NAT 1:1 Mikrotik + firewall

Otra entrada que es un apunte.

Estos días he tenido que aplicar nat 1:1 con los routers mikrotik y proteger máquinas con el firewall del router…. a priori es sencillo, pero el tema del firewall se me atascó un poco.

Imaginamos que tenemos una conexión a internet con un NAT GLOBAL, un /29 para repartir entre nuestros servicios. Para hacerlo más sencillo, aplicaremos el nat 1:1

Nuestro proveedor nos entrega la subred 1.1.1.0/29 y como gateway, hemos de usar la 1.1.1.1…. asignaremos a nuestro server de correo la 1.1.1.2 y deberá tener permitido ICMP, WWW y HTTPS

Empezamos:

/ip address
add address=1.1.1.1/29 comment=wan interface=outside network=1.1.1.0
add address=192.168.1.254/24 interface=inside network=192.168.41.0
add address=1.1.1.2/29 comment="nat to 192.168.1.2" interface=outside network=1.1.1.0

El interfaz externo, lo llamaremos outside, el interno inside y el rango local de la lan: 192.168.1.0/24

Asignaremos la ip pública en el outside y la ip del mailserver también.

Ahora añadimos las reglas del firewall para permitir el tráfico deseado:

/ip firewall filter
add chain=forward comment="ip 2" connection-mark=ip_2 protocol=icmp
add chain=forward comment="ip 2" connection-mark=ip_2 port=25 protocol=tcp
add chain=forward comment="ip 2" connection-mark=ip_2 port=80 protocol=tcp
add chain=forward comment="ip 2" connection-mark=ip_2 port=443 protocol=tcp
add chain=forward comment="ip 2" connection-mark=ip_2 port=53 protocol=udp
add action=drop chain=forward comment="ip 2" connection-mark=ip_2

La última línea es importante… si no la incluyes y tu server es un windows, te lo dejarán como un colador xDDDD.

Seguimos con las reglas mangle para identificar las ip’s:

/ip firewall mangle
add action=mark-connection chain=prerouting comment="ip 2" dst-address=1.1.1.2 log-prefix=ip_2 new-connection-mark=ip_2 \
passthrough=no
add action=mark-connection chain=prerouting comment="ip 2" new-connection-mark=publicas passthrough=no src-address=\
192.168.1.2

Y ahora el NAT en cuestión:

/ip firewall nat
add action=dst-nat chain=dstnat comment="nat to 1.1.1.2" dst-address=1.1.1.2 in-interface=outside to-addresses=\
192.168.1.2
add action=src-nat chain=srcnat comment="nat to 1.1.1.2" out-interface=outside src-address=192.168.1.2 to-addresses=\
1.1.1.2

Y con ésto, ya tenemos todo hecho ;).

el proceso es:

– Asignamos la IP al interfaz público.
– Añadimos las reglas de firewall, marcando los paquetes.
– Aplicamos el nat.

Protegiendo nuestro gateway sip, parte 2

Como ya he comentado en otras ocasiones, la mayoría de ataques a pbx SIP abiertas a internet, están realizados por software tipo sipVicious y similares.

Si tenemos la posibilidad de usar un firewall con inspección a layer 7, podemos filtrar los User-Agent, tal y como expliqué en la entrada anterior.

Ahora, supongamos que tenemos un mikrotik, con RouterOS 6.x…


/ip firewall layer7-protocol
add name=sip regexp="^.+(sundayddr).*\$"
add name=sip1 regexp="^.+(sipsak).*\$"
add name=sip2 regexp="^.+(sipvicious).*\$"
add name=sip3 regexp="^.+(friendly-scanner).*\$"
add name=sip4 regexp="^.+(iWar).*\$"
add name=sip5 regexp="^.+(sip-scan).*\$"
add name=sip6 regexp="^.+(Ozeki).*\$"
add name=sip8 regexp="^.+(sip-cli).*\$"
add name=sip7 regexp="^.+(VaxSIPUserAgent).*\$"
add name=sip9 regexp="^.+(sipcli).*\$"

