12

Configuración Firewall con Mikrotik RB1100 AHx2

Hola a tod@s.

En este post veremos cómo se configura el router Mikrotik RB1100 AHx2, para que funcione como firewall de nuestra infraestructura de red, este es un dispositivo, que a mí en particular me gusta bastante, por su versatilidad, buen funcionamiento y las cientos de opciones de configuración que tiene, en algún otro post mostraré como montar un servicio WISP con este dispositivo de Mikrotik y con algunos otros, balanceo de líneas ADSL´s, filtrado de tráfico con Filter rules, VPNs site to site y de acceso remoto, webproxy transparente, PPoE client, DNS cache transparente, limitación de ancho de banda con PCQ, etc, etc…, en fin, sobre estos dispositivos podríamos estar meses y meses escribiendo sobre ellos, por la cantidad de opciones que nos presenta.

  • Con los routers de Mikrotik podemos trabajar con la línea de comandos:

mfe_1

  • O bien con la aplicación Winbox, que la podemos descargar de la web de Mikrotik, nosotros vamos a trabajar con la aplicación winbox, ya que nos muestra una interface GUI con menús más amigable que el entorno de texto, aunque en muchas ocasiones vamos a tener que recurrir al modo texto, por ejemplo, no en este post, sino en otros que mostraré, para configurar el balanceo de líneas ADSL´s, para las reglas de filtrado, para la limitación del ancho de banda por PCQ, etc..
  • Empezamos con la configuración del router Mikrotik 1100 AHx2, para ello nos abrimos una sesión con el Winbox:

mfe2

  • Lo primero que haremos será darle un nombre al dispositivo:

mfe3

mfe4

  • Ahora vamos a renombrar las interfaces Ethernet, que en este caso, tenemos tres, una de ellas será la interface OUTSIDE que irá conectada directamente a Internet, otra será la INSIDE que será donde tenemos conectados nuestros servidores empresariales, y la otra la DMZ dónde tendremos servidores en la red perimetral, es decir, estos se ubicarán entre nuestra red interna y la red externa Internet:

mfe5

mfe6

mfe7

  • Una vez que tenemos renombradas las interfaces le aplicaremos el direccionamiento IP, para ello nos vamos a IP>Adresses:

mfe8

mfe9

  • Ahora configuramos la ruta por defecto para la salida a internet, que será un router ADSL con la dirección IP 192.168.14.205, para ello nos vamos a IP>Routes:

mfe10

  • Y configuramos la siguiente ruta estática:

mfe11

  • Ahora vamos a configurar el NAT para las redes INSIDE y DMZ, para ello nos vamos a IP>Firewall:

mfe12

  • Sobre la pestaña NAT configuramos primero la regla para la red INSIDE:

mfe13

mfe14

  • Ahora configuramos el NAT para la red DMZ:

mfe15

mfe16

  • Ahora vamos a configura el DNS caché, para ello nos vamos a IP>DNS:

mfe17

  • Configuramos los siguientes parámetros:

mfe18

  • Ahora vamos a configurar el DNS cache transparente (en realidad, esta parte de la configuración es opcional, ya que el servidor DNS lo vamos a configurar en el controlador de dominio, para que todos los equipos de nuestra infraestructura apunten a él como servidor de nombres, lo muestro por si a alguien le interesa), para ello nos vamos a IP>Firewall y pestaña NAT y crearemos estas dos reglas para la redirección del DNS, una para la interface INSIDE y otra para la DMZ:

mfe19

mfe20

mfe21

mfe22

mfe23

Todo lo que tenga como destino (dstnat), el puerto 53 (Dst. Port), con protocolo udp (protocol), y que entre por etherX (In. Interface), será redireccionado (redirect), al puerto 53 (To Ports).

La función del DNS Caché transparente es que los equipos de nuestra infraestructura que soliciten direcciones de internet, queden registradas en el router Mikrotik, y cada vez que los equipos soliciten de nuevo estas direcciones, sea el Mikrotik quien se las sirva, todo esto de una forma transparente para los equipos, agilizando así las comunicaciones.

  • Ahora vamos a crear una regla en el firewall para darle seguridad al DNS Caché y bloquear el acceso a este recurso desde Internet, así evitaremos ataques desde el exterior, para ello nos vamos a IP>Firewall y pestaña Filter Rules:

mfe24

mfe25

  • Ahora nos vamos a centrar en las reglas que hemos creado en el firewall para la topología de red que hemos propuesto, intentaremos explicarlas una a una:

mfe26

  • Desde la línea 15 a la 32 hemos configurado el Firewall para permitir o denegar el tráfico que nos interesa entre la red INSIDE y la DMZ:
  • De la línea 15 a la 18, creamos las cadenas de elementos a utilizar para configurar el tráfico.
  • En la línea 19 y 20 permitimos el tráfico ICMP entre estas dos redes.
  • En la línea 21 y 22 permitimos que el servidor MAIL01 se pueda conectar con el MX01 a través de terminal server (por escritorio remoto), y denegamos que MX01 se pueda conectar a MAIL01 a través de terminal server.
  • De la línea 23 a la 26 permitimos el tráfico LDAP Exchange EdgeSync – ADAM desde Active Directory, para que el MAIL01 (Servidor de correos) y el MX01 (Servidor perimetral) puedan sincronizar los datos de configuración de Active Directory, en este enlace podéis ver el proceso de sincronización de EdgeSync.
  • En la línea 27 y 28 permitimos todo el tráfico TCP entre MAIL01 y MX01.
  • De la línea 29 a la 32 permitimos el tráfico TCP entre el servidor de antivirus Kaspersky y el MX01, para que el servidor de correos perimetral (MX01) ubicado en la DMZ pueda actualizar su antivirus desde los repositorios del servidor Kaspersky que tenemos configurado en nuestra red INSIDE.
  • De la línea 36 a la 44 denegamos todo el tráfico entre las tres redes que hemos configurado INSIDE-DMZ-OUTSIDE.

 

Saludos y espero que os sea de ayuda, hasta otra 😉

 

ragasys

Técnico Superior STI

12 Comments

  1. Muy bueno el blog, el redireccionamiento de puertos lo haces en el router de movistar?

    • Hola txarly, me alegro que te guste el blog.
      En este caso no tenemos que hacer ninguna redirección de puertos, las reglas en el firewall Mikrotik están configuradas a nivel interno para permitir o denegar el tráfico entre la red interna (inside), red externa o salida al exterior (outside) y la red de la zona desmilitarizada (DMZ), en este post no está mostrado, ya que todavía no me ha dado tiempo a realizarlo, pero cuando esté montado el servidor de correos mail01 situado dentro de nuestra red interna (Inside) tenemos que redirigir el puerto 443 a la dirección IP del servidor mail01 (para que nos funcione el OWA), 443 –> 192.168.5.235 y cuando esté montado el servidor mx01 situado en la DMZ tenemos que redirigir el puerto SMTP 25 a la dirección IP del servidor mx01, 25 –> 192.168.3.10, esta redirección tendríamos que hacerla en el firewall Mikrotik, y en el router ADSL de Movistar tendríamos que redirigir estos puertos a las direcciones IP de las interfaces del firewalll Mikrotik, por ejemplo 443 –> 192.168.5.201 y 25 –> 192.168.3.201.

      Otra forma sería redirigir todos los puertos del router ADSL de Movistar al firewall mikrotik 0 – 65535 –> 192.168.14.201, y así toda la gestión y administración sería responsabilidad del firewall Mikrotik.
      Otra opción sería configurar el router ADSL de Movistar en modo Bridge y la interface outside del firewall Mikrotik como cliente PPPoE, y así también toda la gestión y administración sería responsabilidad del firewall Mikrotik.

      Saludos.

  2. Muchas gracias por la contestacion, muy bien explicado,aqui ya tienes un asiduo de tu blog diario. Entiendo que si dirigirias todos los puertos, seria lo que en un router domestico es la mitica ip de DMZ no?.
    Aun asi por lo que vi un dia en una empresa que trabaje me gusta mas la idea de que sea el firewall el que gestione todo(routing y firewall), un 2 x 1.

    Un saludo y gracias

  3. buenas.
    tengo dos lineas de 20 megas con un mismo proveedor, diferentes ip publicas y diferente gatwey, quiero hacer el balanceo de las dos pero con un rauter para balanceo y otro rauter para elc control aparte pero no encuentro en ningún lado como realizarlo, me podrías ayudar

    • Hola Carlos, con respecto a tu pregunta, quiero realizar un post explicando todo esto que me comentas, en mi barrio tengo un proyecto pendiente ,que engloba todo esto, en mi caso son tres líneas ADSL de 10 Mb con Movistar enlazadas a un Mikrotik RB450G que para el balanceo de líneas va genial , este router tiene cinco interfaces, tres de ellas las utilizo para el balanceo, una la dejo libre para usos futuros y la quinta realizo un punto a punto con el router de gestión, que en mi caso utilizo un Mikrotik RB1100 AHx2, en este router es donde se gestionan todos los clientes, le aplico el ancho de banda que quieran contratar(por PCQ), DNS caché, Webproxy transparente, reglas de firewall, en fin, toda la gestión, los tres routers ADSL los tengo en modo bridge y en el router Mikrotik RB450G configuro las tres interfaces donde enlazo las ADSL como PPOE client, es muy extenso para explicar por aquí, te mando a tu correo el PDF con el proyecto que estoy a punto de finalizar, en este PDF viene el diagrama de comunicaciones y todas las especificaciones de los dispositivos, pero la configuración es lo que quiero explicar en otros post, hay que teclear bastantes comandos, cuando tenga algo de tiempo quiero explicarlo en el blog.
      Saludos y muchas grcaias por leer el blog.

  4. Muchas gracias José Ramón eres un makina, te sigo en la sombra, tengo muchas cosas que aprender todavía, eres un gran profesional y te mereces los mejores honores.
    Saludos.

    • Muchas gracias David, me alegro que mi trabajo en el blog te pueda servir como ayuda y aprendizaje, es todo un placer.
      Saludos compañero.

  5. buenas, tengo un rb1100ahx2 con dos servicios de internet y un tercero exclusivo para las vpn con las sucursales donde tengo rb750 en cada lugar. Todo funciona perfecto hasta que implemento balanceo con los dos servicios que utilizo para la navegacion, las vpn siguen conectando pero no logro tener comunicacion a las sucursales, el trafico queda marcado y no sale por el servicio exclusivo de las vpn. Que puede ser?

    • Hola Franco, te aconsejo que cuando montes balanceo de líneas en los routers miktotik, dedica sólo ese router para hacer el balanceo de líneas, sin montar otros servicios como por ejemplo vpn, webproxy, cache DNS, para los demás servicios puedes utilizar otro router conectado a una interface del router sobre el que haces el balanceo, estando siempre en el mismo rango de direccionamiento IP las dos interfaces conectadas, este nuevo router es el que se suele utilizar para la gestión y administración.
      Saludos.

  6. Una regla para bloquear el uso compartido de datos a través de bluethoo e implementarla en mi Mikrotik

  7. Saludos, me interesa configurar lo siguiente: deseo que los correos que tengan la mismsa extension de mi dominio se mantengan dentro de mi lan y los que vayan dirigidos a un dominio diferente al de mi lan salgan hacia internet, como lo hago en mikrotik? gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *