IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

RouterOS

De SergiTurWiki
Share/Save/Bookmark
Dreceres ràpides: navegació, cerca
http://www.ryohnosuke.com
http://www3.uji.es/~vrubert/taller-mikrotik/#23
thumbs
thumbs

Qüestions generals

Nivells de llicències

Accés

Accés per IP: Factory Defaults

IMPORTANT: Les dades per defecte les sol posar a la caixa del dispositiu

  • IP: 192.16.88.1
  • Usuari: admin
  • Paraula de pas: cap paraula de pas (nota: en algun sistema potser és admin?)

TODO: Exemple de la configuració per defecte de la RB750.

The following default configuration has been installed on your router:

ether1 is renamed to ether1-gateway  
DHCP client and masquerade is set on ether1-gateway  
ether2 is renamed to ether2-master-local and configured as switch master port for ether3-ether5  
IP address 192.168.88.1/24 and DHCP server is set on ether2-master interface  
DHCP servers address pool is 192.168.88.10-192.168.88.254  

You can click on "Show Script" to see the exact commands that are used to add and remove this default configuration.To remove this default 
configuration  click on "Remove Configuration" or click on "OK" to continue. 
 
NOTE: If you are connected using the above IP and you remove it, you will be disconnected.

TODO: Captura de pantalla i penjar aquí una copia de l'script routerOS

Accés per MAC

Els dispositius routerOS utilitzen el protocol CDP que permet que els dispositius RouterBoard s'anunciïn a la xarxa i d'aquestà manera el pugueu detectar automàticament utilitzant l'eina winbox.

Winbox és una aplicació per a Windows (winbox.exe). Per poder executar-la en Ubuntu hem de tenir instal·lat el programa wine.

Router sergi jaume 2.png
Pantalla inicial
Router sergi jaume 3.png

Fiquem IP (192.168.88.1), login (admin) i Password (sense contrasenya). Cliquem Connect.

Router sergi jaume 4.png

TODO: tcdump per veure els anuncis...

$ tcpdump TODO

IMPORTANT: . Per tal que funcioni correctament el protocol CDP cal tenir definit un gateway a la interfície del ordinador on esteu directament connectar a la routerboard. TODO: explicar el perquè (ruta que no retorna)...

Amb la següent captura:

$ tcpdump
TODO

Podeu veure que no s'utilitzen IPs per a la comunicació (és fa una comunicació pura a nivell 2).

TODO:

El servei es proporcionat per un servidor de MACs:

Tools/MAC Server

Es pot accedir per MAC a:

TODO:captura de pantalla

Per defecte l'accés al winbox éstà disponible des de totes les interfícies de xarxa.

TODO: Documentar el port del MAC server:

2000/tcp open  cisco-sccp

Posar exemple amb nmap.


Manual

Secció interfaces

Router sergi jaume 41.png
  • Primera pestanya: Interface. Amb la icona + podem afegir una nova interface (VLAN, Bridge, ...). Si seleccionem alguna interface que tenim ja creada, podem eliminar-la, activar-la o desactivar-la o ficar comentaris. També podem filtrar per nom, comentari, ... (icona semblant a un embud).
  • Segona pestanya: Ethernet. Mostra les interfaces que són d'Internet. També podem activar, desactivar, ficar comentari i filtrar.
  • Tercera pestanya: EoIP Tunnel. Crea un pont (bridge) entre 2 routers.
  • Quarta pestanya: IP Tunnel. És semblant a l'opció anterior, però la diferència es troba en que es realitza a través d'Internet (amb les IPs públiques).
  • Cinquena pestanya: GRE Tunnel. Igual que l'anterior però amb la diferència que suporta més coses (per exemple, transportar tràfic multicast i IPv6).
Router sergi jaume 43.png
  • Sisena pestanya: VLAN. Xarxa d'àrea local virtual. Podem crear xarxes lògiques independents dins d'una mateixa xarxa física.
  • Setena pestanya: VRRP. Protocol de redundància virtual. Augmenta la disponibilitat de la porta d'enllaç, donant servei a màquines en la mateixa subxarxa.
  • Vuitena pestanya: Bonding. Ficar 2 o 3 targetes de xarxa amb la mateixa IP (fent la mateixa feina). Així aconseguim redundància en el balanceig de càrrega i tolerància a errades en la interface.

VLANs

http://forum.mikrotik.com/viewtopic.php?t=24352&f=2

Les interfícies VLAN són interfície virtuals, és a dir són interfícies de xarxa que físicament no existeixen. Les interfícies virtuals com en el cas del IP Aliasing, el WDS o altres tipus d'interfícies virtuals, sempre van associades a una interfície física real (una etherX).

IMPORTANT: vegeu també l'article Vlan

Hi ha dos tipus de configuracions:

  • Capa 3: Es fa a l'apartat Interfaces (/interface)
  • Capa 2: Es fa a l'apartat Switch (/interface ethernet switch). Aquí hi ha 4 subapartats (consulteu routerOS switch) però només utilitzarem ports, rule i vlan. Consulteu també switchOS el sistema operatiu de Mikrotik per a commutadors com els RB 250X

Capa 2

Ports:

/interface ethernet switch port> print
TODO: Captura de pantalla

TODO: traduir:

Vlan-mode can take following values:

  • disabled: - ignore vlan table, treat packet with vlan tags just as if they did not contain a vlan tag;
  • fallback: - the default mode - handle packets with vlan tag that is not present in vlan table just like packets without vlan tag. Packets with vlan tags that are present in vlan table, but incoming port does not match any port in vlan table entry does not get dropped.
  • check: - drop packets with vlan tag that is not present in vlan table. Packets with vlan tags that are present in vlan table, but incoming port does not match any port in vlan table entry does not get dropped.
  • secure: - drop packets with vlan tag that is not present in vlan table. Packets with vlan tags that are present in vlan table, but incoming port does not match any port in vlan table entry get dropped.

TODO: Captures de pantalla winbox.

Vlan-header option (configured in /interface ethernet switch port) sets the VLAN tag mode on egress port. This option can take the following values:

  • leave-as-is - packet remains unchanged on egress port;
  • always-strip - if VLAN header is present it is removed from the packet;
  • add-if-missing - if VLAN header is not present it is added to the packet.
Exemple senzill. Isolar dos dispositius d'una xarxa física

NOTA: L'exemple pot semblar un exemple tonto i de fet és un exemple juget, l'única utilitat del mateix és pedagògica. Ara bé la isolació completa pot ser total si també configurem el commutador...

TODO: Seguiu els passos de: En comptes de HUB el commutador de l'aula ja farà el cas. Només necessiteu dos RB, utilitzeu ordinadors 
Linux que no estiguin a la VLAN per comprovar la isolació)
Trunking i encaminament entre VLANs
TODO: Gràfica per entendre on es fa cada configuració. Que Apareguin tant commutadors com routers i es faci trunking

Aquest tipus de configuracions també s'anomenen Router-On-A-Stick.

Configurar un port per a formar part d'un trunk es pot fer tant en capa 2 (el port forma part d'un commutador) com en capa 3 (el port forma part d'un router).

La configuració més senzilla és la de capa 3. Només cal afegir interfícies virtuals amb les vlans que es volen agregar al port. Suposem que volem configurar el trunking a la interfície ether1 d'un encaminador i fer que formi part de les vlan 1, 2 i 3:

/interface vlan
add name=VLAN2 vlan-id=2 interface=ether1 disabled=no
add name=VLAN3 vlan-id=3 interface=ether1 disabled=no
add name=VLAN4 vlan-id=4 interface=ether1 disabled=no

Ja esteu fent trunking. Normalment a més voldreu assignar al router una IP de cada vlan:

/ip address 
add address=10.10.20.1/24 interface=VLAN2
add address=10.10.30.1/24 interface=VLAN3
add address=10.10.40.1/24 interface=VLAN4

NOTA: Tingueu en compte que això afegirà automaticament les rutes a la taula de rutes de l'encaminador rotuerBoard i com per defecte el router té activat IP forwarding aleshores esteu connectant les xarxes vlan entre si.

Automàticament les xarxes VLAN es veuen entre si però passant per l'encaminador i no pas pel switch. Això permet que configureu el firewall de capa 3 per indicar quins trànsits permetreu i quins no.

TODO: Captura de pantalla de com queda la configuració a winbox

Un altre tema és la configuració de capa 2, és a dir configurar routerOS en un port que forma part d'un commutador (Consulteu routeros switch). El següent gràfic ens ajudarà a entendre el que volem fer:

TODO: Gràfic commutador routerOS amb trunking extret de: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Example_-_802.1Q_Trunking_with_Atheros_8316

El primer que cal fer és assignar el vlan-mode i el vlan-header mode al egress de cada port. S'estableix el mode vlan-mode=secure per assegurar-se que és va un ús stricte de la taula VLAN. S'estableix el mode vlan-header=always-strip als ports d'accés (elimina la capçalera VLAN de la trama Ethernet quan aquesta deixa el chip del commutador)

/interface ethernet switch port
set 1 vlan-header=always-strip vlan-mode=secure
set 2 vlan-header=always-strip vlan-mode=secure
set 3 vlan-header=always-strip vlan-mode=secure
set 4 vlan-header=add-if-missing vlan-mode=secure

Amb això forcem el vlan-mode a secure i marquem els ports 1, 2, 3 com untagged i el port 4 com tagged.

NOTA: Els valors 1,2,3 i 4 corresponen a la primera columna dels ports que apareixen al executar /interface ethernet switch port print o la primera columna a l'entorn gràfic a la pestanya ports. Com es comença a comptar des de zero els valors 1,2 i 3 corresponen als ports d'accés (ether2, ether3 i ether4) i els valor 4 al port eth5 (trunk port)

TODO: Afegir captures de pantalla de com queda Winbox i com es faria el mateix (de totes les comandes) per l'entorn gràfic

Ara cal posar les normes de forwarding per als ports d'accés (access ports) i per al port troncal (trunk port). El Default VLAN-ID s'ha de canviar a les trames Ethernet untagged que entren pels ports d'accés abans de que siguin redireccionats al port de sortida (egress port) que és el port troncal. A més els frames rebuts pel trunk port han de ser reenviats cap al port d'accés que pertoqui segons el VLAN ID que continguin. Les normes són:

/interface ethernet switch rule
add new-dst-ports=ether2 ports=ether5 switch=switch1 vlan-header=present vlan-id=200
add new-dst-ports=ether3 ports=ether5 switch=switch1 vlan-header=present vlan-id=300
add new-dst-ports=ether4 ports=ether5 switch=switch1 vlan-header=present vlan-id=400

que corresponen a les normes per passar del troncal als ports d'accés i viceversa:

/interface ethernet switch rule
add new-dst-ports=ether5 new-vlan-id=200 ports=ether2 switch=switch1 vlan-header=not-present
add new-dst-ports=ether5 new-vlan-id=300 ports=ether3 switch=switch1 vlan-header=not-present
add new-dst-ports=ether5 new-vlan-id=400 ports=ether4 switch=switch1 vlan-header=not-present

Ara cal afegir a la taula VLAN les entrades que permetran marcar els paquets amb un VLAN-ID especific als ports ingress:

/interface ethernet switch vlan
add ports=ether5 switch=switch1 vlan-id=200
add ports=ether5 switch=switch1 vlan-id=300
add ports=ether5 switch=switch1 vlan-id=400
add ports=ether2,ether3,ether4 switch=switch1 vlan-id=0

Per a configurar dispositius purament commutadors podeu utilitzar també la interfície web:

http://wiki.mikrotik.com/wiki/SwOS/Router-On-A-Stick


Bridge

  • Primera pestanya: Bridge. Per fer ponts.
  • Segona pestanya: Ports. Per afegir ports als ponts.
  • Tercera pestanya: Filters. Per filtrar per paquets específics.
  • Quarta pestanya: NAT. Per traduir IPs (públiques a privades i de privades a públiques).
  • Cinquena pestanya: Hosts. Mostra totes les MACs que estan en la mateixa xarxa.

Secció PPP

Consulteu Mikrotik PPP

  • Primera pestanya: Interface. Per fer connexions punt a punt.
  • Botó PPP Scanner: Seleccionem una interface i serveix per detectar altres dispositius per crear els enllaços punt a punt.
  • Botó PPTP Server: Mostra les interfaces per cadascú dels clients PPTP connectats.
  • Botó SSTP Server: Per fer un punt a punt xifrat.
  • Botó L2TP Server: Tunel segur per al transport de tràfic IP a través de PPP.
  • Botó OVPN Server: Protocol VPN (xarxa privada virtual - Virtual Private Network) que pot utilitzar un proxy.
  • Botó PPPoE Scan: Per obtenir IPs públiques.
  • Segona pestanya: PPPoE Servers. Per crear servidors PPPoE.
  • Tercera pestanya: Secrets. Emmagatzema registres d'accés dels usuaris.
  • Quarta pestanya: Profiles. Defineix valors predeterminats per als registres d'accés d'usuaris.
  • Cinquena pestanya: Active Connections. Mostra totes les connexions establertes mitjançant TCP.

Secció wireless

  • Primera pestanya: Interfaces. Amb la icona + podem afegir VirtualAP, WDS o Nstreme Dual. Si seleccionem alguna interface que tenim ja creada, podem eliminar-la, activar-la o desactivar-la o ficar comentaris. També podem filtrar per nom, comentari, ... (icona semblant a un embud).
  • Botó Scanner: Per trobar xarxes.
  • Botó Freq. Usage: Podem mirar les freqüències que s'estan utilitzant i el percentatge d'ús.
  • Botó Alignment: Podem posicionar les antenes.
  • Botó Wireless Sniffer: Per esnifar paquets de xarxes wifi.
  • Botó Wireless Snooper: Pots supervisar la càrrega de trànsit en cada canal.
  • Segona pestanya: Nstreme Dual. Protocol propietari de Mikrotik (incompatible amb altres fabricants). Millora el desenvolupament dels enllaços inalàmbrics (redueix el temps d'accés en el medi i redueix l'overhead de les trames, augmentant així la velocitat de transmissió).
  • Tercera pestanya: Access List. Conté les adreces MAC dels clients.
  • Quarta pestanya: Registration. Informació dels dispositius que estan connectats.
  • Cinquena pestanya: Connect List. Llista de regles (l'ordre és important) que determina quin dispositiu es connecta.
  • Sisena pestanya: Security Profiles. Contrasenyes.

Secció IP

  • ARP: Mostra la llista d'IP. La D vol dir dinàmic (s'han quedat pel protocol ARP). Si fiquem una IP i una MAC estàtica, podrem evitar atacs.
  • Accounting: Permet als administradors portar un control del tràfic.
  • Addresses: Per configurar la IP del dispositiu.
  • DHCP Client: Dona IPs dinàmiques.
  • DHCP Relay: És un proxy que pot rebre una sol·licitud de DHCP i reenviar-lo al veritable servidor DHCP.
  • DHCP Server: Per donar DHCP als clients.
  • DNS: Configurem el servidor de DNS i el client. En Settings configurem la part client. Activar el server és activar el check-box “Allow Remote Requests” (qualsevol client que estigui activat al router pot ficar el router com a servidor DNS).
  • Firewall: Per establir regles de seguretat, traducció d'IPs (NAT), connexions d'IPs, ...
  • Hotspot: Proporciona autenticació per als clients abans d'accedir a les xarxes públiques.
  • IPsec: Conjunt de protocols definits per la Internet Engineering Task Force (IETF) per garantir un intercanvi de paquets a través de xarxes no protegides IP/IPv6 com, per exemple, Internet.
  • Neighbor List: Mostra una llista de dispositius compatibles amb MNDP (Mikrotik Neighbor Discovery Protocol) o CDP (Cisco Discovery Protocol).
  • Packing: Ofereix un servei de paquets d'envasos en els enllaços de xarxa. Permet l'agregació simple de paquets en grans paquets i compressió dels continguts dels paquets.
  • Pool: S'utilitzen per definir el rang d'adreces IPs que s'utilitzen pel servidor DHCP i els servidors de punt a punt.
  • Routes: Llista de rutes que utilitza fins arribar al router principal.
  • SNMP: S'utilitza per representar gràficament les dades amb diverses ferramentes. S'ha d'activar per poder monitoritzar.
  • Services: Serveis disponibles que té el dispositiu i que poden estar activats/desactivats. Exemples: ssh, telnet, ...
  • Socks: Servidor proxy que permet l'enviament de dades d'aplicacions basades en TCP tot i tenir servidors de seguretat pel mig. És independent dels protocols d'aplicacions. Per tant, es pot utilitzar amb molts serveis (WWW, FTP, Telnet, ...).
  • TFTP: Trivial File Transfer Protocol. S'utilitza per transferir arxius. Cada paquet no terminal es reconegut per separat.
  • Traffic Flow: Proporciona informació estadística referent als paquets que passen pel router.
  • UPnP: Permet la comunicació de dades entre dos dispositius sota el control de qualsevol dispositiu de control en la xarxa.
  • Web Proxy: Serveix per regular el proxy HTTP, proxy transparent, accedir a la llista pel mètode d'origen, destí, adreça i sol·licitat, llista d'accessos directes i registre d'instal·lacions.

Connection Tracking

Routes

Les taules de rutes es configuren clicant la icona de la fletxa que assenyala cap baix en el gateway. Tantes rutes necessites, tantes vegades cliques la fletxa.

Router sergi jaume 15.png
Com comprovar si una ruta està a la taula de rutes

TODO

http://wiki.mikrotik.com/wiki/Manual:BGP_HowTo_%26_FAQ#Question:_How_to_check_if_a_specific_route_exists_in_IP_routing_table.3F

Com contar el número de rutes que hi ha a la taula de rutes

http://wiki.mikrotik.com/wiki/Manual:BGP_HowTo_%26_FAQ#Question:_How_to_quickly_check_how_many_routes_there_are_in_route_table.3F

Secció Routing

  • BGP: Protocol mitjançant el qual s'intercanvien informació d'encaminaments entre sistemes autònoms.
  • Filters: S'apliquen als missatges entrants i sortints d'actualització d'enrutament per un determinat BGP.
  • MME: Protocol d'enrutament IP en les xarxes de malla inalàmbrica.
  • OSPF: Protocol d'estat d'enllaç que s'encarrega de les rutes en l'estructura de xarxa dinàmica que poden utilitzar camins diferents per a les seves subxarxes.
  • Prefix Lists: Les llistes de prefix s'utilitzen per filtrar les rutes de RIO, i s'utilitzen si s'ha especificat en l'enrutament d'interface RIP.
  • RIP: Permet als routers, en un sistema autònom, intercanviar informació d'enrutament. S'utilitza sempre el millor camí (la ruta amb el menor número de salts) disponibles.


Exemples

Subsecció Routing Filters

TODO

Per aplicar canvis en el filtratge en sessions ja establertes amb Peers cal reiniciar la sessió (a Internet això està molt penalitzat). Un altre opció és:

http://wiki.mikrotik.com/wiki/Manual:BGP_soft_reconfiguration_alternatives_in_RouterOS

Subsecció BGP

Documentar els apartats en negreta:

/routing bgp> ?
.. -- go up to routing
advertisements -- 
aggregate -- 
export -- Print or save an export script that can be used to restore configuration
instance -- 
network -- 
peer -- 
vpnv4-route -- 

Subsecció OSPF

Policy Routing

Consulteu: RouterOS Policy routing

Secció System

Secció Tools

Netwatch

Netwatch per script i millorat

Exemple 0

Per comprovar diversos pings es pot fer:

:local i 0; 
{:do {:set i ($i + 1)} while (($i < 5) && ([/ping 64.233.169.99 interval=3 count=1]=0))};


Exemple 1:

This setup now changes the distance number on the interfaces that is being used for gateways instead of disabling an interface. That way you could continue to monitor the unused interface to know whether it is actually up or down to the internet.

With these scripts you must use the scheduler to run them. I set mine to every 5 seconds. This will send 5 pings in a row out ether 1 and if all 5 fail it will increase the distance on that port to 3 instead of 1. To start this process you must set your distance on port 1 to 1. The other port that is being used as a failover gateway should be set to a distance of 2. By switching distance on the port instead of disabling it allows you to continue to ping out ether 1 until it pings all 5 times and at that point it will switch back to the main gateway.


script 1:

:local i 0; {:do {:set i ($i + 1)} while (($i < 5) && ([/ping 64.233.169.99 interval=3 count=1]=0))};
:if ($i=5 && [/ip route get [find comment="Default Route"] distance]=1) do={:log info "Main Gateway down"; 
/ip route set [find comment="Default Route"] distance=3}

script 2:

:local i 0; {:do {:set i ($i + 1)} while (($i < 5) && ([/ping 64.233.169.99 interval=3 count=1]=1))}; 
:if ($i=5 && [/ip route get [find comment="Default Route"] distance]=3) do={:log info "Main Gateway up"; 
/ip route set [find comment="Default Route"] distance=1}

Suggestion: A trick could be use ping with different sizes and have a different route for each. That would require creating a mangle rule based on packet size and place a routing mark on each.

Exemple 2:

Suposem la ruta:

/ip route add dst-address=192.168.2.0/24 gateway=192.168.4.2 distance=1 comment="Netwatch-Route"

Script:

 #define variables
:local i 0
 
#Check for specific route with distance of 1
:if ([/ip route find comment="Netwatch-Route" distance=1]!="") do={
 
#add +1 to $i while checking that $i is lower than 5 and there is no ping response (ping command returns 0)
#if either of the 2 clauses are not met, the command will terminate - that is if a ping response is received (breaking one of the clauses), it'll terminate before 5 loops
    :do {:set i ($i + 1)} while  ($i < 5 &&  ([/ping 192.168.2.1 interval=3 count=1]=0))
 
#when this point is reached check if $i=5 and if so do the following
    :if ($i=5) do={
#add a log entry
        :log info "Netwatch-Route has gone down"
#set the route distance to 5 (putting it at a lower priority than the alternative)
        /ip route set [find comment="Netwatch-Route"] distance=3
    }
#route not found, so...
} else={
#Check for specific route with distance of 3
    :if ([/ip route find comment="Netwatch-Route" distance=3]!="") do={
#add +1 to $i while checking that $i is lower than 10 and there is a ping response (ping command returns 0)
#if either of the 2 clauses are not met, the command will terminate - that is if a ping response is received (breaking one of the clauses), it'll terminate before 10 loops
        :do {:set i ($i + 1)} while  ($i < 10 &&  ([/ping 192.168.2.1 interval=3 count=1]=1))
 
#when this point is reached, check if $i=10 and if so do the following
        :if ($i=10) do={
#add a log entry
            :log info "Netwatch-Route is back up"
#set the route distance to 1 (putting it back to the higher priority)
            /ip route set [find comment="Netwatch-Route"] distance=1
        }
#no matching route found
    } else={
#log failure of script
        :log info "Route Required does not exist"
#log failure to terminal (helpful for testing purposes)
        :error "Route Required does not exist"
    }
}
<pre>

S'ha de planificar (al scheduler) la execució del script periodicament.


:*http://www.mikrotik-routeros.com/2011/01/improved-netwatch-style-script/
:*http://wiki.mikrotik.com/wiki/Improved_Netwatch_II
:*http://wiki.mikrotik.com/wiki/Manual:Scripting

=== Logging ===

La configuració dels logs es fa a System > Logging. Els logs poden ser guardats (li diu accions) a:

:*echo: es mostren per la terminal directament.
:*memory (RAM): els logs de la RAM es mostren a la secció '''Log''' 
:*disk|file: Els logs es guarden al disc dur o la memòria flash del sistema. http://wiki.mikrotik.com/wiki/Log#Logging_to_file
:*email: es poden enviar per [[correu electrònic]]. 
:*remote: Es poden enviar a un servidor de [[syslog]]

Per línia de comandes es pot consultar el log de RAM amb:

 /log print


:*http://wiki.mikrotik.com/wiki/Manual:System/Log

==Exemples==

=== Dades de connexió ===

El port del routerOS és '''8291''':

 $  nmap 10.36.253.1
 
 Starting Nmap 5.00 ( http://nmap.org ) at 2010-11-13 10:41 CET
 Interesting ports on 10.36.253.1:
 Not shown: 993 closed ports
 PORT     STATE SERVICE
 21/tcp   open  ftp
 22/tcp   open  ssh
 23/tcp   open  telnet
 53/tcp   open  domain
 80/tcp   open  http
 2000/tcp open  callbook
 8291/tcp open  unknown

També proporcionen accés per:

:*[[FTP]] (port 21)
:*[[SSH]] (port 22)
:*[[Telnet]] (port 23)

I ofereixen els serveis:

:*[[Servidor de DNS]] (port 53)
:*[[Servidor Web]] (port 80)
:*Servei de test d'ampla de banda (port 2000)

=== Còpia de seguretat ===
Abans de modificar la configuració, és convenient fer una còpia de seguretat del dispositiu. Tenim que clicar en Files -> Backup.
[[Fitxer:router_sergi_jaume_5.png|500px|center]]
Per restaurar, es selecciona el fitxer i clicar en Restore.

Per descarregar el fitxer de còpia (perquè es queda desat dins del dispositiu), tenim que donar primer d'alta una contrasenya per poder-nos connectar via [[FTP]]. Els passos a seguir són: System -> Password o be mitjançant System -> Users. Es selecciona l'usuari a qui es vol donar la contrasenya (doble clic) i cliquem en Password.
[[Fitxer:router_sergi_jaume_6.png|500px|center]]

Una vegada ficada la contrasenya, tenim que connectar-nos via [[FTP]]. Anem a Lugares -> Conectar con el servidor -> seleccionem [[FTP]] (con login), [[IP]] del servidor (dispositiu), i el nom de l'usuari.
[[Fitxer:router_sergi_jaume_7.png|300px|center]]
Cliquem Conectar. Demana contrasenya, i ja podem accedir dins del dispositiu.
[[Fitxer:router_sergi_jaume_8.png|500px|center]]
Cliquem damunt del fitxer i seleccionem Desar.
[[Fitxer:router_sergi_jaume_9.png|500px|center]]

===Fer una còpia de seguretat del backup===

==== export ====

 /export file=miconfig

Això genera un fitxer miconfig.rsc de tota la configuració

Es pot guardar configuració parcial 

 /ip address >export file add" 
 /ip address export file add

Genera solament l'script d'adreces.

==== system backup ====

El comando backup save es usado para guardar una configuración completa en un archivo de backup. El archivo se muestra en el submenú /file . Este puede ser descargado via ftp para guardar el archivo de backup.