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward comment=voip_sundayddr_deny dst-address-list=AUTH layer7-protocol=sip
add action=drop chain=forward comment=voip_sipsak_deny dst-address-list=AUTH layer7-protocol=sip1
add action=drop chain=forward comment=voip_sipvicious_deny dst-address-list=AUTH layer7-protocol=sip2
add action=drop chain=forward comment=voip_friendly-scanner_deny dst-address-list=AUTH layer7-protocol=sip3
add action=drop chain=forward comment=voip_iWar_deny dst-address-list=AUTH layer7-protocol=sip4
add action=drop chain=forward comment=voip_sip-scan_deny dst-address-list=AUTH layer7-protocol=sip5
add action=drop chain=forward comment=voip_Ozeki_deny dst-address-list=AUTH layer7-protocol=sip6
add action=drop chain=forward comment=voip_VaxSIPUserAgent_deny dst-address-list=AUTH layer7-protocol=sip7
add action=drop chain=forward comment=voip_sip-cli_deny dst-address-list=AUTH layer7-protocol=sip8
add action=drop chain=forward comment=voip_sipcli_deny dst-address-list=AUTH layer7-protocol=sip9

hay que tener activado el connection Tracking activado.

enjoy 😉

Banear intentos login mikrotik

Esta entrada es otro apunte.

Me gusta dejar administrables los routers que instalo, desde las ip’s del trabajo o casa, pero a veces, por comodidad y en determinados casos, necesito poder entrar desde cualquier sitio.

El script que indico a continuación, al 5º intento de entrar por winbox o SSH, bloquea la IP por 24 horas.


/ip firewall filter
add action=drop chain=input comment="BLOQUEA DURANTE 24 horas quien haga 5 intentos seguidos de login SSH!" dst-port=22 protocol=tcp src-address-list=black_list_ssh
add action=add-src-to-address-list address-list=black_list_ssh address-list-timeout=1d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage4
add action=add-src-to-address-list address-list=ssh_stage4 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment="BLOQUEA DURANTE 24 horas quien haga 5 intentos seguidos de login winbox!" dst-port=8291 protocol=tcp src-address-list=black_list_winbox
add action=add-src-to-address-list address-list=black_list_winbox address-list-timeout=1d chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage4
add action=add-src-to-address-list address-list=winbox_stage4 address-list-timeout=3m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage3
add action=add-src-to-address-list address-list=winbox_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage2
add action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=3m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage1
add action=add-src-to-address-list address-list=winbox_stage1 address-list-timeout=3m chain=input connection-state=new dst-port=8291 protocol=tcp

Una vez activado, veremos como la address list se nos va llenando de gente Baneada.

enjoy your rules 😉

P.D. Gracias a @gurbtec por el script

Cisco 18xx como cliente pptp

Otra entrada que es un apunte.

En esta ocasión, he tenido la necesidad de conectar un cisco 1841 como cliente pptp de una mikrotik, por pap.

Aparentemente, no está soportado, pero hay algún truquillo:

vpdn enable
!
vpdn-group 2
request-dialin
AQUI COLOCAR :
service internal
protocol pptp
AQUI COLOCAR <-----
service internal <------ rotary-group 2 initiate-to ip ip.del.servidor.pptp interface Dialer2 ip address negotiated ip mtu 1460 ip virtual-reassembly encapsulation ppp dialer in-band dialer idle-timeout 0 dialer string barcelona dialer vpdn dialer-group 2 dialer persistent ppp chap hostname USUARIO_PPTP ppp chap password 0 PASSWORD_PPTP ppp pap sent-username USUARIO_PPTP password 0 PASSWORD_PPTP ip route red-remota-detras-pptp mascara Dialer2

Y con estos comandos, ya tenemos levantado el tunnel pptp contra nuestra mikrotik

Policy Based Routing Cisco y Mikrotik, tunnel IPIP y NAT (3)

Ahora, vamos a NATear las ip’s de nuestro proveedor a las máquinas de la red local.

