Você está na página 1de 47

Curso Mikrotik

Reviso de conceitos bsicos: TCP/IP ENDEREAMENTO ROTEAMENTO


Modelo OSI e TCP/IP

Camada 1 conexes fsicas: cabos, wireless etc o Ethernet, 802.11 a/b/g Camada 2 detecta/corrige erros, controla fluxo, end. fsico o Endereamento MAC Camada 3 responsvel pelo endereamento lgico: o IP, IPX/SPX, NETBEUI, Apple Talk ...

O Mikrotik RouterOS um dispositivo de camada 3 do modelo OSI.

O endereo IP formado por 4 octetos binrios.

Endereamento e Roteamento IP
Quando um dispositivo de rede envia um pacote ao outro, o protocolo IP precisa saber: Se esto na mesma rede fsica o envia o pacote para o barramento de rede o Se esto em redes diferentes o envia para o roteador (gateway padro ou outra rota) Gateway = porto de sada - toda a rede que precisa se comunicar com outra precisa de um caminho de sada.

Entendendo a Mscara
Sub-redes 1 2 4 8 16 32 64 XX XX Hosts 254 126 62 30 14 6 2 XX 1 Mscara Decimal 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248 255.255.255.252 XX 255.255.255.255 Mscara Binria (11111111.11111111.11111111.00000000) (11111111.11111111.11111111.10000000) (11111111.11111111.11111111.11000000) (11111111.11111111.11111111.11100000) (11111111.11111111.11111111.11110000) (11111111.11111111.11111111.11111000) (11111111.11111111.11111111.11111100) (11111111.11111111.11111111.11111110) (11111111.11111111.11111111.11111111) Bits /24 /25 /26 /27 /28 /29 /30 /31 /32

Trfego
Unicast o Trfego destinado a apenas um host Broadcast o Trfego destinado a todos os hosts da mesma rede. Redes remotas podem ser unidas atravs de tneis e serem parte do mesmo domnios de broadcast. Multicast o Trfego destinado a hosts previamente inscritos para receberem o trfego multicast. Os dispositivos de rede devem ter capacidade de propagar o trfego multicast.

Protocolos
Protocolo ARP o Serve para associar IPs com endereos fsicos: IP > Mac Protocolo TCP o Utilizado para controle de transporte dos dados (datagramas IP). o Garante que estes sejam entregues de maneira confivel, sem serem alterados ou corrompidos. o Faz a segmentao e reagrupao de grandes blocos de dados de forma ordenada. o Permite o funcionamento de vrios servios simultneos, atravs de portas: 21 FTP 23 Telnet 80 HTTP ... etc Protocolo UDP o Utilizado para o transporte rpido entre dispositivos. o Ao contrrio do TCP, o UDP um protocolo sem conexo, portanto no garante a entrega do datagrama. o Tambm utiliza portas: 53 DNS

Conceitos bsicos do RouterOS


Caractersticas:
Roteamento o Esttico e Dinmico o Polticas de Roteamento Bridging o Protocolo Spanning Tree, rstp o Mltiplas interfaces na bridge o Bridge com firewall filtro Servidores e Clientes o DHCP, PPtP, PPPoE, Ipsec etc... Servidores o Cache, Web Proxy, DNS etc Gateway de Hotspot Linguagem interna de Scripts

Funcionalidades:
Access Point e Station Wireless Roteador dedicado Bridge Firewall Controlador de Banda e QoS Concentrador PPPoE, PPtP, IPSec, L2TP etc Roteador de Borda BGP! Hotspot

Estrutura:
Baseado em kernel Linux Pode ser instalado em HDs ou flash Instalao modular Mdulos atualizveis Interface grfica amigvel

Como acessar o RouterOS?


Monitor e teclado Porta Serial 8 / N / 1 / 9600 Telnet Telnet de MAC SSH Winbox (Windows ou Linux com Wine)

Ferramentas de Diagnstico:
Ping Traceroute Medidor de banda Torch SNMP

Instalao:
Pode ser instalado usando: o Disquete o CD ISO bootvel gravado com imagem o Via rede, utilizando o netinstall o Comando dd do Linux o Aplicativos semelhantes para Windows (Ex.: Physdiskwrite)

Licenciamento:
A chave gerada sobre um software-id fornecido pelo prprio Mikrotik IMPORTANTE: A licena fica vinculada ao HD ou Flash; o Portanto este disco pode ser utilizado em outra placa, mantendo a licena original; o Porm a formatao do disco com ferramentas de terceiros faz PERDER a licena.

Atualizao
Instrues: o Conecte ao Mikrotik via FTP com um software apropriado; o Selecione modo binrio; o Faa o upload dos pacotes; o Depois, para verificar utilize o comando /file print; o Reinicie o roteador com o comando /system reboot ou ctrl+alt+del no console; o Depois do reboot verifique se os pacotes foram instalados corretamente com o comando /system package print;

Acesso Via Terminal


Primeiro acesso o Winbox, serial, SSH ou Telnet o Usurio admin senha em branco Ajuda o ? mostra um help para o diretrio em que esteja [Mikrotik] > ? o ? Aps um comando incompleto mostra as opes disponveis para este comando [Mikrotik] > interface ?