{{important|Importante! El archivo de backup contiene información sensible, no guarde sus archivo de backup dentro del directorio Files, en cambio, descarguelas y mantengalas en un lugar seguro}}

Para recuperar la configuración del sistema, por ejemplo, después de un /system reset-configuration, es posible subir el archivo vía ftp y cargar el backup usando el comando load en el submenú /system backup

Descripción del comando

:* load name=[filename] - Carga el archivo de configuración desde un archivo
:* save name=[filename] - Guarda el archivo de configuración hacia un archivo 

Ejemplo

Para guardar la configuración en un archivo llamado test

 [admin@MikroTik] system backup> save name=test
 Configuration backup saved
 [admin@MikroTik] system backup>

Para ver el archivo almacenado en el router:

 [admin@MikroTik] > file print
  # NAME                           TYPE         SIZE       CREATION-TIME
  0 test.backup                    backup       12567      sep/08/2004 21:07:50
 [admin@MikroTik] >

Para cargar el backup en el router:

 [admin@MikroTik] > system backup load name=test 
 Restore and reboot? [y/N]: 
 y
 Restoring system configuration
 System configuration restored, rebooting now

:*http://wiki.mikrotik.com/wiki/Configuration_Management_Spanish#System_Backup
[http://www.example.com títol de l'enllaç]

=== Restaurar una còpia de seguretat ===
Per recuperar la còpia, tenim que ficar contrasenya (System -> Password o be mitjançant System -> Users; per poder entrar via [[ftp]]). Després anem (en la màquina local) a Lugares -> Conectar con el servidor. Seleccionem [[FTP]] con login, fiquem [[IP]] i el nom de l'usuari.
[[Fitxer:router_sergi_jaume_42.png|300px|center]]

Cliquem Conectar. Demana la contrasenya. Quan es connecta, s'obrirà un navegador que podem tancar i una carpeta a l'Escriptori. Obrim la carpeta i copiem l'arxiu de configuració dins d'aquesta carpeta.

Després d'això, accedim al [[Winbox]], a l'apartat Files, seleccionem l'arxiu que acabem de copiar, i cliquem el botó ''Restore''.

==== import ====

 /import file-name=miconfig

==== load ====

 [admin@MikroTik] > system backup load name=test 
 Restore and reboot? [y/N]: 
 y
 Restoring system configuration
 System configuration restored, rebooting now

===Fer un reset de la configuració===

Escolliu '''New Terminal''' i escriviu:

 /system reset-configuration

El sistema es tornarà a iniciar. Primer un bip de l'aturada i després un altre de quan torni a estar amb la configuració per defecte.

{{important|Compte amb: }}

 /system reset-configuration no-defaults=yes

El no-defaults=yes us obligarà a connectar-vos per MAC ja que s'esborra tot! Amb aquesta opció s'esborrarà també la interfície per defecte amb la IP 192.168.88.1 i només ens podrem connectar per MAC.

:*http://wiki.mikrotik.com/wiki/Configuration_Management_Spanish#Limpieza_de_la_configuraci.C3.B3n

=== Fer un reset del password ===

http://wiki.mikrotik.com/wiki/Manual:Password_reset

===Script inici===

 #| IP address 192.168.88.1/24 is on ether1
 #| ether1 is enabled  
 
 :global action
  
 # these commands are executed after installation or configuration reset
 :if ($action = "apply") do={
     :delay 5s
     /ip address add address=192.168.88.1/24 interface=ether1 comment="default configuration"
 }
 
 # these commands are executed if user requests to remove default configuration
 :if ($action = "revert") do={
     /ip address {
         :local o [find address="192.168.88.1/24" interface="ether1" comment="default configuration"] 
 	:if ([:len $o] != 0) do={ remove $o }
     }

=== Consultar quan temps fa que el sistema està en execució ===

Des de winbox:

 System > Resources > General


=== Dispositius (mini)PCI ===

Des de winbox:

 System > Resources > Pestany PCI

Com relacionar els identificadors que apareixen a la placa mara amb els números d'SLOT PCI?

=== Firmware/RouterOS upgrade ===

{{nota| La versió actual del routerOS apareix a la barra de títol de la finestra del winbox}}

Hi ha dos coses que es poden actualitzar:

:*El firmware
:*El sistema operatiu RouterOS

Abans que res cal que mireu:

'''BootLoader'''

Consulteu si el podeu actualitzar seguin les passes de:

 http://wiki.mikrotik.com/wiki/Bootloader_upgrade

'''License'''

A System License, feu clic a "Update License Key". Aquí veureu fins a quina versió pode actualitzar (Upgradable to...)

Un cop fets aquests passos aneu a:

 http://www.mikrotik.com/download.html

Escolliu el tipus de placa que teniu i descarregueu la versió estable. En el meu cas:

 http://download.mikrotik.com/routeros-powerpc-4.10.npk

Ara cal copiar el fitxer a la routerboard. Amb Wine no sembla que es pugui arrosegar directament a la secció files ni copiar i enganxar. Cal utilitzar FTP. Per això cal tenir accés a la routerboard per IP. Podeu fer [[IP aliasing]], per exemple si la placa té la IP 10.36.253.34:

 $ [[sudo]] [[ifconfig]] 10.36.253.34 netmask 255.255.255.224 up

Un cop fet això podeu utilitzar el client integrat de [[FTP]] de [[nautilus]]/Ubuntu, anant a lloc connecta el servidor i posant les dades del FTP. Un cop accediu ja podeu copiar el fitxer arrossegant.
 
Aneu a System i feu un reboot.

Un cop actualitzar el sistema operatiu pot ser que el propi sistema operatiu tingui una nova versió del bootloader. Obriu una nova terminal al microtik:

 /system routerboard
 print
 upgrade

Confirmeu que voleu fer l'upgrade i un cop acaba aneu a System i feu un reboot. Cal tenir paciència a que s'apliqui l'actualització (sobretot no apagar res) i esperar a que faci el pip d'arrancada i els dos pips de que tot ha arrancat bé. Torneu a connectar i ja hauríeu de veure la nova versió del firmware.

Un cop dins us donarà (potser) un missatge com el següent:

 ROUTER NEEDS A NEW LICENSE
 -------------------------------------------------------------------
 
 This RouterOS version is designed to work only with new format RouterOS keys. These keys can be recognized by the longer SoftID, which is 8 characters long, instead of   
 previous 7.
 
 The upgrade to new format key is free of charge, and can be done automatically right now in Winbox.
 
 Please click on "Update License" button to get the new key. 
 
 If you do not update the key, this RouterOS installation will expire in 71h and 50m, and will require a complete reinstall.

Feu clic a:

 Update License

I es reiniciarà la routerboard un altre cop.
:*http://guifi.net/eu/node/7677
:*http://www.mikrotik.com/download.html

'''firmware'''

Cal baixar el firmware de la web:

 http://www.mikrotik.com/download.html

Escolliu el vostre sistema i descarregueu el combined package. Per exemple per a una [[RB750G]] em obtingut el fitxer (--[[Usuari:Sergi|acacha]] 17:19, 8 oct 2011 (UTC)):

 routeros-mipsbe-5.7.npk

Comproveu el [[md5]]:

 $ [[md5sum]] routeros-mipsbe-5.7.npk 
 3390e6d550591761e166a21bfe1a6ba2  routeros-mipsbe-5.7.npk

I el compareu amb la web:

 http://www.mikrotik.com/download/routeros-md5-5.7.txt

Ha de ser el mateix.

Ara pugueu el fitxer via FTP a l'arrel del sistema de fitxers. Podeu utilitzar el nautilus:

 $ nautilus ftp://IP_DE_LA_ROUTERBOARD

Un cop pujat el fitxer reinicieu la routerboard. Cal tenir paciència pot tardar minuts (i la routerboard es quedarà apagada una estona)

:*http://wiki.mikrotik.com/wiki/Upgrading_RouterOS

=== Paquets enviats a la xarxa ===

Les mikrotiks envien paquets de broadcast UDP:

 $ sudo tcpdump -n -i guifi
 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
 listening on guifi, link-type EN10MB (Ethernet), capture size 96 bytes 
 
 17:14:28.908307 IP 0.0.0.0.5678 > 255.255.255.255.5678: UDP, length 76
 17:14:28.908340 CDPv1, ttl: 120s, Device-ID 'MikroTik', length 43

=== Load Balancing amb protocol encaminaments ===

:*http://wiki.mikrotik.com/wiki/Manual:Route_Selection_Algorithm_in_RouterOS#Load_balancing_and_dynamic_routing_protocols

=== Evitar atacs força Bruta contra SSH o altres protocols ===

'''FTP (port 21)'''

 /ip firewall filter
 add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
 add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
 address-list=ftp_blacklist address-list-timeout=3h

'''SSH''':

 /ip firewall filter
 add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
 add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
 add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
 add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
 add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

A l'exemple es permeten un màxim de 3 conexions SSH per minut. Si es fan més es bloqueja la IP per 10 dies.

També es pot bloquejar els SSH en forward (downstream) :

 add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute downstream" disabled=no

{{nota|No es bloquejen els intents de password, sinó les connexions. El que vull dir és que cada intent de connexió SSH deixa provar tres paraules de pas, per tant es podran provar fins a 9 paraules de pas per minut}}

'''Recursos''':
:* http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_%28FTP

== Switch ==

:*'''[[Port Switching]]''': Permet convertir part dels ports de un router en un commutador. Es configura determinant un port com a master i la resta com  esclaus. El conjunt de ports esclaus + el master actuen com un commutador. CAl tenir en comtpe que depenen del model de RouterBoard es pot fer o no fer i que en alguns models com les RB110 es pot fer entre certs ports. El apartat '''Switch''' us dira quin model teniu de chip i depenent del chip sabreu el que podeu fer o no. Consulteu.http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Port_Switching
:*[[Port Mirroring]]: es pot fer a l'apartat switch indicant els ports d'origen i el port target. El port target serà el port que podrà escoltar el trànsit de les interfícies marcades com origen. Consulteu http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Port_Mirroring
:*[[Host table]]: Permet configurar les taules ARP (nota: també amb IPV6 i [[ND]] ?) que indicant quins hosts estan dsiponibles a nivell d'enllaç. La taula es consulta a l'apartat '''Switch > Host'''. Les entrades de la taula normalment s'afegeixen de forma dinpamica peer un procés d'aprenetatge com [[ARP]], però també podeu posar entrades estàtiues. Consulteu: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

:*[[Vlan table]]:

TODO: 

Vlan tables specifies certain forwarding rules for packets that have specific 802.1q tag. Those rules are of higher priority than switch groups configured using 'master-port' property. Basically the table contains entries that map specific vlan tag ids to a group of one or more ports. Packets with vlan tags leave switch chip through one or more ports that are set in corresponding table entry. The exact logic that controls how packets with vlan tags are treated is controlled by vlan-mode parameter that is changeable per switch port in /interface ethernet switch port menu. Vlan-mode can take following values:

    disabled - ignore vlan table, treat packet with vlan tags just as if they did not contain a vlan tag;
    fallback - the default mode - handle packets with vlan tag that is not present in vlan table just like packets without vlan tag. Packets with vlan tags that are present in vlan table, but incoming port does not match any port in vlan table entry does not get dropped.
    check - drop packets with vlan tag that is not present in vlan table. Packets with vlan tags that are present in vlan table, but incoming port does not match any port in vlan table entry does not get dropped.
    secure - drop packets with vlan tag that is not present in vlan table. Packets with vlan tags that are present in vlan table, but incoming port does not match any port in vlan table entry get dropped. 

Vlan tag id based forwarding also take into account the mac addresses learned or manually added in host table.

Packets without vlan tag are treated just like if they had a vlan tag with vlan id = 0. This means that if "vlan-mode=check or secure" to be able to forward packets without vlan tags you have to add a special entry to vlan table with vlan id set to 0.

Vlan-header option (configured in /interface ethernet switch port) sets the VLAN tag mode on egress port. This option can take the following values:

    leave-as-is - packet remains unchanged on egress port;
    always-strip - if VLAN header is present it is removed from the packet;
    add-if-missing - if VLAN header is not present it is added to the packet. 
:*[[Rule table]]: ÉS una especie de firewall que s'aplica en el propi chid del commutador (en capa dos). Tos i fer el processament en capa 2 es poden utilitzar valors de capa 3 i capa 4 per a fer filtratges de la mateixa forma que un firewall. Cal tenir en compte però que hi ha limitacions en la quantitat de normes que es poden utilitzar. Consulteu http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Host_Table

:*http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

=== Com funciona el chip de commutador Atheros8316 ===

:*[[INGRESS]] port: és el port de un commutador pel qual entren els paquets per a una màquina concreta
:*[[EGRESS]] port: és el port pel que surten els paquets per a una màquina concreta.

 TODO: Gràfiques

:*http://wiki.mikrotik.com/wiki/Manual:Packet_flow_through_Atheros8316

== Encaminament ==

 http://wiki.mikrotik.com/wiki/Manual:Routing
 http://wiki.mikrotik.com/wiki/Manual:IP/Route

=== Encaminament estàtic ===

TODO

=== Enrutament dinàmic ===

Vegeu també [[Encaminament dinàmic]]

==== Qüestions generals ====

'''Algorisme de selecció de rutes''':

Cal tenir en compte que a [[routerOS]] poden existir al mateix temps varies taules de rutes.

