Treinamento oficial Mikrotik

Modulo MTCUME
(MikroTik Certified User Manager Engineer)

Agenda
Treinamento das 08:30hs s 18:30hs

Coffe break as 16:00hs

Almoo as 12:30hs 1 hora de durao

1- Introduo

Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
Evite conversas paralelas.
Deixe habilitado somente a interface ethernet de
seu computador.

1- Introduo

Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
O que espera desse treinamento.

1- Introduo

Objetivos do curso
Abordar todos os tpicos necessrios para o
exame de certificao MTCUME.
Prover um viso geral sobre gerncia de
usurios e tneis.
Fazer uma abordagem simples e objetiva de
como planejar e implementar tneis
criptografados com foco em segurana e
prover controle de acesso com as ferramentas
de gerncia de usurios no RouterOS
1- Introduo

Primeiros passos:
Conecte o seu laptop na Ether3 de seu roteador
Abra o winbox clique em
Clique no endereo MAC ou IP.
No campo Login coloque admin.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em New Terminal.
Com terminal aberto digite:
/system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.

1- Introduo

Diagrama da rede

Internet

IP para os roteadores
WLAN1172.25.100.GR/24

G=1 R=1

G=2 R=1

G=1 R=2

G=2 R=2

IP ETHER3
10.G.R.254

IP para os computadores:
10.G.R.1

IP para os computadores:
10.G.R.2

Lembre-se de seu nmero: GR

1- Introduo

Identificando seu roteador

Lembre-se de seu nmero: GR

1- Introduo

Adicionando rota Default

1- Introduo

Backup

Apague todos os arquivos no menu files.

Faa um backup com nome topoligia-1 e salve
seu computador.

system backup save name=topologia-1

1- Introduo

10

Dvidas e perguntas ?

1- Introduo

11

Tunelamento

A definio de tunelamento a capacidade de criar tneis entre dois

hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
SSTP (Secure Socket Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
Tneis GRE

2 - Tuneis e VPN

12

Tneis EoIP

2 - Tuneis e VPN

13

Tneis EoIP
O Tnel EoIP (IP Protocol 47/GRE) um tnel de camada 2 (ISO/OSI
L2) e por isso permite a funo de Bridge dos roteadores que esto
interligados, todo o trfego passado de uma lado para o outro de
forma transparente mesmo passando pela internet.
EoIP(Ethernet over IP) um protocolo proprietrio Mikrotik para
encapsulamento de todo tipo de trfego sobre o protocolo IP.
O protocolo EoIP possibilita:
- Interligao em bridge de LANs remotas atravs da internet.
- Interligao em bridge de LANs atravs de tneis criptografados.
A interface criada pelo tnel EoIP suporta todas funcionalidades de
uma interface ethernet. Endereos IP e outros tneis podem ser
configurados na interface EoIP.
A nica exigncia do tnel EoIP que necessrio ter
conectividade fim-a-fim entre os dois sites, ou seja, no eoip
necessrio especificar o lado remoto.

2 - Tuneis e VPN

14

Criao dos Tneis EoIP

necessrio especificar o ip do lado remoto, alm disto o
tunnel id, que deve ser igual em ambos os roteadores.
O estado running, no necessarimente
indica que o tnel est fechado
j que o tnel site to site, para
habilitar a checagem deve-se especificar
o tempo de keepalive.
Existe o eoip especfco para ipv6, a
configurao semelhante ao IPv4
O eoip no encripta dos dados.

2 - Tuneis e VPN

15

PPP Definies Comuns para os

servios
MTU/MRU: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentao.
Keepalive Timeout: Define o perodo de tempo em segundos aps o qual
o roteador comea a mandar pacotes de keepalive por segundo. Se
nenhuma reposta recebida pelo perodo de 2 vezes o definido em
keepalive timeout o cliente considerado desconectado.

Authentication: As formas de autenticao permitidas so:

Pap: Usurio e senha em texto plano sem criptografica.
Chap: Usurio e senha com criptografia.
Mschap1: Verso chap da Microsoft conf. RFC 2433
Mschap2: Verso chap da Microsoft conf. RFC 2759
2 - Tuneis e VPN

16

PPP Definies Comuns para os

servios
PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento
ser necessrio que haja algum mecanismo para avisar que esta estao
dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequao dos
pacotes posteriores chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade est presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.
MRRU: Tamanho mximo do pacote, em bytes, que poder ser recebido
pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes
menores, permitindo o melhor dimensionamento do tnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
2 - Tuneis e VPN

17

MULTILINK PPP Sobre tnel simples

1- Introduo

18

MULTILINK PPP Sobre tnel simples

1- Introduo

19

MULTILINK PPP Sobre mtiplos enlaces

Modo cliente est disonvel a
partir da 3.10
No RouterOs no suporta o
modo server com multilink
ppp, apenas o cliente
Para configurar o MLPPP em
interfaces e definir mais de
uma interface.

1- Introduo

20

MSSS
Maximun Segment Size, tamanho mximo do segmento de dados. Um
pacote MSS que ultrapasse o MSS dos roteadores por onde o tnel est
estabelecido deve ser fragmentado antes de envi-lo. Os pacotes de 1500
bytes, padro da interface ethernet tem problemas para passar por um
tnel ppp.

