MikroTik

WinBox para Android

Han publicado una aplicación en Google Play que permite poder ingresar a dispositivos RouterOS a través de API.

Su función trata de ser simil al Winbox pero está bastante limitado, hay que tener en cuenta que es una versión free y por ahora sus capacidades son pocas.

Para poder probarlo deberán bajar la aplicación y activar el API en el RouterOS

Google Play > Winbox

Ubiquiti AirOS v5.5 publicado

El 10 de Abril fue publicado el firmware que tanto se había estado haciendo esperar, la versión v5.5 del AirOS. En el listado de changelog hay una gran cantidad de agregado y soporte interesantes.

Este release ya soporta los nuevos modelos Bullet M2 y M5 Titanium. Nuevas funcionalidades importantes como el soporte de administración de Vlans, la opción de UPnP (Universal Plug and Play) para equipos en modo Router SoHo ya está disponible.

Como era de esperar ya los equipos empiezan a soportar IPv6, que sumado a los avance que ha tenido MikroTik en éste sentido, ya se pueden ir desplegando redes tipo Dual-Stack sin problemas para abordar el problema de los pocas IPv4 disponibles.

He resaltado los cambios que mas me llamaron la atención:

AirOS V Firmware Revision History
====================================================================
Supported products

  * Bullet M, Titanium
  * Rocket M
  * NanoStation M
  * AirGrid M / AirGrid HP M
  * NanoBridge M
  * PowerBridge M
  * PicoStation M
  * NanoStation Loco M
  * AirRouter
  * PowerAP N
  * Rocket M365
  * Rocket M900
  * NanoStation M365
  * NanoStation Loco M900
  * NanoBridge M365
  * NanoBridge M900
  * NanoBridge M3
  * PowerBridge M10

====================================================================
Version 5.5 - Final Release (April 10, 2012)
--------------------------------------------

New product support:
- New: Bullet M2 Titanium
- New: Bullet M5 Titanium

New functionality:
- New: Management VLAN support
- New: Advanced network settings configuration mode
- New: RADIUS MAC authentication Seguir leyendo...

Ultimo Momento: Entrenamiento MikroTik RouterOS en Lima, Per�

La semana próxima (del 16 al 20 de Abril) se estará brindando un entrenamiento MikroTik RouterOS en la ciudad de Lima, Perú. Se impartirán los conocimientos para prepararse para rendir las certificaciones MTCNA, MTCTCE y MTCUME. Tendrá también un workshop de DUDE, el sistema de monitoreo de redes.

En estos días se ha logrado un acuerdo con nuestro partner y se incorporarán al costo del entrenamiento un RouterBOARD y el derecho a rendir el exámen MTCNA.

Es una excelente oportunidad para tomar el entrenamiento ya que gracias a éste acuerdo se obtendrán mas beneficios para el participante.

Pueden ver mas información al respecto en el sitio de MKE Solutions. Chequear antes de registrarse la disponibilidad de cupos.

Arping: detectando IP duplicadas

Arping es una herramienta muy útil que nos permite hacer ARP Request y conocer si ciertos equipos están conectado o no en la red.

A diferencia del ping que es ICMP el cual es ruteable y puede pasar de red a red y conocer si un equipo esta activo o no. El Arping lo realiza a nivel de capa 2, es decir en el mismo segmento de red, por lo que es importante entender la diferencia de ellos para conocer su funcionamiento.

Esta herramienta también nos permite conocer si hay un IP duplicado en la red, ya que enviaremos un ARP REQUEST y obtendremos 2 Respuestas.

Ejemplo:

arping -I wlan0 192.168.10.129
ARPING 192.168.10.129 from 192.168.10.230 wlan0
Unicast reply from 192.168.10.129 [00:0C:42:39:5B:7D] 2.000ms
Unicast reply from 192.168.10.129 [00:0C:42:E4:B2:0D] 3.342ms
Unicast reply from 192.168.10.129 [00:0C:42:E4:B2:0D] 1.691ms
Unicast reply from 192.168.10.129 [00:0C:42:E4:B2:0D] 1.619ms
Unicast reply from 192.168.10.129 [00:0C:42:E4:B2:0D] 1.767ms
Unicast reply from 192.168.10.129 [00:0C:42:E4:B2:0D] 1.695ms
Unicast reply from 192.168.10.129 [00:0C:42:E4:B2:0D] 1.791ms
Unicast reply from 192.168.10.129 [00:0C:42:E4:B2:0D] 1.745ms
Sent 7 probes (1 broadcast(s))
Received 8 response(s)