:*'''[[FIB]] o [[Forwarding Information Base]]''': El FIB es troba al [[nucli]]/[[kernel]] del sistema.
:*'''Main routing table''': Aquí és los decisions de rutes es prenen. Per a cada destinació possible pot haver-hi com a mínim una ruta per cada protocol d'encaminament possible i/o una ruta estàtica (o cap ruta possible). Cal tenir en compte però que només la ruta de distància mínima serà instal·lada al [[FIB]]. Si hi ha més de una ruta possible amb la mateixa distància, la selecció de ruta es fa de forma aleatòria (excepte en el cas de BGP) però de totes formes aquest "empats" no poden succeir a no se que s'estiguin utilitzant filtres d'encaminament. [[Scope attribute]] també pot determinar si una ruta pot estar activa. 
:*Cada protocol d'encaminament (excepte BGP) té la seva pròpia taula de rutes. Aquí es prenen decisions pràpies de cada algorisme (per exemple amb OSPF hi ha diferents tipus de rutes i aquestes tenen un ordre de preferència). Un cop realitzada una decisió la ruta escollida s'instal·la a la capa inferior (main routing table)

En resum existeixen una sèrie de capes a l'hora de prendre una decisió.

Com podeu observar el algorsisme de selecció de ruta amb [[BGP]] és una mica més complexe. Cal tenir en compte que BGP és el protocol utilitzat a Internet i que una taula de rutes completa d'Internet pot tenir més de 300.000 rutes i que a més hi ha la possibilitat de rebre aquesta taula de rutes més d'un cop en el cas que és tingui accés a més de un ISP ([[multihoming]]). Per aquesta raó és important tenir un protocol que permeti escollir quina ruta instal·lar al sistema.

Cal tenir en compte que el primer criteri utilitzat és el pes. El algorismes és anomenat '''BEST PATH ALGORITHM''':

:1. Les rutes no vàlides són ignorades. Una ruta és vàlida si:
::*El [[NEXT_HOP]] de la ruta és vàlid i reachable
::*El AS_PATH rebut dels peers no conté el local AS
::*La ruta no és denegada pels [[routing filters]].
:::*Més informació a http://wiki.mikrotik.com/wiki/Manual:BGP_nexthop_selection_and_validation_in_RouterOS_3.x
:2. El primer camí rebut és considerat sempre el millor. Un cop es reben altres camins es comparen amb el que hi ha actualment i només es modifica si és millor.
:3. Es prefereix el path que tingui el pes (WEIGHT) més alt. El paràmetre weight és un paràmetre local del encaminador. Una ruta que no tingui un pes assignat té un pes per defecte de 0.
:4. Es prefereix la ruta que tingui el valor més gran de LOCAL_PREF. Aquest valor només s'utilitza dins de una mateix AS. Una ruta sense LOCAL_PREF té un valor per defecte de 100.
:5. Es prefereix la ruta amb el [[AS_PATH]] més curt. Aquest pas és ignorat si s'activa el paràmetre [[ignore-as-path-len]]. Cada tros del AS_PATH (coneguts com [[AS_SET]]) compta amb una valor de 1 sigui quin sigui el valor establert. No s'inclouen al AS_PATH els [[AS_CONFED_SEQUENCE]] i [[AS_CONFED_SET]]
:6. Es prefereixen els camins que haguin estat generats localment per agregació o xarxa BGP.
:7. Es prefereix la ruta amb el menor tipus de valor ORIGIN. [[Interior Gateway Protocol]] ([[IGP]]) té un valor menor que [[Exterior Gateway Protocol]] ([[EGP]]) i EGP és menor que [[INCOMPLETE]]. IGP < EGP < INCOMPLETE  
:8. Es prefereix la ruta amb el valor menor de [[multi-exit discriminator]] ([[MED]]). El encaminador compara el atribut MED per a les rutes que tenen el mateix AS. Els paths sense un valor explícit de MED es tracten amb un valor de MED igual a zero.
:9. Es prefereixen els camins [[eBGP]] respecte els [[iBGP]]
:10. Es prefereixen les rutes que provenen d'un router BGP amb el valor més petit de [[router ID]] ( atribut [[ORIGINATOR_ID]]) 
:11. ES prefereixen les rutes amb el valor més curt de [[route reflection cluster list]]. Les rutes sense aquest valor es considera que el valor és 0.
:12. Es prefereixen les rutes que provenen d'un veí amb una adreça menor.

'''Route distance'''

A l'hora d'escollir una ruta és important el concepte de route distance ([[Aka]] [[administrative distance]]) és una mesura de la confiança en l'origen d'una ruta. Si un encaminador aprèn una ruta de més d'una font possible, aleshores es comparen les distàncies administratives de cada ruta i la ruta que tingui el valor és baix és la escollida. La següent taula és la que s'aplica a routerOS:

{| border="1" cellpadding="2" cellspacing="0" 
|-
! protocol
! distance
|- valign="top"
|
connected 
|
0
|- valign="top"
|
static   
|
1
|- valign="top"
|
eBGP 
|
20
|- valign="top"
|
OSPF 
|
110
|- valign="top"
|
RIP
|
120
|- valign="top"
|
MME
|
130
|- valign="top"
|
iBGP        
|
200
|}


'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:Route_Selection_Algorithm_in_RouterOS
:*http://wiki.mikrotik.com/wiki/BGP_Best_Path_Selection_Algorithm

=== Filtres d'enrutament ===

A [[guifi.net]] [[unsolclic]] configura els següents filtres:

[[Fitxer:RoutingFilters.png|center]]

L'explicació de que és un reject i un discard es pot trobar a la wiki de routerOS:

 reject - reject the routing information for matching prefix. For incoming filters, 'reject' means that information about this route stored in memory, but the route will not  
 become active. For outgoing filters it's the same as 'discard' 

 discard - completely exclude matching prefix from further processing. For incoming filters, 'discard' means that information about this route is completely lost. For 
 outgoing filters it's the same as 'reject' 

:*http://wiki.mikrotik.com/wiki/Manual:Routing/Routing_filters

=== OSPF ===

<blockquote>
MikroTik RouterOS implements OSPF version 2 (RFC 2328). The OSPF protocol is the link-state protocol that takes care of the routes in the dynamic network structure that can employ different paths to its subnetworks. It always chooses shortest path to the subnetwork first.
</blockquote> 

Conceptes:

:*'''Instances''': Des de la versió 3.17 es poden implementar múltiples instàncies d'OSPF. Una instància concreta conté els paràmetres generals de OSPF
:*'''Areas''': Les areas permeten  OSPF allows collections of routers to be grouped together. Such a group is called an area. Each area runs a separate copy of the basic link-state routing algorithm. This means that each area has its own link-state database and corresponding shortest path tree. The structure of an area is invisible from other areas. This isolation of knowledge makes the protocol more scalable if multiple areas are used; routing table calculation takes less CPU resources and routing traffic is reduced. However, multi-area setups create additional complexity. It is not recommended separate areas with fewer than 50 routers. The maximum number of routers in one area is mostly dependent on CPU power you have for routing table calculation. 
:*'''Networks''': Cal especificar les xarxes (network address) a les que s'executarà OSPF i indicar l'àrea associada a cada xarxa.
:*'''Interfaces''': Cal especificar les interfícies a les s'utilitzarà OSPF. Hi ha l'opció d'especificar all (totes). Típicament hi ha com a mínim tantes networks com interfícies físiques.
:*'''Neighbor''': Per a cada router cal especificar els routers veïns que també utilitzen OSPF. S'entén com a router veí un router al que s'està connectat directament sense routers intermediaris.

{{nota|Sempre ha d'haver-hi una àrea anomenada backbone (area-id=0.0.0.0). Per tant, aquesta àrea la trobareu sempre a les configuracions de guifi.net amb unsolclic}}

 Sub-menu: /routing ospf instance



:*http://wiki.mikrotik.com/wiki/Manual:Routing/OSPF

Vegeu també:
:*[[OSPF]]

==== OSPF i model hibrid guifi.net ====

Consulteu:

:*[[Model híbrid guifi.net]]

==== Consultar l'estat d'OSPF ====

 /routing ospf instance print status
 Flags: X - disabled 
 0   name="default" router-id=10.36.253.1 distribute-default=never redistribute-connected=no redistribute-static=no redistribute-rip=no redistribute-bgp=as-type-1 
     redistribute-other-ospf=no metric-default=1 metric-connected=20 metric-static=20 metric-rip=20 metric-bgp=auto metric-other-ospf=auto in-filter=ospf-in 
     out-filter=ospf-out state=running effective-router-id=10.36.253.1 dijkstras=403 db-exchanges=0 external-imports=0 

Abans de tenir instancies:

 /routing ospf monitor

==== OSPF a guifi.net ====

Quan es fa un enllaç WDS a la web de guifi.net, et deixa escollir el tipus d'enrutament. Un dels tipus és OSPF. Si escolliu OSPF la configuració de [[unsolclic]] quedarà similar a la següent:

 #
 # '''Interfícies i xarxes'''
 #
 #Per cada interfície s'executà:
 #Interfície '''wLan/Lan''' (wlan1):
 # S'afegeix la interfície a OSPF i les xarxes associades a la interfície (esborrant prèviament configuracions existents)
 # Les xarxes s'afegeixen a l'area backbone
 / routing ospf interface
 :foreach i in [/routing ospf interface find interface=wLan/Lan] do={/routing ospf interface remove $i;}
 add interface=wLan/Lan
 / routing ospf network
 :foreach i in [/routing ospf network find network=10.36.253.32/27] do={/routing ospf network remove $i;}
 add network=10.36.253.32/27 '''area=backbone''' disabled=no 
 #Interfície '''wlan2''':
 / routing ospf interface
 :foreach i in [/routing ospf interface find interface=wlan2] do={/routing ospf interface remove $i;}
 add interface=wlan2
 / routing ospf network
 :foreach i in [/routing ospf network find network=10.36.253.192/27] do={/routing ospf network remove $i;}
 add network=10.36.253.192/27 area=backbone disabled=no 
 # similar per a wlan3
 ...
 #
 # '''WDS''' Enllaç PtP
 # Igual que la resta d'interfícies (cal posar la interface i la network) +
 #  - BGP: Es deixa preparada la configuració BGP però desactivada
 #  -
 / routing ospf interface
 :foreach i in [/routing ospf interface find interface=wds_TortosaINSEbreRd1] do={/routing ospf interface remove $i;}
 add interface=wds_TortosaINSEbreRd1
 / routing ospf network
 :foreach i in [/routing ospf network find network=172.16.135.4/30] do={/routing ospf network remove $i;}
 add network=172.16.135.4/30 area=backbone disabled=no 
 '''/ routing bgp peer'''
 :foreach i in [find name=TortosaINSEbreRd1] do={/routing bgp peer remove $i;}
 add name="TortosaINSEbreRd1" instance=default remote-address=172.16.135.5 remote-as=19633 \
 multihop=no route-reflect=no ttl=1 in-filter=ospf-in out-filter=ospf-out '''disabled=yes''' 
 
 # Configuració del firewall
 # No fer NAT de OSPF a les IPs de gestió de classe B 172.16.x
 /ip firewall nat
 ...
 add chain=srcnat src-address="172.16.0.0/12" dst-address=!172.16.0.0/12 '''protocol=!ospf''' action=src-nat to-addresses=10.36.253.33 comment="" disabled=no
 ...
 
 # Filtres BGP i OSPF
 # cadenes ospf-in i ospf-out. Són cadenes a mida (similar al que fa [[iptables]]) per a utilitzar després en la configuració de l'enrutament dinàmic
 # La cadena no deixa entrar ni sortir res que no sigui OSPF i que vingui o surti cap a 10.0.0.0/8 
 :foreach i in [/routing filter find chain=ospf-in] do={/routing filter remove $i;}
 :foreach i in [/routing filter find chain=ospf-out] do={/routing filter remove $i;}
 '''/ routing filter'''
 add chain=ospf-out prefix=10.0.0.0/8 prefix-length=8-32 invert-match=no action=accept comment="" disabled=no
 add chain=ospf-out invert-match=no action=discard comment="" disabled=no
 add chain=ospf-in prefix=10.0.0.0/8 prefix-length=8-32 invert-match=no action=accept comment="" disabled=no
 add chain=ospf-in invert-match=no action=reject comment="" disabled=no 
 
 # Configurar BGP per redistribuir OSPF. En tot cas els peers BGP estan desactivat una mica més amunt
 # Se suposa que es fa aquesta configuració per si s'activa el BGP ja tenir-ho fet????
 # Instància BGP
 / routing bgp instance
 set default name="default" as=19634 router-id=10.36.253.33 redistribute-static=yes \
 redistribute-connected=yes redistribute-rip=yes redistribute-ospf=yes \
 redistribute-other-bgp=yes '''out-filter=ospf-out''' \
 client-to-client-reflection=yes comment="" disabled=no
 
 # Al final de tot, l'enrutament OSPF:
 # Enrutament OSPF
 # - Es crea la instància default
 /routing ospf instance set default name=default router-id=10.36.253.33 comment="" disabled=no distribute-default=never redistribute-bgp=as-type-1 redistribute-connected=no  
 redistribute-other-ospf=no redistribute-rip=no redistribute-static=no '''in-filter=ospf-in''' '''out-filter=ospf-out'''
#  
 
 '''nota''': extret del supernode: http://guifi.net/TortosaRoser

Per l'entorn gràfic seria:

A '''Routing/OSPF''' a la pestanya '''interfaces''':

:* Afegir totes les interfícies una a una amb els valors per defecte.

