Nova - Apostila Mtcna

Treinamento oficial
MikroTik
Mdulo MTCNA
(MikroTik Certified Network Associate)
Mdulos MikroTik
1- Introduo
Agenda
Treinamento das 08:30hs s 18:30hs
Coffe break as 16:00hs
Almoo as 12:30hs 1 hora de durao
1- Introduo
Agenda
Contedo do MTCNA:
Configurao bsica;
Gerencia de redes;
Bridges
Roteamento esttico;
Wireless;
Firewall;
QoS e Controle de banda;
Tneis e VPNs.
1- Introduo
Contedo bnus:
Reviso TCP/IP;
Load Balance;
Failover;
Introduo ao OSPF;
Hotspot;
Web Proxy.
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
Evite conversas paralelas.

Deixe habilitado somente a interface ethernet de
seu computador.
1- Introduo
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
1- Introduo
Objetivos do curso
Abordar todos os tpicos necessrios para o
exame de certificao MTCNA.
Prover um viso geral sobre o MikroTik
RouterOS e as RouterBoards.
Fazer uma abordagem simples e objetiva com
a maioria das ferramentas que o MikroTik
RouterOS dispe para prover boas solues.
1- Introduo
Onde est a MikroTik ?
MikroTik(MK): Empresa
Roterboard(RB):Hardware
RouterOS(ROS): Software
1- Introduo
Oque so Routerboards?
Hardware criado pela MikroTik.

Atende desde usurios domsticos at grandes empresas.
Hardware relativamente barato se comparado com outros fabricantes.
Possui atualmente mais de 100 modelos de Roteadores e Switchs.
Veja abaixo algum modelos.
Uso domstico e Soho

Wireless integrado
Empresas de mdio porte
RB 951

Wireless integrado
RB 951G
RB 750r2

Montvel e Rack
RB 2011
Grandes empresas
72 ncleos de processamento
RB 2011
CCR 1072
Nomenclatura das routerboards

Serie 400
RB 450
0 ou nenhuma wireless
5 interfaces ethernet
3 slots p/ wireless
Serie 400
RB 433
3 interfaces ethernet
1- Introduo
10
RouterOS
RouterOS alm de estar disponvel para Routerboards
tambm pode ser instalado em hardware x86.
RouterOS o sistema operacional das Routerboards e que
pode ser configurado como:
Roteador
Controlador de contedo (Web-proxy)
Controlador de banda (Queues)
Controlador de fluxo para QoS(Firewall mangle + Queues)
Firewall (camada 2,3 e 7)
Access Point wireless 802.11a/b/g/n (o hardware deve possuir
wlan)
Outros
1- Introduo
11
Winbox
Winbox uma utilitrio usado para acessar o
RouterOS via MAC ou IP.
Usurio padro admin e senha vazio.
1- Introduo
12
Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso voc no tenha o utilitrio winbox no seu
computador faa o seguinte:
Altere seu computador para Obter endereo IP
automaticamente.
Abra o navegador e digite 192.168.88.1.
No menu a esquerda clique na ultima opo (logout).
Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.
1- Introduo
13
Resetando seu router

Abra o winbox clique em
Clique no endereo MAC ou IP.
No campo Login coloque admin.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em New Terminal.
Com terminal aberto digite:
system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.
1- Introduo
14
Diagrama da rede
Lembre-se de seu nmero: XY

1- Introduo
15
Identificando seu roteador
1- Introduo
16
Configurao bsica
Conectando seu router a um ponto de acesso
Configurando endereo de IP
Configurando mascara de sub-rede
Configurando DNS
Configurando Gateway (rota default)
Configurando seu computador
Realizando testes de conectividade
1- Introduo
17
Renomeando suas interfaces

Renomeie suas interface conforme a imagem
abaixo.
1- Introduo
18
Conectando seu router a um ponto de

acesso
Configurao da interface wireless
1- Introduo
19
Configurando IP na interface de WAN

Adicione os IP na interface de WAN
1- Introduo
20
Teste de conectividade
1) Pingar a partir da Routerboard o seguinte IP: 172.25.X.254
2) Pingar a partir da Routerboard o IP de WAN dos integrantes
de seu grupo.
de outro grupo.
4) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8
1- Introduo
21
Configurao do roteador
Adicione a rota padro
1- Introduo
22
de outro grupo.
2) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8
3) Pingar a partir da Routerboard o seguinte endereo: uol.com
1- Introduo
23
Configurao do roteador
Adicione o servidor DNS
Teste novamente o ping para: uol.com

Quando voc checa a opo Alow remote requests, voc est
habilitando seu router como um servidor de DNS.
1- Introduo
24
Configurando IP na interface de LAN

Adicione os IP na interface de LAN
1- Introduo
25
Configure seu Notebook
1- Introduo
26
1) Pingar a partir do notebook o seguinte IP: 10.X.Y.1
2) Pingar a partir do notebook o seguinte IP: 8.8.8.8
3) Pingar a partir do notebook o seguinte endereo: uol.com
4) Analisar os resultados.
1- Introduo
27
Adicionando uma regra de source nat

Adicionar uma regra de NAT, mascarando as
requisies que saem pela interface wlan1.
1- Introduo
28
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Aps a confirmao de que tudo est
funcionando, faa o backup da routerboard e
armazene-o no notebook. Ele ser usado ao
longo do treinamento.
1- Introduo
29
Faa um backup
Clique no menu Files e depois em Backup para salvar
sua configuraes.
Arraste o arquivo que foi gerado para seu computador.
1- Introduo
30
Instalao do RouterOS
Porque importante saber instalar o
RouterOS?
Necessrio quando se deseja utilizar um hardware prprio.
Assim como qualquer S.O. o RouterOS tambm pode
corromper o setor de inicializao (geralmente causado por
picos eltricos).
Necessrio quando se perde o usurio e senha de acesso ao

sistema.
1- Introduo
31
Instalao do RouterOS
Assim como qualquer sistema operacional o RouterOS precisa
ser instalado(em routerboards j vem instalado por padro) ,
as duas principais maneiras de instalar o ROS so:
ISO botvel (imagem)

Via rede utilizando o Netinstall
1- Introduo
32
Download
http://www.mikrotik.com/download
1- Introduo
33
Download
No link acima voc pode fazer o download das imagens ISO ou
do arquivo contendo todos os pacotes.
Sempre ao fazer o download fique atento a arquitetura de
hardware (mipsbe, mipsle,x86).
Obs: Nunca instale verses de teste em roteadores em
produo sempre selecione verses estveis.
1- Introduo
34
Instalando pela ISO

Em caso de voc estar utilizando uma maquina fsica grave a
ISO em um CD e ajuste a sequencia de boot para CD/DVD.
1- Introduo
35
Instalando via netinstall em

routerboards
Para instalar o RouterOS em uma Routerboard, inicialmente
temos que acessar a routerboard via interface serial e alterar a
sequencia de inicializao para ethernet (placa de rede).
Caso a Routerboard no possua interface serial a sequencia de

inicializao poder ser alterada segurando o boto de reset.
Veja abaixo.
Dica
O boto de reset tem duas funes:
1 - Resetar a configurao de fabrica

Mantenha o boto pressionando durante o boot at os LEDs comearem a
piscar(solte o boto assim que o LED comear a piscar)
2 - Alterar sequencia de boot para instalao via NetInstall
Mantenha o boto pressionando durante o boot por um tempo maior at os LEDs
pararem de piscar ento solte o boto e use o manual de instalao via NetInstall
1- Introduo
36
Pacotes do RouterOS
System: Pacote principal contendo os servios bsicos e drivers. A rigor o nico
que obrigatrio.
PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente, Relay e Servidor DHCP.
Advanced-tools: Ferramentas de diagnstico, netwatch e outros utilitrios.
HotSpot: Suporte a HotSpot.
NTP: Servidor de horrio oficial mundial.
IPv6: Suporte a endereamento IPv6
MPLS: Suporte a MPLS
Routing: Suporte a roteamento dinmico.
Security : IPSEC, SSH, Secure WinBox.
Dica
-
No possvel adicionar drivers ou qualquer outro tipo de pacote que no seja criado diretamente pela MikroTik.
1- Introduo
37
Lista completa de pacotes do RouterOS

Package
advanced-tools (mipsle, mipsbe, ppc,
x86)
calea (mipsle, mipsbe, ppc, x86)
dhcp (mipsle, mipsbe, ppc, x86)
Features
advanced ping tools. netwatch, ip-scan, sms tool, wakeon-LAN
data gathering tool for specific use due to
"Communications Assistance for Law Enforcement Act" in
USA
Dynamic Host Control Protocol client and server
gps (mipsle, mipsbe, ppc, x86)

hotspot (mipsle, mipsbe, ppc, x86)
Global Positioning System devices support

HotSpot user management
ipv6 (mipsle, mipsbe, ppc, x86)
IPv6 addressing support
mpls (mipsle, mipsbe, ppc, x86)
Multi Protocol Labels Switching support
multicast (mipsle, mipsbe, ppc, x86)
Protocol Independent Multicast Sparse Mode; Internet Group Managing Protocol - Proxy
ntp (mipsle, mipsbe, ppc, x86)

ppp (mipsle, mipsbe, ppc, x86)
Network protocol client and service

MlPPP client, PPP, PPTP, L2TP, PPPoE, ISDN PPP clients
and servers
routerboard (mipsle, mipsbe, ppc, x86) accessing and managing RouterBOOT. RouterBOARD
specific imformation.
routing (mipsle, mipsbe, ppc, x86)
dynamic routing protocols like RIP, BGP, OSPF and routing
utilities like BFD, filters for routes.
security (mipsle, mipsbe, ppc, x86)
IPSEC, SSH, Secure WinBox
system (mipsle, mipsbe, ppc, x86)
basic router features like static routing, ip addresses,

sNTP, telnet, API, queues, firewall, web proxy, DNS
cache, TFTP, IP pool, SNMP, packet sniffer, e-mail send
tool, graphing, bandwidth-test,
torch, EoIP, IPIP,bridging, VLAN, VRRP etc.). Also, for
RouterBOARD platform - MetaROUTER | Virtualization
ups (mipsle, mipsbe, ppc, x86)

user-manager (mipsle, mipsbe, ppc, x86)
wireless (mipsle, mipsbe, ppc, x86)
arlan (x86)
isdn (x86)
lcd (x86)
radiolan (x86)
synchronous (x86)
xen ( discontinued x86)
kvm (x86)
routeros-mipsle (mipsle)
routeros-mipsbe (mipsbe)
routeros-powerpc (ppc)
routeros-x86 (x86)
mpls-test (mipsle, mipsbe, ppc, x86)

routing-test (mipsle, mipsbe, ppc, x86)
APC ups
MikroTik User Manager
wireless interface support
legacy Aironet Arlan support
ISDN support
LCD panel support
RadioLan cards support
FarSync support
XEN Virtualization
KVM Virtualization
combined package for mipsle (RB100,
RB500) (includes system, hotspot, wireless,
ppp, security, mpls, advanced-tools, dhcp,
routerboard, ipv6, routing)
combined package for mipsbe (RB400)
(includes system, hotspot, wireless, ppp,
security, mpls, advanced-tools, dhcp,
combined package for powerpc (RB300,
RB600, RB1000) (includes system, hotspot,
wireless, ppp, security, mpls, advanced-tools,
dhcp, routerboard, ipv6, routing)
combined package for x86 (Intel/AMD PC,
RB230) (includes system, hotspot, wireless,
ppp, security, mpls, advanced-tools, dhcp,
Multi Protocol Labels Switching support
improvements
routing protocols (RIP, OSPF, BGP)
improvements
http://wiki.mikrotik.com/wiki/Manual:System/Packages
1- Introduo
38
Gerenciando pacotes
Voc pode habilitar e desabilitar pacotes em:
1- Introduo
39
Mac-telnet
1- Introduo
40
MNDP
MikroTik Neighbor Discovery protocol
Protocolo para descoberta de vizinhos.
1- Introduo
41
Outros modos de acesso

Aps configurar um endereo de IP no
RouterOS existem outros modos de acesso.
SSH
FTP
Telnet
Web
1- Introduo
42
SSH e telnet
1- Introduo
43
FTP
Usado para transferir arquivos.
1- Introduo
44
WEB
O acesso via web traz quase todas as funes
existentes no winbox.
1- Introduo
45
Upgrade do RouterOS
Faa download de Upgrade package (.npk).
Arraste para dentro de Files no winbox e
reinicie seu router.
1- Introduo
46
Atualizando a RB
Faa download do pacote .npk.
Envie o pacote para sua Routerboard
usando o winbox ou via FTP.
Reinicie o roteador.
Confira se a nova verso foi instalada.
Novas verses esto disponveis no site.
http://www.mikrotik.com/download
1- Introduo
47
Atualizando a RB
Certifique se que sua routerboard tem conectivade
com a internet.
Cliquem em System=> Packages=> Check for Updates
1- Introduo
48
Upgrade de firmware
Para fazer upgrade de firmware clique em:
1- Introduo
49
Nveis de licena
O RouterOS trabalha com nveis de licena isso significa que
cada nvel lhe oferece um numero X de recursos.
A chave de licena gerada sobre um software-id fornecido
pelo sistema.
A licena fica vinculada ao HD ou Flash e/ou placa me.
A formatao com outras ferramentas muda o software-id
causa a perda da licena.
1- Introduo
50
Nveis de licena
1- Introduo
51
NTP
As routerboard no tem fonte de alimentao
interna, portanto sempre que o hardware for
desligado sistema perde a data e a hora, isso vem
a ser um grande problema quando necessrio
analisar os logs.
Para que seu equipamento fique
sempre com a data e hora correta
devemos usar o cliente NTP
(Network time protocol).
1- Introduo
52
Configurando Cliente NTP
1- Introduo
53
Ajustando fuso horrio
1- Introduo
54
Backup
Existem duas maneiras de se realizar backup do
sistema:
Backup comum = Salva todo o contedo do router em
um arquivo criptografado que no pode ser
editado(salva inclusive os usurios e senhas de login
no router).
Backup com comando export = Voc pode exportar
um backup completo ou apenas uma parte. Com esse
tipo de backup o arquivo gerado no criptografado e
pode ser aberto por qualquer editor de texto(no
exporta dados de usurios e senhas de login no
router).
1- Introduo
55
Diferena entre os dois backups

Backup comum
Criptografado
Permite colocar senha
Carrega usurios de acesso ao router
Carrega usurios PPP, hotspot e outros
Comando export
Possvel editar
Compatvel com hardware diferente
Possibilidade de exportar e importar por partes
1- Introduo
56
Backup comum
Observe que o arquivo gerado recebe o

identificao do router mais as informaes de
data e hora.
1- Introduo
57
Localizando e editando backup

Aps o comando
export file=bkp_router_XY compact
O arquivo gerado est no menu files.
Aps transferir o arquivo para

sua maquina ele poder ser
editado pelo bloco de notas.
1- Introduo
58
Backup
Faa os dois tipos de backup.
Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado
1- Introduo
59
Modo seguro
O MikroTik permite o acesso ao sistema atravs do modo seguro.
Este modo permite desfazer as configuraes modificadas caso a
sesso seja perdida de forma automtica. Para habilitar o modo
seguro pressione CTRL+X ou na parte superior clique em Safe
Mode.
1- Introduo
60
Modo seguro
Se um usurio entra em modo seguro, quando j h
um nesse modo, a seguinte mensagem ser dada:
Hijacking Safe Mode from someone unroll/release/
u: desfaz todas as configuraes anteriores feitas em modo
seguro e pe a presente sesso em modo seguro
d: deixa tudo como est
r: mantm as configuraes no modo seguro e pe a
sesso em modo seguro. O outro usurio receber a
seguinte mensagem:
Safe Mode Released by another user
1- Introduo
61
Dvidas e perguntas ?
1- Introduo
62
Modelo OSI, TCP/IP

e
protocolos
2 - OSI, TCP/IP e protocolos
63
Um pouco de historia
1962 Primeiras comunicaes em rede.
1965 Primeira comunicao WAN.
1969 Desenvolvido o TCP.
1978 Vrios padres de comunicao.
1981 Inicio de discusses sobre padronizaes.
1984 Chegada do modelo OSI
Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
64
Modelo OSI vs TCP/IP

Modelo OSI
Modelo TCP/IP
Modelo usado para estudos
Modelo usado na prtica
65
Um pouco mais sobre o modelo OSI

Os dados so gerados na camada de aplicao, e a partir
de ento sero encapsulados camada por camada at
chegar a camada fsica onde sero transformados em
sinais (eltricos ,luminosos etc...)
Em cada camada so adicionados cabealhos. Veja abaixo
os tipos de informaes que so imputadas em cada
cabealho.
Cabealho possui porta (TCP/UDP) de origem e destino
Cabealho possui IP de origem e destino
Cabealho possui MAC de origem e destino
66
Encapsulamento
1- Introduo
67
Encapsulamento
Dados
Camada 7 aplicao - Dados
Camada 4 transporte - Portas
Camada 3 rede - IP
Camada 2 enlace - MAC
68
PDU - Protocol data unit

Protocol data unit ou em portugus Unidade de
dados de protocolo em telecomunicaes
descreve um bloco de dados que transmitido
entre duas instncias da mesma camada.
Camada
PDU
4 - Camada de transporte
Segmento
3 - Camada de rede
Pacote
2 - Camada de enlace
Quadro ou trama (frame)
1 - Camada fsica
Bit
69
1 - Camada fsica
A camada fsica define as caractersticas tcnicas
dos dispositivos eltricos.
nesse nvel que so definidas as especificaes
de cabeamento estruturado, fibras pticas, etc...
Banda, frequncia e potencia so grandeza que
podemos alterar diretamente na camada 1.
70
2 - Camada de enlace
Camada responsvel pelo endereamento fsico, controle de acesso ao
meio e correes de erros da camada I.
Endereamento fsico se faz pelos endereos MAC (Controle de Acesso ao
Meio) que so nicos no mundo e que so atribudos aos dispositivos de
rede.
Switchs, bridges ,ethernets e PPP so exemplos de dispositivos que

trabalham em camada II.
NO separa os domnios de broadcast.
PPPoE, DHCP, ARP e outros protocolos se propagam pelo domnio de
broadcast.
71
Criando uma bridge

Podemos resumir um bridge como um switch virtual.
Roteador
Bridge1
wlan1
72
Adicionando interfaces na bridge
Roteador
Bridge1
wlan1
73
Endereo MAC
o nico endereo fsico de um dispositivo de
rede.
usado para comunicao com a rede local.
Exemplo de endereo MAC:
00:0C:42:00:00:00
74
3 - Camada de rede
Responsvel pelo endereamento lgico dos pacotes.
Determina que rota os pacotes iro seguir para atingir o destino baseado em
fatores tais como condies de trfego de rede e prioridade.
Separa domnios de broadcast.
PPPoE, DHCP, ARP e outros protocolos NO se propagam em domnio de
broadcast diferentes.
75
4 - Camada de transporte
Quando no lado do remetente, responsvel por
pegar os dados das camadas superiores e dividir
em pacotes para que sejam transmitidos para a
camada de rede.
No lado do destinatrio, pega os pacotes
recebidos da camada de rede, remonta os dados
originais e os envia para camada superior.
Esto na camada IV: TCP, UDP, RTP
76
Estado das conexes

possvel observar o estado das conexes no MikroTik no menu Connections
(IP=>Firewall=>Connections).
Essa tabela tambm conhecida como conntrack. Muito utilizada para analises
e debugs rpidos.
77
5 - Camada de sesso
Administra e sincroniza dilogos entre dois
processos de aplicao.
Une duas entidades para um relacionamento
e mais tarde as desune. (ex. de unio:
login/autenticao e desunio: logoff).
Controla troca de dados, delimita e sincroniza
operaes em dados entre duas entidades.
78
6 - Camada de apresentao
A principal funo da camada de apresentao
assegurar que a informao seja transmitida de tal
forma que possa ser entendida e usada pelo
receptor.
Este nvel pode modificar a sintaxe da mensagem,
sempre preservando sua semntica.
O nvel de apresentao tambm responsvel por
outros aspectos da representao dos dados, como
criptografia e compresso de dados.
79
7 - Camada de aplicao
Muito confundem aplicao com aplicativo.
Usurio interagem com o aplicativo e o
aplicativo interage com protocolos da camada
de aplicao( HTTP, SMTP, FTP, SSH, Telnet ...).
HTTP
HTTPS
DNS
80
O datagrama
Dados
Camada 7 aplicao - Dados
Dados
Camada 4 transporte - Portas
Dados
Camada 3 rede - IP
Dados
Camada 2 enlace - MAC
81
Protocolos
82
Endereo IP
o endereo lgico de um dispositivo de rede.
usado para comunicao entre redes.

Endereo IPv4 um numero de 32 bits divido
em 4 parte separado por pontos.
Exemplo de endereo IP: 200.200.0.1.
83
Sub Rede
Como o prprio no j diz (sub rede) a uma parte de rede ou seja uma rede que foi
dividida.
O tamanho de uma sub rede determinado por sua mscara de sub rede.
O endereo de IP geralmente acompanhado da mascara de sub rede.
Com esses dois dados (Endereo IP e mascara de sub rede) podemos dimensionar onde
comea e onde termina nossa sub rede.
Exemplo de mascara de sub rede: 255.255.255.0 ou /24.
O endereo de REDE o primeiro IP da sub rede.
O endereo de BROADCAST o ltimo IP da sub rede.
Esses endereos(Rede e broadcast) so reservados e no podem ser usados.
End IP/Mas
10.1.2.3/8
10.1.2.3/16
10.1.2.3/24
End de Rede
10.0.0.0
10.1.0.0
10.1.2.0
End de Broadcast
10.255.255.255
10.1.255.255
10.1.2.255
84
Protocolos - IP
Usado para identificar logicamente um host.
Possui endereos pblicos e privados.
Possui duas verses IPv4 (quase esgotado) e IPv6.
85
Protocolos - ARP
ARP Address resolution protocol ou simplesmente
protocolo de resoluo de endereos.
Como o prprio nome sugere esse protocolo consegue
resolver(encontrar) o endereo MAC atravs do
endereo de IP e aps feito isto o coloca em uma
tabela.
86
Como ARP funciona

Quando o dispositivo H1 precisa enviar dados para H2 que est no
mesmo segmento de rede , o dispositivo H1 precisa descobrir o
endereo MAC de H2.Ento o protocolo ARP envia uma requisio para
todos os diapositivos(MSG-01).
Ento o host que com endereo de IP apropriado(H2) responde com o
dado solicitado (MSG-02).
Ento o dispositivo H1 recebe o endereo MAC e se prepara para o
prximo passo para transmitir dados para H2.
MSG-01
Quero saber o
MAC do host
com IP
10.11.11.2
MSG-02
Sou eu e meu MAC
00:00:00:11:11:02
10.11.11.2/24
00:00:00:11:11:02
10.11.11.1/24
00:00:00:11:11:01
10.11.11.3/24
00:00:00:11:11:03
87
Protocolos - UDP / TCP

UDP
TCP
Servio sem conexo; nenhuma sesso

estabelecida entre os hosts.
Servio orientado por conexo; uma sesso

estabelecida entre os hosts.
O UDP no garante ou confirma a entrega

nem sequencia os dados.
O TCP garante a entrega usando

confirmaes e entrega sequenciada dos
dados.
O UDP rpido, requer baixa sobrecarga e

pode oferecer suporte comunicao
ponto a ponto e de ponto a vrios pontos.
O TCP mais lento, requer maior

sobrecarga e pode oferecer suporte apenas
comunicao ponto a ponto.
88
Protocolos - ICMP
Internet Control Message Protocol ou protocolo de

mensagens de controle da Internet usado para relatar
erros e trocar informaes de status e controle.
Geralmente usamos aplicativos que utilizam o protocolo
ICMP para sabermos se um determinado host esta
alcanvel e/ou qual a rota para aquele host(ping e
tracert).
89
DHCP
90
Perguntas ?
91
Roteamento
6 - Roteamento
92
O que roteamento
Em termos gerais, o
roteamento o
processo de encaminhar
pacotes entre redes
conectadas.
Para redes baseadas em TCP/IP, o roteamento faz

parte do protocolo IP.
Para que o roteamento funcione ele trabalha em
combinao com outros servios de protocolo.
6 - Roteamento
93
Quando o processo roteamento utilizado?

Sempre que dois hosts em redes distintas
precisarem se comunicar, eles iro depender de
um roteador para que tal comunicao ocorra.
192.168.1.201/24
192.168.1.1/24
192.168.20.1/24
192.168.1.202/24
Exemplo 1
No necessita de roteamento
192.168.20.2/24
Exemplo 2
Necessita de roteamento
Origem
Destino
Origem
192.168.1.201
192.168.1.202
192.168.1.201
6 - Roteamento
Destino
192.168.20.2
94
Tipos de rotas
/ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
2- Introduo ao roteamento
95
Funcionamento padro
192.168.1.1
192.168.1.200
187.15.15.134
8.8.8.8
Pacote IP
Origem
Destino
192.168.1.99
8.8.8.8
Tabela de rotas
Quando um pacote chega a

um roteador ele consulta
sua tabela de rotas para
verificar se existe uma
entrada para o destino
solititado.
6 - Roteamento
Tudo que for

destinado a:
(Dst. Address)
Encaminhe para
o roteador:
(Gateway)
0.0.0.0/0
192.168.1.1
10.10.10.0/24
192.168.4.1
10.172.0.0/23
10.172.4.1
8.8.0.0/16
10.172.5.1
96
Na tabela de rotas
Para cada encaminhamento o roteador faz um leitura
completa da tabela de rotas.
Se o roteador encontrar mais de uma rota para o destino
solicitado ele sempre ir utilizar a rota mais especifica.
Tabela de rotas
A rota defult ser utilizada

sempre que no houver uma
rota mais especifica para o
determinado destino.
6 - Roteamento
Dst. Address
Gateway
0.0.0.0/0
192.168.1.1
8.0.0.0/8
10.172.6.1
8.8.0.0/16
10.172.5.1
97
Diagrama simples para roteamento

R1
1.1.1.1/30
1.1.1.2/30
10.1.1.1/24
10.2.2.1/24
Rede 2
Rede 1
10.2.2.0/24
10.1.1.0/24
10.1.1.2/24
R2
Roteamento
6 - Roteamento
10.2.2.2/24
98
Criando as rotas
Rota em R1
para alcanar a rede 2
Rota em R2
para alcanar a rede 1
6 - Roteamento
99
Perguntas ?
6 - Roteamento
100
Wireless no Mikrotik
5 - Wireless
101
Configuraes Fsicas
Padro IEEE
Frequncia
Largura de
banda mxima
Velocidade mx
802.11b
2.4Ghz
20Mhz
11 Mbps
802.11g
2.4Ghz
20Mhz
54 Mbps
802.11a
5Ghz
20Mhz
54 Mbps
802.11n
2.4Ghz e 5 Ghz
40Mhz
300 Mbps
802.11ac
5 Ghz
80Mhz
866 Mbps
5 - Wireless
102
Tipos de enlaces
Ponto a ponto
Station
AP
Ponto multi-ponto
Station
AP
60
Station
Station
5 - Wireless
103
Interface wireless Modo de operao
ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma

transparente para a rede cabeada.
bridge: O mesmo que o o modo ap bridge porm aceitando somente um cliente.
station: Modo cliente de um ap. No pode ser colocado em bridge com outras
interfaces.
station bridge: Faz um bridge transparente porm s pode ser usado para se
conectar a um AP Mikrotik.
5 - Wireless
104
MIMO
MIMO: Multiple Input and Multiple Output
5 - Wireless
105
Potncias
Quando a opo regulatory domain est habilitada, somente as frequncias

permitidas para o pas selecionado em Country estaro disponveis. Alm disso o
MikroTik ajustar a potncia do rdio para atender a regulamentao do pas,
levando em conta o valor em dBi informado em Antenna Gain.
5 - Wireless
106
Espalhamento espectral
11
2412
2422
2432
2442
2452
2462
2422
2432
2442
2452
+
20Mhz
2402
2412
5 - Wireless
2462
2472
107
Canalizao 5Mhz e 10Mhz
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de tx
5 - Wireless
108
Canalizao 20Mhz, 40Mhz e 80Mhz
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
5 - Wireless
109
Data Rates
A velocidade em uma rede wireless definida pela modulao que os dispositivos
conseguem trabalhar.
Supported Rates: So as velocidades de dados entre o AP e os clientes.
Basic Rates: So as velocidades que os dispositivos se comunicam independentemente
do trfego de dados (beacons, sincronismos, etc...)
5 - Wireless
110
802.11n - Velocidades nominais
5 - Wireless
111
Ferramentas de Site Survey - Scan

A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
Escaneia o meio. Obs.: Qualquer operao de site survey causa queda das
conexes estabelecidas.
5 - Wireless
112
Ferramentas de Site Survey Uso de

frequncias
Mostra o uso das frequncias
em todo o espectro para site
survey conforme a banda
selecionada no menu
wireless.
5 - Wireless
113
Interface wireless - Sniffer

Ferramenta para sniffar
o ambiente wireless
captando e decifrando
pacotes.
Muito til para detectar

ataques.
Pode ser arquivado no
prprio MikroTik ou
passado por streaming
para outro servidor
com protocolo TZSP.
5 - Wireless
114
Interface wireless - Snooper
Com a ferramenta snooper possvel monitorar a

carga de trfego em cada canal por estao e por rede.
Scaneia as frequncias definidas em scan-list da
interface.
5 - Wireless
115
NV2
Proprietrio da MikroTik (no funciona com outros
fabricantes).
Baseado em TDMA (Time Division Multiple Access).

Resolver o problema do n escondido.
Melhora throughput e latncia especialmente em PtMP.
Funcionamento do NV2
Diferente do padro 802.11 onde no existe controle do meio, com a
utilizao de NV2 o AP controla todo o acesso ao meio (em outras palavras o
AP decide quem ir transmitir e quem ir receber).
Em redes NV2 o AP divide o tempo em perodos fixos (Timeslot).

Esses perodos (Timeslot) so alocados para Download e Upload de forma
organizada, sendo que dois clientes no iro transmitir ao mesmo tempo e
logo temos o seguinte:
- Evitamos colises
- Aproveitamos melhor a largura de banda
- Aumento do throughput
Segurana de Acesso em redes sem fio
5 - Wireless
118
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons. Este comportamento
pode ser modificado no MikroTik
habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes.
Scanners passivos o descobrem facilmente
pelos pacotes de probe request dos
clientes.
5 - Wireless
119
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
MikroTik como sniffer.
Spoofar um MAC bem simples. Tanto usando

windows, linux ou Mikrotik.
5 - Wireless
120
Interface Wireless Controle de

Acesso
A Access List utilizada pelo AP para restringir associaes de

clientes. Esta lista contem os endereos MAC de clientes e
determina qual ao deve ser tomada quando um cliente tenta
conectar.
A comunicao entre clientes da mesma interface, virtual ou real,
tambm pode ser controlada na Access List.
5 - Wireless
121
Interface Wireless Controle de

Acesso
O processo de associao
ocorre da seguinte forma:
Um cliente tenta se associar a uma interface wlan;
Seu MAC procurado na access list da interface wlan;
Caso encontrado, a ao especifica ser tomada:

Authentication: Define se o cliente poder se associar ou
no;
Fowarding: Define se os clientes podero se comunicar.
5 - Wireless
122
Interface Wireless Access List

MAC Address: Endereo MAC a ser
liberado ou bloqueado.
Interface: Interface real ou virtual onde
ser feito o controle de acesso.
AP Tx Limit: Limite de trfego enviado
para o cliente.
Client Tx Limit: Limite de trfego enviado
do cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
Management Protection Key: Chave usada para evitar ataques de

desautenticao. Somente compatvel com outros Mikrotiks.
5 - Wireless
123
Interface Wireless Connect List

A Connect List tem a finalidade de listar os
APs que o MikroTik configurado como
cliente pode se conectar.
MAC Address: MAC do AP a se conectar.
SSID: Nome da rede.
Area Prefix: String para conexo com AP
de mesma rea.
Security Profile: Definido nos perfis de
segurana.
Obs.: Essa uma boa opo para evitar que o cliente se associe a um AP
falso.
5 - Wireless
124
Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para
quebrar a chave, como:
Airodump.
Airreplay.
Aircrack.
Hoje com essas ferramentas bem simples quebrar a WEP.
5 - Wireless
125
Evoluo dos padres de segurana
5 - Wireless
126
Chave WPA e WPA2 - PSK

A configurao da chave WPA/WAP2PSK muito simples no Mikrotik.
No menu wireless clique na Security
Profile e adicione um novo perfil
Configure o modo de chave dinmico e
a chave pr combinada para cada tipo
de autenticao.
Em cada Wlan selecione o perfil de

segurana desejado.
Obs.: As chaves so alfanumricas de 8 at
64 caracteres.
5 - Wireless
127
Segurana de WPA / WPA2

Atualmente a nica maneira conhecida para
se quebrar a WPA-PSK somente por ataque
de dicionrio.
A maior fragilidade paras os WISPs que a

chave se encontra em texto plano nos
computadores dos clientes ou no prprio
Mikrotik.
5 - Wireless
128
Mtodo alternativo com Mikrotik

A partir da verso 3 o MikroTik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave configurada na Access List do AP
e vinculada ao MAC Address do cliente, possibilitando que cada um
tenha sua chave.
Obs.: Cadastrando as PSK na access list,

voltamos ao problema da chave ser
visvel a usurios do Mikrotik.
5 - Wireless
129
Perguntas ?
5 - Wireless
130
Firewall no Mikrotik
7 - Firewall
131
Firewall
O firewall normalmente usado como ferramenta de segurana
para prevenir o acesso no autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas
diversas funes importantes como a classificao e marcao
de pacotes para desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em
vrios classificadores como endereos MAC, endereos IP, tipos
de endereos IP, portas, TOS, tamanho do pacotes, etc...
7 - Firewall
132
Firewall - Opes
Filter Rules: Regras para filtro de pacotes.

NAT: Onde feito a traduo de endereos e portas.
Mangle: Marcao de pacotes, conexo e roteamento.
Service Ports: Onde so localizados os NAT Helpers.
Connections: Onde so localizadas as conexes existentes.
Address List: Lista de endereos ips inseridos de forma dinmica ou esttica e
que podem ser utilizadas em vrias partes do firewall.
Layer 7 Protocols: Filtros de camada 7.
7 - Firewall
133
Estrutura do Firewall
Firewall
Tabela Filter
Tabela NAT
Canal input
Canal SRCNAT
regras
regras
regras
regras
Canal Output
Canal DSTNAT
regras
regras
regras
regras
Tabela Mangle
Canal input
regras
Canal Output
regras
Canal Forward
regras
Canal Prerouting
Canal Forward
regras
regras
Canal Posrouting
regras
regras
7 - Firewall
134
Fluxo do Firewall
Chegada
Canal Prerouting
Canal DSTNAT
Deciso
de
roteamento
Canal Forward
Canal Output
Canal Posrouting
Canal SRCNAT
Canal Input
Deciso
de
roteamento
Sada
Processo local
7 - Firewall
135
Firewall Connection Track

Refere-se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem
e destino, as respectivas portas, estado da conexo, tipo de
protocolos e timeouts. Firewalls que fazem connection track so
chamados de statefull e so mais seguros que os que fazem
processamentos stateless.
7 - Firewall
136

O sistema de connection tracking o corao do
firewall. Ele obtm e mantm informaes sobre todas
conexes ativas.
Quando se desabilita a funo connection tracking so
perdidas as funcionalidades NAT e as marcaes de
pacotes que dependam de conexo. No entanto,
pacotes podem ser marcados de forma direta.
Connection track exigente de recursos de hardware.
Quando o equipamento trabalha somente como bridge
aconselhvel desabilit-la.
7 - Firewall
137
Localizao da Connection Tracking

Chegada
conntrack
Canal Prerouting
Canal DSTNAT
Deciso
de
roteamento
Canal Forward
Canal Output
Canal Posrouting
conntrack
Canal SRCNAT
Deciso
de
roteamento
Sada
Canal Input
Processo local
7 - Firewall
138
Estado das conexes:

established: Significa que o pacote faz parte de uma conexo j
estabelecida anteriormente.
new: Significa que o pacote est iniciando uma nova conexo ou faz
parte de uma conexo que ainda no trafegou pacotes em ambas
direes.
related: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
invalid: Significa que o pacote no pertence a nenhuma conexo
existente e nem est iniciando outra.
7 - Firewall
139
Firewall Princpios gerais
As regras de firewall so sempre processadas por canal, na

ordem que so listadas de cima pra baixo.
As regras de firewall funcionam como expresses lgicas
condicionais, ou seja: se <condio> ento <ao>.
Se um pacote no atende TODAS condies de uma regra,
ele passa para a regra seguinte.
7 - Firewall
140
Processamento das regras

SE combina com os campos ENTO executa a ao.
SE IP de destino=8.8.8.8
ENTO execute Drop
SE proto=TCP e dst-port=80 ENTO executa Accept
7 - Firewall
141
Firewall Princpios gerais

Quando um pacote atende TODAS as condies
da regra, uma ao tomada com ele, no
importando as regras que estejam abaixo nesse
canal, pois elas no sero processadas.
Algumas excees ao critrio acima devem ser

consideradas como as aes de: passthrough,
log e add to address list.
Um pacote que no se enquadre em qualquer
regra do canal, por padro ser aceito.
7 - Firewall
142
Firewall Filter Rules

Forward
Input
Output
As regras so organizadas em canais(chain) e existem 3
canais default de tabela filters.
INPUT: Responsvel pelo trfego que CHEGA no router;
OUTPUT: Responsvel pelo trfego que SAI do router;
FORWARD: Responsvel pelo trfego que PASSA pelo router.
7 - Firewall
143
Firewall Filters Rules

Algumas aes que podem ser tomadas nos filtros de
firewall:
passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de
icmp ou tcp reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas
no aloca recursos.
7 - Firewall
144
Firewall Organizao das regras
As regras de filtro pode ser organizadas e

mostradas da seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por servios.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usurios.
7 - Firewall
145
Firewall Address List
A address list contm uma lista de endereos IP

que pode ser utilizada em vrias partes do firewall.
Pode-se adicionar entradas de forma dinmica
usando o filtro ou mangle conforme abaixo:
Action:
add dst to address list: Adiciona o IP de destino lista.
add src to address list: Adiciona o IP de origem lista.
Address List: Nome da lista de endereos.
Timeout: Por quanto tempo a entrada permanecer na lista.
7 - Firewall
146
Firewall
Protegendo o roteador
7 - Firewall
147
Princpios bsicos de proteo

Proteo do prprio roteador :
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao
roteador.
Proteo da rede interna :

Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Prevenir e controlar ataques e acesso no autorizado em
clientes.
7 - Firewall
148
Firewall Proteo bsica
Regras do canal input

Descarta conexes invlidas.
Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede interna.
Descartar o restante.
7 - Firewall
149
Firewall Proteo bsica
Regras do canal input

Permitir acesso externo ao winbox.
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
7 - Firewall
150
Firewall Tcnica do knock knock
7 - Firewall
151
Firewall Tcnica do knock knock

A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter seu
endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que estejam
na lista libera_winbox:
/ip firewall filter

add chain=input protocol=tcp dst-port=2771 action=add-src-to-address
list address-list=knock address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add
src-to-address-list address-list=libera_winbox address-list-timeout=15m
comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox

action=accept disabled=no
add chain=input protocol=tcp dst-port=8291 action=drop disbled=no
7 - Firewall
152
Firewall Ping flood

Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatrias.
Para evitar o Ping flood, podemos bloquear todo trfego de
ICMP.
Ao bloquear todo trafego de ICMP podemos ter problemas com
algumas aplicaes (monitoramento e outros protocolos).
Por isso aconselhvel colocarmos uma exceo permitindo um

pelo menos 30 mensagens de ICMP por segundo.
7 - Firewall
153
Firewal Evitando ping flood
/ip firewall filter

add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp
add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp
7 - Firewall
154
Firewall - NAT
Traduo de endereos e portas
7 - Firewall
155
Firewall - NAT
NAT Network Address Translation uma tcnica que permite que
vrios hosts em uma LAN usem um conjunto de endereos IPs para
comunicao interna e outro para comunicao externa.
Existem dois tipos de NAT :
SRC NAT: O roteador faz alteraes de IP ou porta de origem.
DST NAT: O roteador faz alteraes de IP ou porta de destino.
7 - Firewall
156
Firewall - NAT
As regras de NAT so organizadas em canais:
dstnat: Processa o trfego enviado PARA o
roteador e ATRAVS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.
srcnat: Processa o trfego enviado A PARTIR do
roteador e ATRAVS do roteador, depois que ele
sai de OUTPUT e/ou FORWARD.
7 - Firewall
157
Firewall NAT Fluxo de pacotes
7 - Firewall
158
Firewall - SRCNAT
Source NAT: A ao mascarade troca o endereo IP
de origem de uma determinada rede pelo endereo IP
da interface de sada. Portanto se temos, por exemplo,
a interface ether5 com endereo IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trs da ether1,
podemos fazer o seguinte:
Desta forma, todos os endereos IPs da rede local

vo obter acesso a internet utilizando o endereo
IP 185.185.185.185
7 - Firewall
159
Firewall - DSTNAT
Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a servios que rodem na rede interna.
Dessa forma podemos dar acesso a servios de
clientes sem utilizao de endereo IP pblico.
Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.
7 - Firewall
160
Firewall NAT Helpers
Hosts atrs de uma rede nateada no possuem conectividade

fim-afim verdadeira. Por isso alguns protocolos podem no
funcionar corretamente neste cenrio. Servios que requerem
iniciao de conexes TCP fora da rede, bem como protocolos
stateless como UDP, podem no funcionar. Para resolver este
problema, a implementao de NAT no MikroTik prev alguns
NAT Helpers que tm a funo de auxiliar nesses servios.
7 - Firewall
161
Perguntas ?
7 - Firewall
162
Failover
8 - Balance e Failover
163
Acertando sua rota principal
Abra sua rota default.

Coloque o campo distance=1
Clique em comment e coloque principal
1- Introduo
164
Simulando um segundo link

Adicione uma VLAN
Adicione um IP para a VLAN
165
Adicionando uma segunda rota
166
Viso geral das rotas

Veja como deve ficar suas rotas default.
Quando o roteador tem duas rotas com o endereo de destino iguais o campo distace ir
determinar qual rota ser usado para o encaminhamento de pacotes.
Lembrando que a menor distancia ser sempre escolhida.
167
Adicionando a nova regra de NAT

Para no ter duas regras de NAT, vamos fazer o seguinte.
Criar uma address-list no Firewall chamada rede-local e colocar e nela seu range
de IP da sua rede local.
168
Adicionando a nova regra de NAT
V em IP -> Firewall -> NAT
Apague as regras j existentes
Crie a nova regra de NAT conforme a imagem
169
Testando os dois links

Acesse o site www.ping.eu e verifique seu IP publico.
Desabilite sua rota principal e verifique se est navegando normalmente para internet.
Acesse o site www.ping.eu novamente e verifique se seu IP publico mudou.
170
Preparando nosso failover

Para que possamos saber se um link realmente est
fora devemos monitorar um host qualquer na internet.
Devemos fazer com que o teste de monitoramento seja
encaminhado sempre por um nico link, pois caso isso
no acontea podemos ter um falso positivo.
Como fazer com que um determinado host seja
acessado por um nico link?
171
Manipulando a rota principal via comandos

Quando o link principal estiver DOWN deveremos desabilitar a rota principal.
O comando para desabilitar a rota : /ip route disable [find comment=principal]
Quando o link principal estiver UP deveremos habilitar a rota principal.

O comando para desabilitar a rota : /ip route enable [find comment=principal]
172
Criando o script
173
Forando o teste sair somente por um link

Para forarmos o teste somente por um link,
podemos criar uma rota de teste.
174
Balanceamento de Carga com PCC

Link 1
Link 2
172.25.X.254
172.25.10.254
175
Elementos da operao de diviso
Classificador
Dividendo
Divisor
Resto
176

O PCC um recurso utilizado para classificar o trfego de
acordo com critrios pr-determinados relacionados das
conexes. Os parmetros de configurao so:
Classificador
Dividendo
Divisor
Resto
177

Classificador
Divisor
Resto
A partir do classificador selecionado ser gerado

um dividendo
O dividendo que ser divido pelo denominador e
ento encontraremos o resto da diviso.
O resto ser levado em conta para dizer se o
pacote combina ou no com a regra do firewall.
178

Primeiro precisamos fazer marcas de roteamento para que
possamos direcionar os pacotes por mais de um gateway.
Poderamos simplesmente efetuar as marcas de roteamento ,
porm isso pode consumir muito recurso de processamento do
roteador.
Para evitar o consumo excessivo de CPU, primeiro marcamos a
conexo e depois marcamos o roteamento com base na conexo
que j foi marcada.
Todas as marcaes so feitas no Mangle do firewall
179
Sequencia para criar um Load balance com PCC
1) Marcas de conexo
Utilizando o PCC
2) Marcas de roteamento
com base nas marcas de conexo criadas anteriormente
3) Criar novas rotas

com base nas marcas de roteamento criadas anteriormente
180
Criando as marcas de conexo link1

Exemplo de PCC com 2 links
181
Criando as marcas de conexo link2

182
Criando as marcas de roteamento - link1

183
Criando as marcas de roteamento - link2

184
Criando as novas rotas
Rota para link 1

com marcas de roteamento
Rota para link 2

com marcas de roteamento
185
Tneis e VPN
9 - Tuneis e VPN
186
VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que
fornecem confidencialidade, autenticao e integridade necessrias
para garantir a privacidade das comunicaes requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.
9 - Tuneis e VPN
187
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurana definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.
9 - Tuneis e VPN
188
Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O MikroTik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
Tneis GRE
9 - Tuneis e VPN
189
Site-to-site
9 - Tuneis e VPN
190
Conexo remota
9 - Tuneis e VPN
191
Endereamento ponto a ponto /32

Geralmente usado em tneis
Pode ser usado para economia de IPs.
Router 1
Router 2
9 - Tuneis e VPN
192
Diagrama de VPN
Internet
IP pblico
172.25.1.1
IP da VPN
2.2.2.2
IP da VPN
1.1.1.1
Rede LAN
10.1.1.0/24
IP pblico
172.25.2.1
Rede LAN
10.1.2.0/24
DST
GW
DST
GW
10.1.2.0/24
2.2.2.2
10.1.1.0/24
1.1.1.1
9 - Tuneis e VPN
193
Ativando o um roteador como servidor

de VPN
9 - Tuneis e VPN
194
Criando o usurio para o PPTP Client
Usurio e senha que ser

utilizado para autenticao.
IP que ser atribudo localmente quando o usurio teste se conectar

IP que ser atribudo para o host remoto quanto o usurio teste se conectar
9 - Tuneis e VPN
195
Criando o PPTP Client
9 - Tuneis e VPN
196
Acompanhando o Status
Status no servidor
9 - Tuneis e VPN
Status no client
197
Criando as rotas
Rota no client
Rota no servidor
Status no servidor
9 - Tuneis e VPN
Status no client
198
PPP Definies Comuns para os

servios
MTU/MRU: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentao.
Keepalive Timeout: Define o perodo de tempo em segundos aps o qual
o roteador comea a mandar pacotes de keepalive por segundo. Se
nenhuma reposta recebida pelo perodo de 2 vezes o definido em
keepalive timeout o cliente considerado desconectado.
Authentication: As formas de autenticao permitidas so:

Pap: Usurio e senha em texto plano sem criptografica.
Chap: Usurio e senha com criptografia.
Mschap1: Verso chap da Microsoft conf. RFC 2433
Mschap2: Verso chap da Microsoft conf. RFC 2759
9 - Tuneis e VPN
199

servios
PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento
ser necessrio que haja algum mecanismo para avisar que esta estao
dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequao dos
pacotes posteriores chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade est presente em todos roteadores,
sistemas Unix e no MikroTik ROS.
MRRU: Tamanho mximo do pacote, em bytes, que poder ser recebido
pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes
menores, permitindo o melhor dimensionamento do tnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
9 - Tuneis e VPN
200

servios
Change MSS: Maximun Segment Size, tamanho mximo do segmento de
dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o
tnel est estabelecido deve ser fragmentado antes de envi-lo. Em alguns
caso o PMTUD est quebrado ou os roteadores no conseguem trocar
informaes de maneira eficiente e causam uma srie de problemas com
transferncia HTTP, FTP, POP, etc... Neste caso MikroTik proporciona
ferramentas onde possvel interferir e configurar uma diminuio do MSS
dos prximos pacotes atravs do tnel visando resolver o problema.
9 - Tuneis e VPN
201
PPPoE Cliente e Servidor

PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui
informaes sobre o remetente e o destinatrio, desperdiando mais banda.
Cerca de 2% a mais.
Muito usado para autenticao de clientes com base em Login e Senha. O
PPPoE estabelece sesso e realiza autenticao com o provedor de acesso a
internet.
O cliente no tem IP configurado, o qual atribudo pelo Servidor
PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No MikroTik no obrigatrio o uso de Radius pois o mesmo
permite criao e gerenciamento de usurios e senhas em uma tabela local.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado
desde que o cliente suporte este mtodo.
9 - Tuneis e VPN
202
PPPoE Cliente e Servidor

O cliente descobre o servidor
atravs do protocolo pppoe
discovery que tem o nome do
servio a ser utilizado.
Precisa estar no mesmo
barramento fsico ou os
dispositivos passarem pra
frente as requisies PPPoE
usando pppoe relay.
No MikroTik o valor padro do Keepalive Timeout 10, e
funcionar bem na maioria dos casos. Se configurarmos pra zero, o
servidor no desconectar os
clientes at que os mesmos solicitem ou o servidor for reiniciado.
9 - Tuneis e VPN
203
Passos para criar o PPPoE server

1) Criar o Pool
2) Criar o servidor de PPPoE
3) Ajustar ou criar um novo perfil
4) Criar usurios
9 - Tuneis e VPN
204
Criando
um
Pool
Esses so os endereos que sero entregues ao clientes que se conectarem no
servidor de PPPoE.
Para fins de organizao iremos reservar o primeiro IP utilizvel para usarmos em

nosso roteador (no nosso caso o 10.1.1.1).
Tambem iremos fazer uma reserva de endereo para cliente que por ventura
precisarem de IP fixo (no nosso caso do 10.1.1.241 at o 10.1.1.254)
9 - Tuneis e VPN
205
Criando o PPPoE server

Service Name = Nome que os clientes vo procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai escutar.
9 - Tuneis e VPN
206
Criando um novo perfil

Name = Nome de identificao do perfil
Local Address = Endereo que ser utilizado no servidor de PPPoE
Remote Address = Endereos que sero entregues ao clientes que se

conectarem(nesse caso selecionamos o pool previamente criado).
9 - Tuneis e VPN
207
Criando
um
usurio
Adicione um usurio e senha
Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID.

Esta opo no obrigatria, mas um parmetro a mais para
segurana.
9 - Tuneis e VPN
208
Mais sobre perfis
Bridge: Bridge para associar ao perfil
Incoming/Outgoing Filter: Nome do canal do

firewall para pacotes entrando/saindo.
Address List: Lista de endereos IP para

associar ao perfil.
DNS Server: Configurao dos servidores DNS a

atribuir aos clientes.
Use Compression/Encryption/Change TCP MSS:
caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.
9 - Tuneis e VPN
209
Mais sobre perfis
Session Timeout: Durao mxima de uma

sesso PPPoE.
Idle Timeout: Perodo de ociosidade na

transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.
Rate Limit: Limitao da velocidade na forma

rx-rate/tx-rate. Pode ser usado tambm na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
Only One: Permite apenas uma sesso para o

mesmo usurio.
9 - Tuneis e VPN
210
Mais sobre o database
Service: Especifica o servio disponvel para este

cliente em particular.
Caller ID: MAC Address do cliente.
Local/Remote Address: Endereo IP Local (servidor)

e remote(cliente) que podero ser atribudos a um
cliente em particular.
Limits Bytes IN/Out: Quantidade em bytes que o

cliente pode trafegar por sesso PPPoE.
Routes: Rotas que so criadas do lado do servidor

para esse cliente especifico. Vrias rotas podem ser
adicionadas separadas por vrgula.
9 - Tuneis e VPN
211
Mais sobre o PPoE Server

O concentrador PPPoE do MikroTik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes MikroTik, a interface de rdio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o
concentrador suportar.
9 - Tuneis e VPN
212
Configurando o PPPoE Client
AC Name: Nome do concentrador. Deixando em branco conecta

em qualquer um.
Service: Nome do servio designado no servidor PPPoE.
Dial On Demand: Disca sempre que gerado trfego de sada.
Add Default Route: Adiciona um rota padro(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
9 - Tuneis e VPN
213
Perguntas ?
9 - Tuneis e VPN
214
QoS e Controle de banda
10 - QoS
215
Conceitos bsicos de Largura e Limite

de banda
Largura de banda: Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada
de dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est ligado
largura da banda em hertz. O termo banda larga denota conexes com uma largura em hertz
relativamente alta, em contraste com a velocidade padro em linhas analgicas convencionais (56
kbps), na chamada conexo discada.
Limite de banda: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda de
1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou tambm
chamado de Taxa ou Velocidade de Transferncia ou (throughput), que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
voc conseguir taxas de transferencia de no mximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, voc conseguir uma Taxa de Transferncia de aproximadamente entre 25kbps a
30,7kbps
10 - QoS
216
Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao
do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o
uso da largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores,
capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de
determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
10 - QoS
217
Qualidade de Servio
No campo das telecomunicaes e redes de computadores, o termo Qualidade de
Servio (QoS) pode tender para duas interpretaes relacionadas, mas distintas.
Em redes de comutao de circuitos, refere-se probabilidade de sucesso em estabelecer

uma ligao a um destino. Em redes de comutao de pacotes refere-se garantia de largura de banda
ou, como em muitos casos, utilizada informalmente para referir a probabilidade de um pacote
circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura

oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de segurana
substancial. simples e eficaz, mas na prtica assumido como dispendioso, e tende a ser ineficaz se o
valor de pico aumentar alm do previsto: reservar recursos gasta tempo. O segundo mtodo o de
obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routers conseguirem
servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetrio associado!
10 - QoS
218
Qualidade de Servio
Os mecanismos para prover QoS no MikroTik so:
Limitar banda para certos IPs, subredes, protocolos,
servios e outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch
10 - QoS
219
Qualidade de Servio
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc): Disciplina de enfileiramento. um algoritmo
que mantm e controla uma fila de pacotes. Ela especifica a ordem dos
pacotes que saem, podendo inclusive reorden-los, e determina quais
pacotes sero descartados.
Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. a
garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information Rate): Taxa mxima de dados que
ser fornecida. Ou seja, limite a partir do qual os pacotes sero descartados.
Priority: a ordem de importncia que o trfego processado.
Pode-se determinar qual tipo de trfego ser processado
primeiro.
10 - QoS
220
Filas - Queues
Para ordenar e controlar o fluxo de dados, aplicada uma
poltica de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: As filas so aplicadas na
interface onde o fluxo est saindo.
A limitao de banda feita mediante o descarte de
pacotes.
No caso do protocolo TCP, os pacotes descartados sero
reenviados, de forma que no h com que se preocupar com
relao a perda de dados. O mesmo no vale para o UDP.
10 - QoS
221
Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados
por uma disciplina de filas(queue types). Por padro as disciplinas
de filas so colocadas sob queue interface para cada interface
fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro
da interface, definida em queue interface, no ser mantida. Isso
significa que quando um pacote no encontra qualquer filtro, ele
enviado atravs da interface com prioridade mxima.
10 - QoS
222
Controle de trfego
O controle de trfego implementado atravs
de dois mecanismos:
Pacotes so policiados na entrada:
Pacotes so policiados e marcados para
tratamento futuro.
Pacotes so enfileirados na interface de
sada:
Pacotes podem ser atrasados, descartados
ou priorizados.
10 - QoS
223
Filas simples
As principais propriedades configurveis de uma fila simples so:

Limite por direo de IP de origem ou destino
Interface do cliente
Tipo de fila
Limit-at, max-limit, priority e burst para download e upload
Horrio.
10 - QoS
224
Filas simples - Burst

Bursts so usados para
permitir altas taxas de
transferncia por um perodo
curto de tempo.
Os parmetros que controlam o burst so:
- burst-limit: Limite mximo que o burst alcanar.
- burst-time: Tempo que durar o burst.
- burst-threshold: Patamar para comear a limitar.
- max-limit: MIR
10 - QoS
225
Como funciona o Burst
max-limit=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
Inicialmente dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula a taxa mdia de

consumo de banda durante o burst-time de 8 segundos.
Com 1 segundo a taxa mdia de 64kbps. Abaixo do threshold.
Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do
threshold.
Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde
acaba o burst.
A partir deste momento a taxa mxima do cliente passa a ser o max-limit.
Parametro para passar via PPPoE ou Hotspot
256k/256k 512k/512k 192k/192k 8/8

rx/tx-rate rx/tx-burst-rate rx/tx-burst-threshold rx/tx-burst-time
10 - QoS
226
Utilizao do PCQ
PCQ utilizado para equalizar cada usurio ou
conexo em particular.
Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento kind=pcq.
Devem ainda ser escolhidos os seguintes

parmetros:
pcq-classifier
pcq-rate
10 - QoS
227
Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as subqueues
no so limitadas, ou seja, elas podero usar a largura mxima
de banda disponvel em max-limit.
Caso 2: Se configurarmos um rate para a PCQ as subqueues
sero limitadas nesse rate, at o total de max-limit.
10 - QoS
228
Utilizao do PCQ
Nesse caso, com o rate da fila

128k, no existe limit-at e tem um
max-limit de 512k, os clientes
recebero a banda da seguinte
forma:
10 - QoS
229
Utilizao do PCQ
Nesse caso, com o rate da fila 0,

no existe limit-at e tem um maxlimit de 512k, os clientes recebero
a banda da seguinte forma:
10 - QoS
230
Perguntas ?
10 - QoS
231
Reset a routerboar
Entre no terminal e execute o comando
abaixo:
/system reset-configuration
10 - QoS
232
HotSpot no Mikrotik
3 - Hotspot
233
HotSpot
Geralmente usado em rea pblica como hotis,
aeroportos, shoppings, universidades, etc...
Acesso controlado a uma rede qualquer, com ou sem

fio,
Autenticao baseada em nome de usurio e senha.
Com HotSpot, um usurio que tente navegao pela
WEB arremetido para uma pgina do HotSpot que
pede suas credencias, normalmente usurio e senha.
3 - Hotspot
234
HotSpot
3 - Hotspot
235
HotSpot Perfil de Usurios

O User Profile serve para dar tratamento diferenciado a
grupos de usurios, como suporte, comercial, diretoria,
etc...
Session Timeout: Tempo mximo
permitido.
Idle Timeout/Keepalive: Mesma
explicao anterior, no entanto agora
somente para este perfil de usurios.
Status Autorefresh: Tempo de
refresh da pgina de Status do
HotSpot.
Shared Users: Nmero mximo de
clientes com o mesmo username.
3 - Hotspot
236

Os perfis de usurio podem conter os limites de
velocidade de forma completa.
Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx
burst-limit] [rxburstthreshold/tx-burst-threshold]
[rx-burst-time/tx-bursttime][priority]
[rx-limit-at/tx-limit-at]
Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
128k de upload / 256k de download
256k de upload burst / 512k de download burst
96k threshould de upload / 192k threshloud de
download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de
download
3 - Hotspot
237

Incoming Filter: Nome do firewall chain aplicado aos
pacotes que chegam do usurio deste perfil.
Outgoing Filter: Nome do firewall chain aplicado aos
pacotes vo para o usurio deste perfil.
Incoming Packet Mark: Marca colocada

automaticamente em pacotes oriundos de usurios
deste perfil.
Outgoing Packet Mark: Marca colocada
automaticamente em pacotes que vo para usurios
deste perfil.
Open Status Page: Mostra a pgina de status.
- http-login: para usurios que logam pela WEB.
- always: para todos usurios inclusive por MAC.
Tranparent Proxy: Se deve usar proxy transparente.
3 - Hotspot
238

Com a opo Advertise possvel enviar de
tempos em tempos popups para os usurios do
HotSpot.
Advertise URL: Lista de pginas que sero
anunciadas. A lista cclica, ou seja, quando a ltima mostrada,
comea-se novamente pela primeira.
Advertise Interval: Intervalo de tempo de exibio de popups.
Depois da sequncia terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar
para o anncio ser mostrado, antes de bloquear o
acesso a rede.
- Pode ser configurado um tempo.
- Nunca bloquear.
- Bloquear imediatamente.
3 - Hotspot
239

O MikroTik possui uma linguagem interna de scripts que podem ser
adicionados para serem executados em alguma situao especifica.
No HotSpot possvel criar scripts que executem comandos a
medida que um usurio desse perfil conecta ou desconecta do
HotSpot.
Os parmetros que controlam essa execuo so:
On Login: Quando o cliente conecta ao HotSpot.
On Logout: Quando o cliente desconecta do
HotSpot.
Os scripts so adicionados no menu:
/system script
3 - Hotspot
240
HotSpot Usurios
Server: all para todos hotspots ou para um especfico.
Name: Nome do usurio. Se o modo Trial estiver ativado
o hotspot colocar automaticamente o nome TMAC_
Address. No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereo IP caso queira vincular esse usurio
a um endereo fixo.
MAC Address: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile: Perfil onde o usurio herda as propriedades.
Routes: Rotas que sero adicionadas ao cliente quando
se conectar. Sintaxe: Endereo destino gateway
mtrica. Vrias rotas separadas por vrgula podem ser
adicionadas.
3 - Hotspot
241
HotSpot Usurios
Limit Uptime: Limite mximo de
tempo de conexo para o usurio.
Limit Bytes In: Limite mximo de
upload para o usurio.
Limit Bytes Out: Limite mximo de
download para o usurio.
Limit Bytes Total: Limite mximo
considerando o download + upload.
Na aba das estatsticas possvel
acompanhar a utilizao desses
limites.
3 - Hotspot
242
HotSpot Liberaes especiais

Para liberar acesso a internet para um
determinado host utilize sem necessidade de
autenticao IP Binding.
Para liberar acesso a um determinado site sem
necessidade de autenticao utilize Walled
Garden.
Para liberar acesso a um determinado IP ou porta
sem necessidade de autenticao utilize o
Walled Garden IP List.
3 - Hotspot
243
HotSpot IP Bindings
O MikroTik por default tem habilitado o universal client que
uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.
possvel tambm fazer tradues NAT estticas com base no
IP original, ou IP da rede ou MAC do cliente. possvel
tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede
inicialmente.
Tambm possvel fazer bloqueio de endereos.
3 - Hotspot
244
HotSpot IP Bindings
MAC Address: mac original do cliente.
Address: Endereo IP do cliente.
To Address: Endereo IP o qual o original deve ser
traduzido.
Server: Servidor hotspot o qual a regra ser aplicada.
Type: Tipo do Binding.
- Regular: faz traduo regular 1:1
- Bypassed: faz traduo mas
dispensa o cliente de logar no
hotspot.
- Blocked: a traduo no ser feita e
todos os pacotes sero bloqueados.
3 - Hotspot
245
HotSpot Walled Garden

Configurando um walled garden possvel oferecer ao usurio o
acesso a determinados servios sem necessidade de autenticao.
Por exemplo em um aeroporto poderia se disponibilizar
informaes sobre o tempo ou at mesmo disponibilizar os sites
dos principais prestadores de servio para que o cliente possa
escolher qual plano quer comprar.
Quando um usurio no logado no hotspot requisita um servio do
walled garden o gateway no intercepta e, no caso do http,
redireciona a requisio para o destino ou um proxy.
Para implementar o walled garden para requisies http, existe um
web proxy embarcado no Mikrotik, de forma que todas requisies
de usurios no autorizados passem de fato por esse proxy.
Observar que o proxy embarcado no MikroTik no tem a funo de
cache, pelo menos por hora. Notar tambm que esse proxy faz
parte do pacote system e no requer o pacote web-proxy.
3 - Hotspot
246

importante salientar que o
walled garden no se destina
somente a servio WEB, mas
qualquer servio que se queira
configurar. Para tanto existem 2
menus distintos conforme do
figuras ao lado. Sendo o menu
de cima para HTTP e HTTPS e o
de baixo para outros servios e
protocolos.
3 - Hotspot
247

Action: Permite ou nega.
Server: Hotspot para o qual o walled garden
vale.
Src.Address: Endereo IP do usurio
requisitante.
Dst. Address: Endereo IP do web server.
Method: Mtodo http ou https.
Dst. Host: Nome do domnio do servidor de
destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisio.
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado
coringas. Tambm possvel utilizar expresses regulares devendo essas ser
iniciadas com (:)
3 - Hotspot
248

Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden
vale.
Src. Address: Endereo IP do usurio
requisitante.
Dst. Address: Endereo IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que ser
requisitada.
Dst. Host: Nome do domnio do servidor de
destino.
3 - Hotspot
249
Perguntas ?
3 - Hotspot
250
Web Proxy
4 - Web proxy
251
Web Proxy
Com o servio de web proxy podemos fazer
cache de objetos da internet e com isso
economizar banda.
Tambm possvel utilizar o web proxy como

filtro de contedo sem a necessidade de fazer
cache.
4 - Web proxy
252
Web Proxy Como usar

Basicamente podemos usar o proxy de duas
maneiras
No transparente: necessrio configurar o
endereo e porta do proxy nos computadores
Transparente: No necessrio alterar nenhum
configurao nos computadores(no tratar
conexes HTTPS).
4 - Web proxy
253
Habilitando nosso Web Proxy
4 - Web proxy
254
Web Proxy No transparente

Precisamos configurar manualmente o endereo e
porta do servidor de Proxy em nosso navegador.
4 - Web proxy
255
Web Proxy Redirecionamento
4 - Web proxy
256
Web Proxy - Access

A lista de acesso permite
controlar contedo que ser
permitido ou negado.
As regras adicionadas nesta
lista so processadas de
forma semelhante que as
regras do firewall. Neste caso
as regras iro processar as
conexes e caso alguma
conexo receba um match
ela no ser mais processada
pelas demais regras.
4 - Web proxy
257
Web Proxy - Access
Src. Address: Endereo ip de origem.

Dst. Address: Endereo ip de destino.
Dst. Port: Porta ou lista de portas destino.
Local Port: Porta correspondente do proxy.
Dst. Host: Endereo IP ou nome de
destino.
Path: Nome da pgina dentro do servidor.
Method: Mtodo HTTP usado nas
requisies.
Action: Permite ou nega a regra.
Redirect To: URL ao qual o usurio ser
redirecionado caso a regra seja de
negao.
Hits: Quantidade de vezes que a regra
sofreu macth.
4 - Web proxy
258
Web Proxy Criando regras

Crie algumas regras de acesso que permitam e
neguem acesso a alguns sites.
Dica: Para bloquear
sites que contm
uma palavra especifica
utilize : antes da palavra.
4 - Web proxy
259
Web Proxy Dst. Host e Path

Dst. Host = Nome DNS ou IP utilizado para
acessar um determinado site (de vermelho).
Path = Caminho de uma pgina ou documento
dentro de um determinado site (de verde).
Exemplos:
http://wiki.mikrotik.com/wiki/Manual:IP/Proxy
http://www.mikrotik.com/thedude
4 - Web proxy
260
Web Proxy Segurana

Quando habilitamos um servidor de Proxy, ele
pode ser usado por qualquer usurio, estando
este na sua rede interna ou externa.
Precisamos garantir que somente os clientes da
rede local tero acesso ao Proxy.
/ip firewall filter
add action=drop chain=input in-interface=interface-wan
4 - Web proxy
261
Web Proxy Regras de Firewall

Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocol=tcp dstport=80 action=redirect to-ports=8080
Protegendo o proxy contra acessos externos

no autorizados
/ip firewall filter add chain=input protocol=tcp dstport=8080 ininterface= wan action=drop
4 - Web proxy
262
Perguntas ?
4 - Web proxy
263

Nova - Apostila Mtcna

Încărcat de

Informații document

Descriere originală:

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Nova - Apostila Mtcna

Încărcat de

Drepturi de autor:

Formate disponibile

Treinamento oficial

Evite conversas paralelas.

Onde est a MikroTik ?

Hardware criado pela MikroTik.

Uso domstico e Soho

Empresas de mdio porte

Empresas de mdio porte

Empresas de mdio porte

Nomenclatura das routerboards

Resetando seu router

Lembre-se de seu nmero: XY

Identificando seu roteador

Renomeando suas interfaces

Conectando seu router a um ponto de

Configurando IP na interface de WAN

Teste novamente o ping para: uol.com

Configurando IP na interface de LAN

Configure seu Notebook

Adicionando uma regra de source nat

Necessrio quando se perde o usurio e senha de acesso ao

ISO botvel (imagem)

Instalando pela ISO

Instalando via netinstall em

Caso a Routerboard no possua interface serial a sequencia de

1 - Resetar a configurao de fabrica

Lista completa de pacotes do RouterOS

dhcp (mipsle, mipsbe, ppc, x86)

gps (mipsle, mipsbe, ppc, x86)

Global Positioning System devices support

ipv6 (mipsle, mipsbe, ppc, x86)

IPv6 addressing support

mpls (mipsle, mipsbe, ppc, x86)

Multi Protocol Labels Switching support

multicast (mipsle, mipsbe, ppc, x86)

ntp (mipsle, mipsbe, ppc, x86)

Network protocol client and service

IPSEC, SSH, Secure WinBox

system (mipsle, mipsbe, ppc, x86)

basic router features like static routing, ip addresses,

ups (mipsle, mipsbe, ppc, x86)

mpls-test (mipsle, mipsbe, ppc, x86)

Outros modos de acesso

Configurando Cliente NTP

Ajustando fuso horrio

Diferena entre os dois backups

Permite colocar senha

Carrega usurios de acesso ao router

Carrega usurios PPP, hotspot e outros

Compatvel com hardware diferente

Possibilidade de exportar e importar por partes

Observe que o arquivo gerado recebe o

Localizando e editando backup

Aps transferir o arquivo para

Safe Mode Released by another user

Modelo OSI, TCP/IP

Modelo OSI vs TCP/IP

Modelo usado para estudos

Modelo usado na prtica

2 - OSI, TCP/IP e protocolos

Um pouco mais sobre o modelo OSI

2 - OSI, TCP/IP e protocolos

Camada 7 aplicao - Dados

Camada 4 transporte - Portas