Quiero que mi servidor Debian, con la 192.168.2.1, tenga como ip pública la 1.1.1.4. Para ello, usaremos 2 reglas en nuestra mikrotik; una src-nat y otra dst-nat, usando como interface público el tunnel PPTP:


/ip firewall nat
add action=src-nat chain=srcnat disabled=no out-interface=pptp_provider
src-address=192.168.2.1 to-addresses=1.1.1.4
add action=dst-nat chain=dstnat disabled=no dst-address=1.1.1.4
in-interface=pptp_provider to-addresses=192.168.2.1
add action=masquerade chain=srcnat disabled=no out-interface=pptp_provider
add action=masquerade chain=srcnat disabled=no out-interface=outside

Y recordamos que tenemos que tener una entrada de masquerade para el tunnel pptp y que estas reglas deben de estar antes.

La primera es para indicar que los paquetes entrantes desde internet, que vengan por el tunnel pptp (de entrada), a la ip pública 1.1.1.4, lo traduzca a la 192.168.2.1 de nuestra red.

La segunda regla, es para indicar que, la salida de nuestra máquina 192.168.2.1, la NATee directamente a la 1.1.1.4, por el interface pptp_provider.

Policy Based Routing Cisco y Mikrotik, tunnel IPIP y NAT (2)

En esta ocasión, vamos a configurar la mikrotik RouterOS, como cliente, mediante un tunnel PPTP.

Necesito que mi Debian Server, con la IP 192.168.2.1, salga a través del tunnel PPTP y el resto de equipos de la red, por mi conexión normal, para no malgastar recursos de mi buen proveedor.


/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=
default use-encryption=default use-ipv6=yes use-mpls=default
use-vj-compression=default
set 1 change-tcp-mss=yes name=default-encryption only-one=default
remote-ipv6-prefix-pool=none use-compression=default use-encryption=yes
use-ipv6=yes use-mpls=default use-vj-compression=default
/interface pptp-client
add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=
3.3.3.3 dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 mrru=
disabled name=pptp_provider password=password profile=default-encryption
user=usuarioPPTP

Y ahora las reglas de NAT y el pre-routing para marcar los paquetes:


/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no new-routing-mark=
tunnel_provider passthrough=no src-address=192.168.2.1
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=pptp_provider
add action=masquerade chain=srcnat disabled=no out-interface=outside

La primera regla sirve para marcar los paquetes que queramos que salgan por el tunnel PPTP.

Y ahora las rutas:


/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pptp_provider
routing-mark=tunnel_provider scope=30 target-scope=10
add comment=red_guifi disabled=no distance=1 dst-address=10.0.0.0/8 gateway=
172.26.2.251 scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.26.2.20 scope=30
target-scope=10

La primera ruta, indica que los paquetes marcados con el pre-routing / tunnel_provider, saldrán por aquí.

La segunda ruta, para indicar que todos los paquetes para la red 10.0.0.0/8 de Guifi.net, saldrán por mi antenita. 🙂

La tercera, para el resto.

En el siguiente POST, explicaremos el tema del NAT, para asignar las ip’s locales a públicas.

Policy Based Routing Cisco y Mikrotik, tunnel IPIP y NAT (1)

Esta entrada, con diferencia, es una de las configuraciones que más me ha hecho sudar la gota gorda…. intervienen varios factores:

1º) Tengo un proveedor de servicio que me proporciona 8 ip’s públicas
2º) Tengo que llegar con mi conexión al proveedor
3º) Hago un tunel IPIP entre la Mikrotik y mi router cisco
4º) Hay que usar nat

El motivo es que, necesito usar esas 8 ip’s y sólo determinados equipos, saldrán por el tunnel IP / ip’s públicas; el resto de máquinas de mi casa, saldrá por la conexión normal que tengo.