[[Fitxer:OSPFRouterOSGuifi.png|center]]

Cal també afegir les xarxes a la pestanya '''Networks''':

:*Cal afegir totes les xarxes i associar-les a l'àrea backbone.

{{nota|L'àrea backbone no cal crear-la ja que ve de sèrie a routerOS}}

[[Fitxer:OSPFRouterOSGuifiNetworks.png|center]]

Ara cal crear els filtres a '''Routing'''/'''Filters''' ospf-in i ospf-out:

[[Fitxer:OSPFRouterOSGuifi_filters.png|center]]

Ha de quedar:

:*'''Número 0''': ospf-out, prefix: 10.0.0.0/8 prefix-length: 8-32 action: accept
:*'''Número 1''': ospf-out, action: discard
:*'''Número 2''': ospf-in, prefix: 10.0.0.0/8 prefix-length: 8-32 action: accept
:*'''Número 3''': ospf-in, action: reject

{{important|Compte, la chain ospf-out no apareix al desplegable, cal afegir-la a mà escrivint el nom de la cadena.}}

A la pestanya '''instances''' afegir la instància default:

[[Fitxer:OSPFRouterOSGuifi_instances.png|center]]

Valors a escollir:
:*'''router-id''': IP principal del router (bridge lan/wlan)
:*'''distribute-default''': never
:*'''redistribute-bgp''': as-type-1
:*'''redistribute-connected''': no  
:*'''redistribute-other-ospf''': no
:*'''redistribute-rip''': no 
:*'''redistribute-static''': no
:*'''In Filter''': ospf-in
:*'''Out Filter''': ospf-out

{{important| Cal afegir el peer OSPF? o s'afegeix automàticament! Al codi de unsolclic no el veig enlloc, potser l'afegeix al detectar-lo per l'enllaç WDS funcional? O potser ho agafa del BGP peer que si que s'indica!? Segurament és automàtic ja que no hi ha botó + per afegir peers a OSPF!}}

:* Afegir totes les interfícies una a una amb els valors per defecte.

Finalment cal configurar el NAT per tal de fer srcnat de les IP de gestió:

 /ip firewall add chain=srcnat src-address="172.16.0.0/12" dst-address=!172.16.0.0/12 protocol=!ospf action=src-nat to-addresses=IP_ADDRESS comment="" disabled=no

On IP_ADDRESS és la IP principal de la RB750G.

=== BGP ===

El primer que cal fer és si teniu el suport per a BGP instal·lat (paquet BGP):

 > system package print                                              
  #   NAME                  VERSION              BUILD-TIME           UNINSTALL
  0   system                2.5                  apr/03/2002 10:06:30 no       
  1   bgp                   2.5                  apr/03/2002 10:19:15 no  

Vegeu també:
:*[[BGP]]

'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:BGP_HowTo_%26_FAQ
:*http://wiki.mikrotik.com/wiki/Manual:BGP_Case_Studies
:*http://wiki.mikrotik.com/wiki/Manual:BGP_soft_reconfiguration_alternatives_in_RouterOS
:*http://wiki.mikrotik.com/wiki/Manual:Routing
:*http://wiki.mikrotik.com/wiki/Manual:BGP_nexthop_selection_and_validation_in_RouterOS_3.x
:*http://wiki.mikrotik.com/wiki/Manual:BGP_Best_Path_Selection_Algorithm
:*http://wiki.mikrotik.com/wiki/Manual:Simple_BGP_Multihoming
:*http://wiki.mikrotik.com/wiki/Manual:BGP_based_VPLS

==== Exemple. Connectar tres routers en línia (sense redundàncies) amb BGP ====

 Ajudes: Entrar amb guest/guest a un router de guifi per veure exemples de configuració

 TODO: Gràfica amb els tres encaminadors en línia on apareguin totes les dades de xarxa: interfícies, adreces IP, rangs de xarxa, ASNs (incloure imatge i original)

 XARXA 1 --> ROUTER 1 --> ROUTER 2 -- ROUTER 3 --> Xarxa 3
                            |
                            XARXA 2

Els passos a seguir són:
:*Prerequisits
:*Configurar els enllaços punt a punt 
:*Comprovació de la connectivitat TCP
:*Configuració de BGP
:*Comprovacions

'''Prerequisits''':
:*Escollir les interfícies de xarxa per als punts a punts i per a les xarxes públiques i documentar-les.
:*Assegurar-se de desactivar els firewalls i el NAT
:*Desactivar DHCP
:*Desactivar switch si s'escau. Les interfícies han de ser independents

'''Configuració dels enllaços punt a punt'''
:*A IP > Adresses afegir les adreces de les xarxes punt a punt (172.x.x.x/30) (TODO: comandes i captures de pantalla)
:*A IP > Adresses afegir les adreces de les xarxes públiques (10.x.x.x/27) (TODO: comandes i captures de pantalla). Es poden afegir a qualsevol interfície que no sigui les utilitzades per connectar els routers
:*Comprovar a IP > Routes com apareixen les rutes de les xarxes directament connectades al dispositiu

'''Comprovació de la connectivitat TCP'''

TODO: Realitzar pings entre els routers i després telnets al port 179

TODO: Documentar en general a [[RouterOS_BGP#BGP_session_is_not_established._Comprovaci.C3.B3_de_la_connectivitat]]
TODO: Documentar aquí amb l'exemple concret

'''Configuració de BGP'''

Cal seguir els següents passos:

:*'''Configuració de la instància''':

 Routing > BGP > Instances

No cal afegir cap instància nova només cal modificar la per defecte. (al manual explicar per a que serveixen les instàncies).

Marcar tots les opcions redistribute (al manual explicar-les). El primer cop no indicar filtres i més endavant si que els posem. Tota la resta per defecte.

:*'''Configuració dels Peers'''

 Routing > BGP > Peers

Observar que hi ha routers que necessitaran configurar dos veïns. Cal indicar:

- Nom del node remot
- IP del node remot (ips de gestió)
- Remote ASN
- TTL= 1

Tota la resta per defecte.

Contestar a les següents preguntes?

Es publiquen les xarxes 172.x.x.x/30?

:*Configuració del filtres ('''Routing filters''')
:*Afegir un filtre d'entrada que només deixi passar les adreces públiques (10.0.0.0/8). Lo mateix de sortida
:*Indicar la diferència entre reject i discard.

'''Comprovacions''':
:*Feu pings a les diferents xarxes públiques
:*Comprovar com s'afegeixen les rutes dinàmiques. Captura de pantalla. Explicar els valors de la primera columna de IP > Routes. Mostra els AS-PATH i indicar com. Comprovar que apareixen totes les rutes.
:*Amb l'opció torch de les interfícies de les connexions punt a punt comprovar que s'estableix una connexió TCP al port de BGP
:*Comprovar i documentar BGP > Advertisements

'''Altres'''
:*Proveu de publicar una nova ruta a la pestanya Networks. Es publica a la resta de ruters?
:*Proveu de fer una aggregació de rutes a

===== Com definir l'exemple anterior a partir de Guifi =====

Feu-ho a test.guifi.net. Creeu tres nodes, enllaçeu-los punt a punt amb WDS i obtingueu els valors d'adreçes de xarxa 10.0.0.0/27 i de gestió 172.16.0.0/30.

==== Exemple. Connectar tres routers en cercle (amb redundàncies) amb BGP ====

Similar a l'anterior però cal documentar com es reben dos rutes possibles per cada xarxa i quin és el criteri per quedar-se una ruta o l'altre.

També cal documentar i provar que passa si es talla un dels enllaços... Tot hauria de continuar funcionant.

{{nota|Observeu que el servidor Linux tindrà una configuració Multihomed i sempre tindrà dos opcions per accedir a la xarxa i per tant esteu fent [[BGP Multihoming]]}}

==== Troubleshooting. Resol·lució de problemes ====

'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:BGP_HowTo_%26_FAQ

===== BGP session is not established. Comprovació de la connectivitat =====

TODO: Traduir

BGP uses [[TCP]] i el port TCP [[179]] so to discover the cause of the problem, you can start with testing TCP connectivity. One way to do that is as simple as:

 /system telnet <remote-ip> 179 

and check if the TCP connection can be established, and BGP port 179 is open and reachable.

If this is [[eBGP]], make sure you have configured [[multihop=yes]] and [[TTL]] settings as needed. Use:

 /routing bgp peer print status 

to see the current state of BGP connection.

Also note that if the remote peer is not supporting [[BGP Capabilities Advertisement]] ([[RFC 2842]]), some extra time will be needed for session establishment. The establishment will fail at the first time in this case, because of unknown options in BGP OPEN message. It should succeed at second attempt (i.e. after about a minute) and in any further attempts, because RouterOS will remember the offending options for that peer and not include them in BGP OPEN messages anymore.

==== Aggregacions ====

TODO: provar com funciona l'agregració: posar múltiples xarxes consecutives a un node i després només publicar una més gran que els inclogui:

De dos de /27 a una de 26:

 $ ipcalc 10.36.254.0/27 26
 Address:   10.36.254.0          00001010.00100100.11111110.000 00000
 Netmask:   255.255.255.224 = 27 11111111.11111111.11111111.111 00000
 Wildcard:  0.0.0.31             00000000.00000000.00000000.000 11111
 =>
 Network:   10.36.254.0/27       00001010.00100100.11111110.000 00000
 HostMin:   10.36.254.1          00001010.00100100.11111110.000 00001
 HostMax:   10.36.254.30         00001010.00100100.11111110.000 11110
 Broadcast: 10.36.254.31         00001010.00100100.11111110.000 11111
 Hosts/Net: 30                    Class A, Private Internet
 
 Supernet
 
 Netmask:   255.255.255.192 = 26 11111111.11111111.11111111.11 000000
 Wildcard:  0.0.0.63             00000000.00000000.00000000.00 111111
 
 Network:   10.36.254.0/26       00001010.00100100.11111110.00 000000
 HostMin:   10.36.254.1          00001010.00100100.11111110.00 000001
 HostMax:   10.36.254.62         00001010.00100100.11111110.00 111110
 Broadcast: 10.36.254.63         00001010.00100100.11111110.00 111111
 Hosts/Net: 62                    Class A, Private Internet

O de 4 a 1:

 $ ipcalc 10.36.254.0/27 25
 Address:   10.36.254.0          00001010.00100100.11111110.000 00000
  Netmask:   255.255.255.224 = 27 11111111.11111111.11111111.111 00000
 Wildcard:  0.0.0.31             00000000.00000000.00000000.000 11111
 =>
 Network:   10.36.254.0/27       00001010.00100100.11111110.000 00000
 HostMin:   10.36.254.1          00001010.00100100.11111110.000 00001
 HostMax:   10.36.254.30         00001010.00100100.11111110.000 11110
 Broadcast: 10.36.254.31         00001010.00100100.11111110.000 11111
 Hosts/Net: 30                    Class A, Private Internet
 
 Supernet
 
 Netmask:   255.255.255.128 = 25 11111111.11111111.11111111.1 0000000
 Wildcard:  0.0.0.127            00000000.00000000.00000000.0 1111111   
  
 Network:   10.36.254.0/25       00001010.00100100.11111110.0 0000000
 HostMin:   10.36.254.1          00001010.00100100.11111110.0 0000001
 HostMax:   10.36.254.126        00001010.00100100.11111110.0 1111110
 Broadcast: 10.36.254.127        00001010.00100100.11111110.0 1111111
 Hosts/Net: 126                   Class A, Private Internet 

etc...

 TODO: Supernode enllaç punt a punt Tortosa/Santa Barbara : estan les xarxes dividides coherentment i sense salts. estudiar si es pot fer

== PPP ==

=== Protocols suportats ===

MIcrotik suporta tant com a client o servidor els següents protocols:

:*[[PPP]]
:*[[PPTP]]
:*[[SSTP]]
:*[[L2TP]]
:*[[OpenVPN]]
:*[[PPPoE]]

* Primera pestanya: [[Interface]]. Per fer connexions punt a punt.
::* Botó [[PPP]] Scanner: Seleccionem una [[interface]] i serveix per detectar altres dispositius per crear els enllaços punt a punt.
::* Botó [[PPTP]] Server: Mostra les [[interfaces]] per cadascú dels clients [[PPTP]] connectats.
::* Botó [[SSTP]] Server: Per fer un punt a punt xifrat.
::* Botó [[L2TP]] Server: Tunel segur per al transport de tràfic [[IP]] a través de [[PPP]].
::* Botó [[OVPN]] Server: Protocol [[VPN]] (xarxa privada virtual - Virtual Private Network) que pot utilitzar un [[proxy]].
::* Botó [[PPPoE]] Scan: Per obtenir [[IP]]s públiques.
* Segona pestanya: [[PPPoE]] Servers. Per crear servidors [[PPPoE]].
* Tercera pestanya: Secrets. Emmagatzema registres d'accés dels usuaris.
* Quarta pestanya: Profiles. Defineix valors predeterminats per als registres d'accés d'usuaris.
* Cinquena pestanya: Active Connections. Mostra totes les connexions establertes mitjançant [[TCP]].