Em alguns caso o PMTUD est quebrado ou os roteadores no conseguem

trocar informaes de maneira eficiente e causam uma srie de problemas
com transferncia HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona
ferramentas onde possvel interferir e configurar uma diminuio do MSS
dos prximos pacotes atravs do tnel visando resolver o problema.
Para executar essa diminuio o RouterOS automaticamente cria regras no
mangle. Assegurando que os pacotes ip no superem o valor mximo
permitido no tnel.
2 - Tuneis e VPN

21

Opo Change MSSS

Valores:
Yes: Ajusta o valor do MSS
No: No ajusta o valor do MSS
Default: Utiliza o valor padro do perfil da interface,
se no configurado, ser o default
A melhor opo yes

2 - Tuneis e VPN

22

Perfis PPP / Secrets

Os perfis, assim como os a base de dados dos usurios
(secrets) so comuns a todos os servios ppp, como
por exemplo, pppoe, l2tp, pptp, porm importante
ressaltar que:
- No possvel utilizar os perfis ou a base de dados de
usurios (secrets) de outro roteador para autenticar
seus usurios locais.
- A opo Caller-id pode ser preenchida de acordo com o
tnel que vai chamar, por exemplo, se for um tnel
pppoe, o caller-id esperado ser um mac-address, se
for um tnel l2tp ou pptp, o caller id ser o ip do
cliente que pode se conectar ao seu servidor.
2 - Tuneis e VPN

23

Mais sobre perfis

Incoming/Outgoing Filter: Nome do canal do
firewall para pacotes que estejam entrando/saindo.

Address List: Lista de endereos IP para associar ao

perfil, essa lista est presente no /ip firewall address-list,
e sero criadas dinmicamente. Pode ser usada para
filtros, regras de mangle dentre outras funcionalidades.

DNS Server : Configurao dos servidores DNS a

atribuir aos clientes.

WINS Server : Configurao dos servidores DNS microsoft

para atribuir aos clientes

Use Compression/Encryption/Change TCP MSS:

caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.
2 - Tuneis e VPN

24

Mais sobre perfis

Session Timeout: Durao mxima de uma sesso, ou

seja, assim que o usurio se conectar ele ser
desconectado aps o perodo de tempo definido,
tendo atividade ou no aps esse perodo.

Idle Timeout: Perodo de ociosidade na transmisso

de uma sesso. Se no houver trfego IP dentro do
perodo configurado, a sesso terminada.

Rate Limit: Limitao da velocidade, pode ser no

formato rx-rate/tx-rate, ou seja upload/download.
Caso deseje uilizar burst pode ser usado na forma rxrate/tx-rate rx-burst-rate/tx-burstrate rx-burstthreshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.

Only One: Permite apenas uma sesso para o mesmo

usurio.
2 - Tuneis e VPN

25

Mais sobre Perfis

Introduzido na verso 5 a
possibilidade do uso de IPv6 e
MPLS em tneis PPP
Foi introduzido na verso 6 a
opo de queue que permite
definir o parentesco e o tipo
da fila alm da posio da
criao padro das novas filas

2 - Tuneis e VPN

26

Mais sobre o Secret

Service: Especifica o servio disponvel para este cliente

em particular.

Caller ID: IP, MAC, etc de quem est chamando

Local/Remote Address: Endereo IP Local (servidor) e

remote(cliente) que podero ser atribudos a um cliente
em particular.

Limits Bytes IN/Out: Quantidade em bytes que o cliente

pode trafegar por sesso.

Routes: Rotas que so criadas do lado do servidor para

esse cliente especifico. Vrias rotas podem ser
adicionadas separadas por vrgula.
As informaes contidas em /ppp secrets tem maior
prioridade sobre /ppp profile

2 - Tuneis e VPN

27

VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que
fornecem confidencialidade, autenticao e integridade necessrias
para garantir a privacidade das comunicaes requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.

2 - Tuneis e VPN

28

VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurana definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.

2 - Tuneis e VPN

29

Site-to-site

2 - Tuneis e VPN

30

Conexo remota

2 - Tuneis e VPN

31

PPTP
PPTP Point-to-Point Tunneling Protocol: Protocolo de
tunelamento ponto a ponto um protocolo de
tunelamento seguro para transportar trfego IP utilizando
PPP.
O PPTP Utiliza a porta TCP 1723 e o protocolo 47/GRE
(Generic Routing Encapsulation)
O RouterOS suporta tanto servidor quanto cliente e ambos
podem funcionar simultaneamente no mesmo roteador.
Este tnel especialmente til porque tem clientes nativos
em praticamente todos os sistemas opearacionais.
Para utilizar esse tnel atravs de redes com nat
obrigatrio o uso de nat helpers, no mikrotik, os nat
helpers esto em /ip firewall services
2 - Tuneis e VPN

32

L2TP
L2TP Layer2 Tunelling Protocol: Protocolo de
tunelamento de camada 2 tem praticamente a
mesma funcionalidade que o tnel pptp
O L2TP Utiliza a porta UDP 1701 para estabelecer
o enlace e para enviar o trfego utilizando
qualquer porta UDP disponvel.
Assim como no PPPTP O RouterOS suporta tanto
servidor quanto cliente e ambos podem
funcionar simultaneamente no mesmo roteador.
O L2TP no tem problemas de atravessar redes
nateadas
2 - Tuneis e VPN

33

Configurao do Servidor PPTP e L2TP

Configure um pool, um perfil para o PPTP, adicione um usurio em secrets

e habilite o servidor PPTP conforme as figuras.
2 - Tuneis e VPN

34

Configurao do Servidor PPTP e L2TP

Configure os servidores
PPTP e L2TP.
Atente para utilizar o
perfil correto.
Configure nos hosts
locais um cliente PPTP e
realize conexo com um
servidor da outra rede.
Ex.: Hosts do Setor1
conectam em servidores do
Setor2 e vice-versa.

