señal equipos Mikrotik. Lo veremos dentro de Wireless haciendo doble clic
en w
lan1 en la pestaña S
tatus
10.7 Utiliza el CPE adecuado
Aquí mostraremos de qué diámetro serán las antenas dependiendo de la distancia.
Ejemplos Ubiquiti:
● Para distancias en 710 km es recomendable utilizar una parábola de al menos 62cm.
PowerBeam 620
● Para distancias entre 37 km utilizar una parábola de 50cm. P owerBeam 500
● Para distancias entre 23 km recomendable utilizar una parábola de hasta 40cm.
PowerBeam 400
● Para distancias a partir de 10 km usar parábolas de 90100 cm.
Ejemplos Mikrotik:
● Antena: mAnt30 (70cm) / radio: Base Box 5
www. institutowisp .com
10.8 Desconexiones Wifi por fallos en la conexión a internet
En ocasiones se puede producir cortes en el suministro de internet en la casa del
cliente, es por ello que debemos detectar qué está ocasionando el problema en la
casa del cliente.
Comprobar Uptime en el Router Core
El dato que nos da Uptime es el tiempo que lleva
encendido nuestro Core desde el último apagado o reinicio
tanto programado como no programado.
Si es nuestro Core no se ve el Uptime lo podemos poner
haciendo clic con el botón derecho del ratón donde esta el
punto rojo en la imagen y añadirlo
Comprobar log antena (Mikrotik) cliente Lan Poe
Para ver el log de la antena simplemente debemos hacer clic en Log y nos mostrará
una ventana con información. En nuestro caso vemos que el ether1 se desconecta.
Deberemos comprobar si hay algún fallo en el Poe o en cable.
Comprobar log antena (Ubiquiti) cliente Lan Poe
Para ver el log de la antena simplemente debemos hacer clic en Log y nos mostrará
una ventana con información. Comprobaremos si hay algún error con la interfaz
ether1.
www. institutowisp .com
Comprobar tiempo leases dhcp cliente
Aquí se muestra el tiempo de conexión de los dispositivos del cliente, podremos
comprobar en tiempo real si tiene algún dispositivo (móvil, tablet, ordenador, etc.)
conectado a la red. Esto ya lo hemos visto en el apartado Configuración ATA Clientes.
En Mikrotik lo veremos haciendo clic en el menú en DHCP Server y después clic en la
pestaña L eases.
En Ubiquiti lo veremos en MAIN a bajo a la derecha Concesiones DHCP
Actualizar el Firmware del Router Wifi del cliente
Antes de nada deberemos descargar de la página web del fabricante la actualización y
guardarla en nuestro ordenador desde el cual vamos hacer la actualización.
TP LINK 841N
Para actualizar el firmware de nuestro TP LINK nos
iremos a System Tools/Firmware Upgrade.
Seleccionaremos el archivo que se encuentra en
nuestro equipo y le daremos a U pgrade
TENDA
Para actualizar el firmware de nuestro Tenda nos iremos a Tools/Upgrade.
Seleccionaremos el archivo que se encuentra en nuestro equipo y le daremos a
Upgrade
www. institutowisp .com
www. institutowisp .com
interferencias u otros componentes eléctricas como bobinas de inducción,
transformadores o elementos similares.
11.4 Repetidores wifi
1. En caso de ser necesario la instalación de repetidores wifi, utilizar PLC con wifi,
y hacer el transporte de datos a través del cableado eléctrico, mejora la latencia
de un punto a otro y la percepción y el servicio al abonado es mucho mejor.
2. En caso de no disponer de PLC los elementos repetidores deben quedar más
cerca el router wifi principal que de la zona en la que se pretende ampliar la
cobertura wifi, sino llega la señal al repetidor, mucho menos llegará a la en la
que queremos ampliar la cobertura wifi.
11.5 Cableado
1. Buscar la máxima facilidad en la bajada del cable desde la antena, patios
interiores, trenzado eléctrico, siempre que se pueda utilizar bridas.
2. Utilizar cableado con funda negra de exterior para las instalaciones de
abonados.
3. Utilizar elementos de fijación como grapas o bridas para el cable en el exterior.
4. Intentar en la medida de los posible alejar los cables de red de cajas y cables
de electricidad.
5. Dejar una pequeña “coca” de 1012 cm, que nos permita crimpar de nuevo el
conector con facilidad.
6. No dejar una “coca” que pueda hacer efecto de inducción en las instalaciones
de abonado.
7. En instalaciones de cableado por corrugado hay que tener especial cuidado
con al tirar del cable y con las rozaduras, que pueden ocasionar problemas de
conexión y desconexión de DATOS, a veces muy difíciles de detectar.
11.6 Transformadores
● Si es un problema muy común en la casa del abonado es posible que sea que
problema del enchufe donde está conectado el transformador.
● Existen algunas poblaciones en las que el suministro eléctrico es muy inestable
y provocan gran cantidad de problemas en los transformadores debiendo
cambiar el transformador por fallos de funcionamiento en el equipo. El síntoma
más común suele ser el sobre calentamiento. No es muy común verlo en más
de 2040 transformadores en la misma población.
11.7 Conectores
● Los hilos de los conectores deben quedar al final del interior del conector.
● El “apriete de la crimpadora de los pin metálicos debe ser homogéneo de tal
forma que queden perfectamente crimpados.
● Una pequeña parte de la funda del cable debe quedar dentro del conector rj45
● Encintar con cinta aislante la unión entre el conector y el cable, reforzará la
unión entre ambos.
www. institutowisp .com
● Dependiendo de la crimpadora, se debe cambiar de crimpadora en cuando su
funcionamiento se vea alterado y el resultado empiece a no ser el mismo que
cuando se compró.
● Si notamos que el conector rj45 macho para entrar en los rj45 hembra
debemos considerar de volver a apretar los 8 alambres, crimpar de nuevo, y en
último caso cambiar de crimpadora.
www. institutowisp .com
WWW. INSTITUTOWISP .COM
wisp@ instituto wisp.com