=== PPP AAA (Authentication, Athorization and Accounting) ===

Bàsicament a routerOS hi ha dos formes de gestionar l'autenticació, autorització i l'accounting:

:*'''Local''': routerOS gestiona una base de dades d'usuaris i de perfils (profiles)
:*'''Externa''': es pot utilitzar un servidor [[Radius]] extern.

La configuració globla de un usuari es el resultat d'aplicar de forma conjunta:

:*La informació del usuari a la base de dades d'usuaris
:*La informació del perfil associat a l'usuari
:*La informació del perfil associat al servei que està intentant utilitzar (autenticació) l'usuari.

{{nota|Com podeu veure els perfils s'apliquen tant als usuaris com al serveis}}

Com podeu veure en un cas concret es poden aplicar múltiples perfils al mateix temps i amb dades contradictories, per tant, s'aplica el següent criteri de prioritats:

:*Els perfils per defecte de la base de dades de perfils tenen la prioritat més baixa. Aquests perfils ja venen preconfigurats a routerOS.
:*Les dades del usuari tenen la prioritat més alta.

 TODO: with the only exception being particular IP addresses take precedence over IP pools in the local-address and remote-address settings, which 
 described later on.

Amb l'autenticació externa amb [[Radius]] dona la possibilitat de gestionar la base de dades d'usuaris PPP des de un servidor centralitzat el qual poden utilitzar tots els dispositius de xarxa. Els atributs que es reben de un servidors Radius sobrescriuen (tenen més prioritat) els atributs del perfil local.

'''Usuaris'''

La base de dades d'usuaris es gestiona a l'apartat PPP dins la pestanya '''secrets'''

'''Perfils d'usuari''':

Els perfils d'usuari es gestionen a l'apartat PPP dins la pestanya profiles o per línia de comandes:

 /ppp profile

Els perfils PPP s'utilitzen per definir valors per defecte per als paràmetres dels usuaris que es poden definir al menu secret. Les configuracions especifiques d'un usuari tenen prioritat respecte a les aplicades al perfil així podem tenir múltiples usuaris utilitzant un mateix perfil però que un usuari concret pugui sobrescriure la seva configuració per defecte per tal d'aplicar-li característiques especials.

{{nota| L'excepció a tenir en compte és que si s'especifica una IP concreta sempre té preferència respecte a un pool d'adreces IP. }}

Cal tenir el compte que routerOS sempre té dos pefils per defecte que no poden ser esborrats:
  
 ppp profile> print
 Flags: * - default
  0 * name="default" use-compression=no use-vj-compression=no use-encryption=no only-one=no
      change-tcp-mss=yes
  1 * name="default-encryption" use-compression=default use-vj-compression=default use-encryption=yes
      only-one=default change-tcp-mss=default

Són els perfils default i default-encryption. Aquests perfils defineixen els valors per defecte del dispositiu i per tant tot i que no els podeu esborrar els podeu modificar per tal de definir els valors per defecte.

'''Paràmetres d'usuari''':

:*'''use-compression (yes | no | default; Default: default)''': Especifica quan utilitzar compressió o no. La compressió utilitza menys ampla de banda però té penalització d'ús de [[CPU]]. El valor per defecte és utilitzar el del perfil default. HI ha dos tipus de compressió, la per defecte i VJ.
:*'''use-encryption (yes | no | default | require; Default: default)''': Especificar si volem xifrar la informació que viatge per la connexió punt a punt. Amb require es força l'ús de [[xifratge]]. 
:*'''use-mpls (yes | no | default | require; Default: default)''': igual que els anteriors però per utilitzar [[MPLS]].
:*'''only-one'' (yes | no | default; Default: default)''' Permet indicar si aquest usuari podrà tindré més d'una connexió al mateix temps. El valor per defecte és default, és a dir s'aplica el que digui el perfil per defecte. Aquest paràmetre és ignorat si s'utilitza autenticació via Radius.

{{nota| TODO If there are more that 10 simultaneous PPP connections planned, it is recommended to turn the change-mss property off, and use one general MSS changing rule in mangle table instead, to reduce CPU utilization. }}

'''Connexions actives'''
En aquesta apartat podeu veure quins usuaris hi ha connectats i en quins paràmetres. En el cas de l'autenticació externa per Radius, pot passar que no vegeu cap usuari a la base de dades d'usuaris locals (apartat secrets) però que aquí i hagui connexions actives provinents de l'autenticació externa amb Radius.

'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:PPP_AAA
:*[[PPP]]
:*[[AAA]]

=== PPPoE ===

TODO

'''Recursos''':
:*[[PPP]]
:*[[PPPoE]]
:*http://forum.mikrotik.com/viewtopic.php?f=2&t=52905

==== ADSL Monolloc i PPPoE ====

Provat amb [[Zyxel P-870HW-51A V2]] en mode bridge.

Seguir les passes de:

:*http://www.ryohnosuke.com/foros/t224/

TODO Documentar:

:*Comprovar com s'agafen les DNS de telefònica (IP>DNS)
:*Comprovar la IP dinàmica que s'aconsegueix
:*Comprovar la taula de rutes
:*Comprovar la connectivitat
:*Qüestions a tenir en compte: el gateway és una IP privada (connexió PPP). No contesta als pings

==== Resol·lució de problemes ====

===== No es pot navegar per algunes pàgines web quan s'utilitza PPPoE a routerOS =====

Consulteu [[Point_to_Point_Protocol_PPP_i_ADSL#No_es_pot_navegar_per_algunes_p.C3.A0gines_web_quan_s.27utilitza_PPPoE_a_routerOS]]

=== User Manager ===

User managment és un paquet independent del sistema operatiu routerOS que pot ser utilitzat per a gestionar els usuaris de un:

:*[[HotSpot]]
:*Usuaris [[PPP]]
:*Usuaris [[DHCP]]
:*Usuaris WIFI
:*Usuaris del propi routerOS

User Manager utilitza Radius. 

Els requiments són:

:*Cal tenir la mateixa versió de routerOS que de User manager
:*Funciona als processadors x86, [[MIPS]] i [[PowerPC]]
:*El router ha de tenir 32MB RAM com a mínim i 2MB d'espai de disc o mempòria flash lliure.

Es pot provar una demo a:

 http://userman.mt.lv/userman 

Entrant amb l'usuari i paraula de pas demo.

Es pot obtenir el paquet a:

 http://www.mikrotik.com/download.html

Escolliu el vostre sistema routerOS i baixeu l'opció '''zip files''' que conté tots els paquets. Per exemple per un dispositius [[mipsbe]] el fitxer és:

 http://download2.mikrotik.com/all_packages-mipsbe-5.11.zip

I el paquet [[npk]] és:

 user-manager-5.11-mipsbe.npk

{{nota|A l'exemples em baixat la versió 5.11, adapteu l'exemple a la versió que hi hagui actualment o que estigueu utilitzant}}

Per instal·lar-lo cal copiar-lo via [[FTP]] o [[scp]] al dispositiu i reiniciar (procediment similar a una actualització del firmware. Consulteu [[RouterOS#Firmware.2FRouterOS_upgrade]]). Per exemple per accedir via [[FTP]] amb el [[Nautilus]]:

 $ nautilus ftp://admin@IP_DEL_ROUTER

Per reiniciar aneu a System > Reboot. Per utilitzar-lo es tracta d'una aplicació web a la que podeu accedir amb:

 http://IP_DEL_ROUTER/userman

Però abans us haureu de crear un usuari anant a:

 /tool user-manager menu.

Per afegir un usuari (subscriber):

 > tool user-manager customer
 > tool user-manager customer> add login="admin" password="PASSWORD" permissions=owner

{{nota|És possible que l'usuari admin ja existeixi}}

Per canviar la paraula de pas:

 > tool user-manager customer set admin password=PASSWORD

Per mostrar els usuaris:

 > print
  Flags: X - disabled
   0   subscriber=admin login="admin" password="adminpassword" time-zone= 00:00
       permissions=owner parent=admin

És una alternativa a eines com [[Radius Manager]].

'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:User_Manager

== Túnels ==

Vegeu també [[túnels]] i [[VPN]]. A routerOS els túnels es defineixen com interficies especials a l'apartat interfícies.
 
 http://wiki.mikrotik.com/wiki/Manual:Interface

=== EOIP ===

[[Ethernet over IP]] (EoIP) Tunneling és un protocol de MikroTik RouterOS que permet crear un túnel ethernet entre dos routers de diferents xarxes.

El túnel EoIP hauria de funcionar sobre una connexió capaç de transportar dades i paquets IP. Quan el router actua com a pont, tot el tràfic [[ethernet]] (tots els protocols ethernet) funcionaran com si hi hagués una cable directe entre un router i l'altre. Aquest protocol fa diversos esquemes possibles de xarxa.

*Configuracions de xarxa amb interfície EoIP:

 Fer un pont LAN a través d'internet
 Fer un pont LAN a través de túnels encriptats
 Fer un pont LAN a través de xarxes WLAN 'ad-hoc'

*El protocol EoIP encapsula trames ethernet amb paquets [[GRE]] (igual que ho fa [[PPTP]]) i els envia a la punta remota del túnel EoIP.

====Propietats====

{| border="0" class="wikitable"
|-
! width="100 px" | Propietat
! width="200 px" |Opcions
! Descripció
! width="100 px" |Per defecte
|-
| [[arp]]
| disabled | enabled | proxy-arp | reply-only
| ''Protocol de resolució d'adreces''
| enable
|-
| keepalive
| integer
| ''Estableix l'interval de temps (en segons) en que es recibeixen missatges keep-alive. Si es perden 3 missatges s'eliminarà la interfície activa. Per a que funcioni correctament, el valor del temps ha de ser igual a les dues bandes del túnel''
| not set
|-
| 12mtu
| integer
| ''Unitat de transmissió màxima de la capa 2. No és configurable per EoIP''
| not set
|-
| mac-address
| Adreça MAC
| ''L'adreça MAC. Es poden utilitzar lliurement els rangs des de '''00:00:5E:80:00:00''' fins '''00:00:5E:FF:FF:FF'''''
| -
|-
| mtu
| integer
| ''Unitat de transmissió màxima de capa 3''
| 1500
|-
| name
| string
| ''El nom de la interfície''
| -
|-
| remote-address
| Adreça IP
| ''L'adreça IP de la banda final del túnel EoIP''
| -
|-
| tunnel-id
| integer:65536
| ''Identificador únic del túnel. Ha de concordar a les dues bandes''
| -
|}

*'''Notes''': 
:*La propietat tunnel-id és un mètode d'identificació del túnel.
:*mtu hauria d'estar sempre a valor 1500 per eliminar la desfragmentació de paquets dins el túnel (això permet una connexió pont transparent i seria possible transportar trames ethernet completes per tot el túnel).
:*És altament recomanat utilitzar adreces MAC úniques per a cada túnel.
:*Per a les interfícies EoIP es pot utilitzar lliurement el següent rang d'adreces: des de 00:00:5E:80:00:00 fins 00:00:5E:FF:FF:FF. No obstant, es pot programar el segon bit del primer byte per a marcar l'adreça com una adreça administrada localment, assignada per l'administrador de la xarxa, i utilitzar qualsevol adreça MAC. Tant sols t'has d'assegurar que és única entre els hosts que formen el túnel.

{{Important| El túnel EoIP afegeix com a mínim 42 Bytes de més (8 Bytes GRE + 14 Bytes de ethernet + 20 Bytes IP)}}

==== Configuració ====
Per fer un túnel EoIP entre 2 [[routers]] que tenen adreces IP 10.5.8.1 i 10.1.0.1:
:* En el router amb l'adreça [[IP]] 10.5.8.1, afegir una interfície EoIP i establir la seva adreça [[MAC]]:

 / Interfície EoIP afegir a distància-address = 10.1.0.1 del túnel-id = 1 mac-address = 00-00-5E-80-00-01 \

:* En el router amb l'adreça IP 10.1.0.1, afegir una interfície EoIP i establir la seva adreça [[MAC]]:

 / Interfície EoIP afegir a distància-address = 10.5.8.1 del túnel-id = 1 mac-address = 00-00-5E-80-00-02 \

Ara podem afegir adreces [[IP]] a les interfícies EoIP creades a partir de la mateixa subxarxa.

===== Configuració [[IP]] routerboard servidor =====
* Primer pas: Dins de [[Winbox]], entrem a [[IP]] - Addresses. Afegim una [[IP]] 192.168.88.1/24 amb interface ''ether2'' i network 192.168.88.0. Aquesta configuració és per fer la [[IP]] pública ([[Internet]]).
[[Fitxer:eoip_jaume_sergi_configuracio1.png|center|250px]]

* Segon pas: Configurem la [[IP]] privada per poder fer el túnel. [[IP]] = 192.168.81.1/24, interface ''ether3'' i network 192.168.81.0.
[[Fitxer:eoip_jaume_sergi_configuracio2.png|center|250px]]

{{Nota | Per tenir les interfaces 2 i 3, prèviament tenim que entrar dins de Interfaces, fer doble clic damunt una interface qualsevol, i modificar-la i ficar el nom d'interfície que més ens interessi. Una vegada modificada la interfície, després la podem seleccionar quan configurem les [[IP]] públiques i privades.}}

* Tercer pas: Una vegada configurades les [[IP]]s, entrem en Interfaces. De la llista desplegable que hi ha en el símbol "+", seleccionem [[PPTP]] Server. En el nom que surt al requadre fiquem ''pptp-in1''.
[[Fitxer:eoip_jaume_sergi_configuracio3.png|center|250px]]

===== Configuració [[IP]] routerboard client =====
* Primer pas: Dins de [[Winbox]], entrem a [[IP]] - Addresses. Afegim una [[IP]] 192.168.88.254/24 amb interface ''ether2'' i network 192.168.88.0. Aquesta configuració és per fer la [[IP]] pública (Internet).