Primero de todo, haré la config y el esquema con cisco como cliente y mikrotik como servidor:
ipip1

Empezamos por la configuración de la mikrotik:

/interface ipip
add disabled=no dscp=0 local-address=3.3.3.3 mtu=1480 name=ipip_craem remote-address=2.2.2.2
/ip address
add address=192.168.194.1/30 disabled=no interface=ipip_craem network=192.168.194.0

add disabled=no distance=1 dst-address=1.1.1.1/32 gateway=192.168.194.2 scope=30 target-scope=10
add disabled=no distance=1 dst-address=1.1.1.2/32 gateway=192.168.194.2 scope=30 target-scope=10
add disabled=no distance=1 dst-address=1.1.1.3/32 gateway=192.168.194.2 scope=30 target-scope=10
add disabled=no distance=1 dst-address=1.1.1.4/32 gateway=192.168.194.2 scope=30 target-scope=10
add disabled=no distance=1 dst-address=1.1.1.5/32 gateway=192.168.194.2 scope=30 target-scope=10
add disabled=no distance=1 dst-address=1.1.1.6/32 gateway=192.168.194.2 scope=30 target-scope=10

Primero creamos el tunnel, le damos la ip y, para no perder la de red y broadcast, negociamos con el proveedor que nos la enrute una a una, tras pagarle unas cervezas al técnico 😉

Y ahora el lado Cisco; empezamos por el tunnel:

interface Tunnel7
description TUNNEL proveedor /29
ip address 192.168.194.2 255.255.255.252 --> ip privada del tunnel
ip mtu 1480 --> ajustamos el mtu
ip nat outside --> mis máquinas están detrás del firewall, con NAT
ip virtual-reassembly
ip policy route-map prov_lan --> policy route aplicado
qos pre-classify --> aplico QoS antes de meter en el tunnel
tunnel source 2.2.2.2 --> ip pública mia
tunnel destination 3.3.3.3 --> ip destino
tunnel mode ipip --> modo del tunnel

Creamos la política:

ip local policy route-map prov_map

Metemos en un access-list las ip’s que tendrán salida por el tunnel:

access-list 112 remark -> ACL NAT prov IPS PUBLICAS
access-list 112 permit ip host 172.26.2.9 any
access-list 112 permit ip host 172.26.2.11 any
access-list 112 permit ip host 172.26.2.5 any
access-list 112 permit ip host 172.26.2.6 any
access-list 112 permit ip host 172.26.2.12 any

Hacemos el route-map para identificar los paquetes:

route-map prov_lan permit 10
match ip address 112
set interface Tunnel7

Y ahora, nacemos el nat de las privadas a las públicas de nuestro proveedor:

ip nat inside source static 172.26.2.9 1.1.1.1
ip nat inside source static 172.26.2.11 1.1.1.2
ip nat inside source static 172.26.2.5 1.1.1.3
ip nat inside source static 172.26.2.6 1.1.1.4
ip nat inside source static 172.26.2.12 1.1.1.5

Si no ponemos el nat en el tunnel; no habrá traducción y no podremos usar las ip’s.

Ahora hemos de aplicar el policy-map a los interfaces:

interface FastEthernet0/0
bandwidth 6096
ip address dhcp
ip flow ingress
ip nat outside
ip virtual-reassembly
ip policy route-map rlan_map

interface GigabitEthernet0/1/0
ip address 172.26.2.20 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly
ip policy route-map rlan_map
negotiation auto

Automatizar backups en mikrotik

Otra entrada que es un apunte.

Desde hace días, necesito configurar los backups de las configuraciones de las mikrotiks que tengo instaladas. Para los routers cisco, uso el kron y vía tftp me traigo las configs a un servidor del trabajo.

Con las mikrotiks, lo he hecho de la siguiente manera:

1º) Exporto la configuración y la programo con un schedule. Entramos por ssh o telnet a nuestra mkt y tecleamos:

[craem@mikrotik] > /system scheduler add name=BackupConfig start-date=mar/30/2013 start-time=01:00:00 interval=1d on-event="/system backup save"

2º) Generamos una clave ssh en nuestro linux y la copiamos en la mikrotik:

craem_backup_system# ssh-keygen -t dsa
craem_backup_system# scp ~/.ssh/id_dsa.pub craem@ip.de.la.mkt:/

3º) Vía cron y script en bash, me traigo la config:

craem_backup_system# scp -r craem@ip.de.la.mkt:/ .

En un fichero sh, con los permisos chmod +x nombredelfichero.sh, ponemos esta línea y listo.

