Você está na página 1de 559

mdbrasil - todos direitos reservados

APOSTILA MTCNA verso 1


MDBRASIL - TI & Telecom
Consultoria, Treinamentos e Integrao de Equipamentos
www.mdbrasil.com.br / www.mikrotikbrasil.com.br

OBS: Esta a apostila original dos primeiros treinamentos em Mikrotik RouterOS


promovidos pela MD Brasil que, no perodo de 2006 a 2012, formou mais de 2.500
profissionais.
Solicitamos aos portadores do presente arquivo que leiam atentamente as informaes
acerca de direitos autorais e das notas sobre a apostila contidas nas primeiras pginas.
1

mdbrasil - todos direitos reservados

Direitos Autorais

Este material est destinado ao uso e estudo pessoal de seus portadores, no


podendo ser utilizado em treinamentos comerciais, mesmo que gratuitos,
apresentaes pblicas ou, em qualquer outra forma que no para o uso em
estudos privados.
A reproduo total ou parcial dos textos e ou figuras e tabelas aqui presentes, est
expressamente proibida, podendo somente ser feita com a autorizao por escrito
da empresa MD Brasil Tecnologia da Informao Ltda.
Contatos com a empresa podem ser feitos pelo e-mail: apostila@mdbrasil.com.br

mdbrasil - todos direitos reservados

Notas sobre a apostila


A presente apostila foi criada inicialmente em 2006 para servir de base para os
treinamentos em Mikrotik ministrados pela MD Brasil. Ao longo do tempo ela veio
sendo modificada recebendo correes, incluses e excluses e foi utilizada para o
treinamento de mais de 2500 alunos.
Diversas cpias no autorizadas do presente material so encontradas na Internet,
sendo inclusive algumas utilizadas em outros treinamentos, at mesmo de carter
oficial. Materiais de treinamento em Mikrotik RouterOS que estejam sendo
utilizados por outra empresa e que tenha muita similaridade com este em sua
sequncia, organizao e at mesmo em alguns erros de digitao, certamente
fruto de plgio e seu utilizador poder vir a ser responsabilizado cvel e
criminalmente.
Em funo de estarmos lanando uma nova verso, totalmente remodelada para
os cursos ainda no primeiro semestre de 2013, esta apostila est sendo distribuda
por via eletrnica sem custo.
Desejamos a todos um bom proveito.
3

mdbrasil - todos direitos reservados

Sobre os autores
A elaborao dessa apostila foi iniciada no final de 2006 por Wardner Maia, com
vistas a um curso que ministrou em janeiro de 2007 na cidade de So Paulo.
Muitos dos slides aqui contidos ainda so os originais daquela poca.

Em meados de 2007 a MD Brasil se tornou a primeira empresa brasileira parceira


de treinamentos da Mikrotik e passou a ministrar os cursos em carter oficial
.Ainda em 2007, se juntaram ao time da MD Brasil os instrutores Srgio Souza e
Edson Xavier Veloso, que em muito colaboraram tanto na apostila como na
evoluo dos cenrios e laboratrios dos Cursos.
A prpria certificao MTCNA inexistia no incio da elaborao desta que de certa
forma balizou o programa oficial da Mikrotik.
Hoje a MD Brasil a nica empresa brasileira que tem em sua equipe 3 Trainers
certificados. Alm de instrutores, trabalham em suas empresas ligadas rea de
redes e Internet, vivenciando no dia a dia situaes reais e concretas.
4

mdbrasil - todos direitos reservados

Um pouco sobre a MD Brasil TI & Telecom


(MikrotikBrasil)
No mercado de Internet discada desde 1995 e pioneira nos primeiros enlaces
Wireless entre cidades no interior paulista ainda em 1999/2000;
Ministra treinamentos em Wireless desde 2002 e presta servios de consultoria em
TI e Telecomunicaes para outros provedores e empresas;
Representante do sistema operacional RouterOS desde janeiro de 2006);
Primeira empresa brasileira distribuidora oficial de hardware Mikrotik credenciada em
janeiro de 2007;

Primeira empresa brasileira qualificada como Training Partner Mikrotik, em julho de


2007.

mdbrasil - todos direitos reservados

Mikrotik RouterOS
uma pequena histria de grande sucesso
1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia)
1995: Solues para WISPs em vrios pases
1996: Publicado na Internet o paper Wireless Internet Access in Latvia
1996: Incorporada e Fundada a empresa MikroTikls
2002: Desenvolvimento de Hardware prprio
2007: 60 funcionrios
Atualmente:
O RouterOS da Mikrotik tende a ser um padro de fato para provedores de servio internet
podendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.
6

mdbrasil - todos direitos reservados

O que o Mikrotik RouterOS ?