* Segon pas: Configurem la [[IP]] privada per poder fer el túnel. [[IP]] = 192.168.81.2/24, interface ''ether3'' i network 192.168.81.0.

{{Nota | Per tenir les interfaces 2 i 3, prèviament tenim que entrar dins de Interfaces, fer doble clic damunt una interface qualsevol, modificar-la i ficar el nom d'interfície que més ens interessi. Una vegada modificada la interfície, després la podem seleccionar quan configurem les [[IP]] públiques i privades.}}

* Tercer pas: Una vegada configurades les [[IP]]s, entrem en Interfaces. De la llista desplegable que hi ha en el símbol "+", seleccionem [[PPTP]] Server. En el nom que surt al requadre fiquem ''pptp-out1''.

===== Configuració túnel [[PPTP]] =====
* Servidor: Seleccionem del menú de [[WinBox]] [[PPP]]. Seleccionem la interficie (pptp-in1) i cliquem el botó [[PPTP]] Server. Habilitem la opció ''Enabled'' i cliquem Ok.

En la pestanya Secrets afegirem una configuració nova de seguretat amb les [[IP]]s locals (172.0.0.10) i remotes (172.0.0.12). El servei (service) el fiquem en [[pptp]]. Deixem el nom que hi ha per defecte (ppp1) i afegim, també, password (1234). Cliquem en Ok.

* Client: Tenim que fer Interfaces - Interface - icona "+" - [[PPTP]] Client. En la nova pantalla que surt, seleccionem la pestanya Dial Out. Col·loquem la [[IP]] del servidor (192.168.88.1), user (ppp1), password (1234), i Ok.
[[Fitxer:eoip_jaume_sergi_configuracio5.png|center|250px]]


[[Fitxer:eoip_jaume_sergi_configuracio6.png|center|250px]]
Si tots els passos s'han realitzat correctament, ja estan connectats servidor i client.

===== Túnel EoIP =====
* Servidor: Anem a Interfaces - pestanya EoIP Tunnel. Afegim una nova interficie (icona "+").
::* Name: deixem el que surt per defecte (eoip-tunnel1)
::* Type: no cal modificar.
::* MTU: no cal modificar.
::* L2MTU: no cal modificar.
::* [[MAC]] Address: no cal modificar.
::* [[ARP]]: no cal modificar.
::* Local Address: fiquem la [[IP]] del servidor (192.168.81.1).
::* Remote Address: fiquem la [[IP]] del client corresponent a la eth3 (192.168.81.2).
::* Tunnel ID: fiquem un número identificatiu (qualsevol).

* Client: Anem a Interfaces - pestanya EoIP Tunnel. Afegim una nova interficie (icona "+").
::* Name: deixem el que surt per defecte (eoip-tunnel1)
::* Type: no cal modificar.
::* MTU: no cal modificar.
::* L2MTU: no cal modificar.
::* [[MAC]] Address: no cal modificar.
::* [[ARP]]: no cal modificar.
::* Local Address: no fiquem res.
::* Remote Address: fiquem la [[IP]] del servidor corresponent a la eth3 (192.168.81.1).
::* Tunnel ID: fiquem el mateix número identificatiu que hem ficat al configurar el servidor.
[[Fitxer:eoip_jaume_sergi_configuracio4.png|center|250px]]

===== [[Bridge]] =====
* Servidor: Anem a Bridge - pestanya Bridge i afegim un nou pont (icona "+"). Deixem la configuració que surt per defecte en la pantalla i cliquem Ok.

Un cop creat el bridge, s'han d'afegir 2 ports per a que hi hagi connexió entre els routers. Anem a la pestanya Ports (icona "+").
::* port1
:::: Interface: eth2
:::: Bridge: bridge1
[[Fitxer:eoip_jaume_sergi_configuracio8.png|center|250px]]

::* port2
:::: Interface: eoip-tunnel1
:::: Bridge: bridge1
[[Fitxer:eoip_jaume_sergi_configuracio9.png|center|250px]]

* Client Anem a Bridge - pestanya Bridge i afegim un nou pont (icona "+"). Deixem la configuració que surt per defecte en la pantalla i cliquem Ok.

Un cop creat el bridge, s'han d'afegir 2 ports per a que hi hagi connexió entre els routers. Anem a la pestanya Ports (icona "+").
::* port1
:::: Interface: eoip-tunnel1
:::: Bridge: bridge1

::* port2
:::: Interface: eth3
:::: Bridge: bridge1
[[Fitxer:eoip_jaume_sergi_configuracio10.png|center|400px]]

===== Comprovacions =====
Si totes les connexions s'han fet correctament, la manera més senzilla de comprovar que funciona el túnel és fent un [[ping]].

==== Comprovacions ====

*Anem a ''Interfaces'' i fem clic al port pptp-client. Observem que a la part de baix fica '''Status: Connected'''. Això ens indica que el túnel pptp funciona correctament:

[[Fitxer:Usuari-Gerardsese_Practica_EoIP_Comprovacions_1.png | center]]

*Anem a ''Tools'' --> ''Ping'' i fem ping a la direcció IP 192.168.81.1. Aquesta direcció és la del port 3 per la qual fem els túnels:

[[Fitxer:Usuari-Gerardsese_Practica_EoIP_Comprovacions_2_Ping.png | center | 600px]]


[[Fitxer:Usuari-Gerardsese_Practica_EoIP_Comprovacions_2.png | center]]

==== Errors ====

*No confundir les adreces remotes amb les adreces que sen's assignen per defecte (prèvia configuració del router servidor) automàticament un cop fet el túnel EoIP.

*Si no podem accedir al router a través del winbox pot ser perquè no s'ha configurat bé la IP de la màquina i la porta d'enllaç. Si encara així el problema persisteix, el millor es reiniciar el router i connectar-nos via web amb l'adreça 192.168.88.1


==== Fitxers ====

'''Explicació gràficament'''

Gràfica original: [[Fitxer:graf_conf_dlrh.doc| Gràfica]]

[[Fitxer:Bridge_EoIP_dlrh.png|center]]

[[Fitxer:Bridge_EoIP_dlrh1.png|center]]

'''Backup's dels routers'''

* Servidor: [[Fitxer:backup_servidor_eoip_dlrh.tar.gz]]
* Client: [[Fitxer:backup_client_eoip_gcc.tar.gz]]

==== Enllaços ====
*[http://es.wikipedia.org/wiki/N%C3%BAmeros_de_protocolo_IP| Números de protocols IP]
*[http://www.dd-wrt.com/wiki/index.php/EoIP_Routing| EoIP Routing]
*[http://blog.butchevans.com/2008/09/mikrotik_routeros_transparent_bridge_pptp_eoip| Configuració EoIP]

=== IPIP ===

TODO

'''Recursos'''
:*http://wiki.mikrotik.com/wiki/Manual:Interface/IPIP
:*[[Túnels]]
::*[[IPIP]]

=== GRE Túnel ===

'''Recursos'''
:*http://wiki.mikrotik.com/wiki/Manual:Interface/Gre
:*[[Túnels]]
::*[[GRE]]

=== L2TP ===

El primer que cal fer és activar el servidor:

 $ [[cat]] [[/etc/services]] | [[grep]] [[l2tp]]
 [[l2f]]		[[1701]]/tcp	l2tp
 l2f		1701/udp	l2tp

Per comprovar que el servei funciona feu un [[nmap]] abans i després d'activar el servei:

 $ [[sudo]] [[nmap]] -p 1701 -sU 10.140.129.2
 
 Starting Nmap 6.00 ( http://nmap.org ) at 2012-12-18 19:38 CET
 Nmap scan report for 10.140.129.2
 Host is up (0.0052s latency).
 PORT     STATE  SERVICE
 1701/udp closed L2TP

I després d'activar-ho:

 $ sudo nmap -p 1701 -sU 10.140.129.2
 
 Starting Nmap 6.00 ( http://nmap.org ) at 2012-12-18 19:38 CET
 Nmap scan report for 10.140.129.2
 Host is up (0.0073s latency).
 PORT     STATE         SERVICE
 1701/udp open|filtered L2TP

'''Recursos'''
:*http://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
:*[[Túnels]]
::*[[L2TP]]

==== L2TP i multihoming ====

Sembla que el server L2TP en el cas de tenir múltiples adreces IPs només funciona si es connecta al servidor utilitzant la IP que sigui la mateixa que la Ip per la que entra el paquet.

==QoS==

:*[[Quality_Of_Service#QoS_a_microtik]]

== Accés Lists ==

TODO:

Sergi, a veure et comento:

Jo a Hospitalet ho tinc de la manera que comentes, establint un nivell de senyal de -85 a qualsevol tipus de connexio client a 2,4 GHz, a 5 GHz nomes admeto clients en un sol punt de la xarxa a Hospitalet i tambe tinc establerta aquesta limitacio.

Aixo es fa al RoS, fent-lo amb el Winbox es procedeix aixi:

Wireless --->Access list: Afegeixes un nou patro, indicant la interface a la qual afectara (post deixar ''all'' per totes), seguidament el nivell de senyal (si es per clients podries possar -85..120), a continuacio marques el Authentication i Forwarding si permets la connexio i no els marques si no ho permets.

Molta precaucio en l'ordre que poses les regles de connexio, pensa en les ACL del SQUID, si poses la primera per exemple una similar a: Interface: All / Signal: -120..120 i sense marcar Authentication i Fordwarding, llavors no permetra cap connexio.

Has d'anar provant, fins que aconsegueixis afinar be les connexions, permetent les oportunistes, pero amb una minima qualitat, per no desvirtuar a la resta de connexions (que vagin molt a poc a poc).

Per altre lloc tens la pestanya del Connect List, on jo personalment tinc definits els WDS, encara que les restriccions indicades anteriorment no afecten a les connexions WDS. Tambe podries definir en el Connect List excepcions en connexions, per exemple per fer enllaços es util marcar la Mac de l'equip el qual vols connectar, perque permeti per exemple una connexio client provisional per canviar algun parametre o fer proves de qualsevol mena.

Espero haber-te ajudat, si mes no una mica nomes.... ja comentaras si et serveix aquesta mini explicacio.

Salutacions

Ricardo


2011/1/23 Sergi Tur Badenas <sergi.tur@upc.edu>

    Hola a totes/tots,

    Fa temps que tinc pendent mirar-me aquest tema. Crec que de tant en tant tenim problemes de rendiment per que hi ha clients que es connecten amb molt mala connexió i m'agradaria impedir

    He vist que hi ha gent que comenta que es pot fer (p.ex. als comentaris de aleix.sole a http://guifi.net/node/17370). Concretament comenta de determinar un mínim de qualitat de senyal. Sabeu com es fa a roterOS?

    Plantejo dubtes relacionats a veure si hi ha sort:

    - Si tinc un client registrat amb mala connexió però no provoca transit, afecta igualment al rendiment? per exemple, suposeu que el supernode no dona IP per DHCP: Un curiós que es connecti a la xarxa WIFI del AP, no tindrà IP i per tant no podrà navegar ni crear transit. En aquestes circumstàncies si deixa però el node connectat a la wifi i amb mala connexió aleshores afecta al rendiment?
    - De fet, es pot impedir la connexió a tothom que no sigui un client conegut? Suposo que es pot fer per MAC, algú hi te experiència?

-----

+1 al que diu el Ricardo. L'access list és per limitar les connexions entrants jugant amb permetre autenticació i forwarding als clients, depenent del criteri de l'RSSI. El que dius de permetre accés a determinats clients es fa igual (la manera més fàcil és deshabilitar el default authenticate i default forward a la interfície wlanX i permetre accés via acces list a les adreces MAC que vulguis). El connect list és quan per exemple tens una ràdio del mk associada com a client (és a dir, quan és el mk es connecta a alguna banda, si muntes coses amb mesh el RoS també agafa les regles d'aquesta llista).

Sobre el tema del client associat: com bé dius Pablo, la capa MAC adapta la velocitat pel client amb mala connexió, però això es fa en cada preàmbul 802.11 i paquet a paquet (s'envia amb el rate bàsic, 6 Mbps per 802.11a i 1 Mbps per 802.11b); són les dades que s'envien després de la capçalera que indica la velocitat les que van a la velocitat que toca (de manera que en termes relatius acabes tenint una capçalera que dura molt més que les dades, si vas al rate màxim).

Pàgina 696 de l'estàndard
http://standards.ieee.org/getieee802/download/802.11-2007.pdf

Si el client no genera trànsit, no entra en la contenció pel medi i per tant el client mal associat no "afecta" en aquell precís moment.

Però:

1) Ningú et garanteix que el client no acabi generant trànsit, per molt que no tingui configuració layer 3

2) A part de la contenció pel medi, on tindries paquets d'11 mbps i paquets d'1mbps (i els paquets d'1mbps impliquen que durant tot el temps que es transmeten no es pugui transmetre a 11 mbps pel medi, amb la pèrdua de rendiment corresponent), considera també que el client mal connectat patirà pèrdues de paquets amb els seus timeouts corresponents

En resum, limita-ho tant com puguis pq només es connectin clients amb bon senyal, tal com diuen les bones pràctiques de guifi, i t'estalviaràs problemes.