A respaldar…

Mikrotik & Netflow setup

El primer post del 2013.

Un apunte para recordar cómo configuraremos el netflow en una Mikrotik.

Entramos por telnet o winbox (prefiero telnet):

# telnet 192.168.2.251
mikroTik v5.22
login: miuser
password: xxxxxx

Entramos en modo netflow y lo habilitamos:

/ip traffic-flow
/ip traffic-flow> set enabled=yes

Y comprobamos la config:

[craem@router] /ip traffic-flow> print
enabled: yes
interfaces: all
cache-entries: 4k
active-flow-timeout: 30m
inactive-flow-timeout: 15s
[craem@router] /ip traffic-flow>

Y ahora añadimos el destino para los traps de netflow:

[craem@router] /ip traffic-flow target
[craem@router] add address=192.168.2.3:9996 version=9

Y comprobamos la config:

[craem@router] /ip traffic-flow target> print
Flags: X – disabled
# ADDRESS VERSION
0 192.168.2.3:9996 9
[craem@router] /ip traffic-flow target>

Y con ésto, ya lo tenemos configurado.

Netflow, es un protocolo desarrollado inicialmente por cisco, que sirve para recolectar toda la info que pasa por los routers / interfaces.

Podríais decir que snmp hace lo mismo, pero no es cierto. SNMP captura el volumen de tráfico ( a lo mejor con los mibs adecuados, si), pero netflow nos desgrana en detalle ip’s origen / destino / puerto y con el programa adecuado, por ejemplo , obtendremos unas estadísticas interesantes, que nos puede servir, por ejemplo, para saber en qué gastamos nuestro ancho de banda, cantidad, etc..

Enjoy your netflow 🙂

Ipsec Over GRE + ospf mikrotik vs Cisco, parte 1

Hoy toca una entrada de las que me ha costado más de elaborar.

Tengo bastantes routers cisco en los clientes y la mayoría de vpn’s (más de 50), las tengo con ipsec over GRE y EIGRP…. de esta manera, todas las sedes se ven entre ellas y no me tengo que preocupar de las rutas.

La idea, es montar routers mikrotik virtuales y aprovechar el espacio, ahorrar corriente, etc..

El escenario que propongo es sencillo:

Tenemos en un lado, la red local: 192.168.80.0/24 y en el otro extremo, la red 192.168.2.0/24.

La red que usaremos para el tunel, será: 172.30.0.0/30.

Empezamos con la configuración del router cisco:

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key superClave address 1.1.1.1 no-xauth

crypto ipsec transform-set trans_3des esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile mikro
set transform-set trans_3des

Colocaremos ipsec en modo transporte para no perder la información de routing, entre otras cosas y nos creamos un profile para el tunel con la mikrotik.

Creamos en Tunel GRE:

interface Tunnel5
description CONNECTED TO oficina mikrtik
ip address 172.30.0.1 255.255.255.252
ip mtu 1476
tunnel source FastEthernet0/0
tunnel destination 1.1.1.1
tunnel protection ipsec profile mikro

Y configuramos OSPF, con las áreas:

router ospf 10
log-adjacency-changes
redistribute static subnets
network 192.168.2.0 0.0.0.255 area 0
network 172.30.0.0 0.0.0.3 area 0

Y por último, la ruta estática (de momento no me funciona de otra manera), con la red remota:

cisco(conf-if)# ip route 192.168.80.0 255.255.255.0 tunnel 5

Y ahora vamos por la mikrotik:

/interface ethernet
/interface gre
add disabled=no dscp=0 l2mtu=65535 local-address=1.1.1.1 mtu=1476
name=tunnel5 remote-address=2.2.2.2

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des
lifetime=30m name=default pfs-group=modp1024
add auth-algorithms=md5 disabled=no enc-algorithms=3des lifetime=59m59s name=
cisco pfs-group=none

