Ubiquiti airMAX – Configurar un cliente WiFi de

largo alcance.
Nota: Esta guía es para radios airMAX, los pasos para configurar los radios non-airMAX (Legacy)
son diferentes y no están incluidos en este articulo.

1. Estas instrucciones asumen que su radio esta en valores de fabrica, por favor devuelva a valores
de fabrica antes de proceder. Esto es critico, especialmente si se encuentra solucionando un
problema.

2. Utilizando su PC con Windows 7 o con su equipo Mac configurado en la subred 192.168.1.x,

conecte su radio usando un cable Ethernet. El puerto Ethernet cuenta con detección automática. No
es requerido el uso de cable cross-over.

3. Utilizando un navegador web, introduzca la dirección 192.168.1.20 en la barra URL, para ingresar
a la consola de configuración del radio.

4. Introduzca “ubnt” como cuenta de administración y “ubnt” como contraseña.

Instrucciones de configuración

(Cambie SOLAMENTE los elementos mostrados, dejando otros en los valores predeterminados):

A. Elija pestaña Network.

– Network Mode: Router

– WAN Network Settings > NAT: [X] Enable
– LAN Network Settings > DHCP Server > (*) Enabled
– Press [Change] button

Aquí termina la configuración inicial.

B. Para utilizar esta radio como su nuevo adaptador Wi-Fi, debe:

– Deshabilite el WiFi interno de sus dispositivos.

– Configure su computadora para “Obtener dirección IP automáticamente” DHCP.
– Conecte el radio Ubiquiti en el puerto Ethernet de su dispositivo.
– Encienda su radio Ubiquiti, usando el cable y el adaptador PoE que esta incluidos en su equipo.

Nota: El cable Ethernet blindado reduce la posibilidad de daño eléctrico en el radio. Es

particularmente importante cuando se montan los radios en casas rodantes y barcos.

C. Enlazar (como cliente) a un Access Point.

– Ingrese a la consola de configuración del radio ingresando a la dirección 192.168.1.1

– Seleccione el apartado Wireless
– Seleccione la opción SSID y elija el Access Point al que desea enlazarse.
Nota: Piense en la “Señal” como una temperatura. Entre “mas negativa” más “fria” ó “debil” sera la
señal. Seleccione el Access Point mas apropiado, con el nivel de señal mas fuerte como se muestra
en esta columna de la ventana Site Survey. Adicionalmente, una señal que es mas “templada” que -
45 es “muy caliente” y podrá causar un rendimiento pobre.

MikroTik – Estación (Cliente) Wi-Fi para equipos

sin Tarjeta Inalámbrica
Nivel: Básico

En este articulo veremos la manera de como conectar un router inalámbrico, o cualquier equipo MikroTik que
tenga una tarjeta de radio Inalámbrica. Para que un equipo o dispositivo de Red que no posee tarjeta inalámbrica
pero si tiene un puerto de Ethernet, que no podemos conectar a la Red por cable tenga comunicación
inalámbrica.
Requisitos:

– Para realizar la configuración de este artículo es necesario llevar a cabo primero la configuración del siguiente
artículo:

 Articulo: “MikroTik – No Default Configuration“.

Diagrama de la aplicación:

Sintaxis de código de programación

/interface bridge
add name=bridge-Red
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=Contraseña_Red_Wi-Fi supplicant-identity="" \
wpa-pre-shared-key=PASSWORD wpa2-pre-shared-key=PASSWORD
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=\
station-pseudobridge security-profile=Contraseña_Red_Wi-Fi ssid=Red_Wi-Fi \
wireless-protocol=802.11
/interface bridge port
add bridge=bridge-Red interface=wlan1
add bridge=bridge-Red interface=ether1
/ip dhcp-client
add disabled=no interface=bridge-Red

Configuración a través de Winbox

1.- Para conectar el radio inalámbrico a una Red Wi-Fi primero hay que acceder a la opción de “Wireless”.
2.- En la ventana de “Wireless Tables” primero hay que acceder a la pestaña de “Security Profile“, para
generar un perfil de contraseñas, aquí es donde se da de alta la contraseña que se requiere para conectarse al
Access Point.
Nota: Si el Access Point tiene una Red Wi-Fi abierta que no requiere contraseña no es necesario entrar a esta
pestaña y pasar al paso #.

3.- En la ventana New Security Profile daremos de alta la contraseña que se requiere para conectarse, junto con
las especificaciones del tipo de contraseña que se utiliza.
De esta forma tendremos un registro que contendrá la contraseña y que podremos usar posteriormente como se
ve en la siguiente imagen:

4.- Ahora regresamos a la pestaña “Interfaces“, y damos doble clic en el registro de la tarjeta de Red
Inalámbrica, para de este modo editar su configuración.
5.- En la ventana de la WLAN, tenemos que cambiar a la pestaña de Wireless, que es donde configuraremos la
operación del Radio Wi-Fi.

Los parámetros que tenemos que cambiar para que el router se conecte son:

 Mode: Es como va a funcionar u operar el radio inalámbrico.

 Band: Se configura el tipo de protocolo de negociación realizara el equipo.
 SSID: Aquí se especifica el nombre de la Red Inalámbrica a la que nos vamos a conectar.
 Wireless Protocol: especifica si el modo de operación del radio será con el estándar Wi-Fi o Protocolo
propietario de MikroTik.
 Security Profile: Aquí seleccionamos el perfil de seguridad que se creo con anterioridad.
 Para activar el radio hay que dar clic en el Botón “Enable“.

Si por algún motivo no puede realizar la conexión el Radio hay que cambiar el modo de operación del Radio a
“Mode: station pseudobridge”

Al terminar de configurar veremos que el registro del radio inalámbrico, cambiara el color de las letras, como se
ve en la siguiente imagen:
De esta forma el Router recibirá los datos de forma inalámbrica y para que el dispositivo conectado al puerto
Ethernet reciba los datos de Red, tenemos que crear un Bridge entre las interfaces.

6.- Para crear el Bridge hay que acceder a la opción “Bridge” en el menú principal.

7.- En la ventana Bridge para crear una Interface Bridge se da clic en el botón “add” (+).

8.- Lo único que se tiene que hacer es dar un nombre a la nueva Interface.
9.- Al terminar tendremos un registro en la ventana como se en la siguiente imagen:

10.- Para hacer que las interfaces estén conectadas entre si hay que agregarlas al bridge, para eso hay que
cambiar a la pestaña “Ports” y se da clic en el botón “add” (+).
11.- En el parametro Interface se selecciona el puerto físico, y en Bridge seleccionamos el Bridge que se creo en
el paso anterior.

Al crear los registros tendremos algo similar a la siguiente imagen:

De esta forma ya tendremos la comunicación directa con la Red de datos principal.

MikroTik – Configurar Repetidor Wi-Fi
En este artículo veremos la forma de configurar nuestro AP MikroTik como un repetidor de Señal Wi-Fi.

1. Conectar el AP a una Red Wi-Fi existente.

Lo primero que tenemos que tener es acceso a la red inalámbrica existente y crear la conexión con el AP
principal.