2 - Tuneis e VPN

35

Configurao do Servidor PPTP e L2TP

As configuraes para o cliente PPTP e L2TP so

bem simples, conforme observamos nas imagens.
2 - Tuneis e VPN

36

BCP
RouterOS tem suporte BCP para todos os
tneis PPP.
BCP permite colocar em bridge pacotes
ethernet a travs de enlaces PPP
BCP uma parte indepedente do tnel PPP,
no tem relaco com a direo do trfego
IP da interface do tnel
Os procesos de bridging e routing podem
ocorrer ao mesmo tempo, de maneira
indepente
2 - Tuneis e VPN

37

Configurando um BCP
Habilitar o bcp muito simples: Criar uma
bridge, ir em ppp profiles e definir a bridge.

2 - Tuneis e VPN

38

VPN IPSEC
Proporciona uma estrutura completa segura para vpns
que atravessem a internet
normalmente utilizado para interligao de diversas
empresas, rgos pblicos sistemas de cartes de
crdito.
Assegura a confidencialidade, quer dizer, somente as
pessoas autorizadas podem ver os dados sensveis.
Adota mtodos de encriptao e controle de acesso
para isto.
Tambm conta com um mecanismo de reviso de
integridade dos dados que garante que no tenham
sido modificados por algum no autorizado.
2- Tneis e VPN

39

IPSec
Internet Procotol Security um conjunto de protocolos
definido pela IETF para garantir a troca segura de
pacotes IP/IPv6 atravs de redes no seguras
(Internet). opcional no IPV4 e no IPV6.
IPSec se pode dividir nos seguintes grupos:
Autentication Header (AH) - RFC 4302 para
integridade e autenticao
Encapsulating Security Payload (ESP) - RFC 4303 para
confidencialidade
Internet Key Exchange (IKE) utilizado para a
criao e distribuio dinmica de chaves de
criptografia para AH e ESP.
2- Tneis e VPN

40

Tnel IPSec Site-to-Site

Dois routers remotos esto conectados a internet e as redes locais dos escritrios esto
NATeadas. Cada escritrio tem sua prpria subnet, 10.1.202.0/24 para o Office1
E 10.1.101.0/24 for Office2 Ambos escritrios remotos tem um tnel seguro para as redes
Locais entre os routers.
2- Tneis e VPN

41

Authentication Header (AH)

AH um protocolo que proporciona a
autenticao de todo ou parte do contedo de
um datagrama atravs da adio de um
cabealho que se calcula sobre a base dos valores
em seu datagrama.
A presena do cabealho AH permite verificar a
integridade da mensagem, porm no encripta.
Portanto, AH proporciona autenticao porm
no a privacidade (Outro protocolo ESP se utiliza
para proporcionar criptografia).
RouterOS suporta: SHA1 e MD5
2- Tneis e VPN

42

Encapsulating Security Payload (ESP)

ESP usa criptografia de chave compartilhada para
proporcionar privacidade de dados. ESP suporta seu
prprio esquema de autenticao usado no AH, ou pode
usar em conjunto com AH.
Em vez de ter apenas um cabealho, divide seus campos
em trs componentes:
- Cabealho ESP: Colocado antes dos dados criptografados e
sua colocao depende se o ESP usado em modo de
transporte ou modo tnel.
- Trailer ESP: Colocado aps os dados criptografados e
usado para sincronizar os dados criptografados.
- ESP Autentication Data - Contm os dados j encriptados.

2- Tneis e VPN

43

Algoritmos de Autenticao/Encriptao
O RouterOS suporta os seguintes algortimos de autenticao:
- SHA
- MD5
O RouterOS suporta os seguintes algortimos de encriptao:
DES 56 bits DES-CBC;
3DES 168 bits DES;
AES 128, 192 e 256 bits;
Blowfish;
Twofish;
Camelia 128, 192 e 256 bits.

2- Tneis e VPN

44

Internet Key Exchange Protocol

IKE um protocolo que fornece material de chave
de autenticao para o quadro de ISAKMP (Internet
Security Association and Key Management
Protocol)
Existem outros esquemas de troca de chaves que
trabalham com ISAKMP, mas IKE o mais utilizado.
Juntos, eles fornecem meios para autenticao dos
hosts e gerenciamento automtico de associaes
de segurana (SA).
2- Tneis e VPN

45

Internet Key Exchange Protocol

Os peers estabelecem conexo e executam duas fases:
Fase 1: Os pares devem concordar com os algoritmos
utilizados em mensagens IKE e autenticar. Material de chave
usada para derivar chaves para todos os SAs e proteger
seguinte trocas ISAKMP entre hosts gerado:
Nesta fase tem que combinar os seguintes itens:
- authentication method
- DH group
- encryption algorithm
- exchange mode
- hash alorithm
- NAT-T
- DPD and lifetime (optional)
2- Tneis e VPN

46

Internet Key Exchange Protocol

Fase 2: Os pares estabelecem uma ou mais SAs que sero
usados pelo IPsec para criptografar dados. Todos os SAs
estabelecidas pelo IKE daemon tero valores de vida (ou
de limitao de tempo, aps o qual SA se tornar
invlida, ou quantidade de dados que podem ser
criptografados por este SA, ou ambos).
Nesta fase tem que combinar os seguintes itens:
- Ipsec protocol
- mode (tunnel or transport)
- authentication method
- PFS (DH) group
- lifetime
2- Tneis e VPN

47

Internet Key Exchange Protocol

2- Tneis e VPN

48

Diffie-Hellman Groups
DH um protocolo de troca de chaves, que cria uma
conexo segura entre duas partes sem uma chave
previamente compartilhada.
Grupos DH suportados:
Group 1: 768 bit MODP
Group 2: 1024 bits MODP
Group 3: EC2N group on GP(2^155)
Group 4: EC2N group on GP(2^185)
Group 5: 1536 bits MODP
2- Tneis e VPN

49

Configurao inicial
Para forar que o o IPSec funcione automaticamente
utilizando o IKE-ISAKMP se deve configurar:
Policy
Peer
Proposal
Importante: IPSec muito sensvel s mudanas de horario.
Se ambos os lados do tnel IPsec no estiverem com
sincronizao de tempo inigualvel, o tnel deve ser
estabelecida novamente. Para tal deve-se utilizar NTP.
2- Tneis e VPN

50

Configurao dos Peers

Primeiro definimos o direcionamento dos pares e as chaves PSK:
Router 1:
/ip ipsec peer
add address=10.1.1.12/32 port=500 auth-method=pre-shared-key
secret=ipseclab
Router 2:
/ip ipsec peer
add address=10.1.1.11/32 port=500 auth-method=pre-shared-key
secret=ipseclab

2- Tneis e VPN

51

Configurao do Proposal
muito importante que a autenticao e o algortmo de
encriptao proposto seja o mesmo em ambos os lados
/ip ipsec proposal
add name=ipseclab auth-algorithms=sha1 enc-algorithms=3des
lifetime=30m pfs-group=modp1024

2- Tneis e VPN

52

Configurao das Polices

Neste exemplo, queremos encriptar o trfego proviniente da rede
10.1.1.0/24 para a rede 10.1.2.0/24 e vice-versa:
Router 1:
/ip ipsec policy
add src-address=10.1.1.0/24 src-port=any dst-address=10.1.2.0/24 dstport=any sa-src-address=172.25.100.11 sa-dst-address=172.25.100.12
tunnel=yes action=encrypt proposal=ipseclab
Router 2:
/ip ipsec policy
add src-address=10.1.2.0/24 src-port=any dst-address=10.1.1.0/24 dstport=any sa-src-address=10.1.1.12 sa-dst-address=10.1.1.11
tunnel=yes action=encrypt proposal=ipseclab
2- Tneis e VPN

53

NAT Bypass
Neste ponto, se voc tentar estabelecer um tnel IPSec, no vai
funcionar, todos os pacotes sero recusados.
Isto devido a ambos os roteadores terem regras de NAT
configuradas que alteram o endereo de origem dos pacotes
depois que os pacotes foram criptografados.
O roteador remoto receber os pacotes criptografados, mas no
ser capaz de descencripta-los porque o endereo de origem
no o mesmo que foi estabelecido na poltica.

2- Tneis e VPN

54

Configurao do NAT Bypass

Para resolver esse problema, se deve criar uma regra de Nat Bypass
Router 1:
/ip firewall nat
add chain=srcnat src-address=10.1.1.0/24 dst-address=10.1.2.0/24
action=accept disabled=no place-before=0
Router 2:
/ip firewall nat
add chain=srcnat src-address=10.1.2.0/24 dst-address=10.1.1.0/24
action=accept disabled=no place-before=0
2- Tneis e VPN

55

Laboratrio de IPSec
Restaurar o backup inicial, se necessrio
Formar grupos de 2 pessoas
Criar uma VPN IPSec entre suas redes locais baseado nos exemplos
dos slides anteriores.

2- Tneis e VPN

56

L2TP com IPSec

O IPSec precisa de conectividade fim-a-fim verdadeira, ou seja
necessrio que os dois equipamentos consiguam se enxergar,
em resumo no funcionar em redes com nat, por padro.
Uma forma de resolver esse problema fechar um tnel l2tp que
prover conectividade fim-a-fim verdadeira.

2- Tneis e VPN

57

Perguntas ?

2 - Tuneis e VPN

58

Controle de acesso de usurios

possvel implementar o controle de acesso por
basicamente dois meios
Hardware:
Utilizando Entradas estticas IP/MAC (ARP)
Enviando endereos IP atravs de um Servidor DHCP e
administrando atravs de entradas estticas ARP.
Usuarios:
PPPoE requer a configurao do cliente PPPoE
Hotspot redireciona solicitaes de clientes para a pgina
de Login.
PPTP requer configurao de clientes PPTP
3 Gerencia de usurios

59

PPPoE Cliente e Servidor

PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui
informaes sobre o remetente e o destinatrio, desperdiando mais banda.
Cerca de 2% a mais.
Muito usado por grandes operadoras para autenticao de clientes com
base em Login e Senha. O PPPoE estabelece sesso e realiza autenticao
com o provedor de acesso a internet.
O cliente no tem IP configurado, o qual atribudo pelo Servidor
PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik no obrigatrio o uso de Radius pois o mesmo
permite criao e gerenciamento de usurios e senhas em uma tabela local.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado
desde que o cliente suporte este mtodo.
3 Gerencia de usurios

60

PPPoE Estrutura do PPPOE

A estrutura do trama Tipos de pacotes disponveis

3 Gerencia de usurios

61

Estrutura do pacote pppoe

1- Introduo

62

PPPoE Cliente e Servidor

O cliente descobre o servidor
atravs do protocolo pppoe
discovery que tem o nome do
servio a ser utilizado.
Precisa estar no mesmo
barramento fsico ou os
dispositivos passarem pra
frente as requisies PPPoE
usando pppoe relay.
No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar
bem na maioria dos casos. Se configurarmos pra zero, o servidor
no desconectar os
clientes at que os mesmos solicitem ou o servidor for reiniciado.

3 Gerencia de usurios

63

Configurao do Servidor PPPoE

3. Adicione um usurio e senha
/ppp secret add name=usuario password=123456
service=pppoe profile=perfil-pppoe

Obs.: Caso queira verificar o MAC-Address,

adicione em Caller ID. Esta opo no
obrigatria, mas um parametro a mais para
segurana.

3 Gerencia de usurios

64

Configurao do Servidor PPPoE

1. Primeiro crie um pool de IPs para o PPPoE.
/ip pool add name=pool-pppoe
ranges=172.16.0.2-172.16.0.254

2. Adicione um perfil para o PPPoE onde:

Local Address = Endereo IP do concentrado.
Remote Address = Pool do pppoe.

/ppp profile local-address=172.16.0.1

name=perfilpppoe remote-address=pool-pppoe
3 Gerencia de usurios

65

Configurao do Servidor PPPoE

4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vo
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.
/interface pppoe-server server add
authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=
1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename="
Servidor PPPoE"

3 Gerencia de usurios

66

Mais sobre o PPoE Server

O concentrador PPPoE do Mikrotik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rdio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.

Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. At o momento no possumos nenhuma maneira de alterar a MTU da
interface sem fio de clientes MS Windows. A opo One Session Per Host permite
somente uma sesso por host(MAC Address). Por fim, Max Sessions define o nmero
mximo de sesses que o concentrador suportar.

3 Gerencia de usurios

67

Configurando o PPPoE Client

AC Name: Nome do concentrador. Deixando em branco conecta

em qualquer um.
Service: Nome do servio designado no servidor PPPoE.
Dial On Demand: Disca sempre que gerado trfego de sada.
Add Default Route: Adiciona um rota padro(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
3 Gerencia de usurios

68

HotSpot
Geralmente usado em rea pblica como hotis,
aeroportos, shoppings, universidades, etc...
Acesso controlado a uma rede qualquer, com ou sem
fio,
Autenticao baseada em nome de usurio e senha.
Com HotSpot, um usurio que tente navegao pela
WEB arremetido para uma pgina do HotSpot que
pede suas credencias, normalmente usurio e senha.

3 - Hotspot

69

HotSpot
Geralmente usado em rea pblica como hotis,
aeroportos, shoppings, universidades, etc...
Acesso controlado a uma rede qualquer, com ou sem
fio,
Autenticao baseada em nome de usurio e senha.
Com HotSpot, um usurio que tente navegao pela
WEB arremetido para uma pgina do HotSpot que
pede suas credencias, normalmente usurio e senha.

3 - Hotspot

70

Estrutura do Hotspot
Servidor de hotspot (Servers)

Um server por interface.

Perfis do hotspot (Server Profiles)

Defini como os usurio podero logar.

Usar Radius ou no.
Definir o diretrio que contm as pginas de
login.

Perfis de usurio (User Profile)

Defini velocidade de cada perfil (planos).

Defini popups.
Defini scripts.

Usurios (Users)

Defini usurio e senha

Defini a qual plano o usurio esta
associado.
3 - Hotspot

71

HotSpot

3 - Hotspot

72

HotSpot
Apesar de ter sido bem simples a criao do
Hotspot o RouterOS criou algumas regras
necessrias para o funcionamento.

3 - Hotspot

73

HotSpot Detalhes do Servidor

Idle Timeout: Usado para detectar
clientes que esto logados e no
esto trafegando.
Keepalive Timeout: Usado para
detectar clientes que esto logados
porm no esto mais acessveis.
Address Per MAC: Nmero de IPs
permitidos para um determinado
MAC.

3 - Hotspot

74

HotSpot Perfil do Servidor

HTML Directory: Diretrio onde so
colocadas as pginas desse hotspot.
HTTP Proxy/Port: Endereo e porta do
servidor de web proxy.
SMTP Server: Endereo do servidor SMTP.
Rate Limit: Usado para criar uma fila simples
para todo o hotspot. Esta fila vai aps as filas
dinmicas dos usurios.

3 - Hotspot

75

HotSpot Perfil do Servidor

Login by:
MAC: Usa o MAC dos clientes primeiro como nome do usurio. Se
existir na tabela de usurios local ou em um Radius, o cliente
liberado sem usurio/senha.
HTTP CHAP: Usa o mtodo criptografado.
HTTP PAP: Usa autenticao em texto plano.
Cookie: Usa HTTP cookies para autenticar sem pedir credenciais. Se
o cliente no tiver mais o cookie ou se tiver expirado ele de usar
outro mtodo.

HTTPS: Usa tnel SSL criptogrfado. Para que este mtodo funcione,
um certificado vlido deve ser importado para o roteador.

Trial: No requer autenticao por um determinado tempo.

Split User Domain: Corta o domnio do usurio no caso de
usuario@hotspot.com
HTTP Cookie Lifetime: Tempo de vida dos cookies.
MAC Cookie: Nova funcionalidade usada para facilitar a
acessibilidade para smartphones.

3 - Hotspot

76

Hotspot - Radius
Remote Authentication Dial In User Service (RADIUS) um
protocolo de rede que prov de forma centralizada
autenticao, autorizao e contabilizao(Accounting em
ingls).
Autenticao

Roteador de borda

Internet

Roteadores buscando
autenticao no Radius
Servidor Radius 172.31.31.2

3 - Hotspot

77

Hotspot - Configurando Radius

3 - Hotspot

78

HotSpot Perfil do Servidor

Use Radius: Utiliza servidor Radius para
autenticao dos usurios do hotspot.
Location ID e Location Name: Podem ser atribudos
aqui e no Radius. Normalmente deixado em branco.
Accounting: Usado para registrar o histrico de logins,
trfego, desconexes, etc...
Interim Update: Frequncia do envio de informaes
de accounting. 0 significa assim que ocorre o evento.
Nas Port Type: Wireless, ethernet ou cabo.
Informao meramente para referncia.

3 - Hotspot

79

HotSpot Perfil de Usurios

O User Profile serve para dar tratamento diferenciado a
grupos de usurios, como suporte, comercial, diretoria,
etc...
Session Timeout: Tempo mximo
permitido.
Idle Timeout/Keepalive: Mesma
explicao anterior, no entanto agora
somente para este perfil de usurios.
Status Autorefresh: Tempo de
refresh da pgina de Status do
HotSpot.
Shared Users: Nmero mximo de
clientes com o mesmo username.
3 - Hotspot

80

HotSpot Perfil de Usurios

Os perfis de usurio podem conter os limites de
velocidade de forma completa.
Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx
burst-limit] [rxburstthreshold/tx-burst-threshold]
[rx-burst-time/tx-bursttime][priority]
[rx-limit-at/tx-limit-at]
Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
128k de upload / 256k de download
256k de upload burst / 512k de download burst
96k threshould de upload / 192k threshloud de
download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de
download

3 - Hotspot

81

HotSpot Perfil de Usurios

Incoming Filter: Nome do firewall chain aplicado aos
pacotes que chegam do usurio deste perfil.
Outgoing Filter: Nome do firewall chain aplicado aos
pacotes vo para o usurio deste perfil.
Incoming Packet Mark: Marca colocada
automaticamente em pacotes oriundos de usurios
deste perfil.
Outgoing Packet Mark: Marca colocada
automaticamente em pacotes que vo para usurios
deste perfil.
Open Status Page: Mostra a pgina de status.
- http-login: para usurios que logam pela WEB.
- always: para todos usurios inclusive por MAC.
Tranparent Proxy: Se deve usar proxy transparente.
3 - Hotspot

82

HotSpot Perfil de Usurios

Com a opo Advertise possvel enviar de
tempos em tempos popups para os usurios do
HotSpot.
Advertise URL: Lista de pginas que sero
anunciadas. A lista cclica, ou seja, quando a ltima mostrada,
comea-se novamente pela primeira.
Advertise Interval: Intervalo de tempo de exibio de popups.
Depois da sequncia terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar
para o anncio ser mostrado, antes de bloquear o
acesso a rede.
- Pode ser configurado um tempo.
- Nunca bloquear.
- Bloquear imediatamente.

3 - Hotspot

83

HotSpot Perfil de Usurios

O Mikrotik possui uma linguagem interna de scripts que podem ser
adicionados para serem executados em alguma situao especifica.
No HotSpot possvel criar scripts que executem comandos a
medida que um usurio desse perfil conecta ou desconecta do
HotSpot.
Os parmetros que controlam essa execuo so:
On Login: Quando o cliente conecta ao HotSpot.
On Logout: Quando o cliente desconecta do
HotSpot.
Os scripts so adicionados no menu:
/system script
3 - Hotspot

84

HotSpot Usurios

3 - Hotspot

85

HotSpot Usurios
Server: all para todos hotspots ou para um especfico.
Name: Nome do usurio. Se o modo Trial estiver ativado
o hotspot colocar automaticamente o nome TMAC_
Address. No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereo IP caso queira vincular esse usurio
a um endereo fixo.
MAC Address: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile: Perfil onde o usurio herda as propriedades.
Routes: Rotas que sero adicionadas ao cliente quando
se conectar. Sintaxe: Endereo destino gateway
mtrica. Vrias rotas separadas por vrgula podem ser
adicionadas.

3 - Hotspot

86

HotSpot Usurios
Limit Uptime: Limite mximo de
tempo de conexo para o usurio.
Limit Bytes In: Limite mximo de
upload para o usurio.
Limit Bytes Out: Limite mximo de
download para o usurio.
Limit Bytes Total: Limite mximo
considerando o download + upload.
Na aba das estatsticas possvel
acompanhar a utilizao desses
limites.
3 - Hotspot

87

HotSpot Active
Mostra dados gerais e estatsticas de cada usurio conectado.

3 - Hotspot

88

HotSpot Liberaes especiais

Para liberar acesso a internet para que um
determinado host utilize sem a necessidade de
autenticao IP Binding.
Para liberar acesso a um determinado site sem
necessidade de autenticao utilize Walled
Garden.
Para liberar acesso a um determinado IP ou porta
sem necessidade de autenticao utilize o
Walled Garden IP List.
3 - Hotspot

89

HotSpot IP Bindings
O Mikrotik por default tem habilitado o universal client que
uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.
possvel tambm fazer tradues NAT estticas com base no
IP original, ou IP da rede ou MAC do cliente. possvel
tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede
inicialmente.
Tambm possvel fazer bloqueio de endereos.

3 - Hotspot

90

HotSpot IP Bindings
MAC Address: mac original do cliente.
Address: Endereo IP do cliente.
To Address: Endereo IP o qual o original deve ser
traduzido.
Server: Servidor hotspot o qual a regra ser aplicada.
Type: Tipo do Binding.
- Regular: faz traduo regular 1:1
- Bypassed: faz traduo mas
dispensa o cliente de logar no
hotspot.
- Blocked: a traduo no ser feita e
todos os pacotes sero bloqueados.

3 - Hotspot

91

HotSpot Walled Garden

Configurando um walled garden possvel oferecer ao usurio o
acesso a determinados servios sem necessidade de autenticao.
Por exemplo em um aeroporto poderia se disponibilizar
informaes sobre o tempo ou at mesmo disponibilizar os sites
dos principais prestadores de servio para que o cliente possa
escolher qual plano quer comprar.
Quando um usurio no logado no hotspot requisita um servio do
walled garden o gateway no intercepta e, no caso do http,
redireciona a requisio para o destino ou um proxy.
Para implementar o walled garden para requisies http, existe um
web proxy embarcado no Mikrotik, de forma que todas requisies
de usurios no autorizados passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik no tem a funo de
cache, pelo menos por hora. Notar tambm que esse proxy faz
parte do pacote system e no requer o pacote web-proxy.

3 - Hotspot

92

HotSpot Walled Garden

importante salientar que o
walled garden no se destina
somente a servio WEB, mas
qualquer servio que se queira
configurar. Para tanto existem 2
menus distintos conforme do
figuras ao lado. Sendo o menu
de cima para HTTP e HTTPS e o
de baixo para outros servios e
protocolos.
3 - Hotspot

93

HotSpot Walled Garden

Action: Permite ou nega.
Server: Hotspot para o qual o walled garden
vale.
Src.Address: Endereo IP do usurio
requisitante.
Dst. Address: Endereo IP do web server.
Method: Mtodo http ou https.
Dst. Host: Nome do domnio do servidor de
destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisio.
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado
coringas. Tambm possvel utilizar expresses regulares devendo essas ser
iniciadas com (:)
3 - Hotspot

94

HotSpot Walled Garden

Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden
vale.
Src. Address: Endereo IP do usurio
requisitante.
Dst. Address: Endereo IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que ser
requisitada.
Dst. Host: Nome do domnio do servidor de
destino.

3 - Hotspot

95

HotSpot Cookies
Quando configurado o login por cookies, estes
ficam armazenados no hotspot com nome do
usurio, MAC e tempo de validade.
Enquanto estiverem vlidos o usurio no precisa
efetuar o procedimento de login e senha.
Podem ser deletados (-) forando assim o usurio
a fazer o login novamente.

3 - Hotspot

96

HotSpot Ports
A facilidade NAT do hotspot causa problemas
com alguns protocolos incompatveis com NAT.
Para que esses protocolos funcionem de forma
consistente, devem ser usados os mdulos
helpers.

No caso do NAT 1:1 o nico problema com

relao ao mdulo de FTP que deve ser
configurado para usar as portas 20 e 21.
3 - Hotspot

97

Personalizando o HotSpot
As pginas do hotspot so completamente configurveis e alm disso possvel
criar conjuntos completamente diferentes das pginas do hotspot para vrios
perfis de usurios especificando diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:
redirect.html redireciona o usurio a uma pgina
especifica.
login.html pgina de login que pede usurio e senha ao
cliente.
Esta pgina tem os seguintes parmetros:

Username/password.
Dst URL original que o usurio requisitou antes do redirecionamento e que ser aberta aps a
autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com sucesso.

logout.html pgina de logout

radvert.html pgina que gera o poupup quando vai advertir o usurio
errors.txt arquivo de texto que contm os erros que so exibidos ao usurio
alogin.html pgina que avisa o usurio que ele est logado.

3 - Hotspot

98

Login Oculto
No ser requerido o usurio
e senha
til para enviar avisos aos
usurios ou enviar alguma
informao de esclarecimento
antes de continuar usando o
servio.
Forma simples de colocar
compartilhamento de
usurios.
3 - Hotspot

99

Login Oculto
Baixar o arquivo login.html de seu roteador
Abrir o arquivo com algum editor de texto
Modificar as seguintes linhas:
<input type=text value=$(username)>
<td><input style="width: 80px"
name="username" type="hidden"
value=usuarioXY"/></td>
<input type=password>
<td><input style="width: 80px"
name="password" type="hidden"
value=senha"/></td>
3 - Hotspot

100

HotSpot com HTTPS

Para utilizar o hotspot com HTTPS
necessrio que se crie um certificado, assinlo corretamente e em seguida import-lo
atravs do menu /system certificates.

3 - Hotspot

101

User Manager
Aplicao integrada no RouterOS que prov
um servidor Radius.
Pode ser utilizado para administrar:
Usurios do Hotspot
Usurios do PPP
Perfis Wireless
Usurios do Winbox
Leases do DHCP
4 USER MANAGER

102

User Manager - Vantagens

Fcil de instalar e configurar
Interface Web intuitiva para configurao do
sistema
No requer nenhum outro servidor de
terceiros, um sistema integrado ao
RouterOS.
No requer licena adicional
No precisa ser habilitado em todos os
roteadores da rede.
4 USER MANAGER

103

Instalao - Hardware
As configuraes mnimas de hardware so:
32MB de memria RAM
2MB de espao em disco
Atualmente o USERMANAGER pode ser
instalado em praticamente todas as
RouterBoards, a nica excesso os
equipamentos com processadores smips (hap) e
compatvel com Plataformas X86
4 USER MANAGER

104

Instalao - SoftWare
Est disponvel a partir da verso 2.9-v5
No pertence ao conjunto de pacotes padro do
sistema, ou seja no est comprimido no upgrade
package (.npk) por tanto deve ser feito o download
pela opo all package e instalado de maneira
separada
As limitaes do software so conforme as licenas:
Level3: 10 Sesses ativas
Level4: 20 Sesses ativas
Level5: 50 Sesses ativas
Level6: Ilimitadas Sesses ativas
4 USER MANAGER

105

Instalao do User Manager

Verificar se j tem tem instalado em seu
Router atravs do menu /system package
Caso no tenha, realize o download pela
opo all package .zip e copie apenas o
pacote UserManager.npk
Reiniciar o Router
Verificar se est tudo certo, abrindo
http://ip_do_Roteador/userman
4 USER MANAGER

106

Primeiro Acesso
Pode ser tanto pelo terminal, no menu
/tool user-manager
Quanto via web,
Customer o usurio
Administrador do sistema,
que no tem relao com o
usurio Admin do router.
Por padro usurio
Admin, senha em branco
4 USER MANAGER

107

Customers
Utilizado para Administrar: Usurios, Routers, Etc.
possvel criar nveis
de hierarquia
Cada CUSTOMER tem um
nvel de permisso igual
ou inferior a de seu pai.
Um CUSTOMER com
permisso de OWER
chamado SUBSCRIBER
4 USER MANAGER

108

Configurando no Hotspot
Habilitar a opo Use RADUS no hotspot
server profile
O hotspot consulta primeiro
a base de dados local, criada
em /ip hotspot users, e em
seguida consulta do servidor
radius.
No nosso cenrio o servidor
radius ser o User Manager
4 USER MANAGER

109

Routers
Contm a lista de routers que podem comunicar com
User Manager
Utilize o endereo de loopback
(127.0.0.1) para se comunicar
com o servidor radius do user
manager instalado no mesmo
roteador
Defina uma senha chave em
shared Secret

4 USER MANAGER

110

Cliente Radius
Configure aqui todos os clientes Radius
que deseje
posivel ter mais de uma configurao,
isto comumente usado para especificar
servios diferentes em bases de dados
distintas.
Em service, especifique o servio que
deseja usar.
Coloque o IP 127.0.0.1 e coloque o shared
secret criado anteriormente.
No caso de configurar 2 ou mais
servidores para o mesmo servio, o router
respeitar a ordem numrica.

4 USER MANAGER

111

Users
Este menu armazana os usurios de

/ip hotspot user

/ppp secrets
/user
/ip dhcp-server lease

4 USER MANAGER

112

Users
Administra os usurios que
utilizaro os servios
especificados.
possvel verificar atravs do
console /tool usermanager user
Equivale, por exemplo a um
usurio configurado em /ip
hotspot user
possvel especificar usurio,
senha, endereo ip e
informaes pessois.
Como tambm o perfil a atribuir,
e informaes a respeito da
acess list wireless.

4 USER MANAGER

113

Profiles
Os perfis so
associados aos usurios
criados.
Porm no so
obrigatrios para
criao de usurios.
Podemos usar a opo
limites para
estabelecer as
restries, por exemplo
ip, pool, controle de
banda, tempo.

4 USER MANAGER

114

Personalizando o User Manager

4 USER MANAGER

115

Personalizando o User Manager

Aqui possvel
mudar o aspecto
visual do user
manager
Inclusive trocar a
logo, texto,
ttulos, cores,
idioma, etc.
4 USER MANAGER

116

Storage
No menu /system store
possvel manipular os
discos de
armazenamento do
UserManager
Isto uma boa prtica
porque possvel gerar
uma grande quantidade
de usurios e logs,
porque pode lotar o disco
principal do sistema.

4 USER MANAGER

117

Radius Incoming
Permite alterar as opes de usurios em tempo real para o
user manager.
Por exemplo:
Alterar a velocidade
dos usurios
Desconectar usurios
Estabelecer limites de
transferncias, etc..

4 USER MANAGER

118

Backup/Restore
Este menu utilizado para realizar backups e
restores da base de dados

4 USER MANAGER

119