Con IP duplicada

arping -I wlan0 192.168.10.129
ARPING 192.168.10.129 from 192.168.10.230 wlan0
Unicast reply from 192.168.10.129 [00:0C:42:39:5B:7D] 2.025ms
Unicast reply from 192.168.10.129 [00:0C:42:E4:B2:0D] 2.617ms
Unicast reply from 192.168.10.129 [00:0C:42:E4:B2:0D] 1.868ms
Sent 2 probes (1 broadcast(s))
Received 3 response(s)

Un poco de historia

Esta es una de las primeras memorias CF que venían con el RouterOS instalado. Eran de las versiones v2 en donde no había Winbox (se configuraba con un cliente Java simil) y las queues se manejaban diferente entre algunas cosas.

Recuerdo las primeras versiones que empece a utilizar fueron las primeras v2.3 y el RouterOS no era tan poderoso como lo es ahora, pero en esa época no había muchas opciones para limitar los anchos de banda y el rOS ya había empezado a solucionar la vida haciendo las limitaciones simples (no se hacía vía consola). Las simple queues se trabajaban diferente y se podía «compartir» un ancho de banda o hacer una queue dedicada.

La opción de manejar una tarjeta de VoIP QuickJack para convertir el router en un Gatekeeper de H.323 era una característica interesante que poseía en ese momento y que luego fue removida del Sistema Operativo.

Recuerdos del inicio…

Foto: Vía MikroTik

Cliente SSTP para Linux

En las ultimas versiones de Windows (Vista/7 y W2k8 Server) el protocolo VPN que ha sido incluido nativamente es SSTP, el cual permite tener un túnel PPP sobre SSL logrando una alta seguridad para establecer una VPN.

SSTP  es utilizado en vez de PPTP o L2TP ya que tiene la ventaja que es mucho mas difícil el bloqueo del mismo por firewall porque el trafico es transmitido vía HTTPS en el puerto 443, algo que puede ser considerado navegación segura y no tráfico de VPN. En el caso de Windows, si el sistema operativo no logra establecer la conexión con PPTP o L2TP intenta utilizar SSTP para lograrlo.

Por suerte ahora está disponible un cliente SSTP para Linux, las capacidades del mismo son:

  • Se conecta a un servidor RAS usando SSTP (Puede ser un MikroTik RouterOS)
  • Usa HTTPS con una fuerte encriptación en el puerto tcp 443
  • Soporta pon/poff con algunas distribuciones.

La forma de instalarlo es bajando su código fuente y compilarlo, ó a través de GIT e integrándolo con Network-Manager de Gnome para configurarlo.

En el sitio oficial del proyecto (hosteado en SF.net) se encuentran los pasos de instalación y compilación. Algunos ejemplos de configuración están disponibles con diferentes variantes.

MikroTik RouterOS ha incorporado en la versión v5 de su sistema operativo los módulos de Server y Cliente de SSTP para poder trabajar con una alta encriptación como alternativa a OpenVPN.

Mas información en el sitio del proyecto y en el wiki de MikroTik para la puesta en marcha del server.

 

Radius Manager v4.0 publicado

En el día de ayer fue publicada la nueva versión del Radius Manager v4.0 con algunos interesantes anuncios en su changelog.

Radius Manager es un radius creado por la empresa DMASoftLab basado en FreeRadius pero con desarrollos propios y que tiene una excelente interacción con algunos vendors, entre ellos MikroTik.

Resalté los agregados que me parecieron más importante.

Updates, changes:

*** v 4.0.0 *** 2012-02-13 ***
NEW FEATURES:
-support for DHCP based cable modem accounts (DOCSIS)
-RADIUS IP pool support
-the default mobile number is displayed upon verifying a self registered account
-ACP list users more sortable columns
-contract id search option
-Hotspot MAC and CM users can purchase credits in UCP
-already used email address or SMS number is not allowed in self registration
-already used SMS number cannot be used for account verification
-notify admin in email when a new user is registered
-self registration welcome email with username / password
-self registration welcome SMS with username / password
-notify admin in email when a new IAS is registered
-IAS welcome email (username / psw)
-IAS welcome SMS (username / psw)
-send email upon adding credits (ACP, UCP)
-password recovery through SMS, email
-automatic MAC binding option for regular, card and IAS accounts
-write off option for managers
-PIN prefix field in card generator
-carry over remaining credits to next month (auto renew option)
-VAT id as optional self registration mandatory field
-remember last selected account type in new user form
-remember last selection in search invoices form
-account type selector in find users form
-option for disabling the grouping of decimals on invoice form
-filter postpaid payment status in list invoices form
-search for active / expired users, cards and IAS accounts
-search for used / unused accounts
-find users form remembers last selected checkbox status
-list and search refill cards
-the default sim-use value can be specified in system_cfg.php (useful for pfSense)
-definable additional traffic unit
-search invoice by account owner
-card print pdf series number
-online RADIUS users list show groups
-wireless signal monitoring
-enhanced online RADIUS users view
-geolocation field in edit user form
-CTS access permission flag
-enhanced traffic summary view
-new service flag: ignore static IP
-default sim-use is definable for self registered users

Un buen producto que se puede implementar fácilmente y sus costos son accesibles, mas aún ahora que están en promoción las compras de varias licencias (multiple licenses) que llegan hasta el 50% de descuento del valor real.

Puede verse sus bondades en el sitio oficial y para su descarga previamente hay que registrarse. Tiene una opción de demo que debe ser solicitada a la empresa vía un formulario en donde luego te envian un Key temporario para el testeo de la solución.

MrDNS: Una herramienta necesaria para el SysAdmin

Esta herramienta la vengo utilizando relativamente hace poco y la verdad que es muy útil por todas las opciones que tiene, sin duda un recurso necesario.

Entre todas las opciones que tiene permite conocer el SPF (Sender Policy Framework) de un dominio. Múltiples consultas de IP en listas de SPAM. Consultas DNSSEC, etc.

La mas «visual» de todas es un traceroute que hace desde los servidores donde se encuentra alojado hasta el IP que se le introduzca en la consulta y te va colocando en un mapa de Google los diferentes hops por lo que pasa el paquete. Me ha servido mucho para encontrar malos ruteos cuando se utiliza BGP (no malos, sino malas publicaciones sería lo correcto) utilizando esta herramienta.

La lista de utilidades son muchas y se pueden probar desde el sitio online.

MrDNS.com

Generador de Certificados SSL auto-firmados

Muchas veces estamos en entornos de desarrollo y necesitamos utilizar un certificado SSL para realizar alguna aplicación con seguridad encriptada de datos.

Sucede que para generar los certificados debemos realizar algunos pasos para la creación de llaves desde la consola (Linux). Existe un sitio en donde su administrador comenta que al website lo creó ya que le daba pereza cada vez que tenía que crear un certificado buscar los pasos para hacerlo ya que no se los acordaba de memoria.

El sitio Self Signed Certificate es un generador de certificados autofirmados, nosotros le colocamos el dominio –Server Name–  y nos devuelve la llave pública y privada para luego ser importada en un servidor; también devuelve las lineas de configuración para utilizarlo en un Apache por ejemplo.

Este mismo servicio puede ser utilizado para generar los certificados para trabajar con OpenVPN o SSTP en MikroTik sin necesidad de hacer los diferentes pasos manuales para hacerlo.

Recuerden que este certificado dará una alerta ya que no esta firmado por una entidad de confianza conocida, pero no es mas que eso, una alerta. Si se desea se puede comprar algún certificado real en entidades como Verisign o Thawte; también si es personal puede ser conseguido gratis desde StartSSL.

Una excelente herramienta de trabajo para el administrador de sistema.

Self Signed Certificate

Semana de IPv6 en la regi�n

Desde el día de ayer (6 al 12 Febrero) se inició la semana de IPv6 en la región. Brasil y Argentina a través de las instituciones respectivas han anunciado las pruebas de funcionamiento con este protocolo.

La misma servirá para poder conocer, proyectar y concientizar sobre la implementación de IPv6. Acompañado por los grandes proveedores de contenido la prueba se ha iniciado satisfactoriamente.

Pueden encontrar mas información sobre como participar de la prueba y a su vez dejar los datos para un sorteo a todos aquellos que se hayan registrado con IPv6 al sitio del concurso.