/routing ospf instance
set [ find default=yes ] disabled=no distribute-default=never in-filter=
ospf-in metric-bgp=auto metric-connected=20 metric-default=1
metric-other-ospf=auto metric-rip=20 metric-static=20 name=default
out-filter=ospf-out redistribute-bgp=no redistribute-connected=as-type-1
redistribute-other-ospf=as-type-1 redistribute-rip=no
redistribute-static=as-type-1 router-id=0.0.0.0
/routing ospf area
set [ find default=yes ] area-id=0.0.0.0 disabled=no instance=default name=
backbone type=default
add area-id=192.168.80.0 disabled=no instance=default name=area11 type=
default
/routing ospf-v3 instance
set [ find default=yes ] disabled=no distribute-default=never metric-bgp=auto
metric-connected=20 metric-default=1 metric-other-ospf=auto metric-rip=20
metric-static=20 name=default redistribute-bgp=no redistribute-connected=
no redistribute-other-ospf=no redistribute-rip=no redistribute-static=no
router-id=0.0.0.0

/ip address
add address=192.168.80.254/24 comment=”added by setup” disabled=no interface=
ether1_lan network=192.168.80.0
add address=1.1.1.1/32 disabled=no interface=public_interface network=
1.1.1.1
add address=172.30.0.2/30 disabled=no interface=tunnel5 network=172.30.0.0
/ip dhcp-server config
set store-leases-disk=5m

/ip ipsec peer
add address=2.2.2.2/32 auth-method=pre-shared-key comment=
“tunel IPSEC pruebas angel” dh-group=modp1024 disabled=no dpd-interval=2m
dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main
generate-policy=no hash-algorithm=md5 lifebytes=0 lifetime=1d
my-id-user-fqdn=”” nat-traversal=no port=500 proposal-check=obey secret=
superClave send-initial-contact=yes
/ip ipsec policy
add action=encrypt disabled=no dst-address=2.2.2.2/32 dst-port=any
ipsec-protocols=esp level=require priority=0 proposal=cisco protocol=47
sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=
1.1.1.1/32 src-port=any tunnel=no
/ip neighbor discovery
set ether1_lan disabled=no
set public_interface disabled=no
set tunnel5 disabled=yes

/ip route
add comment=”added by setup” disabled=no distance=1 dst-address=0.0.0.0/0
gateway=1.1.1.2 scope=30 target-scope=10

/routing filter
add action=accept chain=ospf-out disabled=no distance=1 invert-match=no
prefix=192.168.80.0/24 protocol=connect,ospf set-bgp-prepend-path=””

/routing igmp-proxy
set query-interval=2m5s query-response-interval=10s quick-leave=no
/routing mme
set bidirectional-timeout=2 gateway-class=none gateway-keepalive=1m
gateway-selection=no-gateway origination-interval=5s preferred-gateway=
0.0.0.0 timeout=1m ttl=50
/routing ospf area range
add advertise=yes area=area11 cost=calculated disabled=no range=
192.168.80.0/24
/routing ospf interface
add authentication=none authentication-key=”” authentication-key-id=1 cost=10
dead-interval=40s disabled=no hello-interval=10s instance-id=0 interface=
all network-type=broadcast passive=no priority=1 retransmit-interval=5s
transmit-delay=1s use-bfd=no
add authentication=none authentication-key=”” authentication-key-id=1 cost=10
dead-interval=40s disabled=no hello-interval=10s instance-id=0 interface=
public_interface network-type=broadcast passive=yes priority=1
retransmit-interval=5s transmit-delay=1s use-bfd=no
/routing ospf network
add area=backbone comment=”local lan” disabled=no network=192.168.80.0/24
add area=backbone comment=”tunnel 5 network” disabled=no network=
172.30.0.0/30
/system clock
set time-zone-name=Europe/Madrid
/system clock manual
set dst-delta=+00:00 dst-end=”jan/01/1970 00:00:00″ dst-start=
“jan/01/1970 00:00:00″ time-zone=+00:00
set name=cpd_router
/system lcd
set contrast=0 enabled=no port=parallel type=24×4
set enabled=yes mode=unicast primary-ntp=130.206.3.166 secondary-ntp=
130.206.3.166
/system ntp server
set broadcast=no broadcast-addresses=”” enabled=no manycast=yes multicast=no