Um poderoso sistema operacional carrier class que pode ser instalado em um PC
comum ou placa SBC (Single Board Computer), podendo desempenhar as funes de:
Roteador Dedicado
Bridge
Firewall
Controlador de Banda e QoS
Ponto de Acesso Wireless modo 802.11 e proprietrio
Concentrador PPPoE, PPtP, IPSeC, L2TP, etc
Roteador de Borda
Servidor Dial-in e Dial-out
Hotspot e gerenciador de usurios
WEB Proxy
Recursos de Bonding, VRRP, etc, etc.
7

mdbrasil - todos direitos reservados

Instalao do Mikrotik

O Mikrotik RouterOS pode ser instalado utilizando:


CD Iso bootvel ( gravado como imagem )
Via rede com o utilitrio Netinstall

mdbrasil - todos direitos reservados

Obtendo o RouterOS
http://www.mikrotik.com/download.html

Imagem ISO para instalao com CD


Changelog Modificaes verses

mdbrasil - todos direitos reservados

Instalando por CD
Uma vz baixado o pacote e descompactado, precisamos gerar o CD de boot
No exemplo abaixo usamos o Nero para gravar o CD

10

mdbrasil - todos direitos reservados

Instalando por CD
Seleciona-se a imagem .iso descompacatada e clica-se em Burn

11

mdbrasil - todos direitos reservados

Instalando por CD
Prepare o PC para bootar pelo CD. Aps o boot ser apresentada a seguinte tela:

12

mdbrasil - todos direitos reservados

Pacotes do RouterOS - significado


System:

Pacote principal com servios bsicos e drivers. A rigor o nico


que necessramente tem de ser instalado.

ppp:

Suporte aos servios PPP como PPPoE, L2TP, PPtP, etc

DHCP:

DHCP cliente e DHCP servidor

advanced-tools:

ferramentas de diagnstico, netwatch e outros utilitrios

arlan:

Suporte a um tipo de placa Aironet antiga arlan

calea:

Pacote para vigilancia de conexes (exigencia legal nos EUA)

gps:

Suporte a GPS (tempo e posio)

hotspot:

Suporte a hotspots

ISDN:

Suporte a conexes ISDN

lcd:

Suporte a display de cristal lquido

ntp:

Servidor e cliente de NTP (relgio)


13

mdbrasil - todos direitos reservados

Pacotes do RouterOS - significado


radiolan:

suporte a placa Radiolan

routerboard:

utilitrios para routerboards

routing:

suporte a roteamento dinamico protocolos RIP, OSPF e BGP

rstp-bridge-test

protocolo rstp

security:

suporte a ssh, Ipsec e conexo segura do winbox

synchronous:

suporte a placas sncronas Moxa, Cyclades PC300 e outras

telephony:

pacote de suporte a telefonia protocolo h.323

ups:

suporte a no-breaks APC

user-manager:

servio de autenticao user-manager

web-proxy:

Servio de Web-Proxy

wireless:

Suporte a placas PrismII e Atheros

wireless-legacy:

Suporte a placas PrismII, Atheros e Aironet com algumas features


14
inabilitadas

mdbrasil - todos direitos reservados

Instalando por CD
Pode-se seleccionar os pacotes desejados pressionando-se a barra de espaos
ou a para todos. Em seguida i ir instalar os pacotes selecionados.
Caso haja configuraes pode-se mante-las selecionando-se y

15

mdbrasil - todos direitos reservados

Instalao com Netinstall


O Netinstall tranforma uma estao de trabalho
Windows em um instalador.
Obtem-se o programa no link
www.mikrotik.com/download.html
Pode-se instalar em um um PC que boota via
rede (configurar na BIOS)

Pode-se instalar em uma Routerboard,


configurando-a para bootar via rede
O Netinstall interessante principalmente para
reinstalar em routerboards quando necessrio por
danos a instalao inicial e quando se perde a
senha do equipamento.
16

mdbrasil - todos direitos reservados

Instalao com Netinstall


Para se instalar em uma Routerboard, inicialmente
temos que entrar via serial, com um cabo null
modem e os parametros:
velocidade: 115.200 bps
bits de dados: 8
bits de parada: 1
Controle de fluxo: hardware

Entra-se na Routerboard e
seleciona-se

o - boot device
e depois:
e - Etherboot

17

mdbrasil - todos direitos reservados

Instalao com Netinstall


Atribuir um IP para o Net
Booting na mesma faixa da
placa de rede da mquina.
Colocar os pacotes a
serem instalados na
mquina.
Bootar e selecionar os
pacotes a serem instalados.

18

mdbrasil - todos direitos reservados

Acesso ao Mikrotik

O processo de instalao no configura um IP no Mikrotik e o primeiro acesso pode


ser feito das seguintes maneiras:

Direto na console (no caso de PCs)


Via Terminal (115200/8/N/1 para routerboards e 9600/8/N/1 para PCs)

