Construcción de red para el acceso a la administración de RouterOS utilizando RoMON

Leinier Cruz Salfran
RoMON, RouterOS, Tutoriales
27-jul-2020

Tabla de contenidos

Introducción

Este tutorial trata de como construir una red que permita el acceso fácil a la administración de los equipos basados en RouterOS utilizando la Red de Superposición de Gestión de Enrutadores, o por sus siglas en inglés, RoMON. RoMON funciona estableciendo un descubrimiento de pares a base de MAC y reenvío de datos a nivel capa 2, lo que quiere decir, que su funcionamiento se limita a las interfaces de tipo Ethernet, tales como las propias interfaces alámbricas, las inalálmbricas y las VPN de tipo Ethernet. Los paquetes RoMON son encapsulados con el campo “EtherType” establecido a “0x88bf” y el campo “dst-MAC” establecido a “01:80:c2:00:88:bf”, y sus redes operan independientemente de la configuración de reenvío de nivel capa 2 y capa 3.

En una red RoMON, cada miembro posee un identificador, el cual es establecido inicialmente con la dirección física de red de la 1ra interfaz que utiliza o una MAC definida por el usuario. Este tipo de red no provee cifrado, por lo que la seguridad de los datos que se transmitan por ella estarán delegados en la aplicación que se utilice, ejemplo: Winbox Seguro y SSH. Aunque no posee cifrado, si posee una capa de seguridad que utiliza secretos, los cuales se usan para limitar el acceso a la red solamente a los equipos que se autoricen utilizando el mismo secreto.

Casos de uso

El caso de uso más común es activar RoMON con la autodetección del ID, un secreto que se compartirá entre todos los miembros de RoMON y con el uso de todas las interfaces para el descubrimiento de los pares. De esta forma, cada equipo basado en RouterOS que se agregue a la red será accesible a través de la RoMON.

Otro caso de uso puede ser similar al anterior, pero limitando el uso de las interfaces para el descubrimiento de pares a sólo una interfaz, la cual puede ser una VLAN, VPN, HWMP+ o cualquier otra basada en Ethernet que esté destinada al acceso a la administración.

Diagrama de red

Para la exposición de este tutorial se utilizará un laboratorio compuesto por 3 dispositivos RouterOS conectados en forma de bus como se muestra en el siguiente diagrama:

RouterOS #1

/tool romon
set secrets=”RoMON”
set enabled=yes

RouterOS #2

/tool romon
set secrets=”RoMON”
set enabled=yes

RouterOS #3

/tool romon
set secrets=”RoMON”
set enabled=yes

Comprobaciones

RouterOS #1

[admin@RouterOS1] > tool romon discover       
Flags: A - active 
  ADDRESS              COST  HOPS PATH                L2MTU IDENTITY                VERSION               BOARD              
A 08:00:27:33:33:D0     200     1 08:00:27:33:33:D0    1500 RouterOS2               6.46.3                x86                
A 08:00:27:F6:87:4C     400     2 08:00:27:33:33:D0    1500 RouterOS3               6.46.3                x86                
                                  08:00:27:F6:87:4C 

[admin@RouterOS1] > tool romon ping id=08:00:27:F6:87:4C count=3
  SEQ HOST                                    TIME  STATUS                                                                   
    0 08:00:27:F6:87:4C                       13ms                                                                           
    1 08:00:27:F6:87:4C                       4ms                                                                            
    2 08:00:27:F6:87:4C                       1ms                                                                            
    sent=3 received=3 packet-loss=0% min-rtt=1ms avg-rtt=6ms max-rtt=13ms 

RouterOS #2

[admin@RouterOS2] > tool romon discover       
Flags: A - active 
  ADDRESS              COST  HOPS PATH                L2MTU IDENTITY                VERSION               BOARD              
A 08:00:27:F6:87:4C     200     1 08:00:27:F6:87:4C    1500 RouterOS3               6.46.3                x86                
A 08:00:27:F7:46:F6     200     1 08:00:27:F7:46:F6    1500 RouterOS1 6.46.3                x86                

[admin@RouterOS2] > tool romon ssh address=08:00:27:F6:87:4C user=admin

  MMM      MMM       KKK                          TTTTTTTTTTT      KKK
  MMMM    MMMM       KKK                          TTTTTTTTTTT      KKK
  MMM MMMM MMM  III  KKK  KKK  RRRRRR     OOOOOO      TTT     III  KKK  KKK
  MMM  MM  MMM  III  KKKKK     RRR  RRR  OOO  OOO     TTT     III  KKKKK
  MMM      MMM  III  KKK KKK   RRRRRR    OOO  OOO     TTT     III  KKK KKK
  MMM      MMM  III  KKK  KKK  RRR  RRR   OOOOOO      TTT     III  KKK  KKK

  MikroTik RouterOS 6.46.3 (c) 1999-2020       http://www.mikrotik.com/

[?]             Gives the list of available commands
command [?]     Gives help on the command and list of arguments

[Tab]           Completes the command/word. If the input is ambiguous,
                a second [Tab] gives possible options

/               Move up to base level
..              Move up one level
/command        Use command at the base level

[admin@RouterOS3] > quit  
interrupted

Welcome back!
[admin@RouterOS2] > 

Winbox

  • Seleccionar el punto de acceso a la red RoMON y hacer clic en el botón Connect To RoMON.
  • Luego de conectar a la red RoMON, seleccionar el equipo a administrar y hacer clic en el botón Connect.