– Crear el Perfil con la contraseña para conectarse al Wi-Fi.

Para esto primero hay que acceder en el Menú Principal a “Wireless” como se ve en la imagen 1.1

(Imagen 1.1)

Una ves que tengamos la ventana “Wireless Tables” hay que acceder a la pestaña “Security Profile“.

En el botón add (+), podremos crear un nuevo perfil para usarlo en la configuración de la interface “wlan“,
como se ve en la imagen 1.2

(Imagen 1.2)

En este perfil de seguridad es donde se define la contraseña que se requiere para conectarse al Wi-Fi. Los tipos
de contraseña que utiliza el RouterOS son “WPA” como se ve en la imagen 1.3
 (Imagen 1.3)

Una ves guardado nuestro perfil tendremos un nuevo registro en nuestra tabla el cual podremos usar en otras
secciones, como lo podemos apreciar en la imagen 1.4

(Imagen 1.4)
2. Configurar Interface wlan como cliente.

Una vez que tenemos nuestro perfil de seguridad ya podemos continuar con la parte de configurar la interface
wlan como cliente Wi-Fi.

Para esto hay que regresar a la pestaña “interfaces” en la misma ventana de “Wireless Tables” que nos
encontramos, si por alguna circunstancia la interface wlan esta “disabled” la veremos con las letras de color
“gris” y en la primera columna tendrá una (X).

Para activar la interface wlan hay que seleccionar el registro y posteriormente dar clic en el botos “Habilitar”
(botón con la imagen de check), como se ve en la imagen 2.1

(Imagen 2.1)

Una vez que este activa la interface veremos que el color de las letras cambiara a negro, para configurar los
parámetros del wlan, solo hay que dar doble clic en el registro. Como se ve en la imagen 2.2

(Imagen 2.2)

Los parámetros que vamos a configurar están en la pestaña “Wireless“, lo que se tiene que hacer es poner el
Modo de operación en “station bridge“, escribiremos el SSID de la red a la que nos queremos conectar, en el
Wireless Protocol tenemos que indicarle que el Wi-Fi es de un access point bajo el standard “802.11”, y en el
Security Profile elegiremos el perfil que creamos en el punto 1. todo esta ilustrado en la imagen 2.4

(Imagen 2.4)

3. Configuración de AP Virtual

Una ves que nuestro radio wlan se a conectado al Access Point principal, crearemos una interface “Virtual“.
Para eso se da clic en el botón “Add” (+) y seleccionar la opción “Virtual” como se muestra en la imagen 2.5

(Imagen 3.1)
El modo de operación tiene que ser “ap bridge” para que nuestro equipo difunda un nombre de red inalámbrica
“SSID“, el Master Interface seria la interface física que tiene nuestro equipo. El Security Profile es la
contraseña que se usara para aceptar las conexiones entrantes, se puede usar el mismo profile o crear otro
profile. Ejemplo en la imagen 3.2

(Imagen 3.2)

De tal forma en nuestra lista de interfaces ahora tendremos 2 (dos) registros en donde el tipo de una de ellas sera
“Virtual” como lo podemos ver en la imagen 3.3

(Imagen 3.3)

Para que los datos puedan pasar desde la interface fisica a la virtual para que los equipos tengan comunicacion
entre si hay que generar un bridge como se ve en la imagen 3.4

(Imagen 3.4)
Una ves que se genero el bridge lo que tenemos que hacer es indicar que nuestras interfaces “wlan” van a
pertenecer al bridge, para ello hay que cambiarse a la pestaña “Ports” en la ventana “Bridge” como se ve en la
imagen 3.5

(Imagen 3.5)

Con esta configuración podremos ser capaces de ver una segunda red inalámbrica que depende de la primera
como lo podemos ver en la imagen 3.6
 (Imagen 3.6)

MikroTik – Port Forwarding

Nivel : Intermedio
Para acceder a los dispositivos o servicios de equipos internos que se encuentran en una Red LAN privada,
desde una Red Externa ya sea del Router que tiene la Red Nateada, o desde una Red Publica como internet se
tiene que realizar y dejar pasar el trafico correspondiente al puerto de comunicación a través del Firewall.

Para dar paso hay que dar de alta reglas que tienen el origen de la comunicación interna y que el router reenvié
el trafico al dispositivo final.

Diagrama de la conexión:

El cliente se encuentra fuera de nuestra red y tiene que pasar a través del firewall, pero el cliente solo puede ver
hasta la dirección IP que tiene el Router en su interface WAN, y el paso que se dejara pasar será cuando el
destino sea el Puerto 21 (TCP)

Configuración a través de Terminal

sintaxis de código:

/ip firewall nat

add chain=dstnat dst-address=10.5.8.200 dst-port=21 protocol=tcp action=dst-nat to-
addresses=192.168.0.109 to-ports=21

Configuración a través de Winbox

Acceder en el menu principal a IP => Firewall

En la ventana de Firewall hay que cambiarse a la pestaña de NAT y hay pulsar el botón de add para agregar la
regla

Los parametros que se configuran son los siguientes:

Al terminar tendremos un registro como el siguiente:

MikroTik – RouterOS (v6.39.3, v6.40.4, v6.41rc) NO

afectado por vulnerabilidad WPA2 (KRACK)
El 16 de octubre, CERT / CC / ICASI lanzó un anuncio público sobre las vulnerabilidades detectadas en los protocolos de
protocolo de enlace WPA2 que afectan a la mayoría de los usuarios de Wi-Fi y a todos los proveedores en todo el mundo.
¡RouterOS v6.39.3, v6.40.4, v6.41rc no se ve afectado!
Es importante tener en cuenta que la vulnerabilidad se descubre en el protocolo mismo, por lo que incluso una
implementación correcta se ve afectada.
Estas organizaciones nos contactaron antes, por lo que ya hemos lanzado versiones fijas que abordan los problemas
descritos. No todas las vulnerabilidades detectadas afectan directamente a los usuarios de RouterOS, o incluso se aplican
a RouterOS, pero seguimos todas las recomendaciones y mejoramos el proceso de intercambio de claves según las pautas
que recibimos de las organizaciones que descubrieron el problema.
Lanzamos versiones fijas la semana pasada, por lo que si actualiza sus dispositivos de manera rutinaria, no se requieren
más acciones.
CWE-323
CVE-2017-13077
CVE-2017-13078
CVE-2.017 a 13.079
CVE-2017 a 13080
CVE-2.017 a 13.081
CVE-2.017 a 13.082
CVE-2017-13083
CVE-2017 hasta 13084
CVE-2.017-13.085
CVE 2017-13086
CVE-2017-13087

Lo siguiente se aplica al software RouterOS antes de las actualizaciones relacionadas con el problema.

nv2
nv2 no se ve afectado de ninguna manera. Esto se aplica a ambos: AP nv2 y cliente. No es posible restablecer el
nonce en intercambio de claves y la reinstalación de claves no es posible, porque el intercambio de claves nv2
no sigue directamente la especificación de intercambio de claves 802.11.

Reutilización de nonce 802.11

RouterOS no se ve afectado de ninguna manera, RouterOS genera un inicio aleatorio aleatorio
criptográficamente fuerte en el arranque y nunca vuelve a usar el mismo valor durante el tiempo de actividad.

Reinstalación de claves 802.11

El dispositivo que funciona como cliente en el intercambio de claves se ve afectado por este problema. Esto
significa que RouterOS en modos de estación y AP que establecen enlaces WDS con otros AP se ven
afectados. Los AP de RouterOS (ambos, autónomos y controlados por CAPsMAN), que no establecen enlaces
WDS con otros AP, no se ven afectados. La reinstalación de llave reenviando el marco de intercambio de claves
permite que el atacante restablezca el contador de paquetes de marcos cifrados. Esto permite que el atacante
reproduzca los marcos que antes había enviado el AP al cliente. Tenga en cuenta que RouterOS NO restablece
la clave de algún valor conocido que permita al atacante inyectar / desencriptar cualquier fotograma a / desde el
cliente.

Razón de acción sugerida

Siempre se recomienda actualizar a la última versión de RouterOS, pero dependiendo del protocolo y modo
inalámbricos, el curso de acción sugerido es el siguiente:
– nv2: no es necesaria ninguna acción
– 802.11 / nstreme AP sin WDS: no es necesaria ninguna acción
– CAPsMAN : no es necesaria ninguna acción
– 802.11 / nstreme client (todos los modos de estación) o AP con WDS: actualice a la versión fija lo antes
posible.

Para dispositivos AP :

Modo Curso de acción

nv2 No es necesario actualizar

nstreme No es necesario actualizar

Wifi No es necesario actualizar

CAPsMAN Wi-Fi No es necesario actualizar

WDS WiFi / nstreme Se requiere actualización

Para dispositivos CPE (modo Estación MikroTik) :

Modo Curso de acción

nv2 No es necesario actualizar

Wifi Se requiere actualización

nstreme Se requiere actualización

Enlaces de interés:
Publicación Oficial de MikroTik: https://forum.mikrotik.com/viewtopic.php?f=21&t=126695
Actualizaciones de RouterOS: https://mikrotik.com/download
Pasos para Actualizar RouterOS: http://conocimiento.syscom.mx/article/mikrotik-actualizar-routeros

Ubiquiti airMAX – ¿Qué es airMAX Quality

(AMQ)?
Esta funcionalidad solo está disponible si airMAX está habilitado.

AirMax Quality (AMQ) se basa en la cantidad de reintentos y la calidad del enlace físico. Si este valor es bajo, es posible
que tenga interferencia y necesite cambiar las frecuencias. Si AMQ está por encima del 80% y no nota ningún otro
problema, entonces no necesita hacer ningún cambio.
Ubiquiti – Tipos de antena
Las antenas de alta ganancia juegan un papel importante en wireless, a continuación se muestran un par de
razones:

1. Proporcionan amplificación de alta ganancia de la potencia de la señal resultando en señales más altas y
enlaces de mejor calidad.
2. Son altamente direccionales, lo cual les confiere características de filtros espaciales, que pueden ayudar
a bloquear el ruido (especialmente importante en entornos ruidosos).

Las antenas se dividen en las siguientes categorías:

 Yagi: Directiva, utilizada para aplicaciones de PtP y CPE. Frecuentemente utilizada en frecuencias
bajas, como 900 MHz, debido a su tamaño.
 Rejilla (Grid): Directiva, utilizada para aplicaciones de PtP y CPE. Excelentes propiedades de carga de
viento. Sin embargo, este tipo solo funciona en una polaridad (1×1), por ende tiene un rendimiento
más bajo que las antenas 2×2 (plato, panel, etc.)
 Panel: Directiva, utilizada para aplicaciones de PtP y CPE. Diseño compacto es muy atractivo en
situaciones donde los platos no son preferibles.
 Plato (Dish): La antena airMAX más directiva, de más alto rendimiento para aplicaciones PtP.
Generalmente más grande y más pesada.
 Omnidireccional: Proporciona 360 grados de cobertura horizontal, ideal para aplicaciones de APs de
baja capacidad y cobertura amplia.
 Sector: Opción ideal para Estaciones Base de alto rendimiento. Ofrecen mayor ganancia y directividad
que las antenas omni-direccionales. Generalmente se ofrecen en opciones de 45, 60, 90 o 120 grados.
Ubiquiti – Opciones de frecuencias
Cada frecuencia tiene diferentes características debido a la física y el uso donde se utiliza. Frecuencias más
bajas tienen mejores características de propagación que las frecuencias más altas, y pueden trabajar mejor en
ambientes donde la línea de visión está obstruida (árboles, etc.). Sin embargo, estas bandas también pueden
tener niveles más altos de ruido e interferencia, por lo que es importante seleccionar la frecuencia que funciona
mejor en su situación específica.

900MHz (M900)

Ventajas y desventajas

 + Mejor tolerancia de árboles y pequeños obstáculos versus las frecuencias más altas.
 – Usualmente mayores niveles de ruido
 – Solamente banda de 26MHz
 – No sin licencia en todo el mundo.

2.4 GHz (M2)

Ventajas y Desventajas

 + Sin licencia en todo el mundo

 – Sólo tres canales 20MHz no solapados (1, 6, 11)
 – Es una banda muy concurrida; hay mucha interferencia de teléfonos inalámbricos, SOHO Wireless Routers,
otros WISPs, etc
 – Canales 40MHz no recomendados

3.x GHz (M3-M365)

Ventajas y Desventajas

 + Ancho de banda 300MHz en países donde banda 3.4-3.7 GHz está disponible
 + Libre de ruido en la mayoría de las áreas
 – Solamente ancho de banda 25MHz en países donde 3.65GHz puede ser utilizado.
 – Requiere licencia.

5 GHz (M5/AF5/AF5X)

Ventajas y Desventajas

 + Sin licencia en todo el mundo

 + Mayores límites de EIRP (Potencia Isotrópica Radiada Equivalente), permite mayor ganancia de antenas y
enlaces de larga distancia.
 + Gran cantidad del espectro disponible, fácil de co-ubicar dispositivos cercanos
 – Débil propagación vs frecuencias bajas en presencia de obstáculos (árboles, paredes, etc.).

11 GHz (AF11)

Ventajas y Desventajas
  + Libre de ruido en la mayoría de los casos, muy útil cuando la banda de 5,8 GHz está saturada.
 + Muy pequeña zona de Fresnel
 – Banda con licencia
 – Requiere línea de vista perfectamente clara

24 GHz (AF24/AF24HD)

Ventajas y Desventajas

 + Libre de ruido en la mayoría de los casos.

 + FDD en modo dúplex completo para una latencia de 0.2 mili segundos, lo que aumenta la eficiencia de los
backhauls
 + Muy pequeña zona de Fresnel
 – Banda con licencia
 – Requiere línea de visión perfectamente clara

Ubiquiti – airMAX vs airFiber (Distancias

Recomendadas)

 Corta Distancia (0-3 km)

o NanoBeam 5AC-16/19: Se recomienda para enlaces cortos, desempeño superior gracias a la más
reciente tecnología airMAX AC que puede entregar hasta 450 Mbps de rendimiento.
o Loco M: Ideal para enlaces de corta distancia. La mejor solución de bajo costo PtP, con
tecnología 802.11n.
o Nano M: Un producto muy popular para enlaces cortos, utilizado con frecuencia para video-
vigilancia debido a su capacidad de puerto dual de Ethernet, con tecnología 802.11n.
 Distancia Media (4-12 km)
o LiteBeam 5AC-23: Se recomienda como CPE en la mayoría de los casos. Desempeño superior
gracias a la más reciente tecnología airMAX AC que puede entregar hasta 450 Mbps de
rendimiento.
 o PowerBeam 5AC: Se recomienda como CPE para distancias más largas, o para enlaces PtP de
distancias medias. Desempeño superior gracias a la más reciente tecnología airMAX AC que
puede entregar hasta 450 Mbps de rendimiento.
o PowerBeam 5AC ISO: Muy similar al PowerBeam 5AC pero se recomienda para ambientes
con mucho ruido.
o LiteBeam M: Ideal para enlaces de bajo rendimiento, en donde la conectividad, las propiedades
de carga de viento, o un precio más bajo son más importantes que el desempeño. Un dispositivo
no-MIMO (múltiple entrada múltiple salida) y de tecnología 802.11n.
o PowerBeam M: Provee un increíble precio/desempeño para enlaces de distancias medias.
 Larga Distancia (15+ km)
o airFiber 5X + antenas AF-5G: Radios superiores de grado-industrial para largas distancias,
capaces de distancias de 100+ kilómetros. Uso sumamente eficiente del espectro, y capaces de
entregar hasta 620 Mbps usando solamente 50MHz.
o Rocket 5AC + RocketDish LW: Excelente opción para enlaces de alto rendimiento a largas
distancias. Rendimiento de hasta 450Mbps TCP/IP usando 80MHz. Distancias de 70+
kilómetros.

 Backhaul de Alto Rendimiento

o airFiber 24HD: Para un desempeño extremo, airFiber 24HD ofrece hasta 2Gbps de rendimiento
real a distancias mayores a 2 kilómetros en una banda de 24GHz y hasta 1.4Gbps en enlaces
menores a los 9 kilómetros. En ciertas circunstancias se puede usar hasta para 20 kilómetros.
o airFiber 24: Para desempeño superior, airFiber 24 entrega hasta 1.4Gbps de rendimiento real a
distancias de más de 5 kilómetros en banda de 24GHz.En ciertas circunstancias se puede usar
hasta para 13 kilómetros.
o airFiber 5/5U: Desempeño superior ideal para la banda 5GHz band, airFiber 5/5U entrega
hasta 1.2Gbps en la banda 5GHz. En ciertas circunstancias se puede usar hasta para
100 kilómetros.

Nota:

 Los alcances aquí mencionados se basan en:

 Excelente Línea de Vista.
 Excelente alineación.
 1a Zona de Fresnel libre (90% mínimo).
 Alturas adecuadas según la distancia del enlace.
 El canal con la menor interferencia posible.
 Si alguno de los puntos anteriores o varios de ellos no se cumplen, los alcances serán inferiores.

Ubiquiti airMAX – ¿Debería habilitar WDS en un

enlace punto a punto (PtP)?
Si, es recomendado activar el WDS si ambos radios son Ubiquiti, mientras que existen otros
fabricantes que implementan WDS compatible con radios Ubiquiti. El WDS puede variar
dependiendo de cada fabricante.

El WDS es una función para habilitar transparencia de capa 2 a través de radio enlaces, ya que
conserva la dirección MAC de la fuente de trafico. Habilitar WDS en nuestros enlaces es
ampliamente recomendado. Utilizando dos radios Ubiquiti los usuarios pueden pasar virtualmente
todo el trafico a través de enlaces inalámbricos.

Para habilitar el WDS, diríjase al apartado Wireless en el radio Estación. habilite la casilla WDS,
después aplique los cambios. Después haga lo mismo en el radio AP.

Ubiquiti airMAX – ¿Cuál es la mejor señal de

potencia y ruido de piso?
 Se quiere que la señal sea de siempre entre -45 y -65 dBm.
 Señales que están “muy calientes” -40dBm o mayores pueden incrementar el EVM y reducir el
rendimiento. Esto deberá estar indicado en color rojo en la lista de los AP’S estaciones.
 La manera de decidir que señales necesita es ver la Signal to Noise Ratio, también conocida
como SNR. Para mejor rendimiento, se recomienda un SNR de al menos 25 pero
preferentemente de 30 o superior. Así que, si se tiene un ruido de piso de -90 dB, necesitara
tener al menos -65 de señal.

Ubiquiti airMAX – ¿Cuál es la diferencia entre

modo Router y modo SOHO Router?
MODO ROUTER

En Modo Router, la interfaz WAN es la interfaz inalámbrica y la interfaz de la local LAN es el puerto
Ethernet.

MODO SOHO ROUTER

En modo SOHO Router, es la la inversa, así que la interfaz WAN es el puerto Ethernet y la local
LAN es la interfaz inalámbrica.

Ubiquiti airMAX – Reemplazar el certificado SSL

para remover alertas de seguridad
airOS 5.5+ y airOS 7 vienen por default con HTTPS habilitado (en ves de HTTP), Por esto vera una alerta de
seguridad cada vez que acceda a la unidad Web UI. Esto no compromete la seguridad del dispositivo. Pero
puede ser un poco incomodo para algunos usuarios. Si quiere retirar esta alerta de seguridad necesitara
remplazar el certificado existente con un certificado de confianza, puede conseguir uno con cualquier proveedor
de hosting web, la mayoría de ellos ofrecen certificados SSL.
Pasos para remplazar el certificado

1. Suba su certificado de confianza/key files (airOS 5.5+ and airOS 7) al directorio /etc/persistent/https en
su dispositivo airOS. Asegúrese que server.crt y server.key esten correctos para el nombre de dispositivo
y dirección IP (http://en.wikipedia.org/wiki/Https).

Ejemplo: Asumiendo que tiene los archivos server.crt y server.key en su maquina local en el
directorio /etc/https:

scp -r /tmp/https ubnt@<device ip>:/etc/persistent/https

2. Para guardar estos cambios en memoria persistente:

ssh hacia el dispositivo y ejecutar

save; reboot -f

Después del reinicio el servidor web usara el nuevo certificado firmado.

Nota: Si los archivos son inválidos (mal formato por ejemplo) no habrá acceso al servidor web.

Para limpiarlos desde cmd:

rm -fr /etc/persistent/https; save; reboot -f

Ubiquiti airMAX – ¿Cómo habilitar y probar

SNMP?
El SNMP (Simple Network Monitoring Protocol) permite el monitoreo remoto de tus dispositivos airMAX
utilizando varias soluciones 3rd party. Todos los dispositivos airMAX soportan el acceso de lectura SNMPv1.

Descargue el ultimo MIB

Puede encontrar el ultimo MIB para airMAX 5.6/7 adjuntado al final de este articulo.

¿Cómo habilitar SNMP?

1. Diríjase a la sección Services y habilite SNMP.

2. Ajuste su comunidad SNMP, información de contacto y locación.

A continuación se muestra un ejemplo de un radio airMAX AC.

¿Cómo probar SNMP en Windows?

Puede utilizar algo como iReasonings MIB Browser para cargar nuestro MIB privado, y explorar OIDs
disponibles.

1. Extraiga el archivo zip UBNTMIB y carguelo en el navegador MIB.

2. Ajuste la comunidad de lectura por default debajo de Tools > Options > Default Values > Agent Read
community.
3. Ajuste la dirección IP en el dispositivo SNMP habilitado.<
4. Usando el árbol MIB en la izquierda, diríjase a org > dod > internet > private > enterprises > ubnt
5. Click derecho en “ubnt” y seleccione “Get subtree”.

¿Cómo probar SNMP en Linux?

1. Asegúrese que tiene SNMP (net-snmp-utils on Fedora/CentOS) instaldo en sus sistema.

2. Use snmpwalk para manualmente consultar su dispositivo SNMP habiltado.

Se muestra un ejemplo usando el OID ubntWlStatSignal (.1.3.6.1.4.1.41112.1.4.5.1.5).

UBNT-MIBs.zip

Ubiquiti airMAX – Estación no se conecta a Access

Point
Problema

Radio configurado en modo estación no se enlaza a equipo airMAX Access Point.

Causas posibles / Acciones recomendadas

 Compatibilidad entre radios.

Frecuencia: Los radios deben usar el mismo rango de frecuencias. Como ejemplo, los productos M5 y M2 no
son compatibles.

airMAX Protocol: Cualquier Access Point airMAX con el protocolo airMAX activo, no permitirá conexiones
desde estaciones que no cuentan con el protocolo airMAX, para conectar clientes que no son airMAX,
deshabilite el protocolo airMAX en el access point, note que deshabilitar airMAX no es recomendado desde que
airMAX provee el mejor rendimiento posible en redes inalámbricas exteriores.

airMAX-AC: Los dispositivos airMAX-M solo pueden ser conectados a puntos de acceso airMAX-AC.

Compatibilidad entre una estación legacy y un airMAX AP.

1. Actualice la estación legacy a la versión 4.x.

2. Actualice el airMAX a la version 6.x.
3. Ahora los radios Legacy (Bullet, Nanostation..) pueden conectarse pueden conectarse al AP con
airMAX habilitado.
4. Diríjase a la interfaz gráfica del airMAX AP
5. Asegúrese que airSelect no este habilitado.

Compatibilidad entre radios no Ubiquiti y airMAX AP.

1. Diríjase a la interfaz gráfica del airMAX AP

2. Diríjase al apartado airMAX
3. Deshabilite el protocolo airMAX en airMAX
4. De click en “Change” y después en “Apply.”
5. Ahora el airMAX AP usara el protocolo 802.11 CSMA / CA para trabajar con otras estaciones.
6. Diríjase a la sección Wireless y asegúrese que el cambio de canal este deshabilitado.

Desconfiguración en AP ó estación.
 1. Dirijase al apartado Wireless en ambos dispositivos.
2. Verifique que los ajustes inalámbricos coincidan tanto en AP como en la estación, incluyendo:

 SSID.
 Anchos de canal (e.g., AP = 40MHz & Station = 40 / 20MHz).
 Frecuencias de operación.
 Cambios de canal.
 Seguridad inalámbrica.

Ubiquiti airMAX – Configurar un cliente WiFi de

largo alcance.
Nota: Esta guía es para radios airMAX, los pasos para configurar los radios non-airMAX (Legacy)
son diferentes y no están incluidos en este articulo.

1. Estas instrucciones asumen que su radio esta en valores de fabrica, por favor devuelva a valores
de fabrica antes de proceder. Esto es critico, especialmente si se encuentra solucionando un
problema.

2. Utilizando su PC con Windows 7 o con su equipo Mac configurado en la subred 192.168.1.x,

conecte su radio usando un cable Ethernet. El puerto Ethernet cuenta con detección automática. No
es requerido el uso de cable cross-over.

3. Utilizando un navegador web, introduzca la dirección 192.168.1.20 en la barra URL, para ingresar
a la consola de configuración del radio.

4. Introduzca “ubnt” como cuenta de administración y “ubnt” como contraseña.

Instrucciones de configuración

(Cambie SOLAMENTE los elementos mostrados, dejando otros en los valores predeterminados):

A. Elija pestaña Network.

– Network Mode: Router

– WAN Network Settings > NAT: [X] Enable
– LAN Network Settings > DHCP Server > (*) Enabled
– Press [Change] button

Aquí termina la configuración inicial.

B. Para utilizar esta radio como su nuevo adaptador Wi-Fi, debe:

– Deshabilite el WiFi interno de sus dispositivos.

– Configure su computadora para “Obtener dirección IP automáticamente” DHCP.
– Conecte el radio Ubiquiti en el puerto Ethernet de su dispositivo.
– Encienda su radio Ubiquiti, usando el cable y el adaptador PoE que esta incluidos en su equipo.

Nota: El cable Ethernet blindado reduce la posibilidad de daño eléctrico en el radio. Es

particularmente importante cuando se montan los radios en casas rodantes y barcos.

C. Enlazar (como cliente) a un Access Point.

– Ingrese a la consola de configuración del radio ingresando a la dirección 192.168.1.1

– Seleccione el apartado Wireless
– Seleccione la opción SSID y elija el Access Point al que desea enlazarse.
Nota: Piense en la “Señal” como una temperatura. Entre “mas negativa” más “fria” ó “debil” sera la
señal. Seleccione el Access Point mas apropiado, con el nivel de señal mas fuerte como se muestra
en esta columna de la ventana Site Survey. Adicionalmente, una señal que es mas “templada” que -
45 es “muy caliente” y podrá causar un rendimiento pobre.

Ubiquiti airMAX – ¿Cómo actualizar el firmware?

Este artículo describirá el proceso para actualizar el firmware de un radio UBNT.

Pasos:

1. Descargue la ultima versión de firmware para su dispositivo en el siguiente enlace:

https://www.ubnt.com/download/airmax-m

2. Conecte el radio e ingrese al airOS.

3. Diríjase al apartado System tab y vaya a la sección Device Maintenance.

4. De click en el botón Update. Una ventana de dialogo aparecerá para elegir la ruta del archivo.
Seleccione Browser…para seleccionar el archivo, después seleccione Open. Una ves que el archivo
este en el campo de selección de click en Upload.

5. Vera otra pantalla para confirmar su selección, seleccione Update.

6. El dispositivo encenderá. No desconecte el radio hasta que la actualización termine.

7. Una ves que la actualización se complete, puede volver a la tabla System en el airOS. En la
sección Device Maintenance, podrá ver la nueva versión de firmware en la parte inferior de la
pagina.

Problemas Potenciales

– Si visualiza un mensaje que muestre “File sice too large“, asegúrese de que no este cargando el
firmware en el apartado Configuration Management Upload. También asegurese que este usando el
firmware apropiado para su dispositivo.

– Los firmwares para los dispositivos airMAX M y versiones de dispositivos antiguos se encuentran
debajo de dos menús diferentes en la pagina de descargas.

– Los dispositivos airMAX M estan localizados debajo de la plataforma: airMAX ISP Solutions

– Los dispositivos Legacy estan localizados debajo de la plataforma: IEEE802.11a/b/g soluciones.

Redes Inalámbricas – ¿Qué factores debo considerar

al planear un enlace inalámbrico?
En este artículo se muestran las herramientas y conceptos para la planificación de un enlace inalámbrico al aire
libre.

La distancia y ubicar los puntos son factores importantes para realizar la planificación del enlace, sin embargo,
también hay otros factores importantes, uno de los más importantes es la zona de Fresnel.

Zona de Fresnel

La zona de Fresnel define el área que rodea un enlace de la línea de visión que debe estar libre de obstrucciones,
de lo contrario podrían causar reflexiones las cuales pueden degradar significativamente la calidad de la señal.
La siguiente imagen muestra un ejemplo de un obstáculo que está dentro de la zona de Fresnel del enlace:
En muchos casos, calcular la zona de Fresnel es una tarea complicada ya que no es una simple línea de vista
desde un extremo del enlace al otro. Por lo tanto, algunas marcas desarrollaron aplicaciones para estimar la
viabilidad del enlace, proporcionando información importante como zona de Fresnel (En base a formulas),
distancia y calcular la intensidad de señal y rendimiento.

Ubiquiti Networks: https://airlink.ubnt.com/#/

Cambium Networks: http://www.cambiumnetworks.com/products/software-tools/linkplanner/

Mimosa Networks: https://design.mimosa.co/designtool/ndt/

Nota: En este artículo, viene adjunto un ejecutable que se utiliza para calcular el radio que deberá tener
la zona de Fresnel en base a los parámetros: distancia y frecuencia en la que se desea trabajar.

Redes Inalámbricas – Crear marcas de posición

mediante la aplicación Google Earth
GOOGLE EARTH

Esta aplicación se utiliza para ubicar puntos y generar un archivo con la información necesaria para
realizar un estudio de linea de vista.

IMPORTANTE: Esta nota técnica parte de que ya está instalado y ejecutándose “Google Earth”.
Link de descarga: http://www.google.com.mx/intl/es/earth/download/ge/agree.html
Pasos:
1. Posicionar en el área en donde se marcaran los puntos ya sea manualmente o mediante las coordenadas.

2. Añadir marcas en cada uno de los puntos a ubicar.

Seleccionar “Añade una marca de posición”, agregar el nombre para identificar la marca y arrastrar la
chincheta con el cursor para ubicar en el punto deseado. Clic en “aceptar“. Repetir paso en las demás marcas.
3. Guardar archivo.
Seleccionar las marcas de posición que se desean guardar en el archivo y seleccionar “Mis sitios” (Solo para
que se quede sombreado). NOTA: Si no realiza este paso, solo se guardará la ubicación que esté sombrada en
ese momento.

4. Se navega en “Archivo / Guardar / Guardar lugar como…”

Se agrega el nombre y ubicación en donde se guardara el archivo.
MikroTik – Funcionalidad Virtual AP para crear
múltiples APs
Virtual AP

 Se utiliza para crear un nuevo AP en la tarjeta Wireless física.

 Se puede implementar en las tarjetas con chipset Atheros.
 Se pueden crear hasta 128 AP virtuales por tarjeta Wireless.
 Cada AP virtual utiliza una dirección MAC diferente, la misma puede ser cambiada.
 Cada AP virtual puede tener diferente SSID, diferente perfil de seguridad, diferentes Access/Connect-list,
diferentes configuraciones WDS.
 La interfaz Virtual AP trabajará únicamente si la interfaz master está en modo:
o AP-Bridge
o Bridge
o WDS-Slave

Notas: El protocolo Nv2 no tiene soporte para Virtual AP.

Pasos para crear una interfaz Virtual AP.
Paso 1.

Ingrese a su Router vía Winbox y vaya a la pestaña Wireless > Interfaces > Add > Virtual.
Paso 2.

Después de agregar la interfaz virtual aparecerá la siguiente pantalla.

Dentro de esta nueva ventana tiene que configurar lo siguiente como básico para que tenga una nueva interfaz
virtual Wireless: el Modo de operación, el SSID, la interfaz maestra y el perfil de seguridad.
Realizado lo anterior ya se encontrara la nueva interfaz virtual debajo de la interfaz física en la pestaña de
Wireless y también aparecerá en la lista de redes inalámbricas disponibles de sus dispositivos.

MikroTik – Filtrado por MAC Address

El filtrado por MAC Address es un mecanismo adicional para limitar las conexiones inalámbricas de los
clientes.

Para agregarlas y poder realizar esta limitación, nos dirigimos a nuestro AP, y en “Registration” que es la lista
de los usuarios registrados, seleccionamos a los clientes deseados, abrimos los detalles con doble clic en el
cliente y damos clic en la sección de “copy to access list“.
Ya podrá ver una nueva entrada en la sección de “access-list”

Access-list

Las listas de acceso se usan en los AP para restringir las conexiones a clientes específicos y controlar sus
parámetros de conexión. Hay que tener en cuenta los siguiente:

 Las reglas serán comprobadas secuencialmente.

 Sólo se aplicara la primera regla que coincida con todos los parámetros.
 Si la opción “Default Authenticate” (en la pestaña de “Wireless” en “Interface->WLAN” de pantalla) no se
encuentra habilitado, los dispositivos que no corresponden a una regla de la lista de acceso serán rechazados.

Parámetros adicionales:

 Authentication Option: Este ítem le dirá al router que compruebe el “security-profile” para determinar si la
conexión se debe permitir. Si no coinciden la autenticación, siempre fallará el acceso.
 Forwarding: Opción de reenvío le dirá al router permita a los clientes del AP llegar a la otra sin la ayuda de otros
APs (evitando así las reglas del firewall que pueda tener). Para mayor seguridad, deje sin marcar.
MikroTik – Analizador de espectro en la banda de
2.4 GHz
Esta herramienta muestra un espectrograma de utilización de las frecuencias soportadas por la tarjeta del radio.

Los valores de potencia son impresos y puesto que los datos aparecen en la terminal de consola, los mismos
pueden ser copiados y pegados.

Nota: Esto aplica para los RouterBoard que cuentan con una tarjeta inalambrica en 2.4Ghz.

El comando para ejecutar el análisis del espectro es el siguiente:

/interface wireless spectral-history wlan1

Se podrá observar en la imagen un análisis como el anterior y lo que nos quiere decir es lo siguiente:

 Los colores “calientes” (que tienden a rojo, ejemplo amarillo) muestran una mayor concentración o
interferencia.
 Los colores “fríos” (que tienen a negro, ejemplo azul) muestran una menor concentración o
interferencia.

Ubiquiti EdgeMAX – VPN de sitio a sitio basada en

directivas IPsec
Los lectores aprenderán a configurar una VPN IPsec de sitio a sitio basada en directivas entre dos EdgeRouter.

Una VPN basada en políticas se caracteriza por la definición de subredes locales y remotas (ID de proxy). Este
tipo de VPN difiere de una VPN basada en rutas que se caracteriza por el uso de interfaces de túnel virtual
(VTI) y entradas de enrutamiento.

Consulte el artículo VPN Site-to-Site EdgeRouter – IPsec Route-Based (VTI) para obtener información sobre
cómo configurar una VPN basada en rutas. Si utiliza una configuración DynDNS con nombres de host, consulte
nuestro EdgeRouter – IPsec Dynamic Site-to-Site VPN usando el artículo de los FQDN.

NOTAS Y REQUISITOS:

Aplicable al Firmware de EdgeOS 1.9.7 + en todos los modelos EdgeRouter. Se requiere el conocimiento de la
interfaz de línea de comandos (CLI) y conocimientos básicos de redes. Consulte los artículos relacionados a
continuación para obtener más información y consulte los archivos adjuntos para las configuraciones utilizadas
en este artículo.
Equipo utilizado en este artículo:

 EdgeRouter-X (ER-X)
 Probar clientes detrás de los pares (Host1 y Server1).

Tabla de contenido

1. Diagrama de Red
2. Pasos: VPN basada en políticas
3. Pasos: Pruebas y Verificación
4. Artículos relacionados

Diagrama de Red

Volver arriba

La topología de red se muestra a continuación. Las siguientes interfaces están en uso en EdgeRouters:

ER-Ieft

eth0 (WAN) – 203.0.113.1

eth1 (LAN) – 192.168.1.1/24

ER-Right

eth0 (WAN) – 192.0.2.1

eth1 (LAN) – 172.16.1.1/24

Pasos: VPN basada en políticas

Para el propósito de este artículo, se supone que el enrutamiento y configuración de interfaz ya está en su lugar
y que la accesibilidad ha sido probada.

Los puertos UDP y protocolos relevantes para IPsec son:

 UDP 500 (IKE)

 ESP (Protocol 50)
 UDP 4500 (NAT-T)

El tipo de VPN que se creará se llama una VPN basada en políticas que utiliza subredes remotas y locales,
también conocidas como identificaciones de proxy. Estos valores deben coincidir exactamente entre los dos
pares y necesitan ser imágenes reflejadas entre sí. Sólo los prefijos definidos en los ID de proxy se transportarán
por el túnel. En el ejemplo ER-Left tiene el 192.168.1.0/24 presente en el lado LAN, mientras que el ER-Right
usa 172.16.1.0/24.

La configuración se centrará principalmente en ER-Izquierda. La configuración de ER-Right será casi idéntica a

la excepción de las subredes definidas. Sólo los lugares donde la configuración de ER-Right difiere se incluirán
en la salida de abajo.
 1. Defina el par de IPsec y las Asociaciones de Seguridad (SA) en ER-Derecha (reemplace <secreto> con
la frase de contraseña deseada).

VPN> IPsec Site-to-Site> + Añadir Peer

Mostrar opciones avanzadas

Abra automáticamente el cortafuegos y excluya de NAT

 Peer: 192.0.2.1
 Description: IPsec
 Local IP: 203.0.113.1
 Encryption: AES-256
 Hash: SHA1
 DH Group: 14
 Pre-shared Secret: <secret>
 Local subnet: 192.168.1.0/24
 Remote subnet: 172.16.1.0/24

Nota: También es posible utilizar una dirección IP no estática para la conexión WAN. En el caso de DHCP,
proceda a los pasos de CLI siguientes para cambiar el valor de dirección local (o puede intentar establecer el IP
local a 0.0.0.0). Para interfaces PPPoE o escenarios de equilibrio de carga, actualmente se recomienda utilizar
0.0.0.0 en IP local ‘any’.

2. Defina el par de IPsec y las asociaciones de seguridad (SA) en ER-Izquierda (reemplace <secreto> con la
frase de contraseña deseada).

Mostrar opciones avanzadas

VPN> IPsec Site-to-Site> + Añadir Peer

Desmarque: Abra automáticamente el firewall y excluya de NATr

 Peer: 203.0.113.1
 Description: IPsec
 Local IP: 192.0.2.1
 Encryption: AES-256
 Hash: SHA1
 DH Group: 14
 Pre-shared Secret: <secret>
 Local subnet: 172.16.1.0/24
 Remote subnet: 192.168.1.0/24

Nota: La GUI no muestra todas las opciones de cifrado / cifrado disponibles como SHA256 / 384/512 y las
cifras de Galois / Counter Mode (GCM). Si deja la casilla de opciones avanzadas desmarcada, el enrutador
usará su configuración predeterminada, que son:

Cifrado: AES-128

Hash: SHA1
DH Grupo: 14

Independientemente de las SA que elija, asegúrese de que los valores coincidan en ambos lados y de que las
subredes remotas y locales estén reflejadas en ambos pares.

CLI STEPS (DHCP): Acceda a la interfaz de línea de comandos (CLI). Puede hacerlo utilizando el botón CLI
en la GUI o utilizando un programa como PuTTY.

Ingrese al modo de configuración.

configurar

2. Mostrar la configuración de IPSec VPN actual (sólo se muestra la salida relevante).

show vpn ipsec { site-to-site { peer 192.0.2.1 { local-address

203.0.113.1 } ...

(Opcional) Elimine la dirección local de IPsec.

delete vpn ipsec site-to-site peer 192.0.2.1 local-address

(Opcional) Defina la dirección local de IPsec DHCP para la interfaz WAN.

set vpn ipsec site-to-site peer 192.0.2.1 dhcp-interface eth0

(Opcional) Active la función de descarga IPsec para aumentar el rendimiento ESP (no IKE)

set system offload ipsec enable (this requires a reboot to become active).

6.Confirmar los cambios.

Commit.

7. Salvar la configuración

Save

Pasos: Pruebas y Verificación

Después de configurar VPN IPsec, verifique la conexión / estado utilizando los siguientes comandos.

1. Verifique las asociaciones de seguridad (SA) de IPsec y el estado:

mostrar vpn ipsec sa

peer-192.0.2.1-tunnel-1: #1, ESTABLISHED, IKEv1, 184447c009d51f80:14cc0f13aff401c0

local ‘203.0.113.1’ @ 203.0.113.1

remote ‘192.0.2.1’ @ 192.0.2.1

AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
established 237s ago, reauth in 85347s

peer-192.0.2.1-tunnel-1: #1, INSTALLED, TUNNEL, ESP:AES_CBC-128/HMAC_MD5_96

installed 237 ago, rekeying in 41939s, expires in 42964s

in cb321982, 180 bytes, 3 packets, 231s ago

out 5d4174b1, 180 bytes, 3 packets, 231s ago

local 192.168.1.0/24

remote 172.16.1.0/24

sudo ipsec statusall

Status of IKE charon daemon (strongSwan 5.2.2, Linux 3.10.14-UBNT, mips):

uptime: 10 minutes, since Mar 12 09:05:48 2017

malloc: sbrk 376832, mmap 0, used 269320, free 107512

worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 2

Listening IP addresses:

203.0.113.1

192.168.1.1

Connections:

peer-192.0.2.1-tunnel-1: 203.0.113.1…192.0.2.1 IKEv1

peer-192.0.2.1-tunnel-1: local: [203.0.113.1] uses pre-shared key authentication

peer-192.0.2.1-tunnel-1: remote: [192.0.2.1] uses pre-shared key authentication

peer-192.0.2.1-tunnel-1: child: 192.168.1.0/24 === 172.16.1.0/24 TUNNEL

Routed Connections:

peer-192.0.2.1-tunnel-1{1}: ROUTED, TUNNEL

peer-192.0.2.1-tunnel-1{1}: 192.168.1.0/24 === 172.16.1.0/24

Security Associations (1 up, 0 connecting):

peer-192.0.2.1-tunnel-1[1]: ESTABLISHED 5 minutes ago, 203.0.113.1[203.0.113.1]…192.0.2.1[192.0.2.1]

peer-192.0.2.1-tunnel-1[1]: IKEv1 SPIs: 184447c009d51f80_i* 14cc0f13aff401c0_r, pre-shared key
reauthentication in 23 hours

peer-192.0.2.1-tunnel-1[1]: IKE proposal:

AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048

peer-192.0.2.1-tunnel-1{1}: INSTALLED, TUNNEL, ESP SPIs: cb321982_i 5d4174b1_o

peer-192.0.2.1-tunnel-1{1}: AES_CBC_128/HMAC_MD5_96, 180 bytes_i (3 pkts, 324s ago), 180 bytes_o (3

pkts, 324s ago)

peer-192.0.2.1-tunnel-1{1}: 192.168.1.0/24 === 172.16.1.0/24

2.-mostrar vpn ipsec sa

sudo cat /etc/ipsec.conf

# generated by /opt/vyatta/sbin/vpn-config.pl

config setup

conn %default

keyexchange=ikev1

conn peer-192.0.2.1-tunnel-1

left=203.0.113.1

right=192.0.2.1

leftsubnet=192.168.1.0/24

rightsubnet=172.16.1.0/24

ike=aes256-sha256-modp2048!

keyexchange=ikev1

ikelifetime=86400s

esp=aes128-md5!

keylife=43200s

rekeymargin=540s

type=tunnel

compress=no
 authby=secret

auto=route

keyingtries=%forever

#conn peer-192.0.2.1-tunnel-1

3.Capture la llegada del tráfico IKE en la interfaz WAN externa:

sudo tcpdump -i eth0 -n udp dst port 500

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

IP 203.0.113.1.500 > 192.0.2.1.500: isakmp: phase 1 I ident

IP 192.0.2.1.500 > 203.0.113.1.500: isakmp: phase 1 R ident

IP 203.0.113.1.500 > 192.0.2.1.500: isakmp: phase 1 I ident[E]

IP 192.0.2.1.500 > 203.0.113.1.500: isakmp: phase 1 R ident[E]

IP 203.0.113.1.500 > 192.0.2.1.500: isakmp: phase 2/others I oakley-quick[E]

IP 192.0.2.1.500 > 203.0.113.1.500: isakmp: phase 2/others R oakley-quick[E]

Nota: Esta es una captura en vivo. Si no hay salida significa que el tráfico no se está generando en el cliente, o
hay algo que bloquea el tráfico hacia arriba.

4.Capture los registros IPsec VPN:

sudo swanctl –log

[KNL] creating acquire job for policy 192.168.1.10/32[icmp/8] === 172.16.1.10/32[icmp/8] with reqid {1}

[IKE] initiating Main Mode IKE_SA peer-192.0.2.1-tunnel-1[1] to 192.0.2.1

[ENC] generating ID_PROT request 0 [ SA V V V V ]

[NET] sending packet: from 203.0.113.1[500] to 192.0.2.1[500] (160 bytes)

[NET] received packet: from 192.0.2.1[500] to 203.0.113.1[500] (108 bytes)

[ENC] parsed ID_PROT response 0 [ SA V ]

[IKE] received NAT-T (RFC 3947) vendor ID

[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]

[ENC] parsed ID_PROT response 0 [ KE No V V V V NAT-D NAT-D ]

[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]

[ENC] parsed ID_PROT response 0 [ ID HASH ]

[IKE] IKE_SA peer-192.0.2.1-tunnel-1[1] established between 203.0.113.1[203.0.113.1]…192.0.2.1[192.0.2.1]

[ENC] generating QUICK_MODE request 561157166 [ HASH SA No ID ID ]

[ENC] parsed QUICK_MODE response 561157166 [ HASH SA No ID ID N((24576)) ]

[IKE] CHILD_SA peer-192.0.2.1-tunnel-1{1} established with SPIs cb321982_i 5d4174b1_o and TS

192.168.1.0/24 === 172.16.1.0/24

Nota: Esto también es captura en directo. Si no hay salida significa que el tráfico no se está permitiendo a
través del firewall. Alternativamente, puede utilizar el show vpn log | no más comando para ver todo el
historial de registro IPsec.

5.Enviar tráfico a través del túnel de Server1 a Host1 y viceversa:

ping 192.168.1.10
PING 192.168.1.10 (192.168.1.10) 56(84) bytes of data.
64 bytes from 192.168.1.10: icmp_seq=1 ttl=63 time=45.9 ms
64 bytes from 192.168.1.10: icmp_seq=2 ttl=63 time=45.2 ms
64 bytes from 192.168.1.10: icmp_seq=3 ttl=63 time=45.5 ms

ping 172.16.1.10
PING 172.16.1.10 (172.16.1.10) 56(84) bytes of data.
64 bytes from 172.16.1.10: icmp_seq=1 ttl=63 time=43.9 ms
64 bytes from 172.16.1.10: icmp_seq=2 ttl=63 time=44.1 ms
64 bytes from 172.16.1.10: icmp_seq=3 ttl=63 time=44.4 ms

Ubiquiti airMAX – ¿Cómo usar las opciones de

DHCP?
Este articulo describirá como habilitar las opciones de DHCP con airMAX M/AC

Introducción

Desde la versión de airOS v6 y v8, podemos usar las opciones de DHCP.

Este manual lo guiara a través de algunos pasos requeridos para usar esta función.

¿Como habilitar las opciones de DHCP?

1. Descarga la configuración actual del radio desde System > Back Up Configuration.

2. Abre el respaldo .cfg en un editor de texto como Notepad++ ó Brackets.

3. Dirígete a la opción DHCP.

4. Agrega las siguientes líneas:

dhcpd.1.option.1.status=enabled
dhcpd.1.option.1.id=[option number]
dhcpd.1.option.1.value="[ip address]"

5. dhcpd.1.option.1.status habilita o deshabilita las opciones DHCP.

6. dhcpd.1.option.1.id permite seleccionar que elección se escogió para utilizar. La configuración soporta
valores desde 0-255. Solamente agrega el numero de la opción que deseas usar.

7. dhcpd.1.option.1.value permite seleccionar el valor que se desea proveer con la opción que se esta
utilizando. Se deben utilizar comillas encerrando el valor.

8. Guarda los cambios generados en el archivo de respaldo (CFG backup) en el editor de texto y súbelo al
radio System > Upload Configuration.