Sort,

Aleix

== Monitorització ==

=== SNMP ===

Vegeu també:
:*[[SNMP]]

'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:SNMP

=== Munin ===

:*http://wiki.mikrotik.com/wiki/Munin_Monitoring

== Hotspot ==
Proporciona autenticació per als clients abans d'accedir a les xarxes públiques. 

=== Exemple pas a pas de Hostpot amb Mikrotik i User manager ===

== Paquets ==

RouterOS és un sistema extensible, es poden instal·lar paquets extres (extensió npk]]). Per obtenir tots els paquets baixeu el fitxer zip del vostre sistema:

 http://www.mikrotik.com/download.html

Podeu consultar un exemple de paquet amb [[User Manager]].

==Consums==

Sí, hi ha un límit de l'amperatge que pot entregar oi?

Jo compto 7,5A màxim, que és el que diu a les specs de la RB600, i ja que
tinc els datasheets just davant perquè m'hi estic barallant, ho pastejo FYI:

Consums (màxim absolut):

 XR5 => 1,90 A Tx + 0,4 mA Rx => 2,3 A
 RB52 => 400 mA
 RB5H => 1,6A
 RB52H => 800 mA
 
La config que tenim ara mateix donant pel sac és una RB600 amb quatre RB52,
dues RB52H i dues XR5.

Surten 7,8 ampers de consum màxim. La "cosa" ha aguantat fins que ha
començat a fer calor, però el watchdog el reinicia de tant en tant i als
vespres (i suposo que quan està més calenta) es queda penjada. A veure què
passa amb la nova caixa.

== 3G ==

Dispositius amb USB, es pot posar un USB Dongle per tenir connexió a Internet per 3G.

Permet rebre i enviar SMS. Es pot executar un script al rebre un SMS (per exemple fer un reboot)

:*http://wiki.mikrotik.com/wiki/Supported_Hardware#3G_cards

:*http://mum.mikrotik.com/presentations/US11/us11-brian.pdf

== IPv6 ==

== Safe mode ==

:*http://blog.bravi.org/?p=928

== Eines ==

=== Dude. Gestió de dispositius ===

 http://blackhold.nusepas.com/2012/11/instalar-mikrotik-the-dude-como-un-servicio-de-gnulinux/

Aplicació per a Windows. Provar d'instal·lar amb [[wine]].

 http://wiki.mikrotik.com/wiki/Dude_Linux_Installation

==== Instal·lació ====
Tenim que descarregar-nos l'aplicació des de la pàgina web de [[MikroTik]]. Tenim que fer l'arxiu executable per poder-ho executar amb el [[Wine]].

La primera pantalla que surt és la llicència. Cliquem en ''I agree''. En la següent seleccionem tots els check-boxs que hi han i cliquem en ''Next''.
[[Fitxer:router_sergi_jaume_31.png|400px|center]]

En la següent pantalla deixem la destinació de fitxers que surt per defecte i cliquem en ''Install''.
[[Fitxer:router_sergi_jaume_32.png|400px|center]]

Una vegada completada la instal·lació, cliquem en ''Close''. Per obrir la aplicació tenim que fer Aplicaciones -> [[Wine]] -> Programas -> The [[Dude]] -> The [[Dude]]. Abans d'obrir-se l'aplicació, podem escollir l'idioma.
[[Fitxer:router_sergi_jaume_33.png|400px|center]]

En la pantalla inicial que surt (en blanc), tenim que clicar damunt de la primera icona que hi ha dalt a l'esquerra (''Conectar''). Haurem de ficar la [[IP]] de la màquina, usuari admin, '''sense contrasenya''', en modo remoto, i el port que surt per defecte.
[[Fitxer:router_sergi_jaume_34.png|300px|center]]


[[Fitxer:router_sergi_jaume_35.png|700px|center]]



Execució:

 $ gksudo wine ~/.wine/drive_c/Program\ Files/Dude/dude.exe &

==== Resol·lució de problemes ====

===== Connection to local server failed =====

Feu clic al botó amb un llamp i connecteu per la IP i no pas per localhost. El usuaris per defecte és admin sense paraula de pas.

===== El dude es penja o les còpies de seguretat es pengen. Fitxer de log massa grans =====

Cal anar a l'apartat de fitxers del propi Dude (pel darrera, és a dir pels fitxers dels sistema routerOS subjacent no apareixen) cal mirar la mida dels fitxer de log. Si són massa grans el sistema es ralentitza.

També cal tenir en compte que els fitxers de backup inclouen els logs i també els fitxers de firmware que es puguin!

===== Els fitxers de backup ocupen massa espai ====

Cal mirar l'apartat fitxers del dude per veure si hi ha fitxers que ocupin massa espai.

== Altres ==

===Partida defectuosa===

A mi em passava amb una placa RB600A, es reiniciava sola, es quedaba
"pájara" i es va solucionar passant el firm a la v3.24 i després a dins,
seguint les instruccions d'en Jordi Soler, vaig fer un

 system routerboard upgrade



*https://llistes.projectes.lafarga.org/pipermail/guifi-rdes/2009-July/011107.html

==guifi.net==

===No funciona unsoclic si es torna a passar per segon cop===

Al passar la configuració de guifi.net sobre una màquina que ja havia estat configurada amb unsolclic, el sistema és queda amb una configuració incorrecte. Cal abans fer un:

 /system reset-configuration

== Emails ==

Exemple amb [[Gmail]] (de fet l'exemple l'he fet amb un compte google Apps). La configuració del servidor [[SMTP]] es fa a:

 Tools > Email

Aquí hi ha un botó '''Send email''' que permet fer una prova d'enviar un correu electrònic.

Només cal tenir en compte que cal activar [[TLS]] i que el port és el 587. 

{{important|l'usuari és el propi compte de correu electrònic. Cal posar tot el correu sencer usuari@elmeudomini.com}}

També cal tenir en compte que per alguna estranya raó no es poden utilitzar noms de màquina ([[DNS]]) si no que cal utilitzar l'adreça IP. En el meu cas l'adreça del servidor SMTP és la del servidor smtp.gmail.com

 $ ping smtp.gmail.com
 PING gmail-smtp-msa.l.google.com (173.194.78.109) 56(84) bytes of data.
 64 bytes from wg-in-f109.1e100.net (173.194.78.109): icmp_req=1 ttl=44 time=41.2 ms

és a dir:

 173.194.78.109

Per depurar l'enviament de missatges:

 /system logging add topics=e-mail action=memory

Per enviar per línia de comandes:

 /tool e-mail send to=you@yourdomain.com subject="test" body="test" tls=yes

Això suposant que heu configurat totes les dades a:

 Tools > Email

=== Script per enviar emails amb backups automàticament ===


 # jan/05/2013 17:58:15 by RouterOS 5.22
 # software id = 7GT7-DWXP
 #
 /system scheduler
 add comment="Weekly Backups" disabled=no interval=1w name=email-backup \
     on-event=backupsandemail policy=\
     ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
     start-date=jan/05/2013 start-time=02:15:00
 # jan/05/2013 17:59:29 by RouterOS 5.22
 # software id = 7GT7-DWXP
 #
 /system script
 add name=backupsandemail policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api source=":global backupfile ([/system identity get name] . \"-\".  [:pick [/sy\
    stem clock get date] 7 11] . \"-\" . [:pick [/system clock get date] 0 3] . \"-\" . [:pick [/system clock get date] 4 6] . \"-\" . [/system clock get time])\r\
    \n:log info \"Binary backup beginning now...\"\r\
    \n/system backup save name=\$backupfile\r\
    \n:log info \"...Binary backup terminated... Beginning not compact export backup\"\r\
    \n/export file=\$backupfile\r\
    \n:log info \"...Not compact backup terminated... Beginning compact export backup\"\r\
    \n/export file=(\$backupfile . \"-compact\") compact\r\
    \n:log info \"Backup pausing for 10s before sending email\"\r\
    \n:delay 10s\r\
    \n:log info \"Backup being emailed...\"\r\
    \n/tool e-mail send to=\"maninfo@augute.org\" subject=([/system identity get name] . \\\r\
    \n\" Backup\") from=[/system identity get name] file=(\$backupfile . \".\" . \"backup\" ) tls=yes\r\
    \n/tool e-mail send to=\"maninfo@augute.org\" subject=([/system identity get name] . \\\r\
    \n\" Export\") from=[/system identity get name] file=(\$backupfile . \".\" . \"rsc\" ) tls=yes\r\
    \n/tool e-mail send to=\"maninfo@augute.org\" subject=([/system identity get name] . \\\r\
    \n\" Compact Export\") from=[/system identity get name] file=(\$backupfile . \"-compact.\" . \"rsc\" ) tls=yes\r\
    \n:log info \"Emails sent\"\r\
    \n"
 
  /tool e-mail> export
 # jan/05/2013 18:00:00 by RouterOS 5.22
 # software id = 7GT7-DWXP
 #
 /tool e-mail
 set address=173.194.78.109 from=maninfo@augute.org password=PUT_YOUR_PASSWORD_HERE port=587 starttls=no user=maninfo@augute.org


'''Recursos''':
:*http://blog.butchevans.com/2008/09/mikrotik-routeros-automated-backup/

== Troubleshooting, Resol·lució de problemes ==

=== No funciona snmp en interfícies de xarxa amb múltiples IP (Multihoming) ===

No entenc molt bé per què passa aquest error però a vegades els dispositius Mikrotik no accepten peticions SNMP quan hi ha diverses adreces IP? Tampoc tinc lar si és això o és simplement un tema de permisos SNMP de la comunity ja que dona un problema d'autenticació.

Si s'activa el log de snmp a System > logging aleshores a log es pot observar l'error:

 snmp authentication failed

Cal anar a:

 IP > SNMP 

fer clic al botó communities. Feu doble clic a la community public i posar un rang d'adreces IP a la community (o posar 0.0.0.0/0 per a totes les adreces IP)

{{nota|Per defecte en alguns sistemes ja apareix 0.0.0.0/0 però en altres no!}}
 
:*http://forum.mikrotik.com/viewtopic.php?f=2&t=54869

=== La instal·lació de routerOS per a PC x86 no funciona. Ho hard drives found ===

M'ha passat amb un servidor [[Dell]] [[PowerEdge R210 II]].

Es pot evitar l'error canviant a la BIOS a les configuracions SATA el [[AHCI]] per [[ATA]] però aleshores no troba el CD!

=== No es mostra res a la secció de log ===

Normalment sol ser per que el sistema no està configurat per mostrar els esdeveniments. A l'apartat System > Logging observeu si teniu algun nivell d'esdeveniments que mostri els missatges per memory (memory correspont a la secció Log)

Vegeu [[RouterOS#Logging]].

=== Connexió per MAC ===

Podeu tenir els següents problemes:

:*No funciona si no hi ruta per defecte
:*No funciona amb si l'ordinador té múltiples targetes de xarxa i tenim el gateway definit a una targeta de xarxa que no és la que està connectada el dispositiu al que volem connectar per MAC.

Consulteu [[RouterOS#Acc.C3.A9s_per_MAC]]

=== Comprovació de problemes ===

 > system check-installation 
 
 > system check-disk
 Router will be rebooted. Continue? [y/N]:

=== system,error,critical router was rebooted without proper shutdown by watchdog timer ===

Si al entrar via SSH a una routerOS (o consultant el LOG):

 jan/02/1970 00:00:07 system,error,critical router was rebooted without proper shutdown by watchdog timer
 [admin@TortosaSeminariRd1] > system 
 [admin@TortosaSeminariRd1] /system> watchdog              (tabula DOS COPS)
 edit  export  get  print  set
 
 [admin@TortosaSeminariRd1] /system> watchdog print
      watch-address: none
     watchdog-timer: yes
      no-ping-delay: 5m
   automatic-supout: yes
   auto-send-supout: no

TODO...

:*http://wiki.mikrotik.com/wiki/Watchdog


=== Activar el link d'una targeta ethernet (ether1 i POE) a al que funciona POE però no el link===

Després d'un tempesta amb tronades i llamps, la RB600 del supernode de l'institut de l'Ebre, al reiniciar el supernode sembla que s'engega i s'activa correctament tot menys la targeta de xarxa ether1 (la que li fa arribar el POE). En aquest cas també és la que connecta amb els servidors.

L'he pogut activar connectant-me amb winbox al supernode per els AP (via radio) i des d'allà provava d'activar/desactivar la ether1 però no quedava activa (la xarxa té link, és activa, quan surt la lletra R (Running) al costat de la interfície). Al fina s'ha activat quen he desactivat la'utonegociació i l'he posat a mà a 100mbps. Un cop activada he pogut tornat a activar l'autonegociació i sembla que tot funciona correctament.

:*http://guifi.net/ca/InstitutEbre
:*http://guifi.net/ca/guifi/device/19633

==Vegeu també==

:*[[VPN]]
::*[[OpenVPN_Microtik]]
:*[[PPP]]
:*[[Túnels]]
:*[[guifi.net]]
:*[[nanostation]]
:*[[RB 750G]]
:*[[RouterOS]]
:*[[Model híbrid guifi.net]]

==Enllaços externs==

'''Recursos''':
:*http://oriol.joor.net/blog/wiki/index.php/index.php?id=hotspot_wifi