Administrao do RouterOS
Utilizando Menus do WINBOX - Prtica
Colocando uma senha para acesso Colocando um nome no roteador Configurar Endereos IP Configurar Default Gateway Configurar DNSs Configurar Data/Hora, Time Zone e NTP Desativar ou configurar servios que podem ser inseguros (Telnet e SSH) Usando Torch Amarrando IP ao MAC

Anotaes

Princpios de Firewall
Estrutura de firewall do Mikrotik

Caractersticas da implementao de Firewall no Mikrotik


Filtragem de pacotes stateful
Firewall Stateful: pode acompanhar o estado das conexes de rede (tais como sesses TCP, UDP comunicao). O firewall estar programado para distinguir pacotes legtimos para diferentes tipos de conexes. Apenas pacotes combinados com uma conexo conhecida sero autorizados pelo firewall, outras sero rejeitadas.

Filtragem de pacotes P2P (camada aplicao layer 7) Classificao de trfego por MAC address, endereos IP, tipos de trfego (multicast, broadcast etc), portas, range de portas, protocolos, tamanho do pacote etc etc etc

Princpios Bsicos de Firewall


Um firewall opera por meio de regras. Uma regra uma expresso lgica que diz ao roteador o que fazer com um tipo particular de pacote. Cada regra constituda de 2 partes: 1. Encontra o fluxo de trfego que se enquadra em uma condio pr-definida; 2. Diz a ao que deve ser tomada com os pacotes que satisfazem a condio. As regras so organizadas em canais (chains). Existem 3 pr-definidos: 1. INPUT responsvel pelo trfego que vai PARA o roteador; 2. OUTPUT responsvel pelo trfego que SAI do roteador; 3. FORWARD responsvel pelo trfego que PASSA pelo roteador;

Ateno: regras de NAT no so FORWARD, por mais que paream ser pois o
trfego estaria passando pelo roteador. Elas entram nas chains de INPUT e OUTPUT. Porm, como veremos mais tarde, no Mikrotik as regras de NAT j so separadas das regras de filter. Elas j tm suas chains prprias: srcnat e dstnat As regras so sempre processadas por canal, na ordem que esto listadas, ou seja, de cima para baixo; o Se um pacote atende condio e tomada uma ao com ele, no importam as regras que estejam abaixo deste canal, pois no sero processadas. Um pacote que no se enquadre em qualquer regra do canal ser, por default, aceito;

Laboratrio de Firewall
Exemplos diversos implementados na prtica
Fazer um NAT simples Bloquear acesso DE UM IP / RANGE Bloquear acesso PARA UM IP / RANGE Bloquear acesso a uma PORTA / RANGE de PORTAS Bloquear acesso de um MAC Bloqueios utilizando Address Lists

Anotaes

Princpios de Qualidade de Servio (QoS) e Controle de banda (Shaping)


QoS
As regras de QoS (Quality of Service) fazem com que o roteador priorize e limite o trfego de rede. O QoS no necessariamente utilizado para limitao, mas principalmente para proporcionar qualidade. Abaixo algumas features do mecanismo de Controle de Banda do RouterOS: o o o o o o Limitar a banda de um IP, subnet, protocolo, portas e outros parmetros. Limitar o trfego P2P Priorizar alguns trfegos especficos em relao a outros Queue Burst para navegao mais rpida. Aplicar queues em intervalos fixos de tempo Compartilhar o trfego disponvel para os usurios de forma justa, ou dependendo da carga do canal.

Filas Simples
A maneira mais fcil de fazer o controle de velocidade de clientes usando as simple queues. Com apenas uma entrada possvel configurar as velocidade de donwload e upload.HTB (Hierarchical Token Bucket) a disciplina de enfileiramento utilizada pelo RouterOS. As queues enxergam a direo dos pacotes IP da mesma forma que apareceriam no firewall. Para o shaping os parmetros so: o o o limit-at: banda garantida (CIR) max-limit: banda mxima permitida (MIR) priority ordem em cada classe que serve ao mesmo nvel (onde 8 a prioridade mais baixa e 1 a mais alta)

Cores: o o Verde: a classe est com a velocidade igual ou menor do que limit-at. Amarelo: a classe est com velocidade maior do que limit-at, e menor ou igual do que a max-limit. Neste caso a classe pede a classe pai para usar mais banda. Se a classe pai estiver verde permitir o uso, se estiver em amarelo enviar a solicitao para a sua classe pai, se tiver, e assim por diante. Vermelho: a classe excedeu o max-limit, e no pode mais pedir banda para a classe pai.

Burst
Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo. Os parmetros que controlam o burst so: o o o o burst-limit: limite mximo que alcanar burst-time: tempo que durar o burst burst-threshold: patamar onde comea a limitar max-limit: MIR

Grficos de Trfego
Disponibilizando grficos de trfego para clientes

rvore de Filas Queue Tree


Trabalhar com rvore de filas a maneira mais elaborada de administrar o trfego. Com elas possvel construir uma hierarquia de classes sob medida. Os filtros de rvores so aplicados na interface especificada. Os filtros so apenas marcas que o Firewall faz nos fluxos de pacotes na opo Mangle. Os filtros enxergam os pacotes na ordem em que eles chegam ao roteador. Para o uso de rvores de filas lanamos mo de interfaces virtuais denominadas:
o o o Global-in: contabiliza todo o trfego que entra no roteador pelas interfaces de entrada Global-out: contabiliza todo o trfego que sai do roteador pelas interfaces de sada Global-total: que alm do trfego que passa pelo roteador, contabiliza tambm aquele que dirigido tambm para ele

Global-in

Global-total Roteador

Global-out

As rvores de filas so configuradas em:


/queue tree

Laboratrio de QoS
Implementando um conjunto de regras pr-configuradas para QoS de servios

Usando Firewall / Mangle / Queue Tree para implementar QoS


/ ip firewall mangle
add chain=forward protocol=tcp dst-port=80 action=mark-connection \ new-connection-mark=conexao_http passthrough=yes comment="" disabled=no add chain=forward connection-mark=conexao_http action=mark-packet \ new-packet-mark=pacotes_http passthrough=no comment="" disabled=no add chain=forward p2p=all-p2p action=mark-connection new-connection-mark=conexao_p2p \ passthrough=yes comment="" disabled=no add chain=forward connection-mark=conexao_p2p action=mark-packet new-packet-mark=pacotes_p2p \ passthrough=no comment="" disabled=no

/ queue tree
add name="Todos Marcados" parent=Computech packet-mark="" limit-at=0 queue=default priority=8 \ max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no add name="HTTP" parent="Todos Marcados" packet-mark=pacotes_http limit-at=0 queue=default \ priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no add name="P2P" parent="Todos Marcados" packet-mark=pacotes_p2p limit-at=2000000 queue=default \ priority=8 max-limit=3000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no

Anotaes

Tneis e VPN
Conceitos de VPN's e suas aplicaes

VPN
Uma Rede Particular Virtual (Virtual Private Network - VPN) uma rede de comunicaes privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituies, construda em cima de uma rede de comunicaes pblica (como por exemplo, a Internet). O trfego de dados levado pela rede pblica utilizando protocolos padres. As VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticao e integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras.

Tneis e VPNs no Mikrotik


O RouterOS trabalha com diversos protocolos de tneis. Elas so: o o o o o Point to Point Tunneling Protocol (PPtP) Point to Point over Ethernet (PPPoE) Layer 2 Tunneling Protocol ( L2TP ) Ethernet over IP (EoIP) Tneis IP over IP (IPIP)

Neste curso, utilizaremos o PPtP, para estabelecer a conexo segura, e o EoIP, para criarmos a bridge transparente

Laboratrio de VPN e Tneis


Interligando remotamente 2 redes como bridge transparente

Prtica
Conceitos importantes: WAN - LAN - Tnel - Bridge o o o o WAN: interface pblica fsica (wlan1 ou ether1...) - Internet ou no... LAN: Interface privada interna ethernet local fsica (wlan2 ou ether2...) Tnel: estabelecido entre as 2 interfaces WAN usando PPtP criando uma nova interface: Tnel EoIP Bridge: LAN + Tunel EoIP

Anotaes

Linguagem de Script no Mikrotik


Noes e aplicaes de Scripting

Variveis
O RouterOS suporta dois tipos de variveis, que so global (todo o sistema) e local (acessvel apenas dentro do script atual), respectivamente. Uma varivel pode ser referenciada pelo sinal "$" seguida do nome da varivel, com exceo dos comandos set e unset que obtm o nome da varivel sem preceder do sinal de cifro. A varivel deve ser composta por letras, nmeros e o sinal "-. Devem ser declaradas antes de serem utilizadas em scripts. Existem quatro tipos de declarao: global local variveis indexadoras de loop for e foreach com bloco do variveis de monitor com do Para atribuir um novo valor a uma varivel, use o comando :set seguido do nome da varivel sem o sinal $ e o seu novo valor. Para remover uma varivel, use o comando :unset seguido do nome da varivel. Neste caso, se a varivel global, esta remoo funciona apenas no script atual.

Comandos
O RouterOS tem alguns comandos de console e expresses que no dependem do nvel de menu onde se est. Estes comandos no mudam as configuraes diretamente, mas so teis para automatizar vrios processos de manuteno. A lista completa das ICE pode ser acessada digitando : e em seguida dois tabs:
[admin@MikroTik] > : environment do terminal error beep execute delay find for foreach global if led len local log nothing parse pick put resolve set time toarray tobool toid toip toip6 tonum tostr totime typeof while

environment lista de todas as variveis terminal configura o terminal beep produz um sinal audvel se for suportado pelo hardware delay pausa a execuo por determinado tempo do executa um comando execute roda um script separado find localiza itens por valor for executa um comando para um range de valores inteiros foreach - executa um comando para cada um dos argumentos de uma lista global declara e atribui um valor para uma varivel global if executa um comando se uma condio for verdadeira led controla LEDs, se o hardware suportar len retorna o nmero de elementos no valor local atribui um valor para uma varivel local log manda mensagens para os logs nothing no faz nada e no retorna nada comando extremamente til :-) pick retorna um range de caracteres de strings ou valores de arrays put mostra um argumento na tela resolve DNS lookup set muda o valor da varivel terminal comandos relacionados ao terminal time retorna o tempo que o comando levou para ser executado toarray - converte um argumento para um valor de array tobool converte um valor para verdadeiro toid - converte um argumento em um nmero de valor interno toip - converte um argumento em um endereo IP toip6 - converte um argumento em um endereo IPv6 ktonum - converte um argumento para um nmero inteiro tostr converte um argumento para um valor de string

totime converte um argumento para um valor de interval de tempo typeof retorna o tipo do valor while executa comandos enquanto uma condio for verdadeira

Scripts prontos podem ser baixados no site: http://wiki.mikrotik.com/wiki/Scripts

Redes Wireless Usando Mikrotik

Significado dos cones:

Adicionar novas entradas Remover entradas existentes Habilitar o item Desabilitar o item Acrescentar ou adicionar comentrios Desfazer a ao Refazer a ao

INTERFACE WIRELESS

Boto Scan
Escaneia o meio (causa queda das conexes estabelecidas) A Ativa B BSS P Protegida R Rede Mikrotik N Nstreme

Boto Freq. Usage


Mostra o uso as freqncias em todo o espectro, para site survey Obs.: Ao utilizar esta opo, a conexo estabelecida interrompida.

Boto - Align
Ferramenta de alinhamento com sinal sonoro (Colocar o MAC do AP remoto no campo Filter e campo udio) Obs.: Ao utilizar esta opo, a conexo estabelecida interrompida. Rx Quality Potncia (dBm) do ltimo pacote recebido Avg. Rx Quality Potncia mdia dos pacotes recebidos Last Rx Tempo em segundos do ltimo pacote recebido Tx Quality Potncia do ltimo pacote transmitido Last Tx Tempo em segundos do ultimo pacote transmitido

Boto Sniff
Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes Muito til para detectar ataques do tipo deauth attack e monkey jack. Pode ser arquivado no prprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP

Boto Snooper

Com a ferramenta Snooper possvel monitorar a carga de trfego em cada canal, por estao ou por rede. Esta opo escaneia as freqncias definidas em scan-list da interface.

Guia General

Name: Nome da Interface. Type: wireless. MTU: Unidade mxima de transferncia (bytes). MAC Address: Endereo MAC da interface. Chip Info / PCI Info: Informaes da placa; ARP: -disable: no responde a solicitaes ARP. Clientes tem que acessar tabelas estticas -proxy-arp: passa o seu prprio MAC quando h uma requisio para algum host interno ao roteador; -reply-only: somente responde as requisies. Endereos de vizinhos so resolvidos estaticamente.

Guia Wireless

Radio Name: apelido usado para identificar a interface. Mode: Modo de operao. -station: modo cliente de AP. No pode ser bridgeado. No passa os MACs internos, mas somente o seu; -station wds: estao que pode ser bridgeada, passando transparentemente os MACs. AP precisa estar em WDS; -ap-bridge: Modo Access Point normal; - modo ponto de acesso para suportar um cliente somente (links ponto a ponto); -alignment-only: modo para alinhar antenas e monitorar sinal; - nstreme-dual-slave: para enlaces em modo nstreme dual; -wds-slave: trabalha como ponto de acesso escravo, adaptando-se a um WDS mestre (adapta-se s configuraes da mestre). SSID: Nome de rede. Band: Banda e modo de operao. -2.4Ghz-b: 802.1b at 11mbps; -2.4Ghz-b/g: 802.11b at 11mbps e 802.11g at 54mbps (modo misto); - 2.4Ghz-only-g: 801.11g at 54mbps (somente clientes g); -2.4Ghz-g-turbo: modo proprietrio Atheros at 108mbps; -5Ghz: 802.11a at 54mbps; -5Ghz-turbo: Modo proprietrio Atheros at 108mbps; -2.Ghz-10Mhz: Modo cloacking, utiliza canal de 10Mhz; -2.Ghz-5Mhz: Modo cloacking, utiliza canal de 5Mhz; -5.Ghz-10Mhz: Modo cloacking, utiliza canal de 10Mhz; -5.Ghz-5Mhz: Modo cloacking, utiliza canal de 5Mhz.

Frequency: Freqncias de trabalho em funo da banda escolhida e do domnio regulatrio. Scan List: lista de freqncias a serem escaneadas. - Quando a interface est configurada como cliente, sero procuradas APs que estiverem nessa lista; - Por default, sero buscadas as freqncias do domnio regulatrio; - Pode-se forar o escaneamento de freqncias especificas, colocando-as separadas por vrgula. Secutity Profile: Perfil de segurana. Perfis de segurana podem ser criados/alterados em Wireless/Security profiles. Frequency Mode: -Regulatory domain: somente so permitidas o uso das freqncias do pas indicado no campo Country, sendo que a potncia mxima de transmisso EIRP ser limitada de acordo com a legislao, considerando-se o ganho de antena indicado no campo Antenna Gain; -Manual-tx-power: os canais permitidos so os do pas selecionado mas a potncia informada pelo operador; -superchannel: somente possvel com a licena superchannel. Todos os canais e potncias suportados pelo hardware sero permitidos. Country: Pas de operao. Antenna Gain: Ganho da antena em dBi. DFS Mode: Modo de seleo dinmica de freqncia. -none: No usa DFS; -no-radar-detect: O AP escaneia os canais da scan-list e escolhe para operar na menor freqncia detectada; -radar-detect: O AP escaneia a partir da scan-list e escolhe a menos freqncia detectada. Se durante 60 segundos no detectado nesse canal, ela comea a operar nesse canal, caso contrrio continua escaneando sempre pelos canais menos ocupados. Observao: No Brasil necessrio DFS para operar de 5250-5350 e 54705725 e existem valores mnimos em dBm que, se detectados no permitida a operao nesses canais (art. 50 da resoluo 365/2004 da Anatel). Proprietary extensions: Mtodo para inserir informaes adicionais (proprietrias Mikrotik) nos pacotes Wireless a fim de contornar problemas de compatibilidade com verses antigas (antes da 2.9.25) com novos cartes Intel Centrino. - pr-2.9.25: Inclui extenses da forma aceita por verses mais antigas do RouterOS. Incompatvel com clientes Centrino; -post-2.9.25: Extenses aceitas a partir dessa verso e compatvel com todos os clientes conhecidos at o momento. Default AP Tx Rate: estabelece a taxa mxima, em bps que cada cliente pode ter de download. Default Client Tx Rate: Estabelece a taxa mxima, em bps que cada cliente pode enviar ao AP S funciona para cliente, tambm, Mikrotik. Default Authenticate: (default-authentication) Especifica a ao padro a ser adotada pela AP para os clientes Wireless que no estejam declarados nas access lists (controle de MAC). Para os equipamentos configurados como clientes, especifica a ao a ser adotada para os APs que no estejam na Connect List. Yes: Como AP, deixa o cliente se associar, mesmo se no estive declarado na Access List. Como cliente, associa-se a qualquer AP, mesmo que no esteja na Connect List. Default Forward: (default-forwarding) Determina se poder haver comunicao entre clientes conectados na mesma interface Wireless. Esse bloqueio feito na camada 2 de enlace e portanto independente de IP (alguns APs tem esse recurso como IntraBSS relay). -Yes (marcado): permite a comunicao; -No (desmarcado): No permite a comunicao.

Observao: Quando as interfaces esto em Bridge, pode haver comunicao entre clientes de interfaces diferentes, mesmo com esse recurso habilitado. Hide SSID: Determine se o AP vai divulgar o nome da Rede em broadcast atravs de beacons. -Yes (marcado): no divulga, somente respondendo aos clientes que enviarem os probe requests; -No (desmarcado): divulga o nome da rede.

Guia Data Rates

Nesta tela possvel configurar as Taxas de transmisso suportadas e as Taxas Bsicas, sendo que: -Taxas Suportadas (Supported Rates): So todas as taxas que o carto que est sendo configurado suporta. -Taxas Bsicas (Basic Rates): So as taxas mnimas suportadas por todos os dispositivos Wireless presentes na rede Observao: recomenda-se deixar sempre as taxas bsicas no mnimo (1mbps)

Guia Advanced

rea: String alfanumrica utilizada para descrever um Access Point. Os clientes comparam esse valor com o que estiver configurado em sua rea Prefix, e se a string toda ou pelo menos os primeiros caracteres coincidirem estabelecida a associao. Max Station Count: Nmero mximo de estaes que podem se conectar no AP. Limite terico de 2007. Ack Timeout: Tempo de expirao (timeout) do pacote de confirmao de recebimento (acknowledgment) enviado por uma estao - dynamic: ajuste dinmico. O roteador manda pacotes variveis e em funo da resposta procura ajustar ao timeout ideal. -indoors: para redes indoor. - pode ser ajustado manualmente (valor inteiro em microssegundos). Range 0Km 5Km 10Km 15Km 20Km 25Km 30Km 35Km Ack-timeout 5Ghz-turbo default 30 48 67 89 111 137 168

5Ghz default 52 85 121 160 203 249 298

2.4Ghz-G default 62 96 133 174 219 268 320

40Km 45Km

350 405 5Ghz


Default Max

190 5Ghz-turbo
Default Max

375 2Ghz-b
Default Max

Chipset version 5000 (5.2Ghz only) 5211 (801.11a/b) 5212 (802.11a/b/g)

2Ghz-g
Default Max

30 30 25

204 409 409

22 22 22

102 204 204

n/a 109 30

n/a 409 409

n/a n/a 52

n/a n/a 409

Observao: Esses valores so meramente referenciais e devem ser ajustados em funo do hardware empregado e do ambiente.

Noise Floor Threshold: Piso de rudo do ambiente (em dBm). Observao: No localizamos documentao suficiente para esclarecer a utilidade prtica desta opo. Em princpio deve trabalhar com cartes que tenham a opo de deteco de noise floor noise-floorcontrol Periodic Calibration: Para assegurar a performance do chipset sob diversas condies de temperatura ambiente o Mikrotik faz calibraes peridicas. Calibration Interval: Intervalo em segundos entre as calibraes peridicas. Default = 60 segundos. Burst Time: Tempo em microssegundos que o carto wireless pode transmitir continuamente. Essa opo s vlida para chipset Atheros AR5000, AR5001X e AR5001X+. A varivel de leitura burst-support, acessvel via terminal mostra a capacidade ou no do suporte a essa opo. Antena Mode: Permite a escolha da antena. - antena a/b: escolhe uma das antenas a ou b - tx-a/rx-b: usa a antena A para TX e a B para RX - tx-b/rx-a: usa a antena B para TX e a A para RX Preamble Mode: escolhe o modo do prembulo (comunicao inicial e de sincronizao). - long: padro compatvel com 802.11 em geral (mais antigo) - short: padro suportado por alguns cartes mais modernos; porem no compatvel com 801.11. Utilizando short, h aumento (pequeno) de performance. - both: ambos so suportados Compression: Quando habilitada a compresso (em modo AP-bridge ou bridge), permite que um cliente que tenha a mesma capacidade de compresso habilitada comunique-se com o AP comprimindo os dados (compresso de hardware) melhorando a performance. Esta opo no

afeta clientes que no tenham capacidades de compresso A capacidade ou no de compresso de um dispositivo wireless pode ser vista em Interface wireless info print. Disconnect Timeout: Valor em segundos acima do qual um cliente considerado desconectado. Default = 3 segundos On Fail Retry Time: Intervalo de tempo aps o qual repetida a comunicao para um dispositivo wireless cuja comunicao tenha falhado. Default: 100ms Update Stats Interval: Periodicidade de atualizao estatsticas da interface. Default = 10s
Guia WDS

das

WDS Mode: Neste modo de operao todos os APs tem que estar configurados com o mesmo nome de rede e utilizando o mesmo canal. Alm da comunicao entre APs, o WDS permite que se conectem em qualquer dos APs estaes wireless - disabled: WDS desabilitado - static: As estaes WDS ficam atreladas umas s outras de forma esttica, com cada uma referenciando o MAC de sua parceria.

- dynamic: Uma vez estabelecido o enlace, a rede WDS criada automtica e dinamicamente. Quando em modo dinmico, um dispositivo perde o link, a interface dinmica desaparece e se h algum endereo IP configurado nessa interface, o estado desta mudado para unknown. Quando o link volta esse estado no muda permanecendo unknown. Por isso no se aconselha a colocar IPs em interfaces WDS dinmicas. Ao invs disso, utilize a default bridge para permitir que quando o link volte interface, seja colocada automaticamente na Bridge. Tendo em vista que WDS pressupe mesmo canal em todos os APs, fica incompatvel o uso de DFS. WDS Default Bridge: Uma vez criada uma Bridge em /interface bridge add, os APs configurados em WDS podem fazer parte desta, bastando indicar neste combo. Para WDS dinmico recomendvel que todas as interfaces estejam sobre a mesma Bridge. WDS Default Cost: No caso de redes malhadas (Mesh) feitas com WDS podem-se definir custos diferentes para diversos trajetos, dando preferncias a determinadas rotas de forma manual. WDS Cost Range: Indicao da faixa de custos que sero empregados na rede Mesh.

WDS Ignore SSID: Uma vez habilitada essa opo, os APs iro criar links com qualquer outro AP que esteja configurado na mesma freqncia, independente do SSID configurado nas mesmas.

Default = No.

Guia Nstreme
Nstreme um protocolo proprietrio Mikrotik (no 802.11) que tem por objetivo estabelecer links de desempenho melhorado quando comparado ao padro Wi-fi Normal. Destinado principalmente a links ponto-a-ponto, mas podendo, tambm, ser utilizado em ambientes multiponto, desde que todos tenham nstreme habilitado (obviamente todos Mikrotik). Enable Polling: No modo Polling as transmisses das estaes so coordenadas pelo AP evitando as colises por n escondido. No utilizado o metido CSMA/CA comum das redes Wi-fi. Framer Policy: Mtodo utilizado para combinar pacotes em um quadro maior e com isso diminuir o overhead da comunicao, aumentando consequentemente a performance. - none: no combina os pacotes - besti-fit: coloca o maior nmero de pacotes possveis em um frame, at que o limite estabelecido em framer-limit seja atingido. No fragmenta pacotes. - exact-size: pe quantos pacotes for possvel em um quadro, at que o limite estabelecido em framer-limit seja atingido, mesmo que seja necessrio fragmentar. - dynamic-size: escolhe o melhor tamanho do quadro, dinamicamente. Framer Limit: Tamanho mximo do quadro.

Default = 3200 bytes

Guia Tx Power

Tx Power Mode: Interface utilizada para configurar a potncia de transmisso valores de 30dBm a 30dBm Default = 17dBm - All-rates-fixed: utiliza a mesma potncia configurada em Tx Power para todas as velocidades. - Card-rates: utiliza as velocidades prprias dos firmwares dos cartes - Default: utiliza a potncia default (17dBm) - Manual-table: permite a configurao de diversas potncias em funo da taxa de transmisso. Observao: A possibilidade de alterar a potncia do carto normalmente utilizada para diminuir a potncia nominal do mesmo e no aument-la

Guia Status

Mostra informaes sobre o status do AP -Band: Freqncia e modo de operao -Freqncia: Canal utilizado -Registered Clients: Clientes registrados -Authenticated Clients: Clientes autenticados -Overal Tx CCQ: Valor em porcentagem que mostra a eficincia da Banda de transmisso em relao mxima banda terica disponvel no link. Esse valor calculado com base nos pacotes Wireless que so retransmitidos no meio fsico. Quanto mais retransmisses, menos a eficincia. -Ack Timeout: Tempo de expirao do ACK em microssegundos. -Noise Floor: Piso de rudo em dBm.

Guia Traffic

Menu Wireless Interfaces

Ao clicar em adicionar interfaces, so dadas as opes: -VirtualAP: Cria interfaces virtuais (APs com nomes diferentes) na mesma interface fsica. Os parmetros de freqncia, modo de operao, canal, etc., sero herdados do AP principal.

Criando interfaces virtuais, podemos montar vrias redes dando perfis de servios diferentes.

- Name: Nome da rede virtual - MTU: Unidade de transferncia mxima (bytes) - MAC Address: D o MAC que quiser para o novo AP -ARP -Enable/Disable: Habilita/Desabilita -Proxy-arp: passa seu MAC -Reply-only

Observao: Demais configuraes idnticas de uma AP

-WDS: Cria uma interface WDS dando os parmetros: - Name: Nome da rede WDS - Master Interface: Interface sobre a qual funcionar o WDS, podendo esta inclusive ser uma interface virtual - WDS Address: endereo MAC que a interface ter.

-Nstreme Dual: Cria uma interface para uso como Nstreme dual utilizando duas antenas (uma antena para Tx (Transmisso) e outra para Rx (Recepo)).

- Tx Rdio: especifica-se as interfaces de Tx. - Rx Rdio: especifica-se as interfaces de Rx. - Tx/Rx Band e Frequency: Especifica-se a Banda de Tx e Rx que podem inclusive ser de frquencias diferentes (2.4Ghz para Tx e 5.8Ghz para Rx) - Framer Policy: - Best-fit: pacotes so agrupados em frames, sem fragmentao -exact-size: pacotes so agrupados em frames, com fragmentao se necessrio. Observao: Com Nstreme dual possvel escolher as velocidades de transmisso e recepo e ainda monitorar o status das conexes.

Menu Wireless Access List

O Access List utilizado pelo Access Point para restringir associaes de clientes. Esta lista contm os endereos MAC de clientes e determina qual a ao deve ser tomada quando um cliente tenta conectar. A comunicao entre clientes da mesma interface, virtual ou real, tambm controlada nos Access

List. O processo de associao ocorre da seguinte forma: Um cliente tenta se associar a uma interface WlanX Seu MAC procurado no Access List da interface WlanX Caso encontrada a ao especificada ser tomada: Authentication marcado: deixa o cliente se autenticar Forwarding marcado, o cliente se comunica com outros

-MAC Address: MAC a ser liberado -Interface: Interface Real ou Virtual onde ser feito o controle -AP Tx Limit: Limite de trfego do AP para o Cliente -Client Tx Limit: Limite de trfego do Cliente para o AP (apenas se cliente Mikrotik) -Authentication: Habilitado, autentica os MACs declarados. -Forwarding: Habilitado, permite a comunicao entre clientes habilitados (intra bss) -Private Key: Chave de criptografia -40bit wep -128 bit wep -Aes-com

Menu Wireless Security Profiles

Na tabela Security Profiles so definidos os perfis de segurana da parte Wireless que poder ser utilizados no RouterOS. -Name: Nome que aparecer em outras telas, referenciando esse perfil. -Mode: Modo de operao - dynamic keys: gera chaves dinmicas - static-keys-required: criptografia todos os pacotes e somente aceita pacotes criptografados. - static-keys-optional: se existe uma chave privada esttica de estao (static-staprivate-key), esta ser utilizada. Caso contrrio, estando a estao no modo AP, no ser utilizada criptografia e em modo estao usar se estiver setada a static-transmit-key. -Authentication Types

Evoluo dos padres de Segurana wireless - WPA2 (802.11i) com EAP - WPA2 (802.11i) com PSK - WPA com AES ccm + SEGURANA - WPA com MD5 -WEP com TKIP -WEP 128 bits

- WPA: Mtido no padro IEEE utilizado Durante algum tempo pela indstria para evitar problemas do WEP - WPA2: Mtodo compatvel com 802.11i do IEEE - PSK (Pr Shared Key): chave compartilhada entre dois dispositivos. - EAP: Extensive Authentication Protocol Observao: O AP ir divulgar todos os modos de autenticao marcados aqui e as estaes escolhero o mtodo considerando mais seguro. Exemplo: WPA EAP ao invs de WPA PSK

-Unicast Chipers - TKIP: Protocolo de integridade de chave Temporal. Mtodo utilizado durante algum tempo para contornar problemas da WEP (Proxim implementa como WEP Plus). - AES CCM: Mtodo de criptografia WPA mais seguro, que utiliza algoritimo AES. - PSK (Pr Shared Key): chave compartilhada entre dois dispositivos. - EAP: Extensive Authentication Protocol

Observao: O AP ir divulgar todos os modos de autenticao marcados aqui e as estaes escolhero o mtodo considerando mais seguro. Exemplo: WPA EAP ao invs de WPA PSK -Mtodos EAP

- Passtrough: Repassa o pedido de autenticao para um Servidor Radius (esta opo somente usada em APs) - EAP/TLS: Utiliza um Certificado TLS (Transport Layer Certificate) - TLS Mode: - No-certificate: Certificados so negociados dinamicamente utilizando o algoritmo de Deffie-Helmman. - Dont-verify-certificate: exige o certificado, porm no o confere com uma entidade certificadora. - Verify-certificate: exige e verifica o certificado. - TLS Certificate: Habilita um certificado importado em /Certificates

-Static Keys: Utilizado em caso de WEP

Referncias: - Mikrotik Wiki - http://wiki.mikrotik.com/wiki/ dos) digitando-se diretamente na interface. Valores sugeridos de Ack-Timeout

Nstreme dual Step-by-Step


From MikroTik Wiki
Jump to: navigation, search

Here is a step-by-step explanation how to enable nstreme dual on a fresh installed MikroTik devices:

I. MikroTik Device 1 1.1. Enabling wireless cards 1 and 2:


[admin@MikroTik] > interface enable wlan1 [admin@MikroTik] > interface enable wlan2