Via Telnet de MAC, atravs de outro Mikrotik ou de sistema que suporte telnet por
MAC e que esteja no mesmo barramento fsico de rede.
Via Winbox
19

mdbrasil - todos direitos reservados

Console do Mikrotik
Na console do Mikrotik tem-se acesso a todas as configuraes por um sistema de
diretrios hierrquicos pelos quais se pode navegar digitando o caminho.
Exemplo:
[admin@MikroTik] > ip
[admin@MikroTik] ip> address
Pode-se voltar um nvel de diretrio digitando-se ..
[admin@MikroTik] ip address> ..
[admin@MikroTik] ip>
Pode-se ir direto ao diretrio raiz, digitando-se /
[admin@MikroTik] ip address> /
[admin@MikroTik] >
20

mdbrasil - todos direitos reservados

Console do Mikrotik
Ajuda
? Mostra um help para o diretrio em que se esteja [Mikrotik] > ?
? Aps um comando incompleto mostra as opes disponveis para esse
comando - [Mikrotik] > interface ?
Tecla TAB
Comandos no precisam ser totalmente digitados, podendo ser completados
com a tecla TAB
Havendo mais de uma opo para o j digitado, pressionar TAB 2 vezes
mostra todas as opes disponveis.

21

mdbrasil - todos direitos reservados

Print: mostra informaes de configurao

Console do Mikrotik

[admin@MikroTik] interface ethernet> print


Flags: X - disabled, R - running
# NAME
MTU MAC-ADDRESS
ARP
0 R ether1
1500 00:03:FF:9F:5F:FD enabled
Pode ser usado com diversos argumentos como print status, print detail e print
interval. Exemplo:
[admin@MikroTik] interface ethernet> print detail
Flags: X - disabled, R - running
0 R name="ether1" mtu=1500 mac-address=00:03:FF:9F:5F:FD arp=enabled
disable-running-check=yes auto-negotiation=yes full-duplex=yes cablesettings=default speed=100Mbps
22

mdbrasil - todos direitos reservados

Console do Mikrotik
Comando Monitor
Mostra continuamente vrias informaes de interfaces

[admin@Escritorio] > interface ethernet monitor ether1


status: link-ok
auto-negotiation: done
rate: 100Mbps
full-duplex: yes
default-cable-setting: standard

23

mdbrasil - todos direitos reservados

Console do Mikrotik
Comandos para manipular regras
add, set, remove adiciona, muda ou remove regras
disabled desabilita a regra sem deletar
move move algumas regras cuja ordem influencie( firewall por
exemplo )

Comando export
exporta todas as configuraes do diretrio corrente acima ( se
estiver em /, do roteador todo)
pode ser copiado com o boto direito do mouse e colado em editor de
textos
pode ser exportado para um arquivo com export file=nome do arquivo

Comando import
importa um arquivo de configuraes criado pelo comando export.
24

mdbrasil - todos direitos reservados

Winbox
Obtem-se o Winbox na URL abaixo
ou direto em um mikrotik
www.mikrotik.com/download.html

Interface Grfica para administrao do Mikrotik


Funciona em Windows e Linux ( Wine )
Utiliza porta TCP 8291
Se escolhido Secure mode a comunicao criptografada
Quase todas as funcionalidades do terminal podem ser configuradas via WINBOX
25

mdbrasil - todos direitos reservados

Winbox
Com o Winbox possvel acessar um Mikrotik sem IP, atravs do seu MAC. Para
tanto popnha os dois no mesmo barramento de rede e clique nas reticncias

Clique para encontrar o Mikrotik

O acesso pelo MAC pode ser feito para fazer as configuraes iniciais, como dar um
endereo IP para o Mikrotik.
Aps ter configurado um IP e uma mscara de rede. aconselha-se preferencialmente
o acesso via IP que mais estvel.
26

mdbrasil - todos direitos reservados

Configurao no modo seguro


Pressionando-se control+X em um terminal pode-se operar o Mikrotik com a
possibilidade de desfazer as configuracoes sem que elas sejam aplicadas.

Operando no modo seguro

27

mdbrasil - todos direitos reservados

Configurao no modo seguro


Se outro usurio entra no modo seguro, quando j h um nesse modo, lhe
ser dada a seguinte mensagem:
[admin@MKBR100] >
Hijacking Safe Mode from someone unroll / release / dont take it [u/r/d]
u desfaz todas as configuraes anteriores feitas no modo seguro e pe
a presente sesso em modo seguro

d deixa tudo como est


r mantm as configuraes realizadas no modo seguro e pe a sesso
em modo seguro. O outro usurio recebe a mensagem:
[admin@MKBR100]
Safe mode released by another user
28

mdbrasil - todos direitos reservados

Configurao no modo seguro


Todas as configuraes so desfeitas caso o modo seguro seja terminado
de forma anormal.
Control+X novamente ativa as configuraes
Control+D desfaz todas as configuraes realizadas no modo seguro.
Configuraes realizadas no modo seguro so marcadas com uma Flag F,
at que sejam aplicadas.
O histrico das alteraes pode ser visto (no s no modo seguro) em
/system history print
Importante: O nmero de registros de histrico limitado a 100. As
modificaes feitas no modo seguro que extrapolem esse limite no so
desfeitas nem por Control+D nem pelo trmino anormal do modo seguro.

29

mdbrasil - todos direitos reservados

Manuteno do Mikrotik

Atualizao
Backups
Acrscimo de funcionalidades
Detalhes do licenciamento

30

mdbrasil - todos direitos reservados

Manuteno do Mikrotik
Atualizaes
As atualizaes podem ser
feitas com o conjunto de pacotes
combinados ou com os pacotes
separados disponveis no site da
Mikrotik.

Os arquivos tem a extenso


.npk e basta coloca-los no
diretrio raiz do Mikrotik e bootalo para subir a nova verso.
O upload pode ser feito por
FTP ou copiando e colando no
WInbox.

31

mdbrasil - todos direitos reservados

Manuteno do Mikrotik
acrscimo de novas funcionalidades
Alguns pacotes no fazem
parte da distribuio normal mas
podem ser instalados
posteriormente. Exemplo o
pacote User Manager..

Os arquivos tambm tem a


extenso .npk e basta coloca-los
no diretrio raiz do Mikrotik e
boota-lo para subir a nova
verso.
O upload pode ser feito por
FTP ou copiando e colando no
WInbox.
32

mdbrasil - todos direitos reservados

Manuteno do Mikrotik
Manipulao de pacotes
Alguns pacotes podem no ter sido instalados no momento da instalao ou podem estar
desabilitados. Pacotes podem ser habilitados/desabilitados de acordo com as necessidades.

verifica-se e manipula-se o estado dos


pacotes em / system packages
Pacote desabilitado

Se o pacote no tiver sido instalado, para

faze-lo devemos encontrar o pacote de mesma


verso, fazer um upload para o Mikrotik que
este ser automaticamente instalado

33

mdbrasil - todos direitos reservados

Manuteno do Mikrotik
Manipulao de pacotes
Existem os pacotes estveis e os pacotes test, que esto ainda sendo reescritos e
podem estar sujeitos a bugs e carencia de documentao.
Quando existem 2 iguais e um test deve-se escolher um deles para trabalhar.

web-proxy e
web-proxy-test

34

mdbrasil - todos direitos reservados

Manuteno do Mikrotik
Backup

Para efetuar o Backup, basta ir em


Files e clicar em Backup copiando
o arquivo para um lugar seguro.
Para restaurar, basta colar onde se
quer restaurar e clicar na tecla
Restore

OBS: O Backup feito dessa forma ao ser restaurado em outro hardware ter problemas com
diferentes endereos MAC. Para backupear partes das configuraes use o comando export
35

mdbrasil - todos direitos reservados

Licenciamento do Mikrotik
Detalhes de licenciamento
A chave gerada sobre um software-id fornecido pelo prprio sistema

Fica vinculada ao HD ou Flash (e dependendo do caso da placa me)

Importante: a formatao com ferramentas de terceiros muda o soft-id e


causa a perda da licena instalada

36

mdbrasil - todos direitos reservados

Poltica de Licenciamento

37

mdbrasil - todos direitos reservados

Dvidas e esclarecimentos adicionais sobre


Instalao ?
Acesso ?
Manuteno ?
Licenciamento ?

38

mdbrasil - todos direitos reservados

Nivelamento de conceitos bsicos de Redes TCP/IP


e suas implementaes no Mikrotik

39

mdbrasil - todos direitos reservados

O Modelo OSI
(Open Systems Interconnection)
APLICAO
APRESENTAO

SESSO
TRANSPORTE
REDE

Camadas 7 (fornece a interface da aplicao ao usurio)


Camada 6 (Gerencia como os dados sero apresentados)

Camada 5 (controla a comunicao entre dispositivos)


Camada 4 (responsvel o transporte dos dados TCP e UDP )
Camada 3 (faz endereamento lgico roteamento IP)

ENLACE

Camada 2 (detecta/corrige erros, controla fluxo, end.. fsico)

FSICA

Camada 1 (conexes fsicas da rede, como cabos, wireless)


40

mdbrasil - todos direitos reservados

O Modelo OSI
(Open Systems Interconnection)

APLICAO

APLICAO

APRESENTAO

APRESENTAO

SESSO

SESSO

TRANSPORTE

TRANSPORTE

REDE

REDE

ENLACE

ENLACE

FSICA

FSICA
41

mdbrasil - todos direitos reservados

Camada I - Fsica
A camada fsica define as caractersticas tcnicas dos dispositivos eltricos .
que fazem parte da rede
nesse nvel que esto definidas as especificaes de cabeamento
estruturado, fibras ticas, etc. No caso de Wireless, na camada I que se
definem as modulaes assim como a frequencia e largura de banda das
portadoras
So especificaes de Camada I:
RS-232, V.35, V.34, Q.911, T1, E1, 10BASE-T,100BASE-TX , ISDN, SONET, DSL,
FHSS, DSSS, OFDM etc

42

mdbrasil - todos direitos reservados

Camada I - Fsica

Exemplo de configurao da camada


fsica:
Escolhe-se a banda de transmisso e
a forma com que o rdio ir se
comportar

43

mdbrasil - todos direitos reservados

Exemplo de configurao fsica


da Interface Wireless
No lado do AP
1 Configurar o AP, definindo banda, canal, modo de operao e
nome de rede

No lado dos alunos:


1 Configurar como station, com o mesmo nome de rede e
banda
2 Na aba Wireless, no campo Radio name, colocar o seu
nmero e nome, no seguinte padro:
XY-SeuNome

44

mdbrasil - todos direitos reservados

Camada II - Enlace
Camada responsvel pelo endereamento fsico, controle de acesso ao meio
e correo de erros da camada I
O endereamento fsico se faz pelos endereos MAC (Controle de acesso ao
meio) que so (ou deveriam ser) nicos no mundo e que so atribudos aos
dispositivos de rede
Bridges so exemplos de dispositivos que trabalham na camada II.

So especificaes de Camada II:


Ethernet, Token Ring, FDDI, PPP, HDLC, Q.921, Frame Relay, ATM

45

mdbrasil - todos direitos reservados

Camada II - Enlace
Exemplo de configurao de Camada II (Enlace)

No AP Central: criar uma Bridge entre as interfaces Wireless


Bridges Verdadeiras / Bridges Falsas

46

mdbrasil - todos direitos reservados

Camada III - Rede


Responsvel pelo endereamento lgico dos pacotes
Transforma endereos lgicos em endereos fsicos de rede
Determina a rota que os pacotes iro seguir para atingir o destino baseado em fatores
tais como condies de trfego de rede e prioridades.
Define como os dispositivos de rede se descobrem e como os pacotes so roteados ao
destino final..

Esto na Camada III:


IP, ICMP, IPsec, ARP, RIP, OSPF, BGP

47

mdbrasil - todos direitos reservados

Protocolo IP
um protocolo cujas funes principais so:
endereamento
roteamento
As principais funes do protocolo IP so endereamento e roteamento pois este
fornece de uma maneira simples a possibilidade de identificar uma mquina na
rede (endereo IP) e uma maneira de encontrar um caminho entre a origem e o
destino (Roteamento).
Endereo IP = Nmero binrio de 32 bits
48

mdbrasil - todos direitos reservados

Endereamento IP
Usualmente utilizamos 4 sequencias de 8 bits (octetos) para representao
dos endereos IP:
Exemplo :
11000000.10101000.000000001.000000001, em notao binria,
convertida para decimal fica:
11000000 2^7+2^6
= 128+64 = 192
10101000 2^7+2^5+2^3 = 128+32+8 = 168
00000001 2^0
=1
00000001 2^0
=1

192.168.1.1
49

mdbrasil - todos direitos reservados

Endereamento por Classes de IP


Classe
Class A
Class B
Class C

# Bits de rede
8 bits
16 bits
24 bits

# Bits de Hosts
24 bits
16 bits
8 bits

Range Decimal
1-126
128-191
192-223

Usando o esquema de classes era possvel:


126 redes Classe A que podiam ter at 16,777,214 hosts cada.
Mais 65,000 redes Classe B networks que podiam ter at 65,534 hosts cada
Mais 2 milhes de redes Classe C que podiam ter at 254 hosts cada.
50

mdbrasil - todos direitos reservados

Esquema de endereamento CIDR


No esquema CIDR (Classless Internet Domain Routing), os computadores em uma rede
fazem uso das mscaras de rede para separar computadores em sub-redes.
As mscaras de rede so tambem nmeros binrios de 32 bits, que dividimos em
octetos

11111111.11111111.11111111.00000000
11111111 2^7 + 2^6 + 2^5 + 2^4 + 2^3 + 2^2 + 2^1 = 255

mscara equivalente em decimal:

255.255.255.0
51

mdbrasil - todos direitos reservados

Mscaras de rede
Alm da forma binria e decimal as mscaras de rede podem ser representadas pela
notao em bitmask (soma dos bits que compe a mscara);

Exemplos:
11111111.11111111.11111111.11111111
decimal : 255.255.255.255
bitmask: /32
11111111.11111111.11111111.11111100
decimal: 255.255.255.252
bitmask: /30

11111111.00000000.00000000.0000000
decimal: 255.0.0.0
bitmask: /8

52

mdbrasil - todos direitos reservados

Endereamento de rede
Para separar computadores em sub redes realizada uma multiplicao binria do
endereo IP com a mscara de rede, sendo ento calculado o endereo de rede para
aquele host.
Exemplo: 200.200.200.10 com mscara 255.255.255.192 (ou /26)

Decimal

1 octeto

2 octeto

3 octeto

4 octeto

IP

200.200.200.10

11001000

11001000

11001000

00001010

Mask

255.255.255.192

11111111

11111111

11111111

11000000

11001000

11001000

11001000

00000000

Multiplicao binria

Endereo de rede calculado 200.200.200.0


53

mdbrasil - todos direitos reservados

Endereamento de broadcast
O maior IP possivel para uma sub rede chamado de endereo de broadcast e o
endereo para o qual se manda um pacote destinado a todos os hosts da rede.

Em uma rede os endereos de Rede e os endereos de Broadcast so reservados e


no podem ser utilizados por hosts
Exemplos de endereos de rede e broadcast:
Endereo IP/mask

Rede

Broadcast

200.200.200.10/24

200.200.200.0

200.200.200.255

200.200.200.10/25

200.200.200.0

200.200.200.127

200.200.200.10/26

200.200.200.0

200.200.200.63

200.200.200.200/26

200.200.200.192

200.200.200.255
54

mdbrasil - todos direitos reservados

Sub Redes

55

mdbrasil - todos direitos reservados

Tabela de referncia IPs


Binrio

Decimal

Bitmask

IPs

Hosts

11111111.11111111.11111111.11111111

255.255.255.255

/32

11111111.11111111.11111111.11111100

255.255.255.252

/30

11111111.11111111.11111111.11111000

255.255.255.248

/29

11111111.11111111.11111111.11110000

255.255.255.240

/28

16

14

11111111.11111111.11111111.11100000

255.255.255.224

/27

32

30

11111111.11111111.11111111.11000000

255.255.255.192

/26

64

62

11111111.11111111.11111111.10000000

255.255.255.128

/25

128

126

11111111.11111111.11111111.00000000

255.255.255.0

/24

256

254

11111111.11111111.11110000.00000000

255.255.240.0

/20

4096 4094

56

mdbrasil - todos direitos reservados

Endereos IP no Mikrotik

Atentar para a especificao correta da mscara de rede que determinar o


endereo de rede e o de broadcast
57

mdbrasil - todos direitos reservados

Protocolo ARP
(Address resolution Protocol)
Utilizado para associar IPs com endereos fsicos faz a interface entre a camada II
e a camada III.
Funcionamento:
O solicitante de ARP manda um pacote de broadcast com a informao do IP de
destino, IP de origem e seu MAC, perguntando sobre o MAC de destino
O Host que tem o IP de destino manda um pacote de retorno fornecendo seu
MAC
Para minimizar os broadcasts devido ao ARP, so mantidas no SO, as tabelas
ARP, constando o par IP MAC
58

mdbrasil - todos direitos reservados

Cenrio inicial do Curso

59

mdbrasil - todos direitos reservados

Configurao de Rede
No AP Central:
1 Cadastrar o IP 192.168.100.254 com mscara 255.255.255.0 na wlan1
Nos alunos:
1 Cadastrar um IP 192.168.100.XY com mscara 255.255.255.0 wlan1 do
Mikrotik
2 Como ficou sua tabela de rotas ?

60

mdbrasil - todos direitos reservados

Protocolo ARP
(Address resolution Protocol)

Observe a tabela ARP do AP


Consulte sua Tabela ARP
Torne a entrada do AP em uma entrada esttica, clicando com o boto
direito e Make Static

61

mdbrasil - todos direitos reservados

Roteamento
No AP Central:
1 Cadastrar a rota default no AP Central.
Nos alunos:
1 Cadastrar a rota default
2 Como ficou sua tabela de rotas ?

62

mdbrasil - todos direitos reservados

Configurao de DNS
No AP Central:
1 Configure o DNS apontando-o para o DNS da operadora
Nos alunos:
1 Configure o DNS apontando para o AP Central
2 Teste a resoluo de nomes a partir da ROUTERBOARD
3 Voc quer que sua Torre resolva os nomes para o Laptop. O que tem de
ser feito ?

63

mdbrasil - todos direitos reservados

Setup I Roteamento esttico


ectividade dos Laptops:
1 Cadastrar o IP 10.10.XY.1/24 na Routerboard
2 Cadastrar o IP 10.10.XY.2/24 no Laptop
3 Cadastrar o Gateway e DNS no seu Laptop 10.10.XY.1
4 teste as conectividades:
Laptop Routerboard
Routerboard AP Central
Laptop AP Central
O que precisa ser feito para funcionar tudo ?
64

mdbrasil - todos direitos reservados

Camada IV - Transporte
No lado do remetente responsvel por pegar os dados das camadas
superiores dividir em pacotes para que sejam transmitidos para a camada de
rede.
No lado do destinatrio pega os pacotes recebidos da camada de rede,
remonta os dados originais e envia s camadas superiores.

Esto na Camada IV:


TCP, UDP, RTP, SCTP

65

mdbrasil - todos direitos reservados

Protocolo TCP

O TCP um protocolo de transporte e executa


importantes funes para garantir que os dados sejam
entregues de uma maneira confivel, ou seja, sem que os
dados sejam corrompidos ou alterados.

66

mdbrasil - todos direitos reservados

Caractersticas do protocolo TCP


Garante a entrega de datagramas IP
Executa a segmentao e reagrupamento de grandes blocos de dados enviados
pelos programas e Garante o seqenciamento adequado e entrega ordenada de
dados segmentados.
Verifica a integridade dos dados transmitidos usando clculos de soma de
verificao
Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados.
Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas para
os dados que no foram recebidos
Oferece um mtodo preferencial de transporte de programas que devem usar
transmisso confivel de dados baseada em sesses, como bancos de dados
cliente/servidor e programas de correio eletrnico
67

mdbrasil - todos direitos reservados

Portas TCP

O uso do conceito de portas, permite que vrios programas estejam em


funcionamento, ao mesmo tempo, no mesmo computador, trocando
informaes com um ou mais servios/servidores.
Portas abaixo de 1024 so registradas para servios especiais
68

mdbrasil - todos direitos reservados

Estabelecimento de uma conexo TCP


Uma conexo TCP estabelecida em um processo de 3 fases:
O Cliente a conexo manda uma requisio SYN contendo o
nmero da porta que pretende utilizar e um nmero de sequencia inicial.
O Servidor responde com um ACK com o nmero sequencial
enviado +1 e um pacote SYN com um outro nmero de sequencia
SYN +1

O Cliente responde com um ACK com o numero recebido do


SYN (100)

Cliente

ACK (101), SYN (400)

Servidor

ACK (401)
69

mdbrasil - todos direitos reservados

Enviando dados com TCP

No caso da conexo ser abortada uma flag RST


mandada ao remetente

Data 1

Remetente

ACK

Destinatrio

O TCP divide o fluxo de dados em segmentos


o remetente manda dados em segmentos com um
nmero sequencial
o destinatrio acusa o recebimento de cada
segmento
o remetente manda os dados seguintes
se no recebe a confirmao do recebimento,
manda novamente

Data 2
NO ACK
Data 2
ACK

70

mdbrasil - todos direitos reservados

Encerrando uma conexo TCP


O processo de encerramento tambm feito em 4 fases:

- Remetente manda um pedido de FIN


- Destinatrio responde acusando o recebimento com um ACK
- Destinatrio manda seu pedido de FIN
- Remetente envia um ACK
FIN

Cliente

ACK
FIN

Servidor

ACK
71

mdbrasil - todos direitos reservados

Protocolo UDP
- O UDP (User Datagram Protocol) utilizado para o transporte rpido
entre hosts
- O UDP um servio de rede sem conexo, ou seja no garante a
entrega do pacote
- Mensagens UDP so encapsuladas em datagramas IP

72

mdbrasil - todos direitos reservados

Comparao TCP e UDP


UDP

TCP

Servio sem conexo. No estabelecida Servio orientado por conexo. Uma


sesso entre os hosts
sesso estabelecida entre os hosts.
UDP no garante ou confirma a entrega
dos dados

Garante a entrega atravs do uso de


confirmao e entrega sequenciada dos
dados

Os programas que usam UDP so


responsveis pela confiabilidade

Os programas que usam TCP tem


garantia de transporte confivel de dados

Rpido, exige poucos recursos oferece


comunicao ponto a ponto e ponto
multiponto

Mais lento, usa mais recursos e somente


d suporte a ponto a ponto
73

mdbrasil - todos direitos reservados

Observe o estado de suas conexes em IP / Firewall / Connections

74

mdbrasil - todos direitos reservados

Fazendo uma conexao TCP


Nos alunos:
1 Abrir uma sesso de FTP para o IP do nosso servidor de FTP
2 Verifique a sua tabela de Connection Tracking
No AP Central:
1 Exibir a tabela de Connection Tracking

75

mdbrasil - todos direitos reservados

Dvidas ou consideraes acerca de:


Camadas fsica / enlace / rede / transporte / aplicao
Protocolo IP / Mascaras de rede ?
Protocolo ARP ?
TCP ?
UDP ?

76

mdbrasil - todos direitos reservados

Setup II - Configurao da sala com NAT


Configure o mascaramento de rede
Teste a conectividade com o mundo exterior.
Apague backups anteriores eventualmente feitos e faa um backup de suas
configuraes
Salve os backups tambem no seu Laptop. Elas sero teis durante o curso.

77

mdbrasil - todos direitos reservados

Mascaramento de rede
Exemplo: Um computador da rede interna 192.168.100.100 acessando
www.mikrotikbrasil.com.br (200.210.70.16) atravs do roteador que tem IP pblico
200.200.200.200.

NAT
IP origem: 200.200.200.200
IP destino: 200.210.70.16
IP origem: 192.168.100.100

IP destino: 200.210.70.16

192.168.100.100

192.168.100.101

192.168.100.102

78

mdbrasil - todos direitos reservados

Mascaramento de rede
O mascaramento de rede a tcnica que permite que diversos computadores em uma
rede compartilhem de um mesmo endereo IP. No Mikrotik o mascaramento feito
atravs do firewall por uma funcionalidade chamada NAT (Network Address
Translation)
Todo e qualquer pacote de dados em uma rede possui um endereo IP de origem e
um de destino. Para mascarar o endereo, o NAT faz a troca do IP de origem, e no
retorno deste, conduz ao computador que o originou.
Exemplo: Um computador da rede interna 192.168.100.100 acessando
www.mikrotikbrasil.com.br (200.210.70.16) atravs do roteador que tem IP pblico
200.200.200.200.
Destination NAT (dstnat), ou NAT de destino quando o roteador reescreve o
endereo ou a porta de destino.

