UGS | R ireless Syste MikrotikBrasil 23 Consultoria e Treinamentos wereswecehattogorg Integragao de EquipamentosVYUVvVV VY ireless Systems*— Um pouco sobre a MD Brasil Telecom (MikrotikBrasil) No mercado de Internet discada desde 1995 Primeiros links Wireless de 2mbps entre 4 cidades do Interior Paulista em 2000 Ministra treinamentos em Wireless desde 2002 Presta servicos de consultoria em Wireless para provedores e empresas Representante da Mikrotik - Latvia desde 2006 representando os sistemas Distribuidor Oficial de Hardware Mikrotik desde janeiro de 2007 Training Partner Mikrotik desde julho de 2007Mikrotik RouterOS uma pequena historia de grande sucesso > 1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia) > 1995: Solucdes para WISP’s em varios paises > 1996: Publicado na Internet o paper “Wireless Internet Access in Latvia” > 1996: Incorporada e Fundada a empresa MikroTikls > 2002: Desenvolvimento de Hardware proprio > 2007: 60 funcionarios ualmente: RouterOS da Mikrotik tende a ser um padrao de fato para provedores de servigo internet »dendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.Rs Route ireless Systems — O que é 0 Mikrotik RouterOS ? Um poderoso sistema operacional “carrier class” que pode ser instalado em um PC comum ou placa SBC (Single Board Computer), podendo desempenhar as fungées de: > Roteador Dedicado > Bridge > Firewall > Controlador de Banda e QoS > Ponto de Acesso Wireless modo 802.11 e proprietario > Concentrador PPPoE, PPtP, IPSeC, L2TP, etc > Roteador de Borda > Servidor Dial-in e Dial-out > Hotspot e gerenciador de usuarios > WEB Proxy > Recursos de Bonding, VRRP, etc, etc.Dr Instalagao do Mikrotik O Mikrotik RouterOS pode ser instalado utilizando: > CD Iso bootavel ( gravado como imagem ) > Via rede com o utilitario NetinstallRouterBOARD 100 series . RouterBOARD 200 ser a | | RoveerBORRO 200 series g RouterBOARD 500 series Intel/AMo PC ‘Other x86 compatible system Packages for Intel/AMD PCs * Combined Routeros package separate RouterOS packages (‘view content) + 150 image © RouterOS 18 Changelog Optional Packages © User manager pack: ¢ Wielees Package with new county settings v3 Release candidate ‘+ Combined RouterOS package separate RouterOS packages (view content) 50 mage # RouterOS 3.0rc9 Changelog Obtendo o RouterOS http://www.mikrotik.com/download.html Imagem ISO — para instalagao com C Changelog — Modificagdes verséesMikrotikBrasil |] << Routers & Wireless Systems™ Instalando por CD Uma véz baixado 0 pacote e descompactado, precisamos gerar o CD de boot No exemplo abaixo usamos o Nero para gravar o CDMikrotikbrasil | ireless Syste: ™ Instalando por CD Seleciona-se a imagem .iso descompacatada e clica-se em Burn [inteMikrotikbrasil } Instalando por CD Prepare o PC para bootar pelo CD. Apds 0 boot sera apresentada a seguinte tela:Routel ireless Systems Pacotes do RouterOS - significado System: Pacote principal com servigos basicos e drivers. A rigor 6 0 Unico que necessaramente tem de ser instalado. ppp: Suporte aos servigos PPP como PPPoE, L2TP, PPtP, etc DHCP: DHCP cliente e DHCP servidor advanced-tools: — ferramentas de diagnéstico, netwatch e outros utilitarios arlan: Suporte a um tipo de placa Aironet antiga - arlan calea: Pacote para vigilancia de conexées (exigencia legal nos EUA) gps: Suporte a GPS (tempo e posigao) hotspot: Suporte a hotspots ISDN: Suporte a conexdes ISDN led: Suporte a display de cristal liquido ntp: Servidor e cliente de NTP (relogio)Route ireless Systems™ - Pacotes do RouterOS - significado radiolan: suporte a placa Radiolan routerboard: utilitarios para routerboard’s routing: suporte a roteamento dinamico — protocolos RIP, OSPF e BGP tstp-bridge-test — protocolo rstp security: suporte a ssh, Ipsec e conexdo segura do winbox synchronous: suporte a placas sincronas Moxa, Cyclades PC300 e outras telephony: pacote de suporte a telefonia — protocolo h.323 ® ups: suporte a no-breaks APC user-manager: servico de autenticagado user-manager web-proxy: Servigo de Web-Proxy wireless: Suporte a placas Prismll e Atheros. wireless-legacy: Suporte a placas Prismll, Atheros e Aironet com algumas features inabilitadas WMikrotikBrasil | Instalando por CD Pode-se seleccionar os pacotes desejados pressionando-se a barra de espagos ou “a” para todos. Em seguida “i" ira instalar os pacotes selecionados. Caso haja configuragdes pode-se mante-las selecionando-se “y” Ce rary em using *p’ and ‘n’ or arrov keys, select vith en eran eee Sear arer es wtCownload these ree ah eer fea ieee Dude a network with more Series tases RouterOS Installation Netinstall Download the Netinstall utility to install any RouterOS version, Netinstall uses the packages you can download on the left. © Install Help © Upgrade Help {RrOUKG ras | ute ireless System Instalagaéo com Netinstall O Netinstall tranforma uma estagao de trabalho Windows em um instalador. > Obtem-se o programa no link www.mikrotik.com/download.html > Pode-se instalar em um um PC que boota via rede (configurar na BIOS) >Pode-se instalar em uma Routerboard, configurando-a para bootar via rede > ONetinstall é interessante principalmente para reinstalar em routerboards quando necessario por danos a instalacao inicial e quando se perde a senha do equipamento.R' ireless Syste: Instalagéo com Netinstall ara se instalar em uma Routerboard, inicialmente 2mos que entrar via serial, com um cabo null nodem e os parametros: >velocidade: 115.200 bps > bits de dados: 8 >bits de parada: 1 seleciona-se > Controle de fluxo: hardware Entra-se na Routerboard e 0 - boot device e depois: e - Etherboot —> Atribuir um IP para o Net }ooting na mesma faixa da laca de rede da maquina. >Colocar os pacotes a erem instalados na naquina. > Bootar e selecionar os <6 Provides wept on dake Azoret Adan card acotes a serem instalados. DHCP chet and server Preis wpe tor GPS ProvidesMikrotikbrasil Route ireless Systems 7. Acesso ao Mikrotik O processo de instalagao nao configura um IP no Mikrotik e o primeiro acesso pode ser feito das seguintes maneiras: ~> Direto na console (no caso de PC's) > Via Terminal (115200/8/N/1 para routerboards e 9600/8/N/1 para PC's) > Via Telnet de MAC, através de outro Mikrotik ou de sistema que suporte telnet por MAC e que esteja no mesmo barramento fisico de rede. > Via Winbox= a Mikrotikbrasil Route ireless Systerr Console do Mikrotik Na console do Mikrotik tem-se acesso a todas as configuracées por um sistema de diretorios hierarquicos pelos quais se pode navegar digitando o caminho. Exemplo: {admin@MikroTik] > ip [admin@MikroTik] ip> address Pode-se voltar um nivel de diretorio digitando-se .. [admin@MikroTik] ip address> .. [admin@MikroTik] ip> Pode-se ir direto ao diretorio raiz, digitando-se / {admin@MikroTik] ip address> / [admin@MikroTik] >= a Mikrotikbrasil Route ireless Systerr Console do Mikrotik Ajuda > ? Mostra um help para o diretorio em que se esteja - [Mikrotik] > ? > ? Apos um comando incompleto mostra as opgdes disponiveis para esse comando - [Mikrotik] > interface ? Tecla TAB > Comandos nao precisam ser totalmente digitados, podendo ser completados com a tecla TAB >Havendo mais de uma opgao para 0 ja digitado, pressionar TAB 2 vezes mostra todas as opcées disponiveis.Routel ireless Systems Console do Mikrotik Print: mostra informagdes de configuracao [admin@MikroTik] interface ethernet> print Flags: X - disabled, R - running # NAME MTU MAC-ADDRESS ARP 0 Rether1 1500 00:03:FF:9F:5F:FD enabled Pode ser usado com diversos argumentos como print status, print detail e print interval. Exemplo: [admin@MikroTik] interface ethernet> print detail Flags: X - disabled, R - running 0 Rname="ether1" mtu=1500 mac-address=00:03:FF:9F:5F:FD arp=enabled disable-running-check=yes auto-negotiation=yes full-duplex=yes cable- settings=default speed=100MbpsRoutel ireless Systems Console do Mikrotik Print: mostra informagdes de configuracao [admin@MikroTik] interface ethernet> print Flags: X - disabled, R - running # NAME MTU MAC-ADDRESS ARP 0 Rether1 1500 00:03:FF:9F:5F:FD enabled Pode ser usado com diversos argumentos como print status, print detail e print interval. Exemplo: [admin@MikroTik] interface ethernet> print detail Flags: X - disabled, R - running 0 Rname="ether1" mtu=1500 mac-address=00:03:FF:9F:5F:FD arp=enabled disable-running-check=yes auto-negotiation=yes full-duplex=yes cable- settings=default speed=100MbpsR ireless Systems — Console do Mikrotik Comando Monitor Mostra continuamente varias informagdes de interfaces [admin@Escritorio] > interface ethernet monitor ether1 status: link-ok auto-negotiation: done tate: 100Mbps full-duplex: yes default-cable-setting: standard 20Routel ireless Systems Console do Mikrotik Comandos para manipular regras > add, set, remove > adiciona, muda ou remove regras > disabled > desabilita a regra sem deletar > move > move algumas regras cuja ordem influencie( firewall por exemplo ) Comando export > exporta todas as configuragées do diretorio corrente acima (se estiver em /, do roteador todo) pode ser copiado com 0 botao direito do mouse e colado em editor de textos > pode ser exportado para um arquivo com export file=nome do arquivo Comando import > importa um arquivo de configuragées criado pelo comando export. 2Mikrotikbrasi ireless System Obtem-se o Winbox na URL abaixo ou direto em um mikrotik www.mikrotik.com/download.htm| Winbox Tools / Utilities + Winbox configuration toot * Neighbor newer for Windows © Other tools in the archive iterface Grafica para administracao do Mikrotik > Funciona em Windows e Linux ( Wine ) > Utiliza porta TCP 8291 Se escolhido Secure mode a comunicagao é criptografada > Quase todas as funcionalidades do terminal podem ser configuradas via WINBOX 2ireless Systems™ Winbox Com o Winbox é possivel acessar um Mikrotik sem IP, através do seu MAC. Para fanto popnha os dois no mesmo barramento de rede e clique nas reticéncias Seal Corvect To: [OOCRIF F 5FD | Lege [oder beep Posmerd 1 Seas odd Lond PrevourSeesen Tot Noe frasote Clique para encontrar o Mikrotik ‘Adjess TU [Note IK O acesso pelo MAC pode ser feito para fazer as configuragées iniciais, como dar um enderego IP para o Mikrotik. Apés ter configurado um IP e uma mascara de rede. aconselha-se preferencialmente o acesso via IP que é mais estavel. 8MikrotikGrasil I Route ireless Systems” Configuracgéo no modo seguro Pressionando-se control+X em um terminal pode-se operar o Mikrotik com a possibilidade de desfazer as configuracoes sem que elas sejam aplicadas. = TT i Woot meat oot 12 FOR WOR RARER 000000 TET EEE 1K mmm mom Hi fox. wR FR oO) coo TIT «Ti mom mo mmm iit fox tox RARER 00D 000 Tr HHT la Ha mo mot HIE WK OM FAR FAR 000000) THT HT WK inroTax Routers 2.9.46 (e) 1999-2007 —hetpi/mm.atncotth.coa/ Operando no modo seguro Ferainai vei02 detected, uring multiline smpye€Sae (adainBaPCenteal) > (Sage Hode vaken) ledasn@arCenteal) CSAP 24Routel ireless Systems Configuragao no modo seguro > Se outro usuario entra no modo seguro, quando ja ha um nesse modo, lhe sera dada a seguinte mensagem: [admin@MKBR100] > Hijacking Safe Mode from someone — unroll / release / don’t take it [u/r/d] u > desfaz todas as configuragdes anteriores feitas no modo seguro e poe a presente sessao em modo seguro d > deixa tudo como esta ‘> mantém as configuragdes realizadas no modo seguro e poe a sesso em modo seguro. O outro usuario recebe a mensagem: [admin@MKBR100] Safe mode released by another user 25Routel ireless Systems Configuragao no modo seguro > Todas as configuragées sao desfeitas caso o modo seguro seja terminado de forma anormal. > Control+X novamente ativa as configuragoes > Control+D desfaz todas as configuragées realizadas no modo seguro. > Configuragdes realizadas no modo seguro sao marcadas com uma Flag “F”, até que sejam aplicadas. > Ohistorico das alteragdes pode ser visto (nao so no modo seguro) em /system history print > |mportante: O numero de registros de historico é limitado a 100. As modificagées feitas no modo seguro que extrapolem esse limite nao sao desfeitas nem por Control+D nem pelo término anormal do modo seguro. 26R' ireless Syste: Manutengao do Mikrotik > Backups >Acréscimo de funcionalidades >Detalhes do licenciamento 27UOC OS | R ireless Syste: ST RovRerBOSR0 100 series RouterBOARD 200 seres Ty RovrerBOSR0 300 series RovterBORRD 300 series InteYAMO PC ‘Other x86 compatile system Packages for Intel/AMD PCs * Combined Routeros package # Separate RouterOS packages (vie * 150 image © RouterOS 2.9.48 Changelog Optional Packages * User manager package © Wireless Package with new country settings v3 Release candidate # Combined RouterOS package © Separate RouterOS packages (view content) * 150 image # RouterOS 3.0rc9 Changelog Manutengao do Mikrotik Atualizagdes > As atualizagées podem ser feitas com 0 conjunto de pacotes combinados ou com os pacotes separados disponiveis no site da Mikrotik. > Os arquivos tem a extensao -npk e basta coloca-los no diretério raiz do Mikrotik e boota- lo para subir a nova versdo. > O upload pode ser feito por FTP ou copiando e colando no Winbox. 28MikrotikBrasil ireless Syste! ST RouterBOARD 100 series RouterBOARD 200 seres Ty | | RovrerBOSR0 300 series RouterBOARD $00 series InteYAMO PC ‘Other x86 compatible system Packages for Intel/AMD PCs * Combined RouterOS package # Separate RouterOS packages (vie * 150 image © RouterOS 2.9.48 Changelog Optional Packages * User manager package © Wireless Package with new country settings v3 Release candidate # Combined RouterOS package © Separate RouterOS packages (view content) * 150 image # RouterOS 3.0rc9 Changelog Manutengao do Mikrotik acréscimo de novas funcionalidades > Alguns pacotes nao fazem parte da distribuigao normal mas podem ser instalados posteriormente. Exemplo o pacote User Manager.. > Os arquivos também tem a extensdo .npk e basta coloca-los no diretorio raiz do Mikrotik e boota-lo para subir a nova versao. > O upload pode ser feito por FTP ou copiando e colando no Winbox. 29Route! ireless System™ = ie Manutengao do Mikrotik Manipulacao de pacotes \guns pacotes podem n€o ter sido instalados no momento da instalagdo ou podem estar lesabilitados. Pacotes podem ser habilitados/desabilitados de acordo com as necessidades verifica-se e manipula-se o estado dos benim ahaa pacotes em/ system packages Pacote desabilitado —_____ —— Se 0 pacote nao tiver sido instalado, para faze-lo devemos encontrar o pacote de mesma Aug/01 2000 14.0643 versao, fazer um upload para o Mikrotik que este sera automaticamente instaladoikrot Brasil ireless Systern Manutengdo do Mikrotik Manipulacao de pacotes Existem os pacotes estaveis e os pacotes “test”, que estao ainda sendo reescritos e podem estar sujeitos a bugs e carencia de documentagao. Quando existem 2 iguais e um é test deve-se escolher um deles para trabalhar. web-proxy e web-proxy-test ‘aup/O1 2007 140617 ‘aug/01 20 14.05 43Routel ireless Systems™ ~ ar Manutencao do Mikrotik Backup Para efetuar o Backup, basta ir em Files e clicar em Backup copiando 0 arquivo para um lugar seguro. Para restaurar, basta colar onde se quer restaurar e clicar na tecla Restore BS: O Backup feito dessa forma ao ser restaurado em outro hardware tera problemas com ferentes enderegos MAC. Para “backupear” partes das configuragdes use 0 comando expoMikrottkBrastl |< Routel ireless Systems Versdo 2.9 ou versao 3.x 7? Atualmente estamos no final da série 2.9.x e partindo para a v3, que esta em fase de “release candidate” Diferencas basicas das versdes : 2.9.x > Linux Kernel 2.4.31 3x > Linux Kernel 2.6.20 Compatibilidade de Hardware na v3: > Suporte a SMP (multiprocessamento) Suporte a discos SATA > RAM maxima aumentada de 1 GB para 2 GB > Varias interfaces de rede novas suportadas ~>Descontinuados alguns suportes e hardwares antigos 33MikrottkBrastl |< Routel ireless Systems Licenciamento do Mikrotik Detalhes de licenciamento > Achave é gerada sobre um software-id fornecido pelo proprio sistema > Fica vinculada ao HD ou Flash > Alicenga pode ser “colada” na janela de terminal ou enviada por ftp > Esse HD / Flash pode ser montado em qualquer outro computador aproveitando a licenga > Importante: a formatagdo com ferramentas de terceiros faz perder a licenga instalada 34Arp UK Gras R ireless Syste: vis Politica de Licenciamento > As Licengas nunca expiram > Podem ser ser atualizadas para ultima versdo do proximo release. (: 2.9.x > Sbeta > 3.x > Podem ser usadas varias interfaces eet , . 2. thee 1 > Uma licenga por maquina {Sr come 160%) wien Kas) ome |R' ireless Syste: Duvidas e esclarecimentos adicionais sobre > Instalagao ? > Acesso ? > Manutengao ? > Licenciamento ? 36OS EE Route’ ireless Systems _ Nivelamento de conceitos basicos de Redes TCP/IP e suas implementagées no Mikrotik 37Dh —————— Route ireless Systems® — O Modelo OSI (Open Systems Interconnection) Acamada fisica define as caracteristicas técnicas dos dispositivos elétricos . que fazem parte da rede > E nesse nivel que esto definidas as especificagdes de cabeamento estruturado, fibras oticas, etc. No caso de Wireless, é na camada | que se definem as modulacées assim como a frequencia e largura de banda das portadoras Sao especificagdes de Camada |: RS-232, V.35, V.34, Q.911, T1, E1, 10BASE-T, 100BASE-TX , ISDN, SONET, DSL, FHSS, DSSS, OFDM etc 39RPS ireless Syste: Camada | - Fisica Germal Weeless OwaRiaee Advanced WOS Nibeme pee Mode: [abe =] S900. ey tune [SGHTTOME Exemplo de configuragao da camada eau. a ica vege kl fisica: Semin F] Seo Pie: [dooa I . Escolhe-se a banda de transmissao Frequency Mode | manual ipower ie a forma com que o radio ira se Country, |r0_courtry_set 3 comportar hetero Gon fem DFS Mode: [none = Propaielary Emensions: | post? 3 25 > Delo aP Tee [ bee Detoua leet Taine PS tee Dela huhertcste F Ont Formas Hide Ssi0 iGExemplo de configuracao fisica da Interface Wireless No lado do AP 1 > Configurar 0 AP, definindo banda, canal, modo de operagao e nome de rede No lado dos alunos: 1 > Configurar como station, com o mesmo nome de rede e banda 2 > Na aba Wireless, no campo Radio name, colocar o seu numero e nome, no seguinte padrao: XY-SeuNome 4)MikrottkBrastl |< Routel ireless Systems Camada II - Enlace > Camada responsavel pelo enderegamento fisico, controle de acesso ao meio e corregao de erros da camada | > O enderecamento fisico se faz pelos enderegos MAC (Controle de acesso ao meio) que so (ou deveriam ser) Unicos no mundo e que sao atribuidos aos dispositivos de rede > Bridges sao exemplos de dispositivos que trabalham na camada II. S&o especificagdes de Camada II: Ethemet, Token Ring, FDDI, PPP, HDLC, Q.921, Frame Relay, ATM 42R' ireless Syste: Camada II - Enlace Exemplo de configuracaéo de Camada Il (Enlace) > No AP Central: criar uma Bridge entre as interfaces Wireless 43US — —————— Camada Ill - Rede > Responsavel pelo enderecamento ldgico dos pacotes > Transforma enderegos ldgicos em enderegos fisicos de rede > Determina a rota que os pacotes iro seguir para atingir 0 destino baseado em fatores tais como condigdes de trafego de rede e prioridades. > Define como os dispositivos de rede se descobrem e como os pacotes sao roteados ao destino final. Estao na Camada III: IP, ICMP, IPsec, ARP, RIP, OSPF, BGP. 44US — —————— Protocolo IP E um protocolo cujas fungées principais sao: > enderegamento > roteamento As principais fungées do protocolo IP séo enderegamento e roteamento pois este fornece de uma maneira simples a possibilidade de identificar uma maquina na rede (enderego IP) e uma maneira de encontrar um caminho entre a origem e 0 destino (Roteamento). 45= a Mikrotikbrasil Route ireless Systerr Enderegamento IP O Protocolo TCP/IP utiliza 4 sequencias de 8 bits (octetos) para representagao dos enderecos IP: Exemplo : 11000000.10101000,000000001.000000001, em notagao binaria, convertida para decimal fica: 11000000 > 2°7+2% = 128464 = 192 10101000 > 247+2'5+2%3 = 128+32+8 = 168 00000001 > 20 =4 00000001 => 2°0 =4 > 192.168.1.1 46= a Mikrotikbrasil Route ireless System Mascaras de rede Computadores em uma rede TCP/IP fazem uso das mascaras de rede para separar computadores em sub-redes. As mascaras de rede sao tambem 4 octetos binarios Como abaixo representado: 11111114.11111111.11111111.00000000 11111111 > 247 + 296 + 245 + 24 + 293 + 292 + 2" = 255 mascara equivalente em decimal: > 255.255.255.0 4TMikrotikbrasil Route ireless Systems 7. Mascaras de rede Além da forma bindaria e decimal as mascaras de rede podem ser representadas pela notagao em bitmask (soma dos bits que compe a mascara); Exemplos: 11144194.99111911.11111111.11111711 > decimal : 255.255.255.255 > bitmask: /32 11111144.11414911.11111111.11111100 > decimal: 255.255.255.252 > bitmask: /30 11111111.00000000,00000000.0000000 > decimal: 255.0.0.0 > bitmask: /8 4gireless Systems*— Enderegamento de rede Para separar computadores em sub redes é realizada uma multiplicagao binaria do enderego IP com a mascara de rede, sendo entao calculado o endereco de rede para aquele host. Exemplo: 200.200.200.10 com mascara 255.255.255.192 (ou /26) | Decimal 1oclelo Zoctelo | 3ecteto _| Aocteto iP | 200.200.200.10 11001000 11001000 11001000 | 00001010 Mask | 255.255.255.192 Mulliplicacao binéria 11111111 11111111 11111111 11000000 49Mikrotks Systems® 200.200.200.10/26 > 200.200. 200.20/26 1octeto Enderegamento de rede 2ocleto 3octelo Aocleto r 11001000 191111111 1ocleto 11001000 11001000 11199111 2ocleto 11001000 11001000 3octelo 11001000 00001010 11141111 11000000 11111111 14419111 11911111Mikrot Brasil 1. Route’ ireless Systems 200.200.200.10/26 > 200.200.200.200/26 Enderegamento de rede Decamal 1octeto 2oclelo 3oclelo Aodcielo IP 200.200.200.10 11001000 11001000 11001000 00001010 Mask | 255.255.255.192 11111111 11411411 11111111 1100000 Decimal 1ocleto 2oclelo 3oclelo Aodcielo IP 200.200.200.200 11001000 11001000 11001000 11001000 Mask | 255.255.255.192 11111111 19911411 11911111 11000000Enderegos IP no Mikrotik ese aes Pwowwi0w — w10100 101010255 eter? P17 1a 100129 TEI MOO 78181007 wand | Adoens: ITO TION Neewo: TOTO IOS Adtran: [518 OOS Botan: fio TO IRS Neewose: [ITE TS TOO etetace: fete? =] | peaseoe: frie 17 Atentar para a especificag4o correta da mascara de rede que determinara o enderego de rede e o de broadcast 52R' ireless Syste: Configuragao de Rede No AP Central: 1 > Cadastrar o IP 192.168.100.254 com mascara 255.255.255.0 na wlan1 Nos alunos: 1 >Cadastrar um IP 192.168.100.XY com mascara 255.255.255.0 wlan1 do Mikrotik 2 >Como ficou sua tabela de rotas ? 53ireless Systems*— Protocolo ARP (Address resolution Protocol) > Utilizado para associar IP’s com enderegos fisicos — faz a interface entre a camada II ea camada lll. > Funcionamento: > Osolicitante de ARP manda um pacote de broadcast com a informagao do IP de destino, IP de origem e seu MAC, perguntando sobre o MAC de destino > O Host que tem o IP de destino manda um pacote de retorno fornecendo seu MAC > Para minimizar os broadcasts devido ao ARP, so mantidas no SO, as tabelas ARP, constando o par IP - MACR' ireless Syste: Protocolo ARP (Address resolution Protocol) > Observe a tabela ARP do AP > Consulte sua Tabela ARP > Torne a entrada do AP em uma entrada estatica, clicando com o bot&o direito e “Make Static” 55Mikroti Brasil Roteamento No AP Central: 1 > Cadastrar a rota default no AP Central. Nos alunos: 1 > Cadastrar a rota default 2 > Como ficou sua tabela de rotas ? 56MikrotikGrasil R ireless Syste: Cenario inicial do Curso 172.186.255.130 \Ta1606 400: ~9192.168.100.XvI28 “ypp192.168.100.xv/24 OP192.168.100.xv/24 10.10.X¥.1/24 10.10.X¥.1/24 | 10.10.XY.1724 8 1O.10.XY.1/24 10.10.XY.226 10.10.xv.206 10.10.X¥.2/286 10.10.XY.226 5STR' ireless Syste: Configuragéo de DNS No AP Central: 1 > Configure o DNS apontando-o para o DNS da operadora Nos alunos: 1 > Configure o DNS apontando para o AP Central 2 > Teste a resolugao de nomes a partir do seu mikrotik 58= a Mikrotikbrasil Route ireless System Camada IV - Transporte > No lado do remetente é responsavel por pegar os dados das camadas Superiores dividir em pacotes para que sejam transmitidos para a camada de rede. > No lado do destinatario pega os pacotes recebidos da camada de rede, Temonta os dados originais e envia as camadas superiores. Estéo na Camada IV: TCP, UDP, RTP, SCTP 59Routel ireless Systems Protocolo TCP O TCP é um protocolo de transporte e executa importantes fungdes para garantir que os dados sejam entregues de uma maneira confiavel, ou seja, sem que os dados sejam corrompidos ou alterados. 60MikrottkBrastl |< Route ireless Systems* Caracteristicas do protocolo TCP > Garante a entrega de datagramas IP > Executa a segmentacao e reagrupamento de grandes blocos de dados enviados pelos programas e Garante o sequenciamento adequado e entrega ordenada de dados segmentados. > Verifica a integridade dos dados transmitidos usando calculos de soma de verificagéo > Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados. Ao usar confirmagées seletivas, também sao enviadas confirmagdes negativas para os dados que nao foram recebidos > Oferece um método preferencial de transporte de programas que devem usar transmissao confiavel de dados baseada em sessdes, como bancos de dados Cliente/servidor e programas de correio eletrénico 61nee R ireless Syste: i y TCP | == Datagrama de IP wae] Cabegalho de IP Carga de IP |-——— Segmento de TCP ——| Cabegalho de TCP Os segmentos TCP sao encapsulados e enviados em datagramas IP 62(6s!) R ireless Syste Servidor Servidor Telnet Web Porta TCP 23 | Porta TCP 80 Portas TCP O uso do conceito de portas, permite que varios programas estejam em funcionamento, ao mesmo tempo, no mesmo computador, trocando informagdes com um ou mais servicos/servidores. Portas abaixo de 1024 sao registradas para servicos especiais 63ireless Systems*— Estabelecimento de uma conexado TCP Uma conexdo TCP é estabelecida em um processo de 3 fases: > O “Cliente” a conexéo manda uma requisigao SYN contendo o numero da porta que pretende utilizar e um numero de sequencia inicial. > O ‘Servidor’ responde com um ACK com o numero sequencial enviado +1 e um pacote SYN com um outro numero de sequencia > O “Cliente” responde com um ACK com o numero recebido do SYN +1 SYN (100) ACK (101), SYN (400) Cliente Servidor ACK (401) 64M Krotikbrasil Route -_ - ireless Systerr Enviando dados com TCP O TCP divide o fluxo de dados em segmentos > oremetente manda dados em segmentos com um Data 1 numero sequencial _C_ > 0 destinatario acusa 0 recebimento de cada ACK C segmento £2 g > oremetente manda os dados seguintes Ss Data 2 F > se nao recebe a confirmagao do recebimento, Q 4 & 9 manda novamente ® NOACK z a . . Data 2 No caso da conexdo ser abortada uma flag RST é eee mandada ao remetente ACK 65Se Encerrando uma conexao TCP O processo de encerramento também é feito em 4 fases: - Remetente manda um pedido de FIN - Destinatario responde acusando o recebimento com um ACK - Destinatario manda seu pedido de FIN - Remetente envia um ACK FIN Cliente ACK Servidor FIN ACKUS — —————— Protocolo UDP - O UDP (User Datagram Protocol) é utilizado para o transporte rapido entre hosts - O UDP é um servico de rede sem conexdo, ou seja nao garante a entrega do pacote - Mensagens UDP s&o encapsuladas em datagramas IP | << Datagrama de IP | Cabegalho de IP Carga de IP <= Mensagem de UDP. ——| Cabegalho se BOP ¥ 67Route! ireless System™ Comparagao TCP e UDP UDP TCP Servigo sem conexdo. Nao é estabelecida | Servico orientado por conexao. Uma ‘sessao entre os hosts sessao é eslabelecida entre os hosts. [WP orn nie ace Garanle a entrega através do uso de dos dados confirmag4o e entrega sequenciada dos dados Os programas que usam UDP sao Os programas que usam TCP lem responsaveis pela confiabilidade garantia de transporte confiavel de dados Rapido, exige poucos recursos oferece Maislento, usa mais recursos e somente ‘comunicacao ponto a ponto e ponto da suporle a ponto a ponto multiponio‘FiterRiles NAT Mange Senice Pots Connectors |Adires Late [S) [era 1s Ate (Oe Atom [Pato (Correct. (Correcs [POP [TOP Sate Temes | AK Veta mmadsty ea7 se 1s0W0e0T St) ore) ‘enabiared 15.0000 TK Wibimaasiss 2456216195520 Sta) reel fetblared 14.0000 ‘(A Bienes 2012872660822 bho) ror) etblabed 140000 (A Wiimacs wss7ozs Sta) ree aatiared 140000 (A Wire imesin7 2012042071056 649) rere) fetclared 140000 | Uneasy worm20 nse 619) roe) oe 21S A Weurnss USI BONS te) fre) enue 15423 U Wiemssie se1s528257 She) ere) See NB |U 17818100651883 6527197759569 Ste) reo) ce 8S |S reroogsizzs 19017242211 2008 6 te) rere) ae 21035 [W175 18 100651794 1 202 2003734158 6 fon), ‘pore) J now IU v7eseopesey Gaze 10 aE Fb) eve) coe 21492 Us rmDsseue ses z—7577 St) ror) exons 215146 | 189.1866 3225 1000851 She) fro) oe NSE Usman? Moieae7 —_17um) fee) cones Total ties 19 (ax Erte: 35850 69R' ireless Syste: Fazendo uma conexao TCP Nos alunos: 1 > Abrir uma sesso de FTP para o IP do nosso servidor de FTP 2 > Verifique a sua tabela de Connection Tracking No AP Central: 1 > Exibir a tabela de Connection Tracking 70UGS | R ireless Syste Duvidas ou consideragdes acerca de: > Camadas fisica / enlace / rede / transporte / aplicagao > Protocolo IP / Mascaras de rede ? > Protocolo ARP ? > TCP? > UDP? aLMikrottkBrastl |< Routel ireless Systems Setup | - Configuragao da sala em modo roteado 1 > Certifique-se do funcionamento da conexdo fisica do seu Mikrotik ao AP do Curso pela Wireless, assim como os IP’s configurados anteriormente. 2 > Configure seu Laptop com o IP 10.10.XY.2/24, gateway 10.10.XY.1 e DNS 10.10.XY.1 3 > Configure o DNS do seu Mikrotik apontando para 192.168.100.254 nao esquecendo de marcar allow remote requests 4 > teste as conectividades: Laptop > seu Mikrotik seu Mikrotik > AP Central Laptop > AP Central 5 > O que precisa ser feito para funcionar tudo ? 2TOUR Bras | ee ireless Syste Setup Il - Configuragao da sala com NAT > Configure o mascaramento de rede > Teste a conectividade com o mundo exterior. > Apague backups anteriores eventualmente feitos e faga um backup de suas configuragdes > Salve os backups tambem no seu Laptop. Elas serdo tteis durante 0 curso. 73tkrotikbrasil Rout ireless Systems Mikrotik & WirelessConfiguragdes da camada Fisica Bandas de operacgaoMikrotikBrasil |] spalhamento espectral em seqUéncia direta. 2.4Ghz-B/G: Modo misto 802.11b e 802.119 que permite as velocidades acima 802.1 1b e 6 ), 12, 18, 24, 36, 48 e 54 mbps quando em G. Utiliza OFDM em 802.11g 2.4Ghz-only-G: Modo apenas 802.119.IRS UKGras!| | es R ireless Syste: 7 Canais do espectro de 5Ghz 52 coeiers total 20 Mhz Em termos regulatorios a faixa de 5 Ghz é dividida em 3 faixas: > Faixa Baixa: 5150 a 5250 e 5250 a 5350 (Mhz) > Faixa Média; 5470 a 5725 (Mhz) > Faixa Alta: 5725 a 5850 (Mhz)MikrotikBrasil | << Routers & Wireless Systems™ Aspectos Legais do espectro de 5Ghz ede) reece) ieePaue) Frequéncas 5150-5250 5250-5350 5470-5725 5725- 5850 Largura 100Miz = 100 Mhz 255 Mhz 125 Mhz canals Acanas Acanas 11 canags Scanas Delecedo de radar Deleceao de radarireless Systems*— 5Ghz: Modo 802.1 1a — opera na faixa de 5 Ghz, baixa média e alta e permite velocidades 1ominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps Freqiiéncia (Mhz) | 5150-5350 _| 5470-5725 _| 5725 - 5850 Langura faxa 200 Mhz 255 Mhz 125 Mhz Nomero de canass 4 nN 5 82Canalizagéo em 802.11a Modo Turbo > Maior troughput ~> Menor ntimero de canais ~>Maior vulnerabilidade a interferéncias >Requerida sensibilidade maior > Diminui nivel de potencia de Tx 83ireless Systems*— 5Ghz-turbo: Modo 802.112 - opera na faixa de 5 Ghz, baixa média e alta e permite elocidades nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps Freqiiéncia (Mhz) | 5150-5350 _| 5470-5725 _| 5725 - 5850 Langura faxa 200 Mhz 255 Mhz 125 Mhz Nomero de canass 2 5 2 84Mikrott Brasil R ireless Systems® Canalizagao em 802.114 Modos 10 e 5 Mhz > Menor troughput ae = >Maior numero de canais Menor vulnerabilidade a interferéncias i >Requerida menor sensibilidade > Aumenta nivel de potencia de Tx 85MikrottkBrastl |< Route ireless Systems* Faixa de 900 Mhz No Brasil, de acordo com a resolugao 506/2008, é possivel a utilizagao da faixa de 900 Mh: sem licenga. Esta faixa de freqliéncias tem sido empregada para aplicagdes com visada parcial ou até sem visada. No entanto seu emprego deve ser cuidadoso para atender a legislagao.. CO UMMM Frequencia (Mhz) | 902-9075 | 915-928 conf resol 506: Largura face 5.5 Mhz 13. Mhz canais que 0 fabricante garante o funcionamento: Na V3: Canal 3 -> 922 Mhz (10Mhz, 5Mhz) Canal 4 -> 917 Mhz (20Mhz, 10Mhz, 5 Mhz) Feiner Canal 5 -> 912 Mhz (20Mhz, 10Mhz, 5 Mhz) ieel, nes [Des inact Canal 6 -> 907 Mhz (10Mhz, 5Mhz) beng = tone 2468 . Freeswey, {9 une Variagdes possiveis no Brasil: S90: [gy - Canal 3 -> 922 Mhz (10Mhz, 5Mhz) Canal 4 -> 917 Mhz (10Mhz, 5 Mhz) 86ret R ireless Syste: Configuragdes da camada Fisica Poténcias 87$850, [Mow Th la. Site @ Rado Mane; [BAC160780 tes * . ites ® sen ue does 8 Seat Pte east . Deiter 7 persed * Freqsncy Mode: manus tomer 3 sees x“ Court ro corey. set 3 prune Mode eters # . tere Gar (0 Py > default: nao interfere na potencia original do cartéo > card rates: fixa mas respeita as variagdes das taxas para diferentes velocidades > all rates fixed: fixa em um valor para todas velocidades > manual: permite ajustar potencias diferentes para cada velocidadeSttk Gras!) es Route ireless System : Gerard Wetoss Cate Rates Advanced WOS ke al onfiguragdes da camada Fisica - Poténcias tne [tiates fanavey (302 = (a aa = 7 Rado Name: 00004210780 a, Pom i i ae apes : seo i ac) : insiasy omen — 8 bees 5 fitter 8 rtena Quando a opgao “regulatory domain” esta sendo utilizada, somente as frequencias permitidas no pais selecionado em “Country” estarao disponiveis. Alem disso 0 Mikrotik Ajustara a potencia do radio para atender a regulamentagao do pais, levando em conta o valor em dBi informado no campo “Antenna Gain” OBS: Até a versao 3.11 tal ajuste nao era feito corretamente para o Brasil.Configuragdes da camada Fisica selecdo de antenas Em cartées de radio que tem duas saidas para Antenas é possivel uma ou outra. Antena a: utiliza a antena a (main) para tx e rx > Antena b: utiliza a antena b (aux) para tx e rx >r-altx/b: recepgao em a e transmissdo em b > tx-a/rx-b: transmissdo em a e recepgao em b General Weeiess Data ates Advanced WOS Mode: (aton Band (245K = Frequency: (2412 ave $900. [MieoTk - Rado Name: (G00C42160 760. ‘Sean Ut ~ Securty Protie: defo * Frequency Mode: regdtcry omen * Country trast Aeterna Mode: ‘wterna 8 * eee on, ° 90Configuragdes da camada Fisica DFS no radar detect: escaneia 0 meio e escolhe o canal em que for encontrado o menor numero de redes radar detect: escaneia o meio e espera 1 minuto para entrar em operacao no canal escolhido se nao for detectada a ocupacado nesse canal. O modo DFS (Selegao Dinamica de Frequéncia) é obrigatorio para o Brasil nas faixas de 5250- 5350 e 5350-5725 ieee General Weis Duta Rater Advanced WOS OFS Mee: Proonatany Btersore so bnoge age’ a2 MicoTict (ooocarie0700 Satins 92IAs tkE ras! |e ireless Syste Ra General Weviss |Outa Rates Advanced WOS Configuragdes da camada Fisica ate: oon 5 Prop. Extensions e WMM support ee ee indo Nome: [900082180780 Sean ut . Proprietary Extensions: Opgao com a unica Seaaty Pte: dead . finalidade de dar compatibilidade ao Mikrotik Frain Hede: [naval beer . com chipsets Centrino (post-2.9.25) Cty: (ro courts . eter Mote; ater 8 . stare Gan: (6 @ —>WNM support: QoS no meio fisico (802.11e) FS Made: rar dtet . +> enabled: permite que o outro dispositivo mee eres eeratae = WO Sippot aati . use wmm se | | ae da A? Tg: (and > required: requer que 0 outro dispositio use wmm 93Routel ireless Systems Genera) Vlveoes (Date Rates Advnced WOS Configuragdes da camada Fisica woe Bes : AP e Client Tx Rate / Compression ee a Rao Name: [000042160780 > Default AP Tx Rate: Taxa maxima em bps meee dain ; que o AP pode transmitir para cada um de seus oo . clientes. Funciona para qualquer tipo de cliente Courtesy et : > Default Client Tx Rate: Taxa maxima em bps Rohewe Mode: later 5 que 0 Cliente pode transmitir ao AP. Sd funciona fone oe para clientes Mikrotik. ors Nate: Se. z . « Proc Etersore, p08 2928 . > Compression: Recurso de compressao em Witt Suppot:rabled : Hardware disponivel no Chipset Atheros. Rake hes as Melhora desempenho se o cliente possuir esse Oak Ga ane fas ee recurso. Nao afeta clientes que nao possuam. Gi ouch Adonis Del Formed (Recurso incompativel com criptografia)Route ireless Systerr = a Configuragdes da camada Fisica Data Rates Avelocidade em uma rede Wireless é definida pela modulag&o que os dispositivos conseguem trabalhar. > Supported Rates: Sao as velocidades de trafego de dados entre AP's e clientes . Basic Rates: Sao as velocidades que os dispositivos se comunicam independentemente do trafego de dados em si (beacons, mensagens de sincronismo, etc) Embora o proprio manual do Mikrotik aconselhe deixar as velocidades em seu default, melhores performances sao conseguidas evitando trabalhar em baixas velocidades 95Route’ ireless System _ . Configuragdes da camada Fisica Ack Timeout Dados —_—_OoOOO —_— Ack O Ack Timeout é 0 tempo que um dispositivo Wireless espera pelo pacote de Ack que deve ser enviado para confirmar toda transmiss&o Wireless. dynamic : O Mikrotik calcula dinamicamente 0 Ack de cada cliente mandando de tempos em tempos sucessivos pacotes com Ack timeouts diferentes e analisando as respostas. indoors: valor constante para redes indoor. > pode ser fixado manualmente digitando-se no campo. 