(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
$19,97
Implementación de 802.1X (Dot1X) en MikroTik RouterOS
- Mauro Escalante
- No hay comentarios
- Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
La implementación de 802.1X (Dot1X) en MikroTik RouterOS es una funcionalidad crítica para la seguridad de redes cableadas e inalámbricas, ya que permite controlar el acceso a la red mediante autenticación por puerto, basada en estándares IEEE.
MikroTik, desde RouterOS v6.x, ha soportado dot1x principalmente como cliente (supplicant) y, desde RouterOS v7, también como servidor (authenticator), lo cual habilita escenarios más amplios, aunque con limitaciones respecto a soluciones empresariales de gama alta como Cisco, Juniper o Aruba.
1. ¿Qué es IEEE 802.1X (Dot1X)?
802.1X es un estándar que define un mecanismo de autenticación basado en puerto para redes Ethernet (LAN) e inalámbricas (WLAN). Permite validar que los dispositivos que intentan conectarse estén autorizados, utilizando un servidor RADIUS como backend de autenticación.
Componentes clave del modelo Dot1X:
- Supplicant: el cliente que desea autenticarse (ejemplo: una computadora, o el propio router MikroTik actuando como cliente).
- Authenticator: el dispositivo que controla el acceso a la red (ejemplo: un switch, un AP o un router MikroTik).
- Authentication Server: generalmente un servidor RADIUS que valida las credenciales del usuario/supplicant.
2. Funciones de MikroTik RouterOS en 802.1X
RouterOS puede cumplir dos funciones clave:
2.1. Supplicant (Cliente 802.1X)
El MikroTik actúa como cliente 802.1X, útil por ejemplo cuando quieres que el MikroTik obtenga acceso a un switch o red que requiera autenticación.
- Casos de uso típicos:
- MikroTik conectado a un puerto de switch seguro.
- MikroTik obteniendo acceso a Internet a través de un proveedor que usa dot1x.
Configuración CLI Básica:
/interface ethernet set ether1 supplicant-identity=mikrotik-user
/interface ethernet set ether1 eap-methods=passthrough
/interface ethernet set ether1 authentication=yes
/interface ethernet set ether1 authentication-status=enabled
Típicamente, se utiliza con:
- EAP-MD5 (básico y menos seguro)
- EAP-TLS (recomendado por seguridad)
Se deben configurar certificados TLS si se utiliza EAP-TLS.
2.2. Authenticator (Servidor 802.1X)
MikroTik actúa como autenticador, es decir, controla el acceso a la red de otros dispositivos conectados a sus puertos Ethernet o a su Wi-Fi (aunque el soporte en wireless es más limitado).
- Casos de uso típicos:
- MikroTik como switch de borde controlando el acceso a los puertos Ethernet.
- MikroTik RouterOS autenticando clientes cableados de una pequeña red LAN.
Configuración CLI Básica:
/interface ethernet set ether2 authentication=yes
/interface ethernet set ether2 authentication-status=enabled
/interface ethernet set ether2 auth-server=192.168.88.10 auth-port=1812 auth-secret=mi_secreto
Necesitas un servidor RADIUS (ejemplo: FreeRADIUS o Windows NPS) configurado con usuarios válidos.
3. Autenticación RADIUS
Dot1X por sí solo solo transporta el proceso EAP. El verdadero proceso de validación ocurre en el servidor RADIUS, que verifica:
- Nombre de usuario
- Contraseña
- Certificados (EAP-TLS)
- Políticas (por ejemplo, VLAN asignadas por usuario)
En MikroTik, el soporte RADIUS se configura en:
/radius add service=dot1x address=192.168.x.x secret=clave_radius
4. Métodos EAP soportados
Los métodos más comunes usados con MikroTik RouterOS son:
Método EAP | Seguridad | Recomendación |
EAP-MD5 | Baja | Solo para pruebas |
EAP-TTLS | Media | Útil si no puedes usar certificados |
EAP-PEAP | Media | Amplio soporte en clientes |
EAP-TLS | Alta | Recomendado (requiere infraestructura PKI) |
5. Configuración de un escenario típico: MikroTik como Authenticator
Paso 1: Configurar el servidor RADIUS (Ejemplo FreeRADIUS)
- Usuarios creados en / etc/freeradius/3.0/users.
- Configuración de certificados para EAP-TLS o EAP-PEAP.
- Habilitar el servicio.
Paso 2: Configurar MikroTik
/radius
add service=dot1x address=192.168.88.10 secret=radius_secret
/interface ethernet
set ether2 authentication=yes
set ether2 authentication-status=enabled
Paso 3: Configurar el cliente (Supplicant)
- En Windows: mediante las propiedades del adaptador Ethernet.
- En Linux: usando wpa_supplicant.
- En MikroTik: configurando el puerto Ethernet como supplicant si fuera otro MikroTik.
6. Comprobación del estado
Para verificar si un puerto Ethernet está autenticado:
/interface ethernet monitor ether2
Muestra información sobre el estado de autenticación:
- authenticated: true/false
- supplicant identity
- session status
También puedes consultar logs:
/log print where message~"dot1x"
7. Limitaciones de RouterOS en 802.1X
Aunque funcional, la implementación MikroTik tiene varias limitaciones frente a switches profesionales:
- Solo funciona sobre interfaces Ethernet (no sobre bridges virtuales).
- Soporte limitado en CAPsMAN (gestión centralizada de WiFi).
- No soporta asignación dinámica de VLANs a través de atributos RADIUS (en algunas versiones y modelos).
- EAP-FAST no soportado.
- Algunos métodos avanzados de autenticación (MSCHAPv2 dentro de EAP-TLS) tienen soporte parcial o con limitaciones.
8. Ejemplo de topología simple
[PC Cliente] --- [ether2 MikroTik Authenticator] --- [Router MikroTik] --- [Internet]
|
[RADIUS Server]
9. Buenas prácticas para implementación
- Revisa la compatibilidad de EAP: Algunos dispositivos antiguos no soportan EAP-TLS, en cuyo caso deberías usar EAP-PEAP.
- Usa certificados: Para producción siempre es recomendable usar EAP-TLS con certificados, evitando contraseñas planas.
- Asegura el RADIUS: Nunca dejes el puerto RADIUS abierto sin restricciones IP.
Define políticas de reintento: En MikroTik puedes configurar reintentos y timeouts en el servicio radius.
10. Casos de uso más comunes
- Escuelas o universidades: Controlan el acceso físico a puertos Ethernet de aulas o laboratorios.
- Empresas pequeñas: Que buscan controlar dispositivos no autorizados sin invertir en switches gestionables avanzados.
- ISP internos: Como control de acceso simple en redes técnicas internas.
Conclusión
La implementación de 802.1X en MikroTik RouterOS es útil, práctica y suficiente para entornos pequeños y medianos, o como solución de borde en redes más grandes.
Aunque no alcanza la profundidad de configuración de fabricantes como Cisco o Juniper, permite cubrir necesidades básicas de seguridad de acceso a la red.
La correcta implementación de dot1x aumenta significativamente la seguridad, evitando que usuarios no autorizados conecten dispositivos físicos a tu red interna sin pasar por un proceso de autenticación.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
Autoestudio MikroTik
Estudia las certificaciones MikroTik a tu propio ritmo
Autoestudio
Aprende a tu propio ritmo
advertisement (anuncio)
Artículos Relacionados
MikroLABs
Otros temas que te pueden interesar
advertisement (anuncio)
Escríbenos por WhatsApp (+593 98 700 0604)
¿Quieres sugerir un tema?
Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Próximos Cursos
Libros MikroTik (español)
advertisement (anuncio)
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear