Ir al contenido principal
MikroTik - RoMON

¿Qué es RoMON y como funciona?

Abraham García avatar
Escrito por Abraham García
Actualizado hace más de 4 meses

Mira el video relacionado aquí

Es un protocolo propietario de MikroTIK no activo por defecto que permite enlazar hacia dispositivos MikroTik con RouterOS que no sean alcanzables por dirección IP ni por dirección MAC, se encuentra disponible en la version 6.28 de RouterOS en adelante y a través de winbox a partir de la version 3.X.

Que sucede cuando tenemos redes ruteadas que tal vez se interconectan por medio de enlaces WAN o enlaces VPN, nos vemos con la necesidad de ingresar a algún dispositivo dentro de otra red LAN para la resolución de problemas, sin embrago nos vemos en la problemática de que no tenemos disponibilidad para conectarnos hacia esos equipos porque no son alcanzables por IP desde donde estamos ubicados. Es aquí donde este protocolo se vuelve una herramienta bastante útil.

Para entender mejor su funcionalidad se comparte el siguiente esquema de red, el cual se asemeja a una estructura de red común.

Aquí vemos que tenemos un equipo principal denominado como CORE el cuál se conecta a un router Distribuidor por medio de un enlace WAN y a su vez este último equipo con otros 4 equipos.

Como observamos en este escenario todos los equipos están trabajando en capa 3 por lo que el autodescubrimiento de equipos no es posible ya que debemos compartir el mismo entorno de red LAN para que este opere. Que sucede si nosotros desde un host remoto intentamos ingresar a nuestro router principal por medio de una IP publica o hasta alguna dirección IP local trabajando con redes ruteadas, únicamente tendremos acceso al equipo CORE que alcanzamos por IP y a partir del equipo "Distribuidor" ya no sería alcanzable a menos que realicemos algún reenvío de puertos o configuración más específica.

Gracias a RoMON podríamos tener acceso a esos dispositivos de una forma muy sencilla, es importante a recalcar es que este protocolo no se ve limitado por el tipo de estructura de red, si tenemos un equipo trabajando en capa 3 o capa 2 para el protocolo es indiferente ya que toda la transmisión viaja de forma encapsulada por lo que podemos descubrir routers y switches. El hecho que la información viaja encapsulada quiere decir que herramientas como torch o sniffers no pueden visualizarla.

Requisitos

  • Tener una versión de RouterOS superior a 6.28

  • Tener una versión mínima de Winbox 3.X.

  • Tener un equipo alcanzable por dirección IP el cuál fungirá como servidor RoMON y por medio de él acceder a los demás equipos.

  • El protocolo debe estar habilitado en todos los equipos que deseemos administrar.

  • Si existe un router o un equipo trabajando en capa 3, el servicio de RoMON debe estar habilitado en el para poder llegar a los equipos debajo de él.

Aplicación & Ventaja

Muchas veces sucede que como integradores o administradores de redes nos vemos en la necesidad de mandar a nuestro técnico a algún tipo de instalación en alguna torre o sitio, y el técnico en cuestión la mayoría de las veces no tiene un perfil de red tan avanzado como para que realice la configuración completa del equipo a instalar.

Gracias a esta herramienta lo único que podemos solicitarle a nuestro técnico es que realice el enlace ya sea inalámbrico o cableado, una vez establecido solo solicitarle que nos habilite el protocolo, y desde otro punto talvez nuestra oficina acceder al equipo por medio de otro equipo que este operando como servidor RoMON y poder realizar la configuración completa.

Resumen

1. Vemos que al intentar ingresar el único equipo disponible en neighbors es solo el router denominado como CORE, no hay ningún otro equipo descubierto en la red.

2. Entramos al router CORE y desde el menú "tools" encontraremos RoMON donde veremos los siguientes parámetros.

Enabled: está casilla debe estar habilitada para que entre en operación el protocolo.

Secrets: Este apartado es opcional, sin embargo, la recomendación es que, si se cree una clave compartida por cuestiones de seguridad, es importante recalcar que esta clave deben tenerla todos los demás equipos que queramos que sean accesibles por RoMON, para este caso se creó la contraseña SYSCOM.

Current ID: identificador creado a partir de la MAC address del puerto donde se realizará la difusión de RoMON, en caso de querer crear uno propio lo podemos hacer desde el campo ID. En este caso se dejó el ID por defecto.

Es recomendable solo activar RoMON en los puertos donde es necesario. De forma predeterminada todos los puertos están buscando equipos por RoMON.


Para hacer esto simplemente desde la pestaña Ports simplemente eliminanmos la regla que viene por defecto y empezamos a agregar las MAC de los puertos deseados.

Para este ejercicio lo dejaremos por defecto, pero si se recomienda hacerlo de esta forma por motivos de seguridad.

Para este momento nuestro router CORE ya está trabajando como servidor RoMON, desde aquí ya podemos proceder a activarlo en los routers que serán clientes de forma descendente.

Un TIP que me gustaría compartir es el uso de MAC Telnet para ingresar a equipos vecino y así habilitar RoMON desde consola. Esto se vuelve muy útil ya que si los equipos se encuentran con enlace y operando no nos vemos en la necesidad de ir hasta sitio para habilitar el protocolo. MAC Telnet no solo es útil para esto, si no que con ella podemos realizar cualquier configuración de nuestros equipos vecinos, solo implica conocer la CLI de MikroTik para su aprovechamiento.

3. Para habilitar RoMON en nuestro cliente lo haremos de la siguiente forma, vamos al menú IP pestaña Neighbor y veremos todos los equipos vecinos conectados al a nuestro equipo, aquí vemos que se encuentra nuestro router Distribuidor al cuál damos clic derecho y después en MAC Telnet.

4. Se nos desplegará una nueva ventana donde se nos solicitará el usuario y contraseña del equipo en cuestión para entrar por CLI.

5. Habilitamos la herramienta RoMON con los siguientes comandos.

/tool romon
/set secrets=SYSCOM enabled=yes

6. Para probar que ya esté operando simplemente vamos nuevamente a una pantalla de Login con winbox, seleccionamos nuestro router CORE y ahora en lugar de acceder desde el botón de conect lo haremos desde conect To RoMON.

7. Se desplegará una lista en el apartado de Neighbors con todos los equipos que pertenezcan a la red RoMON de este router llamado CORE. En este caso solo nos aparecerá uno llamado Distribuidor ya que fue el único en el que lo habilitamos.

Un parámetro a recalcar de esta lista es Path el cual nos mostrará la ruta que se efectúa para llegar hasta ese router, ahí aparecerán cada uno de los ID de los routers interconectados hasta este cliente.

8. Para finalizar ya solo damos clic en conect para ingresar al router cliente RoMON y realizar cualquier tipo de configuración que necesitemos.

FAQ (Preguntas y respuestas):

  • ¿El tráfico a través de RoMON va cifrado? El protocolo RoMON no proporciona servicios de cifrado. El cifrado se proporciona a nivel de "aplicación", por ejemplo, mediante el uso de ssh o mediante el uso de winbox seguro.

  • ¿El intercambio de claves de RoMON es seguro? Se considera de bajo nivel, ya que los secretos del protocolo RoMON que se utilizan para la autenticación de mensajes, la comprobación de integridad y la prevención de reproducción mediante el hash del contenido de los mensajes se hace con MD5, el cual ya es bastante viejo.

Artículos relacionados

¿Ha quedado contestada tu pregunta?