Hoy ha sido mi primer día del training oficial de Mikrotik al que estaba apuntado.

Ha sido una jornada intensa, sobre todo cuando hemos empezado a ver el filtrado y el marcado de paquetes.

Me ha sorprendido gratamente la calidad del curso y el buen hacer de los dos profesores: Alfonso y Alessio.

Y mañana empezamos con NAT!

Tercer update de la versión 3.0 de Mikrotik en menos de una semana!

Parece que se acercan ya a la versión final.

*) fix for rb100 - can change ethernet settings when interface in bridge/bond;
*) fixed problem - RouterOS did not boot on some routers
(reported disk not found);
*) fixed dns resolver - sometimes could not parse packets with AAAA records;
*) hide ppp interface & wireless passwords and keys in WinBox as well;
*) fixed traffic-flow - could hang multi cpu router and ignore targets sometimes;
*) fixed rb100 - ethernets could be set at random bandwidth limit after reboot;
*) console:
repaint whole screen after terminal size change while in editor
(same as pressing F5 or Ctrl-L). this solves numerous issues with
terminal resizing;
added more workarounds for the case when terminal is too narrow
(<4 characters);
now logical operators '&&' and '||' can also be written as 'and' and 'or';
removed 'where' and 'from' arguments of find command. now find command
can be followed by arbitrary expression that can use item properties,
e.g. "find dst-address in 192.168.0.0/16 and interface=wlan1";
added 'where' argument to print command. "print where " and
"print from=[find ]" are equal;
removed filters from firewall print commands, now write, e.g.,
"/ip firewall filter print where !dynamic" instead of
"/ip firewall filter print static";
*) web proxy: fixed crash on stopping proxy;

Un preview de lo que será la nueva RouterBOARD 1000.

Ojeando el blog de maxid, he encontrado este artículo acerca de cómo solventar problemas derivados de la fragmentación de paquetes con Mikrotik. Estos problemas pueden ser el acceso a páginas HTTPS, conexiones MSN, etc.

Para solucionarlo debemos cambiar el MSS con la una regla en el mangle. Existe una tabla de referencia:

Ya salió la nueva RC de Mikrotik, la 3.0rc6. Entre otras novedades que podéis ver en el changelog, lo que más me interesa es el soporte para marcar por Layer7 a través de WinBox.

Podemos añadir unos cuantos protocolos con este script (la lista es increíble). Para la siguiente versión prometen mejorarlo un poco.

Nueva “release candidate” de Mikrotik: la rc5.

Entre otras mejoras:

• Posibilidad de marcar paquetes por layer7!
• Nuevos y actualizados drivers de tarjetas
• Mejoras en la detección del protocolo ares/warez

Nueva versión de la beta de Mikrotik. Por el changelog:

*) console - removed undocumented scripting commands;
*) console - variable lookup now is done while parsing script:
variable name completion works
variables must be declared before use;
*) some of the fixes mentioned under v3.0beta8, did not got in v3.08beta8,
they are fixed now;

Parece que están ya puliendo para tener la definitiva.

Descarga

Para utilizar el cliente de Windows XP/2000 con L2TP para conectar a Mikrotik debemos desactivar IPSec. Para hacer esto, hay que meter un nuevo valor en el registro:

• Ejecutar regedit.exe
• Acceder a:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
• Añadir un nuevo valor DWORD llamado ProhibitIpSec
• Asignarle un valor hexadecimal 1
• Reiniciar

Esto desactivará IPSec para las conexiones L2TP, y se utilizará el protocolo MPPE (como en PPTP) para encriptar el tráfico.

Muchas veces nos encontramos con problemas de sonido y ecos entre terminales VoIP. Se habla mucho de los problemas provenientes de convertir la comunicación analógica en IP, pero en este caso me refiero a la comunicación IP-IP.

Es muy importante disponer de una red planificada al efecto, si se puede separar la voz de los datos, mejor. Unos switches gestionables que prioricen por tipo de tráfico sería estupendo. Pero la mayoría de los problemas vienen cuando la comunicación se realiza a través de Internet con usuarios nómadas u otras sedes. Aquí es donde implementar QoS es más necesario, y pocas veces se utiliza.

Con QoS podemos priorizar el tráfico de VoIP sobre el resto de servicios IP, incluso reservarle un ancho de banda exclusivo. Desde Excom, utilizamos Mikrotik como complemento a los proyectos de Asterisk y VoIP para implementar la calidad del servicio (QoS).

Por ejemplo, si utilizamos el servidor Asterisk exclusivamente para el servicio de VoIP, podríamos marcar los paquetes que entran y salen de este servidor:

/ip firewall mangle add chain=forward src-address=IP_Asterisk action=mark-packet new-packet-mark=VoIP disabled=no
/ip firewall mangle add chain=forward dst-address=IP_Asterisk action=mark-packet new-packet-mark=VoIP disabled=no

Luego darle una prioridad 1 a estos paquetes con una cola simple:

/queue simple add name=”Cola-VoIP” priority=1 packet-marks=VoIP disabled=no

Y a lo mejor limitar el resto de nuestro tráfico a 512 con una prioridad mucho más baja:

/queue simple add name=”Cola-Resto” priority=5 max-limit=512000/512000 disabled=no

Simplemente con esto mejoraremos notablemente la calidad de las conversaciones IP-IP entre sedes o con usuarios nómadas.

Es muy interesante una de las características añadidas a la beta de la versión 3 de Mikrotik: el IEEE 802.11e o WMM (Wireless Multimedia Extensions). Este protocolo trabaja en capa 2 OSI y “divide” el tráfico en 4 categorias:  Background, Best Effort, Video y Voice, permitiendo definir una prioridad a cada uno para definir las políticas de QoS.
Más info en maxid y el Wiki de Miktotik.