1.2. Assigning IP address to the ethernet interface:


[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=ether1

1.3. Creating bridge interface:


[admin@MikroTik] > interface bridge add

1.4. Adding ethernet interface to the bridge interface:


[admin@MikroTik] > interface bridge port add interface=ether1 bridge=bridge1

1.5. Setting wireless cards 1 and 2 to nstreme mode:


[admin@MikroTik] > interface wireless set wlan1 mode=nstreme-dual-slave [admin@MikroTik] > interface wireless set wlan2 mode=nstreme-dual-slave

1.6. Creating nstreme dual interface and setting Tx and Rx radios and frequencies:
[admin@MikroTik] > interface wireless nstreme-dual add rx-radio=wlan1 txradio=wlan2 rx-band=5ghz tx-band=5ghz rx-frequency=5180 tx-frequency=5300

1.7. Adding nstreme interface to the bridge:


[admin@MikroTik] > interface bridge port add interface=nstreme1 bridge=bridge1

1.8. Checking the MAC address of the nstreme interface (in this example: 11:11:11:11:11:11):

[admin@MikroTik] > interface wireless nstremedual print Flags: X disabled, R running 0 X name="nstreme1" mtu=1500 macaddress=11:11:11:11:11:11 arp=enabled disablerunningcheck=no tx-radio=wlan2 rx-radio=wlan1 remotemac=00:00:00:00:00:00 tx-band=5ghz tx-frequency=5300 rx-band=5ghz rx-frequency=5180 ratesb=1Mbps,2Mbps,5.5Mbps,11Mbps ratesa/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps framerpolicy=none framerlimit=2560

II. MikroTik Device 2 2.1. Enabling wireless cards 1 and 2:


[admin@MikroTik] > interface enable wlan1 [admin@MikroTik] > interface enable wlan2

2.2. Assigning IP address to the ethernet interface:


[admin@MikroTik] > ip address add address=192.168.1.2/24 interface=ether1

2.3. Creating bridge interface:


[admin@MikroTik] > interface bridge add

2.4. Adding ethernet interface to the bridge interface:


[admin@MikroTik] > interface bridge port add interface=ether1 bridge=bridge1

2.5. Setting wireless cards 1 and 2 to nstreme mode:


[admin@MikroTik] > interface wireless set wlan1 mode=nstreme-dual-slave [admin@MikroTik] > interface wireless set wlan2 mode=nstreme-dual-slave

2.6. Creating Nstreme dual interface and setting Tx and Rx radios and frequencies and setting the MAC address of the remote nstreme interface (in this example: 11:11:11:11:11:11 [step 1.8]):
[admin@MikroTik] > interface wireless nstreme-dual add rx-radio=wlan1 txradio=wlan2 rx-band=5ghz tx-band=5ghz rx-frequency=5300 tx-frequency=5180 remotemac=11:11:11:11:11:11 disabled=no

2.7. Adding nstreme interface to the bridge:


[admin@MikroTik] > interface bridge port add interface=nstreme1 bridge=bridge1

2.8. Checking the MAC address of the nstreme interface (in this example: 22:22:22:22:22:22):
[admin@MikroTik] > interface wireless nstremedual print Flags: X disabled, R running

0 R name="nstreme1" mtu=1500 macaddress=22:22:22:22:22:22 arp=enabled disablerunningcheck=no tx-radio=wlan2 rx-radio=wlan1 remotemac=11:11:11:11:11:11 tx-band=5ghz tx-frequency=5180 rx-band=5ghz rx-frequency=5300 ratesb=1Mbps,2Mbps,5.5Mbps,11Mbps ratesa/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps framerpolicy=none framerlimit=2560

III. MikroTik Device 1 1.9. Setting the MAC address of the remote nstreme interface (in this example: 22:22:22:22:22:22 [step 2.8]):
[admin@MikroTik] > interface wireless nstreme-dual set nstreme1 remotemac=22:22:22:22:22:22 disabled=no

BRIDGE TRANSPARENTE ENTRE DOIS PONTOS UTILIZANDO WDS DINMICO

RDIO 1 Crie uma interface bridge Clique no menu Bridge Clique em adicionar para que uma nova interface bridge seja criada.

No campo Name, digite o nome da interface bridge (exemplo: wds-bridge)

Clique no boto OK

- Clique na guia Ports Ser necessrio adicionar as portas Ether1 e Wlan1 bridge criada Clique em adicionar Em Interface, escolha ether1 Em Bridge, escolha a bridge criada: wds-bridge Clique no boto OK Clique novamente em adicionar Em Interface, escolha wlan1 Em Bridge, escolha a bridge criada: wds-bridge Clique no boto OK

Para que haja comunicao entre os dois equipamentos, um roteador deve ser configurado como AP (station WDS) e o outro deve ser configurado como Station

CONFIGURAO DO AP (STATION WDS) - Clique no menu Wireless - D um clique duplo na interface wlan1 Na guia Wireless, configure os seguintes campos: - Radio name: Digite o nome do rdio - Mode: Escolha a opo station wds - SSID: digite um SSID - Band: Escolha a banda 2Ghz 10Mhz (para trabalhar em 900Mhz) - Frequency: Escolha o canal 2427 (Canal 4) - Localize a guia WDS e clique nela - No campo WDS Mode, escolha a opo dynamic - No campo WDS Default Bridge, escolha a bridge criada (wds-bridge) - Clique no boto OK - Clique em adicionar - Escolha a opo WDS - Em Master Interface, escolha a opo wlan1 - Clique no boto OK Obs: Para trabalhar com 900Mhz, deve-se usar somente os canais de 3 a 6.