96R ireless Syste: Configuragdes da camada Fisica Valores referenciais para Ack Timeout ack-timeout SGHz SGHz-turbo 2.4GHz-G | default default default | Skm 82 30 62 | 10km 85 48 96 | 1skm 121 67 133 | 20km 160 89 174 | 25km 203 1 219 | 30km 249 137 368 168 OBS: Valores orientativos. Valores ideais podem estar em uma faixa de +- 15 microsegundcRoutel ireless Systems Configuragdes da camada Fisica Tete > (Advanced) > Max Station Count: Numero maximo de clientes Aes Treo (Sram +. Wireless que podem se conectar a uma interface da AP. Noise Floor Threshold : Limiar do piso de ruido do i ambiente (em dBm). Se nao informado, utiliza o valor rt Tre +s lido pelo cartao. Periodic Calibration: O Mikrotik efetua calibragées ee E ibd hipset ti a leitura d Mosh Gos Z periodicas no chipset para garantir a correta leitura ae pemtie ode Coy © ver @ mam dados como niveis de sinal e ruido. ‘ersesst) _____-Patente Atheros: ver documento anexo MikrotikBrasil_Wireless_01.pdf Once Tent (560008 meres (On Fat Rety Tne [100 «= Calibration Interval: Intevalo de tempo em que essas calibragdes sao repetidas... Update Sats rear ve OSMikrotikBrasil |<". Routel lireless Systems™ Configuragdes da camada Fisica ee (Advanced) etetace cotenl> Duta Rates Atvarced WOS Ne Power Hardware Retries: Numero de tentativas de po ~ omunicagao para um dispositivo, até que a 207 ‘comunicagao seja considerada falha. Na falha a Ae Tmo: (Gram se velocidade deve ser decrescida. Se nao houver Voion ler Trott: S velocidade mais baixa, 3 falhas seqiienciais ativam Pesce Cltrason: raed . a uma pausa nesse mecanismo pelo valor em meee ~a¥_ milissegundos configurado em “on-fail-retry-time” Harare Rates ;> On Fail Retry Time: Tempo apés 0 qual é repetida a Frome temas: [0 comunicagao com um dispositive para o qual a Note eens oe = transmissao tenha falhado na velocidade mais baixa becpendiamst Spock ncoam suportada. 5 > Disconnect Timeout: Tempo em segundos, a partir Decne Test: (00:0008 da terceira falna no envio (3 x (hw-retries + 1)) na (On Fat ty Time 100 ™ velocidade mais baixa (ou seja a partir da primeira véz Giateu we Ge que 0 ‘on-fail-retry-time foi ativado) em que o cliente € desconectado (aparece nos logs como “extensive data loss” 99Osconnect Treo (On Fat Paty Tre Update Sats tera ae arame ary erste . 00190 0 roe . Cong het @ beth eless Systems™ Configuragdes da camada Fisica (Advanced) >Burst Time: Tempo em microsegundos que o cartéo pode transmitir continuamente. Nenhum outro disositivo conseguira transmitir durante esse tempo. O suporte a essa funcionnalidade pode ser visto na variavel burst- ‘support em /interface wireless info print. > Frame Lifetime: Tempo de vida de um pacote em centisegundos contado a partir do inicio da tentativa de transmiti-lo.O default dessa op¢ao é zero, que significa que nenhum pacote sera descartado até que o cliente seja desconectado. > Update Stats Interval: Freqtiéncia de atualizagao das estatisticas de sinal e de valor de CCQ. Essa opcao nao altera a visualisacao geral, mas sim a individual por cliente. (por default as atualizagées sao efetuadas a todo momento e configuradas, minimo 10 segundos) 100Route ireless Systems® a — Configuragdes da camada Fisica (Advanced) oe Osta ates Advanced |WOS Nome Tx Power > Adaptive Noise Immunity: Habilita o ajuste de foe ~ varios parametros de recepgao com a finalidade de 207 minimizar os efeitos de interferéncias na qualidade de 4k Teneo: (grame su sinal. Funcionalidade disponivel somente em chipsets Nae Ror Trea . : es ooo ; _ Atheros mais recentes. craton rer: 00100 Patente Atheros: Ver documento anexo eos E e MikrotikBrasil_Wireless_02.pdf fenitenen to Preamble Mode: Para sincronizar transmissdes as dace Note emt. nore . estac6es precisam trocar mensagens de sincronismo. pembie ode Cory Ce @ am «© Paro inicial das redes Wi-Fi é de 128 bits (long) e iow Shaved Key diversos fabricantes suportam preambulo de 56 bits 3 (short). Sendo todos os dispositivos capazes de Oucennect Test: (900003 preambulo curto, é interessante habilitar para melhorar On Fat Paty Tne [100 = aperformance da rede. Update Sats rear ve 101Mikrotikbrasil R' ireless Syste: Ferramentas de Site Survey 102,Mikrott Brasil R ireless Systems Interface Wireless / Geral / Scar ‘Sat a Wewless 24GH>G 2412 i OOC2EFISIAM Cortese 26GH2G ED aw || Seo AB 0002 7885.40.02 24GHeG 207 3 | B OO.OESESZCACS TOPYNET 24GH:G 2457 # Cas ABP CON7SAG3ERIS oto 24GHeG 2437 * — $B COADFADSIFAC dea 24GH2G 2037 7 | [Comest Escaneia 0 meio (causa queda das conexdes estabelecidas) A> Ativa B>Bss P > Protegida R > rede Mikrotik N > Nstreme Na linha de comando pode ser acessada em /interface/wireless/scan - wlan’ IPH 103,a R ireless System ne lee ee Quelle Interface Wireless / Geral / Uso de frequencias cer el Derm 511 S00 (2422s 06) ‘2427s oo poe 2edomie 0s) 2437s 46i pedis 151 Dearne 00 2eszneis 00 2es7ss 121 2asane 7 (266 7M oa) (2672s oa) Mostra 0 uso das frequencias em todo o espectro, para site survey (causa queda das conexées estabelecidas) Na linha de comando pode ser acessada em Jinterface/wireless/frequency-monitor wlan 1 104Interface Wireless / Geral / Alinhamento SSID [Re Quaiey ‘Ag. Pec Qualty |Last x TxQuaity Lat Tx 4s a 008 0 000 | ~y oa0-Fa05.1F aC Sloe Ferramenta de alinhamento com sinal sonoro (Colocar 0 MAC do AP remoto no campo Filter e campo Audio) Frome Soe: [ES ox 5 hewe Note [caren | Recent ity — a , ec pone Lee | Rx Quality — Potencia (dBm) do ultimo pacote recebido Pr ss0m Avg. Rx Quality - Potencia média dos pacotes recebidos. Eaeete ee Last Rx - tempo em segundos do Ultimo pacote foi recebido ‘eb: F150 Aa Ma: [29 Tx Quality - Potencia do ultimo pacote transmitide Last Rx - tempo em segundos do ultimo pacote transmitido OBS: Filtrar MAC do PtP Correct - numero de pacotes recebidos sem erro 105ARTO Bra | R ireless Syste: Interface Wireless / Geral / Sniffer Soa Oe se. _ te Z FFFFRPFERFRE — O04DFAOS IFAC beacon want 243 2497 HiMBpe OO proxy-arp: passa 0 seu proprio MAC quando ha uma requisi¢ao para algum host interno ao roteador. >reply-only: somente responde as requisigdes. Enderegos de vizinhos sao resolvidos estaticamente 109R' ireless Syste: Configuragdes Fisicas / Modo Operagac ap bridge: Modo Ponto de Acesso (AP) - repassa os MAC’s do meio Wireless de forma ransparente para o meio Cabeado. ridge: Modo idéntico ao modo ap bridge, porém aceitando um cliente apenas. station: Modo cliente de um AP — Nao pode ser colocado em bridge com outras interfaces 110MikrottkBrastl |< Routel ireless Systems Configuragdes Fisicas / Modo Operagac station pseudobridge: Estacao que pode ser colcada em modo bridge, porém que passa 30 AP sempre o seu proprio endereco MAC (uma bridge verdadeira passa os MAC’s nternos a ela). station pseudobridge clone: Modo idéntico ao pseudobridge, porém que passa ao AP um MAC pré determinado do seu interior. station wds: Modo estacao, que pode ser colocado em bridge com a interface ethernet e Jue passa de forma transparente os MAC's internos (bridge verdadeira). E necessario que c \P esteja em modo WDS (ver topico especifico de WDS, a frente) WlTOUR Bras | ee ireless Syste Configuragdes Fisicas / Modo Operaga alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface Wireless “escuta’” os pacotes que sao mandados a ela por outros lispositivos trabalhando no mesmo canal. wds Slave: Sera visto no topico especifico de WDS. Vstreme dual slave: Visto no topico especifico de Nstreme / Nstreme Dual 2RONG aS Configuragées Fisicas Protocolo NstremeEstaggo A Estago B Estagao C Estagdo A Estagao B Estagao C Configuragdes da camada Fisica Como trabalha o CSMA — Carrier Sense Multiple Access Redes Ethernet Tradicionais Método CSMA/CD (Collision Detection) Redes Wireless 802.11 Método CSMA/CA (Collision Avoidance) W4Routel ireless Systems Configuragdes da camada Fisica Nstreme Enable Nstreme: Habilita o Nstreme. (As opgdes abaixo dessa s6 fazem sentido estando esta habilitada.) > Enable Polling: Habilita o mecanismo de Polling. Recomendado > Disable CSMA: Desabilita o Carrier Sense. Recomendado > Framer Policy: Politica em que serao agrupados os pacotes: dynamic size: O Mikrotik determina best fit: agrupa até o valor definido em Framer Limit sem fragmentar exact size: agrupa até o valor definido em Framer Limit fragmentando se necessario > Framer Limit: Tamanho maximo do pacote em Bytes. 1sPAP ccna ireless Syste: Configuragdes da camada Fisica Nstreme Dual ae [x Mee: abene ve . Band [SG . ce >1: Passar 0 modo de operagao das Freeney, (5189 +m: —.._ interfaces para nstreme dual slave. 0, (iet s a Ro Ne: (0002180780 sean Ue - Yon Gover Nate Qual ata Rates Satis Trafic TeRede (eat 7 ‘reetoces Neveme Dual Accom Ut | RePate: (etand, s a Renate HAC: [88609800000 >2: Criar uma interface * Z : Venus? Tetene [Soh . \streme Dual definindo wos en Spey ak juem € Tx e quem é Rx. fpustemeaee one. ms mia = usar canais distantes) | RFs Sa Onaoie CSMA Frame Petey. rare .Configuragdes da camada Fisica Nstreme Dual 3: Verificar o MAC escolhido pela interface Nstreme dual e informar no lado oposto. 4: Criar uma bridge entre a ethernet e a interface Nstreme Dual. Praticas de RF recomendadas: > Antenas de qualidade, Polarizagdes invertidas, canais distantes, distancia entre antenas. 7RS ireless Syste: WDS & Mesh WDS 118Route! ireless System™ WDS : Wireless Distribution System Com WDS é possivel criar uma cobertura Wireless ampla e permitindo que os pacotes passem de um AP ao outro de forma transparente. Os Ap’s devem ter o mesmo SSID e estarem no mesmo canal.RONG aS 2 AP’s com WDS Wireless PC-Card_ Tabela de associagoes| STA BSS-ASyste Se WDS : Wireless Distribution System Clee GC! Val a — a

A Bridge usa 0 enderego MAC da porta ativa com o menor numero de porta > Aporta Wireless esta ativa somente quando existem hosts conectados a ela. > Para evitar que os MAC's fique variando, é possivel atribuir manualmente um endereco MAC. 124Routel ireless Systems WDS / Mesh WDS +> WDS Default Bridge: Informe aqui a bridge default. ee * WDS Default Cost: Custo da porta da bridge OS Dla Cot. 100 . WOS Com Range: (50150 do link WDS. wor gas a > WDS Cost Range: Margem do custo que pode ser ajustada com base no troughput do link Modos de WDS dynamic: as interfaces WDS sao criadas dinamicamente quando um dispositivo em WDS encontra outro compativel (mesmo SSID e canal) static: As interfaces tem de ser criadas manualmente com cada uma apontando para o MAC de sua “parceira” >dynamic mesh: O mesmo que dinadmica, porém com um algoritmo proprietario para melhoria do link (nao compativel com outros fabricantes) static mesh: A mesma explicagao acima, porém para estativa. 125MikrotikBrasil |] << _cueee Route! ireless System™ Wireless / Interfaces / WDS ‘reetoces |Accem Lat Raegaraten Connect Lat Secuty Proties ~ wee Tipe MTU [MAC Ader Mode (bons Frequency $510 Werless (Bre 1800 D195 CAS0E2 ap badye ———24GHEEG 247 WarBest ere Ou wos: Cria-se as interfaces WDS, dando os parametros: >Name: Nome da rede WDS > Master Interface: Interface sobre a qual funcionara 0 WDS, podendo esta inclusive ser uma fmNewinertice interface virtual OK (emest ->WDS ADDRESS: Endereco MAC que a interface WS Asowee feo WDS tera. Oaatie —WDS / Mesh WDS Laboratérios de WDS/Mesh > Link transparente com station-wds > Rede Mesh com WDS+RSTP > WDS-Slave 127ireless Systems ners Weelers Data Rates Advanced WOS Redo Nave [SGREETES Mode: [ap rope = $810. [Micoax RAG 8G ~ Frequency: [2437 Sean ut: Tf Secuty Prt: Frequency Mode Country DFS Mode retary Extensions Delo AP Tx Rate fast Clare Tx Rate Interface Wireless / Wireless Default AP Tx Rate: Estabelece a taxa maxima, em bps, que cada cliente pode ter de download Default Client TX Rate: Estabelece a taxa mania, em bps, que cada cliente pode enviar 20 AP — 80 funciona para cliente tambem Mikrotik Default Authenticate: (default-authentication) Especifes a acto padréo a ser adotada Pa AP grace cates Wises gue nao esta dedaras na acces Ist | contole de MAC ). Para os equipamentos cont vigarades como clientes, especifica a aco a ser adotada para os AP's que nd estejam na Connect List. yes: Como AP, deixao conte se associar, mesmo se nao estver declarado nas acctess list. Como cliente, associa-se a qualquer AP, masmo que no esteja na connect list Default Forward: (default forwarding) Determina se poder’ haver comunicagio entre clientes conectads na mesma inferace Wireless. Esse bloqueo é feito na camada 2 de Exess €poanto cependn de IP (aguras AP emesereaso como inreBSS relay) + yes (miarcado): permite a comunicagao No (desmarcado) no permite a comunicagao. (OBS: Quando as interfaces estdo em Bridge, pode haver comunicagao entre clientes de interfaces diferentes, mesmo com esse recurso habiltado. Hide SSID: Determina se 0 AP vai dvuigar o nome da Rede em broadcast través de “beacons” - yes (marcado): néo divulga, sornente respondendo aos clientes que enviarem os “probe requests” no (desmarcado): divuiga o nome da rede, 128RS ireless Syste: AP’s Virtuais 129,Routel ireless Systems™ Wireless / Interfaces restoces |Access Lat Ragutaton Connect lat Securty Fotis Tipe MTU (MAC Adowes [Mode tne Frequency $Si0 Weeiets Jobers. 1500 00 1195C44062 ep badge 24GHEBG 24370Ke Wanb terfaces Virtuais: iando interfaces virtuais podemos montar varias des dando perfis de servico diferentes ‘Name: Nome da rede virtual ‘MTU: Unidade de transferencia maxima (bytes) -MAC Address: Dé o MAC que quiser para o novo AP ! ARP > Enable/Disable: habilita/desabilita > proxy-arp: passa seu MAC > reply-only 130RS ireless Syste: Controle de Acesso 1MikrotikBrasil ] ireless Systems* Route Wireless Tables / Access List Irtefoces Access Ut Regatrton Connect Ut Secaty Potles =| [oll fal bo Sittin oor O Access List é utilizado pelo Access Point para restringir associagdes de clientes. Esta lista contem os enderegos MAC de clientes e determina qual a agao deve ser tomada quando um cliente tenta conectar. A comunicagao entre clientes da mesma interface, virtual ou real, também é controlada nos Access List. O processo de associagao ocorre da seguinte forma: - Um cliente tenta se associar a uma interface Wlanx - Seu MAC é procurado no acces list da interface Wlanx. - Caso encontrada a acdo especificada sera tomada: - authenticate marcado: deixa o cliente se autenticar - forwarding marcado, o cliente se comunica com outros... 132ireless Systems™ Wireless Tables / Access List Access List MAC Address: Mac a ser liberado Interface: Interface Real ou Virtual onde sera feito 0 controle. AP Tx Limit: Limite de trafego AP > cada Cliente Client Tx Limit: Limite de trafego Cliente > At (80 vale para cliente Mikrotik ) tivate Key: Chave de criptografia > 40 bit wep Authentication: Habilitado, autentica os MAC's > 128 bit wep declarados. > Aes-com Forwarding: Habilitdo permite a comunicagao entre clientes habilitados ( intra bss ) 5Routel ireless Systems™ Wireless Tables / Connect List Irtetaces Access Lat Reguaten Connect Lat Sect Prtien + = tmlace MAC Aare $50 [Mn. Sgn [trea Prt [Securty (Correct A Connect List tem a finalidade de listar os pontos de ‘Acesso que 0 Mikrotik configurado como cliente pode se conectar, MAC Address: MAC do AP SSID: Nome da Rede Area Prefix: String para conexao com 0 AP de mesma area Security Profile: definido nos perfis de seguranga OBS: Essa op¢do 6 interessante para evitar que o Cliente se associe em um Ponto de Acesso falso ( sequestro doSeguranca em Wireless 135,MikrotikBrasil |] .<° _.-ea ee Routers & Wireless Systems Wireless Tables / Security Profiles faces Accwes Unt Recitation Connect Unt Seouty Protes Na tabels Security Profiles sao definidos os perfis de sequranca da parte Wireless que podem ser utilizados no Name: nome que aparecera em outras telas, teferenciando esse perfil Mode: Modo de operagéo > dynamic keys: gera chaves dinamicas automaticamente > static-keys-required: criptografa todos os pacotes e somente aceita pacotes criptografados > static-keys-optional: se existe uma chave privada estatica de estacao (static-sta-private-key), esta sera utilizada. Caso contrario, estando a estagao no modo AP, nao sera utilizada criptografia e em modo estagdo usara dies EH tht aA Se Ln ec ickRout MikrotikGrasil ireless Systerr Evolugao dos Padrées de Seguranca Wireless + SEGURANCA >WPA2 (802.11i) c/ EAP >WPA2 (802.11i) c/ PSK WPA c/ AES ccm WPA c/ MD5 WEP c/ TKIP >WEP 128 bits WEP 64 bits 137MikrotikBrasil )] .< _coeeee Routers & Wireless Systems™ faces Accwes Unt Recitation Connect Unt Seouty Protes Neve Nose [Aah Mido _|Uncast Cotes Group Onhens WPA re‘Shared._|WPA2 Fre Gant rere Authentication Types: WPA: Método nao padrao IEEE utilizado durante algum tempo pela industria para evitar problemas do WEP WPA2: Método compativel com 802.11i do IEEE. PSK: Pré Shared Key - Chave compartilhada entre dois dispositivos. EAP: Extensive Authentication Protocol OBS: O AP ira divulgar todos os modos de autenticagao marcados aqui e as estagdes escolherao 0 método considerado mais seguro. Exemplo, WPA EAP ao inves de WPA PSK. Mode: [ajramcker: aj Ashertcston Tpes WrAPsK, 1 weazesx r wrAee Pr wea Uncas Open: tp F encom Gop Cohen F ow F onscom Wireless Tables / Security ProfilesRoute! ireless System™ Wireless Tables / Security Profiles / General faces Access Ut Regitroton Connect Unt Seouty Proce iene [Node TAI Mode Ue Cohen Geun Osha WPA Pe Shared WPA? Pe Qtek rere Unicast Chipers: TIP: Protocolo de integridade de chave Temporal. Método, viz dunt lgum temp par contomar problemas da WEP. Proxim implementa como WEP plus AES CCM: Método de criptografia WPA mais seguro, que utliza algoritimo AES. PSK; Pré Shared Key ~ Chave compartilhada entre dois ispositivos. EAP; Extensive Authentication Protocol OBS: O AP ira divulgar todos os modos de autenticagao marcados 20ul 84s exases escolar 0 mélace considerado mals suo Exemplo, WPA EAP ao invés de WPA PSK. Mode: [ajramcker: a Atrertcston Types WrAPsK, 1 weazesx r wrAee Pr wea Uncas Open: F te F encom Gop Cohen F ow F oencom RADIUS MAC Auherticatenfaces Accwes Unt Recitation Connect Unt Seouty Protes Ne) Mode ‘Ait Mode Uncad Cohen Group phen WPA Pre Shared oink rane Métodos EAP: ~>Passtrough: Repassa o pedido de autenticagao para um Servidor Radius ( esta opgao somente 6 usada em AP's) >EAPITLS: Utiliza um Certificado TLS ( Transport Layer Certificate) TLS Mode: >no-certificate: Certificados so negociados dinamicamente utilizando o algoritimo de Diffie-Helmman > don't-verify-certificate: exige o certificado, porém nao o confere com uma entidade certificadors. > verify-certificate: exige e verifica TLS Certificate: Habilita um certificado importado em [certificates Ganead GAP Siac Kays [ox EAP ade: [paemrage ———SCSCS~S | | fens Cd | oy 113 Mose: [rety condone =I | (eee NS Coch e T]he, 140Mikrotikbrasil, ireless Systems® Geren EAP Suc Keys tot foe Jel ——~sd Static Keys: 2S] Utilizado em caso de WEP Key? fore sod —~d Warr frow ciel Ywrontter fed SSSS~S feast fox a] of | 141MikrotikGrasil ) 8) ee tere" Wireless Systems" Firewall com MikrotikMIKTOUKD| Systems™ Firewall O Firewall é normalmente é usado como ferramenta de seguranca para prevenir 0 acesso nao autorizado a rede interna e ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados tanto de entrada como de saida. Além de seguranca é no Firewall que serao desempenhadas diversas fungées (ypertantes como a classificagao e marcacao de pacotes para uso nas ferramentas de 0: A classificacao do trafego feita no Firewall pode ser baseada em varios classificadores como enderecos MAC, enderecos IP, tipos de enderecos IP (broadcast, multicast, etc) portas de origem e de destino, range de portas, protocolos, Tipo do Servigo (ToS), tamanho do pacote, conteudo do pacote, etc etc. 143a Firewall - visdo geral FterRdes \NAT Margie Serice Pots Connections Adress Ute Layer? Ptoosts + al [ly (00 Reset Al Courter: aie | [heten Chon Sc Ades [Ont Aden Peto. Sec Por On Porn bew Out (hw Onecare Pot Scares aI ads. sane 6 te) Onecta TOP Ma sean > Filter Rules: 6 onde ficam as regras de filtros de pacotes > NAT: onde é feito a tradugao de enderegos (mascaramento por exemplo) > Mangle: onde é feita a marcagao de pacotes, conexdes e roteamento > Connections: onde sao visualizadas as conexdes existentes > Address Lists: lista de enderegos IP inserida manual ou dinamicamente que podem ser utilizados em varias partes do Firewall > Layer 7 Protocols: Filtros de camada 7 (Aplicagao) 144Route ireless Systems™ Principios Gerais de Firewall Canais default - Um Firewall opera por meio de regras de Firewall. Uma regra é uma expressao légica que diz ao roteador o que fazer com um tipo particular de pacote. - Regras sao organizadas em canais ( chains ) e existem 3 canais pré definidos: > Input : responsavel pelo trafego que vai PARA o router > Forward : responsavel pelo trafego que PASSA pelo router > Output : responsavel pelo trafego que SAI do router 145tkrotikbrasil R ireless Syste: Diagrama da Estrutura de Filtro 146,Principios Gerais de Firewall Regras 1 - As regras de Firewall sao sempre processadas por canal, na ordem que sao listadas, ou seja de cima para baixo. 2 - As regras de firewall funcionam como o que em programacao chamamos de expresses condicionais , ou seja “se entao ” 3- Se um pacote nao atende TODAS as condigées de uma regra ele passa para a Tegra seguinte. 147Principios Gerais de Firewall Regras 4 Quando 0 pacote atende a TODAS as condigdes da regra é tomada uma agao com ele, nado importam as regras que estejam abaixo nesse canal, pois estas NAO seraéo processadas 5 -Existem algumas excesses ao critério acima, que sao as agdes de “passthrough” ( passar adiante ) , log e add to address list. (visto adiante) 6 - Um pacote que ndo se enquadre em qualquer regra do canal, sera por default aceito. 148Routel ireless Systems™ Firewall do Mikrotik — Filter Rules As regras de filtro podem ser organizadas e mostradas das seguintes maneiras: > all: todas > dynamic: regras dinamicamente criadas por servigos (ex. Hotspot) > input: regras do canal input > output: regras do canal output > forward: regras do canal forward Fite let NAT Margie Sevice Pees Connectors Assess Lis + (00 Feet Courters 00 Reet Al Courter: Aton un Sie Ado Se Poth ter Om Addeos (On Pot Out rt Protocol Oyen Packets | (RRS 149ireless Systems Firewall do Mikrotik — Filter Rule Algumas agdes que se pode tomar nas regras de filtro: accept: aceita o pacote passthrough: ignora a regra (mas contabiliza) e passa para a regra seguinte drop: descarta silenciosamente 0 pacote reject: descarta o pacote e responde com uma Mensagem de icmp ou tcp reset (ver ao lado) >tarpit: Respondendo com SYN/ACK ao um pacote TCPISYN entrante, mas nao conclui a conexao. 150tkrotikbra Firewall / Filtro / canais criados pelo usuario Além dos canais padro, o administrador pode criar canais proprios, bastando dar nomes a eles. Essa pratica ajuda muito na organizagao do Firewall. Para utilizar um canal criado devemos desviar o fluxo através de uma aco JUMP.. No exemplo abaixo, além de input, output e forward, esto criados canais chamados sanidade, seguran¢a, virus, etc. ay TTT TNT NNT TTT TTT Ftec det NAT Margie Sertce Pots Connectors Adthees Ute Lave? Protocole cy al [¥. va Courtens || 0 Reset A Courts a . # | [ton Oran Ste Adsree [Om Addons Proto.Sc. Pot (Oat Por lin bow 0 1 ered maaan Si) 2 ches mages Ste) 3 add aac Ste)Gras | R ireless Syste Como funciona 0 canal criado pelo usuario Além dos canais padrao, o administrador pode criar canais proprios e associa-los a um canal padrao. SFG Ge eee s 152R ireless Systems — Como funciona 0 canal criado pelo usuario Caso exista uma Tegra que tome a acao RETURN, 0 retorno é feito antecipadamente e as regras abaixo —_——". deste sao ignoradas SFG Ge eee s 153Firewall do Mikrotik — Filter Rules Agées relativas a canais criados pelo usuario que se pode er tomar nas regras de filtro: wed Kiemcad Bin Aon Site deton: imo * jump: salta para o canal definido em jump-target ro Tove. IE ‘ ~>Jump Target: nome do canal para onde deve saltar Return: Volta para o canal que chamou o jump 154Firewall do Mikrotik — Address Lists Uma Address List, ou lista de enderegos é uma lista de enderecos If que pode ter varias utilizagées, conforme serao vistos alguns Seamcmieges zoe exemplos mais adiante. @endereceetegse 2240002 Oercencct topes 172160012 Ussas lop eS Sena on Gems p/n ym con esa Pode-se adicionar dinamicamente stom ‘anne entradas a essas listas no Filtro ou nc Mangle. Agoes: add dst to address list: adiciona o IP de destino a lista eel Bese Biiseand ae, Ase [Si add src to address list: adiciona o IP de origem a lista Acton: nd wo tnt . Aatren Ut: ame ped * . , Treat 20000 > Address List: nome da lista de enderegos Timeout: por quanto tempo a entrada ira permanecerUOC OS | R ireless Syste: Connection Tracking Connection Tracking ( seguimento de conexées ) se refere a habilidade do roteador de manter o estado da informagao relativa as conexées, tais como enderegos IP de origem ou destino e pares de porta, estados da conexAo, tipos de protocolos e timeouts. Firewalls que fazem connection tracking séo chamados de stateful" e séo Mais seguros que aqueles que fazem 0 processamento "stateless* Fler Riudet NAT Morgle Service Pts Corrector Ades Lis Tacing Sic Adjess Ont Adesso Cones. Carmack. (FOP (TOP Se Teneo U- toravovoress ana 2a S88 Gc) reel coe 18000 U tommaveure — n1en1062905 Gre) irene U jomoreere — Sooreriee230? She) (reve) U tommarsaers — mieies2su0 Geen) tered 245783.13810011 200.163.106.2357 6 feo) ‘mabe > Enabled ] ‘OK amasieey ROIMIw 2a Gh) med pedo ieaseareee 301018259 Gh) trove! | TOP SynSer Tema [500005 [Caen Go uascascee OIIEITE bho) irene} Lee Gesnusioresny SOreie82209 Gh) irene) | TOPSye Received Timea [O0G005 | Ae Seasaieiseacy ROTH 2180 hep med pa (67.166.140 14025275 200.183.186.223 6p) an 1 necrensl ons Smead STireraus IIIA Bh) bene! | tePFnwertomee [SRTEIO Gimeceas — Saye 3 Shes) (reel G7envegeeter Sore 10625002 he) irene) | TOP Cece Wat Teo [o0aD70 Snimew Daa Cho) (rene) a 68.195.114 25023070 200183 18631768 Gfcp) {rene} TOP Len Ack Vonweut, [00:00:10 Tsien aieimeion eee “kaeen Pinatis- Ra acca 156,US — —————— Connection Tracking - O sistema de Connection Tracking ou Conntrack 6 0 coragao do Firewall. Ele obtem e mantém informagées sobre todas as conexées ativas. - Quando se desabilita a Fungao de Connection Tracking sao perdidas as funcionalidades de NAT e marcagao de pacotes que dependam de conexdo. Pacotes no entanto podem ser marcados diretamente. -.Conntrack é exigente de recursos de hardware. Quando o equipamento trabalha apenas como AP Bridge por exemplo, é indicado desabilita-la 157Mikrot Brasil} Route’ ireless Systems Connection Tracking Feces NAT Mange Service Pots = Tess Se Aerese Tenet 65 106 19681 80 031638 uo weird 001108 U maM Teens 0123 U2 168 166.209 137 coor 3 182.168 166 249 9690 140000 TEP Fn Wat Trost: [SO0D1 O estado de uma conexao pode ser: established: significando que o pacote é parte de uma conexao ja estabelecida anteriormente > new: significando que o pacote esta iniciando uma nova conexao ou faz parte de uma conexdao que ainda nao trafegou pacotes em ambas direcées > related: significando que o pacote inicia uma nova conexao, mas que essa é associada a uma conexao existente como FTP por exemplo invalid: significando que o pacote nao pertence a nenhuma conexao conhecida nem esta iniciando outra. 159R ireless Syste: Firewall Filter Protegendo o proprio Roteador e os Clientes 160ireless Systems Principios Basicos de Protegao >Protegao do proprio roteador > tratamento das conexées e eliminagao de trafego prejudicial/inttil > permitir somente os servigos necessarios no proprio roteador > prevenir e controlar ataques e acesso ndo autorizado ao roteador ~>Protegao da rede interna > tratamento das conexées e eliminagao de trafego prejudicial/inutil > permitir somente os servigos necessarios nos clientes > prevenir e controlar ataques e acesso nao autorizado em clientes. 161Route! ireless System™ Regras de Firewall tratamento de conexdes Regras no Canal Input > Descarta conexdes invalidas > Aceita conexées estabelecidas > Aceita conexées relacionadas >Aceita todas as conexdes da rede interna > Descarta o restante FaerFides \NAT Margie Service Pots Connections Adtess Lit = YX GO Reve Courters 00 Reset Al Courts jam =) 8 ‘Acton (Chon Ste Adebens ‘Se Peat in ee. Oat Accwss [Out Pot (Out Proto Bytes (Packets Deters cones eikdse Xdeo wos cata Conesbes Enabeiesios Oe | arene a ee agrememme reemer ny Se ey PreeRoute! ireless Systems™ Regras de Firewall Regras no Canal Input - cont. Controle de servigos > Permitir 0 acesso externo ao Winbox > Permitir acesso externo por SSH > Permitir acesso extero por Telnet > Relocar as regras para que funcionem Fer Rulet NAT Margie Seevice Pati Connections Adtess Lite =F co Rese Cnetes | 00 Rent Cotas fase =] Ace Chon—_Sec Adres Ste Pot der [Ost Adis [Du Pot (Out Peto Opes Pachts Cerca consis dae X30 row o =o cobs Carns Eben voce res wet cede Cormier Reaconten Vox ros o 868 Acnla pacts do Rede Joc rou 1so1earmone o 0 Joc roa ra1ar0028 mssKe 3420 SS La a Rm EE ET Tm yex ros z es} Yo ros Fs a a) Oescata tod ome Xaeo row we 163Mikrotikbrasil Route ireless Systems 7. Regras de Firewall Filtrando trafego prejudicial/inutil Filtros de portas de virus >Bloqueia portas mais populares utilizadas por virus TCP e UDP 446 e 137-139 >No momento existem algumas centenas Trojans ativos e menos de 50 tipos de virus ativos > No site da Mikrotik ha uma lista com as portas e protocolos que utilizam esses virus. >Baixar lista de virus Mikrotik e fazer as regras de acordo 164MikrottkBrastl |< Routel ireless Systems Regras de Firewall Filtrando trafego indesejavel e possiveis ataques Controle de ICMP -Intermet Control Message Protocol (ICMP) é basicamente uma ferramenta para diagndstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados. -Um roteador tipicamente utiliza apenas 5 tipos de ICMP (type:code), que sao: - PING — Mensagens 0:0 e 8:0 - TRACEROUTE - Mensagens 11:0 e 3:3 - PMTUD - Path MTU discovery — mensagem 3:4 Os outros tipos de ICMP podem ser bloqueados. 165Routel ireless Systems Regras de Firewall Filtrando trafego indesejavel IP’s Bogons: > Existem mais de 4 milhées de enderegos IPV4 > Existem muitos ranges de IP restritos em redes publicas >Existem varias ranges de IP’s reservados (nao usados até o momento) para propositos especificos. >No material do curso esta disponivel uma Lista de IP's Bogons atualizada em maio de 2008, baseado no site Cymru que mantém a movimentaco desses IP’s atualizada. http://www.cymru.com/Documents/bogon-dd.htm| IP’s Privados: > Muitos aplicativos mal configurados geram pacotes destinados a IP's privados e é uma boa pratica filtra-los. 166Ping Flood >Ping Flood consiste usualmente de grandes volumes de mensagens de ICMP aleatérias E possivel detectar essa condig&o coma Tegra ao lado >lInteressante associar essa regra com uma de log Firewall Protegdes de ataques 167Firewall - Protegdes de ataques Port Scan >Consiste no escaneamento de portas TCP e UDP >A detecgao somente é possivel para ataques de TCP >Portas baixas (0 - 1023) Portas altas (1024 - 65535) 168MikrottkBrastl |< Routel ireless Systems . Firewall - Protegdes de ataques DoS 0 Principal objetivo do ataque de DoS é 0 consumo de recursos como CPU ou largura de banda. >Usualmente o roteador é inundado com requisigées de conexées TCP/SYN causando a resposta de TCP/SYN-ACK e a espera do pacote de TCP/ACK >Normalmente ndo é intencional e é causada por virus em clientes Todos |P’s com mais de 10 conexdes com o roteador podem ser considerados atacantes . 169ne Firewall - Protegdes de ataques DoS Ataques DoS - cont >Se simplesmente descartarmos as conexées, permitiremos que 0 atacante crie uma nova conexao. >A protecao pode ser implementada em dois estagios: > Detecgao - criando uma lista dos atacantes DoS com base em connection limit > Supressao — aplicando restrigdes aos que forem detectados. 170MikrotikGrasil |. R ireless Systems Firewall - Protegdes de ataquesikroti Brasil : ireless Systern dDOS >Ataques de dDos (dDoS) sao bastante parecidos com os de DoS, porém partem de Um grande numero de hosts infectados >A Unica medida que podemos tomar é habilitar a op¢ao TCP syn cookie no connection tracking do Firewall Firewall Protegdes de ataques Enabled TOP Sse Teo 0000 TOPS Receved Temone [G0050 TOP Ete Tmo [00009 TOP Fiwet Tem HOSTS —— TCP ore Wet Tnwoe [000010 TCP Lat Ack Two [000010 TCP Tine wee [000010 TCP Core [000010 U0? Teo [900510 UDP Sweam Tinwoxt [000200 FOP Tiemoue [950010 Gevesc Timeout 001000 1 TCP SyrCochie 173Mibroukbras!!) —— Rout ireless Systems™ Regras de Firewall Protegao da Rede Interna Regras primeiras no Canal Forward > Descarta conexées invalidas > Aceita conexées estabelecidas > Aceita conexées relacionadas FaerFides \NAT Margie Service Pots Connections Adtess Lit H = FG co Reve Courters 00 Reet Al Courts Acton [Chan Sie Aden Ste Post In ier Oat Access [Dat Pet (Out re |Prta Bytes (Packets Deters cones eikdse doo ot on ° ‘Beeb Contes Etabeecises vee. roe 138 1 coda Conese: Relscenadon vee. Foe oe ° cela pacotes da Rese rte Yee ros 190168100028 os ° Vxc. ros 101010024 mere Deca oso oreo hy or nee? Be oominrot Route i reless Systems* Firewall do Mikrotik - NAT NAT — Network Address Translation é uma técnica que permite que hosts em uma LAN usem um conjunto de enderegos IP para comunicac4o interna e outro para comunica cdo externa. Existem dois tipos de NAT: > Source Nat (srcnat), ou NAT de origem, quando o roteador reescreve o IP de origem e ou a porta por um outro IP de destino. > Destin enderego ation NAT (dstnat), ou NAT de desti ou a porta de destino. Novo SRC DST > ino quando o roteador reescreve o SRC_Novo DST (SRO__DSr>CDSTNAT> 175Mikrotikbrasil Route ireless Systems® Firewall do Mikrotik - NAT As regras de NAT s&o organizadas em canais: >dstnat: Processa 0 trafego mandado PARA o roteador e ATRAVES do roteador, antes que ele seja dividido em INPUT e FORWARD. >src-nat: Processa 0 tréfego mandado a PARTIR do roteador e ATRAVES do roteador, depois que ele sai de OUTPUT e FORWARD 176R tikBrasil ireless Syste: Dstnat ! Conntrack | Interface de entrada Filtto Forward Filtro Output ! ConntrackNAT - Exemplos Source NAT - Mascarando a rede 192.168.0.0/24 atras do IP 200.200.200.200 que esta configurado na interface ether1 | Gereni Advanced Bem Saemcs Aton, anguare = Os pacotes de qualquer host da rede 192.168.0.0/24 sairao com o IP 200.200.200.200 178NAT - Exemplos Destination NAT e Source NAT (1:1) - Apontando o IP 200.200.200.200 para o host interno 192.168.0.100 Gerend Abvenced Bie Aton Sutatce | ten: tt . ‘To Addresses: | 192 1680 100 - |, ToPote (66s8ie “ Geran Atvoncnd Bee Acton Semen Gerert Advenced Etre Acton Sumcs Oar (peat . | Aeton: fost . ‘See Aden: ([182 1680 100 - ‘To Addmeses: [200 200 200.200 -| Dit Ades - |, To Pons: (065835 . 179PO Pichon ireless Syste: 7 NAT - Exemplos “Redirecionamento de Portas”: Fazendo com que tudo que chegue na porta 5100 va para o servidor WEB que esta na mrecune interna 192.168.0.100 e tudo que chegar na porta 5200 va para a maquina 192.168.0.20( | Gerard Aéreced Eira Acton | Sutatice pete: Saat * To Adsbesee: (182 168.0300 . |, To Pots: [30 *~ 180NAT - Exemplos NAT 1:1 com netmap: Apontando a rede interna 192.168.0.0/24 para a rede publica 200.200.200.200/24 | Geren Advanced Etre Acton Statetes ; Aeterna ) nan: SY oe Se Abdees: ( [192 16800724 . 181MikrottkBrastl |< Routel lireless Systems™ NAT Helpers Firewall do Mikrotik - NAT Hosts em uma rede “nateada” nao possuem conectividade fim-a-fim verdadeira. Por isso alguns protocolos podem nao trabalhar satisfatoriamente em alguns cenarios. Servigos que requerem a iniciagao de conexées TCP de for a da rede, bem como protocolos “stateless” como o UDP por exemplo, podem nao funcionar. Para contornar esses problemas, a implementagao de NAT no Mikrotik prevé alguns “NAT helpers” que tem a funcao de auxiliar nesses servigos. Redirecionamento e Mascaramento Sao formas especiais de de dstnat e srcnat respectivamente, onde nao se especifica para onde vai 0 pacote (to-address), Quando um pacote é “nateado” como dst-nat, nao importa se a agao é nat ou redirect que o IP de destino 6 automaticamente modificado. ly a ttyRoutel ireless Systems™ Address Lists Fer Aden NAT Mange Service Pots Connections AtSrens Lats + Nowe seven ou [200 200200200, ols '200 200 200 100 Address Lists permitem que o usuario crie listas de enderegos IP agrupados entre si. Estes podem ser utilizados pelo filtro do Firewall, Mangle e NAT. Os registros de Address Lists podem ser atualizados dinamicamente via action=add-src-to-address-list ou action=add-dst-to-address-list, opgdes encontradas em NAT, Mangle ou Filter. No Winbox é possivel editar o nome da lista, simplesmente digitando-o 183Address Lists - Exemplo enalizar o usuario que tentar jar um Telnet no Roteador. ‘azer com que esse usuario a0 faga mais nada. cria-se as listas no Address st com o IP e da-se um nome ara a lista ( soh_Telnet ) marca-se no mangle no canal rerouting o protocolo TCP e orta 23Mibroukbras!!) —— Rout ireless Systems® Address Lists - Exemplo Ainda no Mangle, adiciona-se | aGao add-source ao address st chamado soh_telnet Nas regras de filtro, no canal 1put pega-se os pacotes que sto na lista soh_telnet e scolhe-se a agao drop. 185MikrotikBrasit. ireless Systems® nock.exe 192.168.0.2 1234:tcp 4321 :tep eda os Geren Abvenced ew Acton | Satatcs Prtooet [6 te) Fe con ET + Se Pot + Addeea Ut: eo * oa Pet: Of im Trmeoxt. 0000 18 ee . Se Atte ore a con TC 0a. Adie eG 0 Ant Ut 7 | | pate i: ewose . Pott 6) . Tow: [908008 se Pot Om. Por: (1/4321 = 186MikrotikBrasil] Route ireless Systems™ ‘nock.exe 192.168.0.2 1234:tcp 4321 :tcp lip firewall rule add chain=input dst-port= 1234 protocol=tcp action=add-src-to-address-list address-list=temp address-list-timeout= 15s add chain=forward dst-port=4321 protocol=tcp src-address-list=temp action=add-src-to-address-list address-list=liberado address-list- timeout=15m 187ireless Systern Liberando 0 acesso para quem estiver na lista e negando para o resto Geran Advanced Btu Acton Satetce Genand Atvenced |i Acton Staton Gereai Atanced Btn Aten Sutates Onan (rot . Se Abtiees Ut 0) eras Ba Aeten: scat . Se Aree + Gerers \Advenced Ete Acton Statics Geren Advnced Etre Acton Satitce ran: rot g co TT Se Adsrese 5 8 Pace moe os ise ros. 188,ARTO Bra | Mikrotik Syste} 7 nae FIREWALL MANGLEMikrotikBrasil) <=». Routers & Wireless Systems* Firewall do Mikrotik —- Mangle FterRulee NAT Marge Serwce Pats Connecters Adsres Lis + (00 Reset Courten 00 Reset A Courter fs} = ‘Acton han See Anat Sec Pot hn ber Om Adtess Ont Pot Ot bt Prt Mew P NewC Bytee Pockets Zoe ety ps0 oe Fre penarg o> 08 A Facilidade Mangle apresentada no RouterOS do Mikrotik permite introduzir marcas em conexdes e em pacotes IP em funcado de comportamentos especificos. As marcas introduzidas pelo Mangle so utilizadas em processamento futuro e delas fazem uso ferramentas como o controle de banda, ferramentas de QoS e NAT. Elas existem porém somente dentro do roteador, nao sendo transmitidas para for a. E possivel porém com o Mangle alterar determinados campos no cabecalho IP, como 0 ToS ( type of service ) e campos de TTL ( Time to live ) 190M krotikBrasil Route -_ - ireless Systerr Estrutura do Mangle >As regras de Mangle sao organizadas em canais e obedecem as mesmas regras gerais das regras de filtros, quanto a sintaxe. > E possivel também criar canais pelo usuario > Ha 5 canais padrao: > Prerouting: marca antes da fila Global-in > Postrouting: marca antes da fila Global-out > Input: marca antes do filtro de Input > Output: marca antes do filtro Output Forward: marca antes do filtro Forward 191Mangle Prerouting | Diagrama do Mangle Mangle Forward Interface de entrada Mangle Postrouting | Interface de Saida 192,MikrottkBrastl |< Route ireless Systems Agoes do Mangle As opgées de marcacao incluem: >mark-connection — apenas 0 primeiro pacote. > mark-packet — marca um fluxo (todos os pacotes) > mark-routing - marca pacotes para politicas de roteamento 193, Marcando Conexées >Use mark-connection para identificar um ou um grupo de conexdes com uma marca especifica de conexao. > Marcas de conexao sao armazenadas na tabela de connection tracking. >S6 pode haver uma marca de conexo para uma conexao. A facilidade Connection Tracking ajuda a associar cada pacote a uma conexdo especifica. 194Routel ireless Systems Marcando Pacotes Pacotes podem ser marcados: > Indiretamente, usando a facilidade de connection tracking, com base em marcas de conexdo previamente criaddas ( mais rapido e mais eficiente ) > Diretamente, sem o connection tracking — nao € necessario marcas de conexao € 0 roteador ira comparar cada pacote com determinadas condigées. 195RPS R ireless Syste: i y Estrutura de Firewall no MikrotikR ireless Syste:MikrotikGrasil | ireless Systems™ Mangle — Exemplo de marcagao Marcando a conexao P2P ‘Gerwl Atvonced Eee Aton |Satacs’ [OK Aeten: [roxcovecon >] || Cres | iam Conmacten a: Foreae 5% =] | Meo _| & Peete bh etace ~ Ou. rietace ~ = a = [admin@MikroTik] ip firewall mangle> print re Flags: X - disabled, | - invalid, D - dynamic aes x 0. chain=forward p2p=all-p2p action=mark-connection rection Sate ba new-connection-mark=marca_da_conexao passthrough=yes acton Tipe - 198Mibroukbras!!) —— ireless Systems® Mangle — Exemplo de marcagao Marcando os pacotes P2P rs \Adrced Ba Acton Suomen [ox |) | Germain im Acton | Sateicn x. oun: | I'l (reeaa seson: [rarocee =] | | Cnet Se Adee ~| [tem | (New Packet Mas: asste 52 = | teow Oa Ades Yl pate lees Datie Protect > (comment | Comment ~ | Low Coy - Remove Remove ra - bn beetace ’ eee + [admin @MikroTik] ip firewall mangle> print Flags: X - disabled, | - invalid, D - dynamic Peck ak . 0. chain=forward p2p=all-p2p action=mark-connection new-connection- con ase - SEESET —s] = rmark=conexao_p2p passthrough=yes xtra e 41. chain=forward connection-mark=conexao_p 2p action=mark-packet new- ton Sate - packet-mark=pacote_p2p passthrough=no cton Type: ° 199Mangle Exemplos Queremos dar um tratamento diferenciado a varios tipos de fluxos e Precisamos marcar: Fluxo de Navegagao http e https FTP Email MSN ICMP P2P O que nao foi marcado acima VuVUVVY 200Duvidas ?? 201MI ikt rotikBrasil_ ] eri TSE Wireless Systems® 202MikrottkBrastl |< Routel lireless Systems™ Qualidade de Servigo Normalmente a Internet trabalha com a filosofia do melhor esforgo: cada usuario compartilha largura de banda com outros e, portanto, a transmissao de seus dados concorre com as transmissées dos demais usuarios. Os dados empacotados so encaminhados da melhor forma possivel, conforme as rotas e banda disponiveis. Quando ha congestionamento, os pacotes sao descartados sem distingao. Nao ha garantia de que o servico sera realizado com sucesso. Entretanto, aplicagées como voz sobre IP e videoconferéncia necessitam de tais garantias. Durante a transmissao podem existir inimeras coisas aos pacotes enquanto circulam entre pontos, que resultam nos seguintes problemas, do ponto de vista emissor/receptor: > pacotes descartados > pacotes com atraso 203,MikrotikBrasil ) .<° ee Routel lireless Systems™ Qualidade de Servigo cont. > pacotes descartados (dropped packets) - os roteadores podem recusar- se a entregar alguns pacotes( drop) se estes chegarem quando os buffers se encontram preenchidos. Estes podem ser descartados todos, ou apenas alguns, dependendo do estado da rede, e nao existe forma de determinar quais s&o prioritarios. As aplicagdes a receber serao entao responsaveis por pedir a retransmissdo, o que resulta frequentemente em “engasgos" na transmiss4o; > atraso (delay) - pode decorrer muito tempo até um pacote atingir o seu destino, ja que este é mantido em longas filas, ou segue um caminho alternativo (menos direto) para evitar congestionamento da rede. No entanto a transmissao também pode ocorrer muito rapidamente, e nao existe forma de determinar perante qual das situagdes nos encontramos; 204MikrottkBrastl | limitar banda para certos IP’s, subredes, protocolos, portas e outros parametros > limitar trafego peer to peer > priorizar certos tipos de fluxos de dados em relagdo a outros > utilizar burst’s para melhorar o desempenho de acesso WEB > aplicar filas em intervalos de tempo fixos >compartilhar a banda disponivel entre os usuarios de forma ponderada e dependendo da carga do canal > utilizagao de WMM - Wireless Multimedia 205,“ Qualidade de Servico cont. Para ordenar e controlar o fluxo de dados, é aplicada uma politica de enfileiramento aos pacotes que estejam deixando o Roteador, ou seja, > As filas sao aplicadas na interface onde o fluxo esta saindo ! A limitagao de banda é feita mediante o descarte de pacotes. No caso de protocolo TCP, os pacotes descartados serao reenviados, de forma que nado ha com que se preocupar com relacao a perda de dados. O mesmo néo vale para UDP.ireless Systems Qualidade de Servigo Interfaces Virtuais > global-in — representa todas as interfaces de entrada em geral (INGRESS queue). As filas atreladas a global-in recebem todo 0 trafego entrante no roteador, antes da filtragem de pacotes. > global-out - representa todas as interfaces de saida em geral (EGRESS queue). As filas atreladas a global-out recebem todo o trafego que sai do roteador. > global-total - representa uma interface virtual através da qual passa odo o fluxo de dados. Quando se associa uma politica de filas a global- otal, a limitagdo é feita em ambas as diregies. Por exemplo se configurarmos um total-max-limit de 256kbps, teremos um otal de upload+download limitado em 256 kbps, podendo haver assimetria.MikrottkBrastl |< Routel lireless Systems™ Qualidade de Servigo cont. Os principais termos utilizados em QoS sao: > queuing discipline (qdisc) — disciplina de enfileiramento — 6 um algoritimo que mantém e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem ( podendo inclusive reordena-los ) e detremina quais pacotes serao descartados. > Limit At ou CIR (Committed Information Rate) - Taxa de dados garantida- 6 a velocidade minima que se fornece a um circuito. > Max Limit ou MIR (Maximal Information Rate) —- Banda maxima que sera fornecida, ou seja limite a partir do qual os pacotes serao descartados > Priority - Prioridade - € a ordem de importancia que 0 trafego sera processado. Pode-se determinar qual tipo de trafego sera processado primeiro 208RS Interfaces Virtuais —+ — — ——e n interfaces m interfaces de entrada de saida 209i tikBrasil ireless Syste: Interfaces Virtuais e o Mangle Mange Forward | Deciséo dé Decisto de Mangle Roteamenio Roteamento ———* | Postrouting | Mangle Mangle Mangle Prorouting iain Input Interface de | Processo Local Processo Local | Interface de entrada i IN OUT : Saida 210Routel ireless Systems Tipos de Filas Antes de enviar os pacotes por uma interface, eles sao processados por uma disciplina de filas (queue types). Por padrao as disciplinas de filas sao colocadas sob /queue interface para cada interface fisica (este padrao nao é mantido usando interfaces silt inj ‘Simple Queues Iretace Queues Queve Tree Qveve Types is). + v Typ Nene Ke elo io Seto ama lo Simole Queues eetace Queves |Queur Tiee Queue Types ered to hotiot etek a ¥) reheorou det wd wvedoce Ques Tipe. eles det ey ted Col het heer bead eed heat desk eed heer del pont Sota wlan eles Getot Uma véz adicionada uma fila (em /queue tree ou /queue simple) para uma interface fisica, a fila padrao da interface (interface default queue), definida em /queue interface, sera ignorada para a mesma. Isso significa que quando um pacote nao encontra (match) qualquer filtro, ele € enviado através da interface com prioridade maxima. 211Routel ireless Systems Tipos de Filas isciplinas “Scheduler e Shaper” \s disciplinas de filas so utilizadas para (re)entfileirar e (re)organizar acotes na medida em que os mesmos “chegam” na interface. As isciplinas de filas sao classificadas pela sua influéncia no fluxo de acotes da seguinte forma: schedulers - apenas (re)ordenam pacotes de acordo com um leterminado algoritimo e descartam aqueles que se enquadram na isciplina. Disciplinas “Scheduler” sao: ‘Single unset irtedace Queues Queve Tree Queve Types ey FIFO, BFIFO, SFQ, PCQ, RED aa ae ——— shapers — também fazem a limitagao. Sao: sector cI CQ e HTB 212Mi nrot Brasil |<." _.A Routel ireless Systems™ Tipos de Filas PFIFO e BFIFO Estas disciplinas de filas sao baseadas no algoritimo FIFO (First-In First-Out), ou seja, 0 primeiro que entra é o primeiro que sai. A diferenga entre PFIFO e BFIFO é que, um é medido em pacotes e 0 outro em bytes. Existe apenas um parametro chamado _pfifo-limit (bfifo-limit) que determina a quantidade de dados uma fila FIFO pode conter. Todo pacote que nao puder ser enfileirado (se a fila esta chela) sera descartado. Tamanhos grandes de fila poderéo aumentar a laténcia, em compensacao prové uma melhor utilizagao do canal. Recomenda-se o uso desse tipo de fila em links nao congestionados Type Name | det OK Kad [sito ¥ | Cane row a ca — [5 | Que Sie [55 putas |_AePH Flow? i mam -—-| 5 |! To interface Cony 5 [el ce g é 213MikrotikBrasil ] Route ireless Systems* Tipos de Filas - Random Early Detection - Detecgao aleatéria “antecipada” é um mecanismo de fileiramento que tenta evitar 0 congestionamento do link controlando o tamanho médio da 1 Jando o tamanho médio da fila atinge o valor configurado em _red-min-threshold, o REI 2atdriamente escolhe um pacote para descartar. A probabilidade do nlimero de pacotes que rao descartados cresce na medida em que a média do tamanho da fila também cresce. Se manho médio da fila atinge red-max-threshold, os pacotes sAo descartados com a obabilidade maxima. Entretanto existem casos em que o tamanho real da fila (nao a média) muito maior que red-max-threshold, entao todos os pacotes que excederem red-limit seré scartados. ED é indicado em links congestionados com altas taxas de dados. Como é muito pido funciona bem com TCP. Seo in (ed 5) [cue = sce ow | {| eee gelae a . ee ee i 2 ima — | Tolnetace slow’ 13] [1 a - Max Threshold 50 packets | Remove L_____._ i tun pacha ‘avg Packet Sie (1000 tye 214MikrottkBrastl | Filter - um processo que classifica pacotes. Os filtros sao responsaveis pela classificagao de pacotes para que eles sejam colocados nas correspondentes qdiscs. Todos os filtros so aplicados no fila raiz HTB e classificados diretamente no qdiscs, sem atravessar a arvore HTB. Se um pacote nao esta classificado em nenhuma das qdiscs, é enviado para a interface diretamente, atravessando o HTB, por isso nenhuma regra HTB é aplicada aos pacotes (isso significa prioridade maior que qualquer pacote do fluxo gerido pelo HTB) . > Level - posig&o de uma classe na hierarquia. > Class - algoritmo de limitagdo no fluxo de trafego para uma determinada taxa. Ela nao guarda quaisquer pacotes (esta fungao sé pode ser realizada por uma fila). Uma classe pode conter uma ou mais subclasses (inner class) ou apenas uma e um qdisc (leaf class). 220MikrottkBrastl |< Routel lireless Systems™ QoS - HTB Termos do HTB: > Inner class - uma classe que tenha uma ou mais classes filhas ligadas a ela. Nao armazenam quaisquer pacotes, ent&o qdiscs nao podem ser associados a elas (qdisc e configuragées de filtros sao ignoradas, embora possam ser exibidos na configuragao do RouterOS). S6 fazem limitagao de trafego. Definigao de prioridade também é ignorada. > Leaf class - uma classe que tem uma classe pai, mas ainda nao tem nenhuma classe filha. Leaf class estao sempre localizadas no level 0 da hierarquia. > Self feed - uma saida (fora da arvore HTB para a interface) para os pacotes de todas as classes ativas no seu nivel de hierarquia. Existe uma_ self feed por level, cada uma constituida por 8 self slots, que representam as prioridades. 221MikrotikBrasil ) .<° ee Routel lireless Systems™ QoS - HTB Termos do HTB: > Auto slot - um elemento de uma self feed que corresponde a cada prioridade. Existe um auto slot por nivel. Todas as classes ativas no mesmo nivel, com a mesma prioridade, sao anexados a um auto slot que enviam os pacotes para fora. > Active class (para um nivel particular) - uma class que esta associada a um auto slot em determinado nivel. > Inner feed - semelhante a uma self feed, constituidos de inner self slots, presentes em cada classe interior. Existe um inner feed por inner class. > Inner feed slot - similar 4 auto slot. Cada inner feed é constituido de inner slots os quais representam uma prioridade. 202QoS - HTB Cada class tem um pai e pode ter uma u mais filhas. As que no tém filhas, sao colocados no level 0, onde as filas sao mantidas, e sao chamadas de ‘leaf class’. Cada classe na hierarquia pode priorizar e dar forma ao trafego (shaping). - Para “shaping” os parametros sao: >limit-at: banda garantida (CIR) >max-limit: banda maxima permitida (MIR) - Para priorizar: - > priority: de 1a 8, sendo 1 a maxima prioridade 223MikrottkBrastl |< Routel lireless Systems™ QoS - HTB Cada Classe HTB pode estar em um dos 3 estados, ‘Single Queues |i Guevet | Gieu Tie dependendo da banda que esta consumindo: £ = v 0 @r0ra St Di CheerFetas 8008 VtspeD Rema 117 i Catadser1030-MiageD Roma verde - a classe esta com a velocidade igual ou melhor que nit-at. Nesse estado a classe ja esta associada a seu slot de s jida com sua prioridade correspondente. E permitido a classe 08 ja itisfazer seu proprio limit-at independetemente das limitagdes le 1 classe pai. Por exemplo se a classe tem limit-at= 512kbps e Ja Classe pai tem max-limit-at= _ 128kbps, a sua velocidade ydera chegar até 512kbps. amarela — nesse caso a classe esta com o banda real maior que limit-at e igual ou menor Je max-limit. Nesse caso a classe pede a classe pai para usar mais banda, que permitira o 30 se dispuser de banda. Porém se a classe pai tiver outra classe pai e estiver no estado rde, permite o uso. Se estiver em amarelo pede a sua classe pai superior (av6 da imeira) e assim por diante. vermelha - estando em vermelha, ou seja quando foi excedido o max-limit a classe néo de pedir banda a sua classe pai. oo 4Routel ireless Systems — po Filas Simples ‘Simple Queues Interface Queues Queue Tree Queue Types l=) [OL] (] Reve Cores [foo Reset Counters [1 [Name __[TangetAd.. [RxMacLimt |TxMaxLint [Pocket ./ - As filas simples (_ simple queue ) sao a maneira mais facil de se limitar a banda de enderegos IPs distintos ou sub-redes. Elas permitem configurar as velocidades de upload e download com apenas uma entrada. - Também podem ser usadas para configuragao de aplicagdes de QoS. - Os filtros de filas simples sao executados completamente pelo HTB nas interfaces global-out (queue ‘direct’) e global-in (queue ‘reverse’) -Os filtros “enxergam’ as diregdes dos pacotes IP da mesma forma que apareceriam no Firewall. - Hotspot, DHCP e PPP criam dinamicamente filas simples. 225,cd Advanced Statice Trafic Total Total Statics Na: [Coto t £058 ViayO Roma petAdsess [101010073 Tonge Upton [¥ Yor Dowd Maxine (2008 ¥) 2. Bast Burst Lit (4008 ¥ (00. 1 Tesh 1 ¥ im, Burt Tne: (8 fe Tove Tene: (00.0000 {1se00000 un Ym Yhe ved vt he Fi Fibs Fave _ Caneed Genel Adverced Statics Trafic Total Tota Statsics ref Pocket Marks: | Oat Adee Ieteace: (at Tonge Uploads Late [6a ueue Type: [ava Tonget Domrtond 5) (ew Parent TOTAL Prenty (@ As principais propriedades configuraveis de uma fila simples sao: > Limite por direcao IP de origem ou destino > Interface do cliente > tipo de fila > configuragées de limit-at, max-limit, priority e burst para download e upload > Horario x Filas Simples ¥) [seeComo funciona o Burst Actual rate (kbp) oe burst Average rate aaa ass matent 100! thread a0. et at were (s) ° 5 10 18 20 Bursts sao usados para permitir altas taxas de dados por um curto periodo de tempo. Os parametros que controlam o Burst sao: > burst-limit: limite maximo que alcangara > burst-time: tempo que durara o burst > burst-threshold: patamar onde comega a limitar > max-limit: MIR 227Rs Route ireless Systems — Como funciona o Burst Actual rate oe Dutt sae Average rate Exemplo 256 mondo max-limit=256kbps 0a vtnesohs ; 12 tetat burst-time=8s oi burst-threshold=192kbps ° 5 10 8 2 burst-limit=512kbps - E dado ao cliente inicialmente a banda burst-limit=512 kbps. O algoritimo calcula a taxa média de consumo de banda durante o burst-time de 8 segundos. -com 1 segundo a taxa media € (0+0+0+0+0+0+0+512)/8 = 64kbps (abaixo do threshold) = com 2 segundos ja é de (0+0+0+0+0+0+512+512)/8 = 128 kbs (abaixo do threshold) - com 3 segundos (0+0+0+0+0+512+512+512)/8 = 192 (é 0 ponto de inflexdo - onde acaba o burst) A partir do momento que foi atingido o ponto de inflexao o Burst é desabilitado e a taxa maxima do cliente passa a ser o max-limit 208Utilizagao de PCQ Typetame [pce om Rod [ee 3) (ewes Rae (0 Une 0 Tellme [200 Cate PCQ — Per Connection Queue — Enfileiramento por conex&o —¥ S« Aates a Astone See Pot (Dat Pot - PCQ é utilizado para equalizar a cada usuario em particular ou cada conexao em particular - Para utilizar PCQ, um novo tipo de fila deve ser adicionado com o argumento ‘kind=pcq’ - Devem ainda ser escolhidos os parametros: > pcg-classifier > peg-rate 229Utilizagao de PCQ TypeName [pcqdoun Hed pq Rae [0 tne Como __rate configurado como zero, as Teta time [2000 ubqueues nao s&o limitadas, ou seja elas NS ee Sie Address (Dut Adress joderao utilizar o maximo de largura de Care anda disponivel em max-limit Se configurarmos um rate para PCQ a ubqueues serdo limitadas nesse rate, até o otal de max-limit Sie Adees [Dit Adoesnee ireless Syste Type Nae: [pcadomn Kena pce, 3 Utilizagaéo de PCQ come Ce Corcel J eo a Name: (Fuad Five (126 tne (50 Tetum [3000 see ‘Sie Adder (7 On Adore “SePon © Da Pot faltth lesse caso, como orate da filaé 128k, nao iste limit-at e tem um total de 512k, os clientes seber&o a banda da seguinte forma: == 2) = Se wdiatotal 2 rliantec Afclientee &elientacnem Une (50 Texte (2000 (Oui O Ste Pot Dut Pot Nesse caso, como 0 rate da fila é 0, nao existe mit-at e tem um total de 512k, os clientes eceberao a banda da sequinte forma: 55s sndatntal 1 cliente 9 cliantec Se Aden: Ont Adder 2 alientac Utilizagaéo de PCQ Seow | sti) Nome: [FixMikrottkBrastl |< Route ireless Systems* Arvores de Filas - Trabalhar com arvores de filas 6 uma maneira mais elaborada de administrar 0 trafego. Com elas é possivel construir sob medida uma hierarquia de classes. - Os filtros de arvores de filas sao aplicados na interface especificada. Os filtros sao apenas marcas que 0 Firewall faz nos fluxos de pacotes na opgao “Mangle”. Os filtros enxergam os pacotes na ordem em que eles chegam ao roteador. - Os filtros nas interfaces global-in e global-out sao executados antes dos filtros simples. Note-se que as filas simples estao separadas em 2 partes: ‘direct’ em global-out e ‘reverse’ em global-in. - Normalmente utilizamos as interfaces reais WAN e LAN, uma vez que usamos a queue tree para configuragao de servigo QoS. 233R ireless Syste ‘Seles tae Dit Cie Te | Oui et * Rese Ad Covers | Arvores de Filas , a As arvores de filas sao configuradas em ee jueue tree pees — ieee ACEESSD wats Dentre as propriedades configuraveis se eee 2. Icluem; or . toe , > Escolher uma marca de trafego oat feita no Mangle) 0 > parent-class ou interface de OTHERS oertcp é i & aida ( incluindo as interfaces virtuais global-in global-out ) > Tipo de Fila > configuragdes de limit-at, max- mit, priority e burst Down TESORO TiMESRD own voro é é ER2eF5F FF 39 i & $Duvidas ?? ky 235MikrotikBrasil ] Routers& Wireless Syster Tuneis & VPN’s com MikrotikMil ireless Systems VPN’s Uma Rede Particular Virtual ( Virtual Private Network - VPN) éuma rede de comunicagées privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituigdes, construida em cima de uma rede de comunicagées publica (como por exemplo, a Internet). O trafego de dados é levado pela rede publica utilizando protocolos padrao, nao necessariamente seguros. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticagao e integridade necessarias para garantir a privacidade das comunicag6es requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicagées seguras através de redes inseguras. 237VPN's As principais caracteristicas das VPN's sao: «+ Promover acesso seguro sobre meios fisicos publicos como a Internet por exemplo. + Promover acesso seguro sobre linhas dedicadas, wireless, etc. « Promover acesso seguro a servigos em ambiente corporativo de correio, impressoras, etc. «Fazer com que o usuario, na pratica, se torne parte da rede corporativa remota recebendo IP’s desta e perfis de seguranca definidos. « Abase da formacao das VPN’s é o tunelamento entre dois pontos, porém tunelamento nao é sindnimo de VPN. 238Tunelamento A definigéo de Tunnelling é a capacidade de criar tuneis entre duas maquinas por onde certas informagdes passam. O Mikrotik implementa diversos tipos de Tunelamento, podendo ser tanto servidor como cliente desse protocolos.. - PPP ( Point to Point Protocol ) - PPPoE ( Point to Point Protocol over Ethernet ) - PPtP ( Point to Point Tunneling Protocol ) -L2TP ( Layer 2 Tunneling Protocol ) - IPSec (IP Security ) - Tuneis IPIP - Tuneis EolP 239MikrotikBrasil L ireless Systems® Algumas definigdes comuns para os servigos PPP C e * MTU/MRU: unidades maximas de transmissao/recep¢&o em bytes. Normalmente o padrao ethernet permite 1500 bytes. Em servigos PPP que precisam encapsular os pacotes, deve se definir valores menores para evitar a fragmentagao. *Keepalive Timeout: define 0 periodo de tempo em segundos apos 0 qual 0 roteador comera a mandar pacotes de keepalive a cada segundo. Se nenhuma resposta de keepalive é recebida pelo periodo de tempo de 2 vezes o keep-alive-timeout o cliente é considerado desconectado. + Authentication: + Pap: usudrio/senha passa em texto plano, sem criptografia * Chap: usudrio/senha com criptografia »mschap1: versao chap da Microsoft conf. RFC 2433 *mschap2: versao chap da Microsoft conf. RFC 2759 240MikrotikBrasil) <=». Routers & Wireless Systems* ner Algumas definigoes comuns Sir: para os servigos PPP ‘eggsto be PMTUD: Se durante uma comunicagao alguma estagao enviar pacotes IP maiores do que a rede pode suportar, ou seja, maiores que o menor MTU (Maximum Transmission Unit) do caminho, entdo sera necessario que haja algum mecanismo para avisar que esta estagdo devera diminuir 0 tamanho dos pacotes para que a comunicacao ocorra com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a resposta dos roteadores intermediarios (possivelmente com pacotes do tipo ICMP Packet Téo Big) e a adequagao do tamanho dos pacotes posteriores 6 chamada Path MTU Discovery ou PMTUD. Normalmente esta funcionalidade esta presente em todos os roteadores comerciais e sistemas Unix Like, assim como no Mikrotik ROS. MRRU: tamanho maximo do pacote, em bytes, que podera ser recebido no link. Se um pacote ultrapassa o valor definido ele sera divido em pacotes menores, permitindo o melhor dimensionamento do tunel. Especificar MRRU significa permitir MP (Multilink PPP) sobre um tunel simples. Essa configuragao é util para o protocolo PMTU Discovery superar falhas. O MP deve ser ativado em ambos os lados (cliente e servidor). 241M krotikBrasil Route ireless System: A Change MSS (Maximum Segment Size Field, ou seja o tamanho maximo do segmento de dados.). jm pacote com MSS que ultrapassa o MSS dos roteadores por onde um tunel esta estabelecido eve ser fragmentado antes de envia-lo. Em alguns casos 0 PMTUD esta quebrado ou os oteadores nao conseguem trocar as informagdes de maneira eficiente e causam uma série de roblemas com transferéncia HTTP, FTP e correio eletrénico, além de mensageiros instantaneos. leste caso 0 Mikrotik ROS proporciona ferramentas onde € possivel intervir e configurar uma iminuigao do MSS dos proximos pacotes através do tunel visando resolver o problema. TCP Client TOP Server Host A Buffer ~ 16K Butter = o Router A KEE Router 8 ware 1500 ey nen @ ws, e uty @ — Ser“Send MS" ~ 16K tess-0k tass-0n eo qe cogs @ Set~Sond wss"~ 8k 242MikrottkBrastl |< Routel lireless Systems™ YA» Servidor ou Cliente PPP 4 . « PPP (point-to-point protocol) é um protocolo desenvolvido para permitir acesso autenticado e transmissao de pacotes de diversos protocolos, originalmente em conexdes de ponto a ponto (como uma conexéo serial). O PPP encapsula 0 protocolo TCP/IP, no acesso discado a internet. O Mikrotik pode ser configurado para ser um servidor PPP, com a opgao PPP Server. Clientes remotos a up por exemplo) podem ser autenticados no proprio Mikrotik, utilizando a base de dados local em /user ou através de um servidor Radius especificado em /ip ppp Também é possivel configura-lo para discar para um servidor dial up sob demanda lomando-o um cliente Dial Up - Para ambos os casos € necessario uma interface serial conectada a um modem. 043PPP / Interfaces / PPP Server / General Jace | PPPoE Servers Secrets Protler Active Connections | =) |) (8) oy] [Pete Server |/ Late Server || OVPN Server Tx___|Pix TuPac.. |RxPac..| Name: Nome do perfil > Port: porta serial > Modem Init: string de inicializagao a ser passada para um modem > Null Modem: nao passa strings i 244Oe PPP / Interfaces / PPP Server / Dia niace | PPPCE Servant Secitt Pet Active Conectont v) (geese [es etter [ens] (Germ Osten | sua Tio) Profile: escolhe o perfil de seguranga definido em /ppp profiles Ring Count: numero de toques antes do atendimento 245,POUR EaS ireless Syste PPP Client eiface | PPPOE Servers Secrets Profiles Active Connections O Mikrotik também pode ser um cliente Dial-Up, devendo serem configurados os parametros: > Name: nome do perfil > Porta > String de inicializagao do modem > Null modem: sem string de inicializagao 246Route ireless Systems® — — Configuragao do PPP Client nace | PPPOE Servers Seciets Preller Active Connections | 7 1) (FT) | PPTP Sever | L2TP Server || OVPN Server ! 1 Type. Tx i [Tx Pac. [Rx Pac. ~ Genet PPP Statue Toalfic ox Phone: [0559923225555 - Cancel Dis Command |ATOT Aocky i Ue [mee | (oa Posomord | verbo [ Comment Profle: | deta 5) Cow Configuragao do Dial-out: bedateas — > Phone: numero a ser discado aoe > Dial Command: string a ser enviada ao modem local ae cas machagl machap? > User / Password: usuario e senha no servidor remoto > Profile: perfil de seguranca definido em /ppp profiles > Dial On Demand: discar sempre que algum aplicativo tentar usar saida > Add Default Route: usa a rota default configurada em / ip route ~> Use Peer DNS: usa os servidores de DNS definidos no servidor remoto. 247MikrotikBrasil ] Route ireless Systems* Servidor ou Cliente PPPoE PPPoE (point-to-point protocol over Ethernet) é uma adaptacao do PPP para funcionar em redes Ethernet. Pelo fato da rede Ethernet no ser ponto a ponto, o cabecalho PPPoE inclui informagées sobre o remetente e destinatario, desperdigando mais banda (~2% a mais). - Muito usado para autenticagao de clientes com Base em Logine senha. | O PPPoE estabelece a sesso e realiza a autenticagdo com o provedor de acesso a Internet. - O cliente nao tem IP configurado, o qual é atribuido pelo PPPoE server (concentrador), normalmente operando em conjunto com um servidor Radius. No Mikrotik ROS, nao é obrigatorio o uso de servidor Radius, pois o mesmo permite a criagao e gerenciamento de usuarios e senhas em uma tabela local (/ppp secrets). - PPPoE, por padrao, no é criptografado (pode-se langar mao do método MPPE, desde que o cliente suporte este método) 248Quidway AR 18-2 PPPCE Server Servidor ou Cliente PPPoE iL - Ocliente “descobre” o servidor através do protocolo “PPPoE discover”, que tem o nome do servigo a ser utilizado. - Precisa estar no mesmo barramento fisico ou os dispositivos passarem para frente as requisigoes PPPoE (pppoe relay). - No Mikrotik ROS o valor padrao do Keep Alive Timeouté — 10, e funcionara bem na maioria dos casos. Se configurarmos para 0, o servidor nao desconectara os clientes até que os mesmos solicitem ou 0 servidor for is 249R ireless System a | ieee Configuragdo do Servidor PPPoE - 7% oa ere, es Poot = 1 -Crie um pool de IP’s para o PPPoE Name: [postegene (22) _ fip pool add name=pool-pppoe Aim (10111103 134 + “cet ranges=10.1.1.1-10.1.1.254 NestPet (reve J~ [ow] Ceey — wn PPPGE Sev Set Petes | Acti Camco [Local Addons [Remote Adchess Brdige (Rate Link Orty Ore | Goon Gorm J Teq Nave: [pectppo0e [ Concet 2 — Adicione um Perfil de.RPRoE onde: = | | tooy Local address = enderego IPdoconcentrador 7S Remote address = pool do pppoe app profile add name="perfil-pppoe" local-address=192.168.1.1 remote-address=pool-pppoe 250MikrotikGrasil 5 R ireless Systems™ dedace PPPCE Seren Sect | Palle Active Conrctons 7 [1 TG) | PrP Athertcations Accounting | [Nene 7 [Pend [Senicn [cate __—_[Pote isu 12S pppcw — OOODODAA prthppce Configuragdo do Servidor PPPoE le 3 - Adicione um usuario e senha /ppp secret add name=usuario password=123456 aan = service=concentrador-pppoe Soe profile=perfil-pppoe. Can [oonmaatece = 7 . Pre [onttcegce 18 (ical Caso queira verificar o MAC-Address, adicione-o em Caller ID. Esta opgao nao 6 obrigatoria, mas 6 um pardmetro a mais que garante seguranca. 251M krotikBrasil Route ireless Systems 7. te FFPSE Sev | Sac Pe Ae Cec Configuragao do Servidor PPPoE ee ee eed @eorcen wont 4) OD SIZ peep 4 Adicione o PPPoE Server > Service Name = nome que os clientes vao Service Name concertos oxoce Irtetece [wont = procurar (pppoe-discovery). MoxMTU 420 Manny. (1480 wry (512 -_c linterface pppoe-server server add Kecpsive Tec | 7 authentication=chap,mschap1,mschap2 pee ore te pece 2 default-profile=perfil-pppoe disabled=no te interface=wlan1 keepalive-timeout=10 max- futhertcsen, mru=1480 max-mtu= 1480 max-sessions=50 Cloning | andi Mrru=512 one-session-per-host=yes service- name=concentrador-pppoe 252Routel ireless Systems _ Mais sobre Perfis we |i a sh . Mec GS = Bridge: bridge para associar ao perfil. pea Adee [192 16811 S| Irae note Adtess: [pect pence a2) > Incoming/Outgoing Filter: nome do canal do Firewall para pacotes entrando/saindo. Badge =“ Come e Remove | . . ee >Address List: lista de enderegos IPs para associar ao ago Fier = fil Ast pel ONS Sever & >DNS Server: configuragao dos servidores DNS a atribuir nos clientes. Pode se configurar mais de um > delesh Cire enderego IP. VN Corin — tees oe > Use Compression/Encryption/Change TCPMSS: eT Ao eat praia caso estejam default associam ao valor que esta roan TOP MSS configurado no perfil DEFAULT-PROFILE. Solo C00 © ym 3 i 253,Routel ireless Systems Mais sobre Perfis sory tas =a > Session Timeout: é a duragdo maxima de uma wsen Teneo (1400000 =| [ieee sessao pppoe. (de Treat (00 00 | naw se Lik ta (SEK 2B + Seen > Idle Timeout: é 0 periodo de ociosidade na Orly One owe transmissao de uma sessdo. Se nao houver trafego © ote © mo © yes Remove IP dentro do periodo configurado a sessao € terminada. Rate Limit: limitagado da velocidade na forma rx- tate[/tx-rate] - rx é o upload do cliente OBS: Pode ser usada a sintaxe: rx-rate[/tx-rate] [rx-burst- rate[/tx-burst-rate] [rx-burst-threshold[/tx-burst- threshold] [rx-burst-time[/tx-burst-time] [priority] [rx- rate-min|/tx-rate-min]]]]. > Only One: permite apenas uma sessao para 0 mesmo usuario. 254Route ireless Systems® a — Mais sobre o user Database Ne no ae Baas ao < = > Service: Especifica 0 servico disponivel para esse cane (ommend = ——— cliente em particular. Pete (pettormee 15] coeaant | 7" ies (eee Te cern >Caller ID: MAC address do cliente ponte bese + [Remove | aie eS Local Address/Remote Address: endereco IP local(servidor) e remote(cliente) que poderao ser oe « atribuidos a um cliente em particular. Lea yes st - Limit Bytes In/Out: Quantidades de Bytes que o cliente pode trafegar por sessao PPPoE. Routes: Rotas que sao criadas no lado servidor para esse cliente especifico.Varias rotas podem ser adicionadas separadas por virgula. 255MikrottkBrastl |< Route ireless Systems" Detalhes adicionais do PPPoE Server O Concentrador PPPoE do Mikrotik suporta multiplos servidores Repel covcwiocrerce Ok. para cada interface com diferentes nomes de servigo. Além do Hetedacee vant * | Ceet nome do servico, o nome do Concentrador de Acesso pode ser Max aru: [1480 ey _usado pelos clientes para identificar 0 acesso em que deve se Max MAU: [1400 ewe registrar. ru: (5: te pabve Timeout Ss lmeae > Nome do Concentrador = Identidade do roteador (/system Dela Pate: pei sce = identity) % Ore Seton Per Hont Max Seasons: [50 + > O valor de MTU/MRU inicialmente recomendado para o PPPoE srerbeston éde 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode se on 3 eo configurado no Access Point. Para clientes RouterOS, a interface d radio pode ser configurada com a MTU em 1600 bytes e a MTU d interface PPPoE em 1800 bytes. Isto otimiza a transmissao de pacoles e evita problemas associados com MTU menor que — 15. tes. Até o momento nao possuimos nenhuma maneira de alterar a MTU da interface sem fio em clientes MS Windows. > One session per Host: permite apenas uma sesso por host (MAC address) > Max Sessions: nimero maximo de sessdes simultaneas que o Concentrador suportara. 256Routel ireless Systems pe Pony Fer | NAT Honts ¥) [Epeac (00 Peet A Courers ‘Chon linteaces._intedacer Ste MAC Adsbess_Ost MAC Ades: MAC Pr Seguranga no PPPoE > Para assegurar um servidor PPPoE pode-se utilizar Filtros de Bridge, configurando a entrada ou repasse (depende da configuragéo do Mikrotik ROS) os protocolos pppoe-discovery e pppoe-session, e descartando todos os demais. > Mesmo que haja somente uma interface, ainda assim é possivel utilizar os Fitros de Bridge, bastando para tal, criar um bridge e associar em Ports apenas esta interface. Em seguida alterar no PPPoE Server a interface que © mesmo escuta. 257Route! ireless System™ Configuragao do PPPoE Client ace | PPPoE Servers Secrets Profles Active Connections G(T) | PPTP Server || L2TP Server || OVPN Server Gonet Out Ou | Sia Tea oP Sever 7 lType i [Rx |TxPac.|RePac..| Sernce - PP Chek . a Geena |i Os Seis Tle coe PTP Clerk PE lero User [unuaro 21P Server Type: PPPOE Chert Paroword [17456 2TP Cher Max MTU: (1480 Profle: dolowt * WN Server Maco: (1420 puoi wre Y + Ad Dela Rage eres F Un Poei ONS ae lrntoces (eer oF Aon 2 ¥ chep ~ machag) mechan? >AC Name: nome do Concentrador. Deixando em branco conecta com qualquer um. > Dial on Demand: disca automaticamente sempre que é gerado um trafego de saida. > Add default route: adiciona uma rota padrao (nao usa a do servidor). >Use Peer DNS: Usa 0 DNS configurado no Concentrador. 588Mikrotikbrasil |. a ireless System Seguranga no PPPoE Para assegurar um servidor PPPoE pode-se utilizar Filtros de Bridge, deixando somente passar os protocolos pppoe-discovery e pppoe-session, e descartando todos os outros. Mesmo que haja somente uma interface, ainda assim é possivel utilizar os Fitros de Bridge. 259MikrottkBrastl |< Routel lireless Systems™ Servidor ou Cliente PPtP PtP — Point to Point Tunnel Protocol — Protocolo de tunelamento ponto a ponto é um rotocolo desenvolvido pela Microsoft que pode ou nao ser criptografado. PPTP incorpora o nétodo MPPE (Microsoft Point to Point Encryption), para fazer as conexées encriptadas MPPE 40bit RC4 e MPPE 128bit RC4 so suportados). O trafego PPTP utiliza a porta TCP 723 e o protocolo IP GRE (Generic Routing Encapsulation), de acordo com a atribuigao da iternet Assigned Numbers Authority (IANAy PPTP pode ser usado com a maioria dos rewalls e roteadores existentes. Conexdes PPTP podem sofrer limitagdes ou nao incionar, em conex6es através de NAT, tornando-se necessario a habilitag&o de NAT lelpers nos roteadores/firewalls que gerenciam a conexéo. As principais aplicagdes sao: Formag&o de tuneis seguros entre dois routers pela Internet Para unir de forma transparente Intranets ou LAN’s Para usuarios remotos se logarem no ambiente corporativo da empresa de forma segura nesmo em locais pUblicos como Hotspots por exemplo. 260Route! ireless System™ : Configuragao do Servidor PPtP ums m 7 ints Ge Malleece (Ce Nome detaut encryption _ Cancet Ban TUL Cancel Password (12656 "Cane ocal Addere (182 1682551 ea ‘Deo een we coy Serve [sete 3) | nee eeu : wieder oro ee can: : [Gomeet | agate Towa (30 - Feti [ ot woryom [5] Odes ¥ oe Delo Profle cetoaerciypton # Con Ramo | Auten coro oe _ Baa viging Fer ’ Y machapt Y mechag Adee Ut . 1 - Adicione um usuario /ppp secret add caller-i 5 i comment="" disabled=no limi 3 i oe bytes-in=0 limit-bytes-out=0 name=pptp-cliente deta Cro C ye password=123456 profile=default-encryption routes="" 1 Cnprnion service=pptp dott Co © ye sefreretan Sere cee eee 2 - Habilite o PPtP Server prge TCP MSS ' ors © 10 © yes interface pptp-server server set authentication=chap,mschap1,mschap2 default- Nao se esqueca de/ profile=default-encryption enabled=yes keepalive- Confiqurar o Pertil/ timeout=30 max-mru=1460 max-mtu=1460 mrru=disable im pool de IP. 261Configuragao do cliente PPtP ) ils Server Genet | Div Ove Stan Tate or Nome: ‘rrm-ou J Genel DwkOw | Stahas Tiatic Tom [PPTP hed fey | CommctTo [.mmm020 MacnTU. (1050 a cE ——— Power [12858 = s Proll | deta encngtion ‘Ads Delos Rate Adicionando pelo terminal : ~ 0 ¥ oe mechupt mache? /interface pptp-client add add-default-route=no allow=chap,mschap1,mschap2 comment="" connect- to=200.200.200.200 disabled=no max-mru=1460 max-mtu=1460 mrru=disabled name=pptp-out] password= 123456 profile=default-encryption user=pptp-cliente 262Routel ireless Systems L2TP 2TP — Layer 2 Tunnel Protocol — Protocolo de tunelamento de camada 2 2TP é um protocolo de tunelamento seguro para transportar trafego IP utilizando PPP. O protocolo 2TP trabalha no layer 2 de forma criptografada ou nao e permite enlaces entre dispositivos de iferentes redes unidos por diferentes protocolos. ;omo exemplo, um usuario conectado em um RAS de uma companhia telefonica pode se conectar ao ackbone de um provedor de acesso que lhe atribui banda e enderegamento IP proprio. ) trafego L2TP utiliza protocolo UDP tanto para controle como para pacotes de dados. A porta UDP 701 6 utilizada para 0 estabelecimento do link e 0 trafego em si utiliza qualquer porta UDP disponivel que significa que L2TP pode ser usado com a maioria dos Firewalls e Routers, funcionando também través de NAT. ‘$ normas indicam que a maneira mais segura para encriptar os dados é utilizando L2TP sobre IPSec nétodo padrao para MS Windows). 263MikrotikBrasil L Routel ireless Systems Name: (usser0 2p Ponewond (123456 Serice [Op * Cate0, : Pree: (Se eneryeen | peal Adore [1011 - note Adee (10112 at Roser ’ Ln By + rd Bytes Out ~ nace | PPPCE Servers Secrets Prolles Acie Conections OVPRServer End 1480, 1460, Configuragaéo do L2TP Server 1- Adicionar um usuario L2TP user: {ppp secret add caller- comment=' disabled=no limit-bytes-in=0 limit-bytes-out=0 local-address=10.1.1.1 name=usuario-t2p password=123456 profile=default-encryption remote-address=10.1.1.2 routes="" service=I2tp ( pode-se amarrar Ip’s de origem, bytes, etc ) 2. Habilitar o servidor L2TP / interface |2tp-server server set enabled=yes ieee | Concet [ Aeoly machap? | 264MikrotkBrasil ] °°" ci Route! ireless System™ Configuracao do L2TP Cliente ate |r St aPC SSS See sing fe ae act oe a Moony a = ‘Max MAU: (1460, f canal ] eu |= Remove | Tec || Configurar o Mikrotik como Cliente de um servidor L2TP 6 “Gems Oats |S Tate muito simples conforme mostram as telas ao lado. Server Adis: (200 700 200 20 User [sews p Na linha de comando seria : Paarmend [12056 L interface I2tp-client add add-default-route=no eee aetonee ASL allow=chap,mschap1,mschap2 comment="" connect-to= AdsDelek Rede | 1 ; 200.200.200.200 disabled=yes max-mru=1460 max- ‘Aon: fae mtu=1460 mrru=disabled name=2tp-out1 ree ase ea) password=123456 profile=default-encryption user=usuario- l2tp 265MikrottkBrastl |< Routel lireless Systems™ pen VPN O OpenVPN é uma implementagao livre da tecnologia VPN, com ele 3K podemos criar tuneis ponto-a-ponto encriptados entre computadores. ‘le foi desenvolvido por James Yonan e publicado sob licenga livre GNU GPL. Como funciona o OpenVPN ? O OpenVPN permite autenticag4o por chaves compartilhadas/estatica, certificados ou usuario/senha. Ele utiliza encriptagao advinda da biblioteca OpenSSL e protocolos conhecidos como SSLv3/TSLv1. Esta disponivel para sistemas Solaris, Linux, OpenBSD, FreeBSD, NetBSD, MAC OS X e até mesmo para sistemas proprietarios como o Windows 2000/XP e Mikrotik ROS. DispGe de varios recursos de controle e seguranga, nao é& baseado em WEB VPNs e nao é compativel com IPSEC ou qualquer outro tipo de pacotes VPN. Todo o Pacote do OpenVPN consiste em um binario para conexdes tanto para o liente e servidor, um arquivo de configuragées opcional, e uma ou mais chaves dependend da forma de autenticagao escolhida. YpenVPN funciona sobre os protocolos UDP (preferencial, e padrao) ou TCP. Funciage benMikrottkBrastl |< Route ireless Systems* pen VPN O Mikrotik RouterOS na versao 3.x suporta OpenVPN no modo servidor e cliente. E necessario a instalacao e ativagao do pacote PPP. Existe uma limitagéo usando OpenVPN no Mikrotik ROS: atualmente somente o protocolo TCP é suportado. O protocolo UDP nao funciona. OpenVPN trabalha com certificados SSL. Podemos criar estes certficados através do servico http://cacert.org ou usar scripts proprios como easy-rsa, distribuidos em varios instaladores do OpenVPN. No Mikrotik devemos fazer o upload via ftp (certificado CA e chave privada) e importar usando /certificate import. Criando Certificados com CAcert.org Realize o cadastro no CAcert.org. Faga 0 login e defina seu dominio (Domains > Add). No Mikrotik RouterOS, abra o Terminal e crie uma requisigao de certificado com o mamandna: 267pen VPN \gora é necessario preencher algumas questies: certificate request file name: certificate-request.pem le name: private-key.pem assphrase: ******** erify passphrase: ******** 3a key bits: 1024 ountry name: BR tate or province name: SP 268pen VPN \gora é necessario preencher algumas questies: dcality name: Sao Paulo ganization name: Mikrotik Brasil ganization unit name: Training common name: host.mikrotikbrasil.com.br mail address: suporte@mikrotikbrasil.com.br hallenge password: nstructured address: 269MikrotikBrasil ] Route ireless Systems* pen VPN )s campos com relevancia a serem informados sao a Passphrase e Common Name, sendo Jue os outros poderao ser deixados em branco. Apés alguns segundos sera informado que a Requisig¢ao de Certificado foi gerada. echo: system, info, critical certificate request file certificate-request.pem and private key file private- key.pem created Copie 0 arquivo certificate-request.pem para seu computador e abra com algum editor de textos simples (exceto bloco de notas). Acesse sua conta no CAcert.org e crie um novo Certificado para Servidor (Server Certificates > New). Copie o conteUido do arquivo certificate-request.pem e cole na caixa "Paste Your CSR(Certificate Signing Request) below...". Envie o formuario e aguarde a mensagem “Below is your Server Certificate" ser exibida. Copie e cole as informacg6es usando um editor de textos simples (exceto bloco de notas) e salve como certificate-response.pem. Faga 0 upload deste arquivo para o Mikrotik ROS e€ importe ui ja: cscwevicorse pom = leo FT) oat _|| Decypt Papheace: [parspheme = Nene (Sebiet oa ry mR cand Chcbere vabwe net O-Roat CA OU-bme.. wpe DFA [omveetey pom al) [see Pavephease [pavigheoie Cacet | 270Routel ireless Systems Name [ow poct oe besser: | 152 168 200 2-182 168 200 14 © | Cancel st Peck rove Sl= [new oot |tnas oe Name | ovpreprotie: | cancel | calAagene (1a0 16020 18] | | age ete Adbess (pecker sa Bicge: ~ || Coy | | | Remove cone ites | a wees - hee Lt ONS Server < a i Congres "nd C00 Cys VI Conprsion + ot Cm ys | * Ene | dete Con Oyen © requed ooge TCP HSS | etal Cm Cys | Configuragao do servidor OVPN 1 - Crie um pool de IPs: lip pool add name=pool-ovpn ranges=192.168.200.2-192.168.200.14 2 -Crie um perfil para OVPN: Ippp profile add change-tcp-mss=default comment="" local- address=192.168.200.1 name=ovpn-profile only-one=default remote-address=pool-ovpn use-compression=default use- encryption=required use-vj-compression=default Nae: (visor oven Parmend(125486 Server (oven Cater: [ Palle vergecie 18 ___3-Crie um usuario para OVPN: (28 ])mment="" disabled=no limit-byte __ Swed usuario-ovpn password= 123456 ‘ee service=ovpn Dihatle Cmnet 21Route ireless Systems* MikrottkBrastl | keepalive-timeout ( time | none ; default: 00:02:00 ) Utilizado para detectar se o computador do cliente esta ativo e encontravel. Caso nesse periodo de tempo 0 teste falhe, 0 usuario é tirado da tabela de hosts e o enderego Ip que ele estava usando é liberado. O tempo é contabilizado levando em consideragao o momento da desconexao menos 0 valor configurado ( 2 minutos por default) > idle-timeout ( time | none ; default: none ) - maximo periodo de inatividade para clientes autorizados utilizado para detecta que clientes nao est&o usando redes externas ( internet em geral ) e que nao ha trafego do cliente através do roteador. Atingindo o timeou 0 cliente é derrubado da lista dos hosts, o endereco IP liberado e a sesso contabilizada a menos desse valo. > addresses-per-mac ( integer | unlimited ; default: 2 ) - numero de IP’s permitidos para um particular MAC. Koronive Trost ‘Adsreseen Per MAC: {9 [2 Peon HTML (Pol DNS Mame: [182 168 168 254Route! ireless Systems Hotspot Server Profiles > HTML Directory: Diretdrio onde estao colocadas as paginas desse Hotspot > HTTP Proxy / HTTP Proxy Port Endereco e porta do Servidor de Web Proxy > SMTP Server: Enderego do servidor de SMTP > rate-limit: Cria uma simple Queue para todo o Hotspot (vai apds as filas dinamicas dos usuarios. 287Grand Loon RADIUS togn fy Mikrotikbrasil ] .<. — Routers & Wireless Systems* r we Cocke i HTTP CHAP HTTPS T HTTP pap T Yea Tlelzlelel HTTP Coote tema: [Be Hotspot Server Profiles >login-by cookie - usa HTTP cookies para autenticar sem pedir as credenciais. Se o cliente ainda o tiver um cookie ou tiver expirado usa outro método http-chap - usa método CHAP — método criptografado http-pap - usa autenticagao com texto plano — pode ser sniffado facilmente https — usa tunel SSL criptografado. Para isso funcionar, um certificado valido deve ser nportado para o roteador. mac - Tenta usar o MAC dos clientes primeiro como nome de usuario. Se existir na abela de usuarios local ou em um Radius, 0 cliente é liberado sem username/password trial — ndo requer autenticagao por um certo periodo de tempo >HTTP Cookie Lifetime: tempo de vida dos Cookies > Split User Domain: corta o dominio do usuario no caso de usuario@dominio.com.br ISR(Geral ge) PAOUS Route! ireless System™ Use RADIUS Dela Doman. {7 fritid com br Fol elele| Hotspot Server Profiles Itilizagao de servidor Radius para autenticagao do Hotspot > Location ID e Location Name: Podem ser atribuidos aqui ou no Radius — normalmente deixar em ranco. > Habilitar Accounting para fazer a bilhetagem dos usuarios, com historico de logins, desconexées, tc > Interim Update: Frequencia de envio de informagdes de accounting (segundos). 0 - assim que corre o evento. > NAS Port Type: Wireless, Ethernet ou Cabo 289Sereml Abvetae Sorte Nave foot Asouen Peat frapeard = Seis Tesone: f PFU UIE se Trea - Keeoabve Teast - Stans torres: [OO Sheed Ure: WT ae Lint tu): [127 reomrgftec[ Sd agorg hte [ SSC peony Packet ak fre Sn deem >] Dasara Facet ak fae pow see >] pen Sus Page: [oars =) FF Tanspawt Fro Hotspot User Profiles Os user profiles servem para dar tratamento diferenciado a grupos de usuarios, como suporte, comercial, diretoria, etc Session Timeout: tempo maximo permitido (depois disso 0 cliente é derrubado) > Idle Timeout / Keepalive Timeout: mesma explicacao anterior, no entanto agora somente para os usuarios desse perfil > Status Autorefresh: tempo de refresh da pagina de Status do Hotspot > Shared Users: numero maximo de clientes com o mesmo username. 290Routel ireless Systems reo Peck Ma [dei carts Doone Facet Mok: [ode pon_siewe =] pen Sue Page: [amare = Termpaert Frou Hotspot User Profiles Os perfis dos usuarios podem conter os limites de velocidade implementados de forma completa, com bursts, limit-at, etc >Rate Limit: rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate]] [rx-burst-threshold[/tx- iia [rx-burst-timef/tx-burst-time]] [priority] [rx-limit-at[tx- imit-at] Exemplo: 128k/256k 256k/512k 96k/192k 8/8 6 32k/64k -- 128k de upload, 256k de download -- 256k de burst p/ upload, 512k de burst p/ download -- 96k de threshold p/ upload, 192k de threshold p/ download -- 8 segundos de burst time -- 6 de prioridade -- 32k de garantia de upload, 64k de garantia de download 291wed Atvetwe Sette one foot arraPoet frosted | Seeson Treat] 4a Tea ~ Neeostve Trt . ‘un Atsntan [SEGTOS Sars Wee: fi Fae me but: PPD rooming Fite: [ al Outpong Fter [ a SS a tao Facet Mai fo powers =] Coen Sanus Page: [amare a 1 Trnwoxert Prog Hotspot User Profiles > Incoming Filter: nome do firewall chain aplicado aos pacotes que chegam dos usuarios deste perfil > Outgoing Filter: nome do firewall chain aplicado aos pacotes que vao para os usuarios desse perfil > Incoming Packet Mark: Marca colocada automaticamente em todos os pacotes oriundos de usuarios desse perfil > Outgoing Packet Mark: Marca colocada em todos os pacotes que vao para os usuarios desse perfil. > Open Status Page: mostra a pagina de status > http-login : para usuarios normais que logam pela wed > always ; para todos, inclusive os que logam por MAC > Transparent Proxy: se deve usar proxy transparente 292Route ireless Systems mae frico00 (pmeauey Hotspot User Profiles Com a opgao Advertise é possivel enviar de tempos em tempos popups para os usuarios do Hotspot. >Avertise URL: Lista das paginas que serao anunciadas. A lista é ciclica, ou seja quando a Ultima é mostrada, comega-se novamente pela primeira. > Advertise Interval: Intervalos de exibic&o dos Popups. Depois da sequencia terminada, usa sempre 0 Ultimo intervalo. No exemplo, sao mostradas inicialmente a cada 30 segundos, 3 vezes e depois a cada hora. > Advertise Timeout: Quanto tempo deve esperar para o antincio ser mostrado, antes de bloquear 0 acesso a rede com 0 “Walled-Garden” > pode ser configurado um tempo ( default = 1 minuto ) > nunca bloquear > bloquear imediatamente 293,ireless Systems*— Hotspot User Profile - Scripts sa saa O mikrotik possui uma linguagem interna de scripts que podem ae ser adicionados para serem executados em alguma situagao a especifica. No Hotspot é possivel criar scripts que executem comandos a medida que um usuario desse perfil se conecta ou se desconecta do Hotspot -Os parametros que controlam essas execucdes sao >on-login >on-logout Os scripts sao adicionados com / system scripts add 294295red Lots Sets —- a -] Nave: fate Promote Addess. [DOO AC hddrees: K#]0000 00000000 Petia: ncorens acate 7] er i nat BI Hotspot Users Detalhes de cada usuério: > all para todos os hotspots configurados ou para um especifico. > Name: Nome do usuario. Se o modo trial estiver habilitado o Hotspot colocara automaticamente 0 nome T-MAC_address. No caso de autenticagao por MAC, o MAC pode ser adicionado como username (sem senha). >Enderego IP: caso queira vincular esse usuario a um enderego fixo. > MAC Address: caso queira vincular esse usuario a um MAC determinado > Profile: perfil de onde esse usuario herda as propriedades Routes: rota que sera adicionada ao cliente quando esse se conectar. Sintaxe enderero de destino gateway metrica. Exemplo 192.168.1.0/24 192.168.166.1 1. Varias rotas separadas por virgula podem ser adicionadas. > Email: ?ireless Systems™ Hotspot Users > Limit Uptime: Total de tempo que 0 usuario pode usar o Hotspot. Util para fazer acesso pré pago. Sintaxe hh:mm:ss. Default = 0s - sem limite. > Limit Bytes In: total de Bytes que 0 usuario pode transmitir. (bytes que o roteador recebe do usuario. > Limit Bytes Out: total de Bytes que o usuario pode receber. (bytes que o roteador transmite para o usuario. Os limites valem para cada usuario. Se um usuario ja fez o download de parte de seu limite, o campo session limit vai mostrar o restante. Quando 0 usuario exceder seu limite sera impedido de logar. As estatisticas sao atualizadas cada vez que 0 usuario faz o logoff, ou seja enquanto ele estiver logado as estatisticas nao serao mostradas. Use /ip hotspot active para ver as estatisticas atualizadas nas sessdes correntes dos usuarios. Se um usuario tem o endereco IP especificado somente podera haver um logado. Caso outro entre com 0 mesmo usuario/senha, 0 primeiro sera desconectado. 297MikrotikGrasil R ireless Syste: Hotspot Active Mostra dados gerais e estatisticas de todos os usuarios conectados 298IP Bindings Asses: [TEI Tops: WHO RO ROO MAC Address: mac original do cliente > Address: enderego IP configurado no cliente (ou rede) > To Address: enderego IP para 0 qual o original deve ser traduzido. Type: Tipo de Binding > Regular: faz uma tradugao 1:1 regular > Bypassed: faz a tradugdo mas dispensa o cliente de logar no Hotspot > Blocked: a tradugao nao sera feita e todos os pacotes serao descartados. 300.Mil tikBrasil ireless Systern Hotspot Ports Seven Uses Active Hosts IP Briinge Service Fors Wasted Garden Cocke A facilidade de NAT e NAT 1:1 do Hotspot causa problemas com alguns protocolos incompativeis com NAT. Para que esses protocolos funcionem de forma consistente, devem ser usados os médulos “helpers” No caso de NAT 1:1 0 Unco problema é com relagao ao médulo de FTP que deve ser configurado para usar as portas 20 e 21.MikrotikBrasil I Rout ireless Systems Walled Garden Configurando um Walled Garden ou “Jardim Murado’ é possivel oferecer ao usuario 0 acesso a determinados servigos sem necessidade de autenticagao. Por exemplo em um Aeroporto poder- se-ia disponibilizar informagées climaticas, horarios de voos, etc sem a necessidade do usuario adquirir créditos para acesso externo. Quando um usuario nao logado no Hotspot requisita um servigo do Walled Garden o gateway nao o intercepta e, no caso de http, redireciona a reuisigao para o destino ou para um proxy. Para implementar o Walled Garden para requisig6es http, existe um Web Proxy embarcado no Miktotik, de forma que todas as requisigdes de usuarios nao autorizados passem de fato por esse proxy. Observar que o proxy embarcado nao tem as fungdes de fazer cache, pelo menos por ora. Notar também que esse proxy embarcado faz parte do pacote system e nao requer 0 pacote web- proxy. 302Mil ireless Systems™ Walled Garden E importante salientar que o Walled Garden nao se destina somente a servico WEB, mas qualquer servico que queiramos configurar. Para tanto existem 2 menus distintos que estao acima, sendo que o da esquerda destina-se somente para HTTP e HTTPS eo la direita para outros servicos e protocolos. No terminal 0 acesso ao primeiro é por /ip hotspot walled-garden e ao segundo /ip hotspot walled-garden ip 303,Route MikrotikBrasil | .<° aa ireless Systems™ Walled Garden p/ HTTP e HTTPS > Action: allow ou deny — permite ou nega > Server: Hotspot ou Hostpots para o qual vale esse Walled Garden > Src Address: Enderego IP do usuario requisitante. > Dst Address: Endereco IP do Web Server > Method: método de http > Dst Host: nome de dominio do servidor de destino. > Dst Port: porta de destino que o cliente manda a solicitago. > Path: caminho da requisi¢ao. OBS: - nos nomes de dominio é necessdrio o nome completo, podendo ser usados coringas - scene expressdes regulares devendo ser iniciadas com (: 304ireless Systems*— Walled Garden p/ outros protocolos > Action: aceita, descarta ou rejeita o pacote > Server: Hotspot ou Hostpots para o qual vale esse Walled Garden > Src Address: Enderego IP de origem do usuario requisitante. > Protocol: Protocolo a ser escolhido da lista Dest Port: Porta TCP ou UDP que esta sendo requisitadao > Dst Host: Nome de dominio do WEB server 305,Mil ireless Systems™ Hotspot - Cookies Serves User Active Hosts IP Endings Service Pots Waled Garden Cooker Donan (MAC Ades RTT PT LN > Quando configurado o login por Cookies, estes ficam armazenados no Hotspot, com o nome do usuario, MAC e 0 tempo de validade. > Enquanto estiverem validos o usuario nao precisa passar o par usuario/senha > Podem ser deletados (-) forgando assim o usuario fazer nova autenticagao 306MikrotikBrasil I Rout ireless Systems® = —_— Personalizando o Hotspot Paginas do Hotspot As paginas do Hotspot sao totalmente configuraveis e além disso é possivel criar conjuntos totalmente diferentes das eas do Hotspot para varios perfis de usarios especificando diferentes diretorios html raiz ) /ip hotspot profile html-directory. Principais paginas que séo mostradas aos usuarios: > redirect.html - redireciona o usuario a uma pagina especifica > login.html - Pagina de login que pede ao usuario o login e senha. Esta pagina tem os seguintes parametros: * username / password + dst - URL original que o usuario solicitou antes do redirecionamento (sera aberta apés 0 login com sucesso) * popup — se sera aberto uma janela de pop-up quando o usuario se logar com sucesso. 307Routel ireless Systems ogehied Penile WISPA. adie Personalizando 0 Hotspot Paginas do Hotspot As paginas do Hotspot sao totalmente configuraveis e podem ser edfacas em qualquer editor html, sendo depois atualizadas no mikrotik. E possivel criar conjuntos totalmente diferentes de paginas do Hotspot para varios perfis de usarios especificando diferentes diretorios html raiz ) /ip hotspot profile html-directory. Essa possibilidade, associada a criacao de AP's virtuais possibilita que em uma mesma 4rea publica o detentor da infraestrutura possa fornecer servico a varios operadores, utilizando os mesmos equipamentos. 308= a Mikrotikbrasil Route ireless Systerr Hotspot com https > Criar o certificado em uma maquina Unix com o Script: #/bin/sh SERVER=hotspot.mikrotikbrasil.com.br PRIVATE_KEY=$SERVER.key CERTIFICATE_FILE=S$SERVER VALID_DAYS=1095 openssl genrsa -des3 -out SPRIVATE_KEY 1024 openssl req -new -x509 -days SVALID_DAYS -key $PRIVATE_KEY -out SCERTIFICATE_FILEDuvidas ?? 310User Manager Mikrotik jstawus Jrovters jcredts jue |sessions —a Jreports jogs [eget ee!ne User Manager O que é o User Manager ? E um sistema de gerenclamento de usuarios que pode ser utilizado para controlar > Usuarios de Hotspot > Usuarios PPP (PPtP e PPPoE) > Usuarios DHCP > Usuarios Wireless em Geral > Usuarios do sistema RouterOS em si 312Routel ireless Systems User Manager 9, Como implementar > Fazer 0 download do pacote / FTP para o Router / Reboot >Criar o primeiro “subscriber” (somente no terminal) {admin@MikrotikBrasil] tool user-manager customer> add login="admin" password="1234" permissions=owner > Logar via WEB com 0 usuario e senhas criados acima em: http://IP_do_Router/userman 313MikrotikBrasil ] Route ireless Systems* User Manager - Conceitos 9, Customers, Subscribers e Users Customers sao os provedores de servigo. Eles tem acesso a interface WEB para manipular os usuarios (users) créditos e roteadores. Um Subscriber é um Customer com permissdes de “dono” Os Subscribers tem conhecimento de tudo que acontece com seus sub- customers, créditos, usuarios, roteadores, sessdes, etc. No entanto um subscriber nao tem acesso aos dados de outros subscribers. Users s&o os pobres mortais que usam os servigos oferecidos pelos Customers 314Routel ireless Systems User Manager - Algumas caracteristicas "=~ >Cada Subscriber pode criar varios Customers, personalizando telas de login para os usuarios, permissGes que os Customers tem, Modelos de “Voucher”, etc Voucher é 0 cartao de login/senha que pode ser gerado em lote para o atendimento de um Hotel, por exemplo E possivel implementar esquemas de criagao de login pelo usuario com pagamento por cart&o de crédito via PayPal ou Autorize.net E possivel configurar na mesma maquina o User Manager e o Hotspot, possibilitando uma solugao Unica para prestar servigo em Hotel com uma maquina rodando Mikrotik apenas. 315MikrottkBrastl | Roteamento Estatico: As rotas criadas pelo usuario através de insergao de rotas pré definidas em fungao da topologia da rede > Roteamento Dinamico: As rotas sao geradas automaticamente através de algum agregado de enderegamento IP ou por protocolos de roteamento O Mikrotik suporta ECMP - Equal Cost Multipath Routing (Roteamento por multicaminhos com mesmo Custo), que 6 um mecanismo que permite rotear pacotes através de varios links e permite balanceamento de carga. E possivel ainda no Mikrotik se estabelecer Politicas de Roteamento (Policy Routing) dando tratamento diferenciado a varios tipos de fluxo a critério do adminstrador. 318MikrottkBrastl |< Routel lireless Systems™ ECMP Este mecanismo de roteamento habilita o roteamento de pacotes em varios links com custo igual, assegurando um certo balanceamento de carga. Com ECMP podem ser usados mais de um gateway para um destino. Com ECMP habilitado um novo gateway é escolhido para cada novo par de |P’s origem/destino. Por exemplo uma conexao FTP é aberta para um servidor usara um link, enquanto que uma segunda conexao para outro servidor usara 0 proximo link As rotas ECMP podem ser criadas por protocolos de roteamento (RIP ou OSPF) ou adicionando uma rota estatica com multiplos gateways separados por virgula. O trafego pode ser ponderado entre links diferentes usando o mesmo gateway mais de uma véz. Por exemplo, se temos um link de 1 mega e outro de dois megas e queremos que os pacotes saiam nessa proporcao, declaramos o gateway de 2 megas duas vezes. 319Route! ireless Systems™ ECMP - ECMP néo significa redundancia, pois nao cuida do estado dos links. - ECMP ndo é um protocolo voltado a conexao, o que pode significar problemas de downloads interrompidos. Para que o ECMP seja habilitado basta adicionar varios gateways para a mesma rota, por exemplo: lip route add gateway=192.168.0.1, 192.168.1.1, 192.168.1.1 No exemplo acima, indiretamente 0 gateway 192.168.1.1 tera “peso 2”, ou seja de 3 pacotes, 1 ira pelo primeiro link e dois pelo segundo. 320R ireless Systems — Exemplo de ECMP Temos que rotear os pacotes da rede 192.168.0.0/24 por dois links distintos: > = - = 1 adiress 101.0.128 \ Padres: 101.1 - 10.1.0.1 de 2 mbps astooe\ ‘ateie =10.1.1.1 de 4 mbps —e fo aera {eow~-Roxte) A solugo para “balancear’ o link é configurar um 1 adiress: 1921680124 gateway com o primeiro link e dois com 0 segundo. fip route add gateway=10.1.0.1, 10.1.1.1, 10.1.1.1 : £ aa) 321MikrotikGrasil Route ireless Systems® Exemplo de ECMP Temos que rotear os pacotes da rede 192.168.0.0/24 por dois links distintos: -10.1.0.1 de 2 mbps No Winbox : - 10.1.1.1 de 4 mbps A solugao para “balancear” o link é configurar um gateway com o primeiro link e dois com 0 segundo. fip route add gateway=10.1.0.1, 10.1.1.1, 10.1.1.1 322Route! ireless System™ Politicas de Roteamento Existem algumas regras que devem ser seguidas para se estabelecer uma politica de roteamento: > As politicas podem ser por marca de pacotes, por classes de endere¢os Ip e portas. > Amarca dos pacotes deve ser adicionada no Firewall, no modulo Mangle com routing-mark > Aos pacotes marcados sera aplicada uma politica de roteamento, dirigindo-os para um determinado gateway. +> E possivel utilizar politica de roteamento quando se utiliza mascaramento (NAT) 323MikrotikBrasil ) .<° ee Routel lireless Systems™ Politicas de Roteamento Observagées Importantes: Uma aplicagao tipica de Politicas de Roteamento é trabalhar com dois links direcionando parte do trafego por um e parte por outro. Por exemplo a canalizagao de aplicagées peer-to-peer por um link “menos nobre” E impossivel porém reconhecer o trafego peer-to-peer do a partir do primeiro pacote, mas téo somente apds as conexées estabelecidas, o que impede o funcionamento dos programas P2P em caso de NAT de origem. Aestratégia nesse caso é colocar como gateway default 0 link “menos nobre”, marcar 0 trafego conhecido e “nobre” (HTTP, DNS, POP3, SMTP, etc) e desvia-lo para o link “nobre’. Todas as outras aplicacgées, incluido 0 P2P, irdo para o link “nao nobre’”. 324Rout ikrotikbrasil 1. e ireless Systems™ Exemplo de Politica de Roteamento Na situagao normal queremos que a rede: town) Network 10.0.0.0/24 > 192.168.0.0/24, use o gateway GW_1, > 192.168.1.0/24, use o gateway GW_2 No caso de falha aos pings do GW_1 ou svtace Pot do GW_2, queremos automaticamente [reroute] | address 1000.77 totear para o GW_Backup. Interface: Loeart Iotertoce: Local (P ocdross: 192.168.0.1724 WP across: 192.168.1.1728 » - » + 192.168.0.0/24 + 192.168.1.0/24MikrotikBrasil ) 008" ae Route ireless Systems* Exemplo de Politica de Roteamento . Marcar pacotes da rede 192.168.0.0/24 com new-routing-mark=net1, e pacotes da rede 92.168.1.0/24 com new-routing-mark=net2: ) firewall mangle> add src-address=192.168.0.0/24 action=mark-routing new-routing-mark=net1 hain=prerouting ) firewall mangle> add src-address=192.168.1.0/24 action=mark-routing new-routing-mark=net2 hain=prerouting . Rotear os pacotes da rede 192.168.0.0/24 para o gateway GW_1 (10.0.0.2), pacotes da rede 92.168.1.0/24 para o gateway GW_2 (10.0.0.3), usando as correspondentes marcas de pacotes. e GW_1 ou GW_2 falharem {nao responder a pings), rotear para GW_Backup (10.0.0.1): ) route> add gateway=10.0.0.2 routing-mark=net1 check-gateway=ping ) route> add gateway=10.0.0.3 routing-mark=net2 check-gateway=ping Stas add qatawav—=40) 014 326