79

mdbrasil - todos direitos reservados

Mascaramento de Rede
No AP Central:
1 Configurar o mascaramento de rede no AP Central.

Nos alunos:
3 A partir do Mikrotik tente pingar a Internet (172.16.255.1). Funcionou ?
80

mdbrasil - todos direitos reservados

Mikrotik
&
Wireless

81

mdbrasil - todos direitos reservados

Configuraes da camada Fsica


Bandas de operao

82

mdbrasil - todos direitos reservados

Configuraes Fsicas / Banda


Resumo dos padres IEEE empregados e suas caractersticas:
Padro IEEE

Freqncia

Tecnologia

Velocidades

802.11b

2.4 GHz

DSSS

1, 2, 5.5 e 11mbps

802.11g

2.4 GHz

OFDM

6, 9, 12, 18, 24, 36


48 e 54 mbps

802.11a

5 GHz

OFDM

6, 9, 12, 18, 24, 36


48 e 54 mbps

802.11n

2.4 e 5 GHz

OFDM/MIMO

6.5 a 300 mbps

83

mdbrasil - todos direitos reservados

Canais em 2.4Ghz

22 Mhz

2412

2437

2462

84

mdbrasil - todos direitos reservados

Canais no interferentes em 2.4Ghz

2412

2437

2462

85

mdbrasil - todos direitos reservados

Configuraes Fsicas / Banda

2.4Ghz-B: Modo 802.11b, que permite velocidades nominais de 1, 2, 5.5 e 11 mbps. Utiliza
espalhamento espectral em seqncia direta.
2.4Ghz-B/G: Modo misto 802.11b e 802.11g que permite as velocidades acima 802.11b e 6,
9, 12, 18, 24, 36, 48 e 54 mbps quando em G. Utiliza OFDM em 802.11g
2.4Ghz-only-G: Modo apenas 802.11g.

86

mdbrasil - todos direitos reservados

Canais do espectro de 5Ghz


20 Mhz

Em termos regulatrios a faixa de 5 Ghz dividida em 3 faixas:


Faixa Baixa:

5150 a 5250 e 5250 a 5350 (Mhz)

Faixa Mdia:

5470 a 5725 (Mhz)

Faixa Alta:

5725 a 5850 (Mhz)


87

mdbrasil - todos direitos reservados

Aspectos Legais do espectro de 5Ghz

Faixa Baixa

Faixa Mdia

Faixa Alta

Freqncias

5150-5250

5250-5350

5470-5725

57255850

Largura

100 Mhz

100 Mhz

255 Mhz

125 Mhz

canais

4 canais

4 canais

11 canais

5 canais

Deteco de radar
obrigatria

Deteco de radar
obrigatria

88

mdbrasil - todos direitos reservados

Configuraes Fsicas / Banda

5Ghz: Modo 802.11a opera na faixa de 5 Ghz, baixa mdia e alta e permite velocidades
nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqncia (Mhz)

5150 5350

Largura faixa
Nmero de canais

200 Mhz
4

5470 - 5725

5725 - 5850

255 Mhz

125 Mhz

11

5
89

mdbrasil - todos direitos reservados

Canalizao em 802.11a
Modo Turbo

Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias

Requerida sensibilidade maior


Diminui nvel de potencia de Tx
90

mdbrasil - todos direitos reservados

Configuraes Fsicas / Banda

5Ghz-turbo: Modo 802.11a opera na faixa de 5 Ghz, baixa mdia e alta e permite
velocidades nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqncia (Mhz)

5150 5350

Largura faixa
Nmero de canais

200 Mhz
2

5470 - 5725

5725 - 5850

255 Mhz

125 Mhz

2
91

mdbrasil - todos direitos reservados

Canalizao em 802.11a
Modos 10 e 5 Mhz

Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias

Requerida menor sensibilidade


Aumenta nvel de potencia de Tx
92

mdbrasil - todos direitos reservados

Faixa de 900 Mhz


No Brasil, de acordo com a resoluo 506/2008, possvel a utilizao da faixa de 900 Mhz
sem licena. Esta faixa de freqncias tem sido empregada para aplicaes com visada
parcial ou at sem visada. No entanto seu emprego deve ser cuidadoso para atender a
legislao..
Faixas permitidas

Freqncia (Mhz)

conf resol 506:

Largura faixa

Canais que o fabricante garante o funcionamento:


Canal 3 -> 922 Mhz (10Mhz, 5Mhz)
Canal 4 -> 917 Mhz (20Mhz, 10Mhz, 5 Mhz)
Canal 5 -> 912 Mhz (20Mhz, 10Mhz, 5 Mhz)
Canal 6 -> 907 Mhz (10Mhz, 5Mhz)

902 907.5
5.5 Mhz

915 - 928
13 Mhz

Na V3:

Uso regular no Brasil:

Canal 3 -> 922 Mhz (10Mhz, 5Mhz)


93

mdbrasil - todos direitos reservados

802.11n
MIMO
Velocidades do 802.11n
Bonding do Canal
Agregaode Frames
Configuraodo carto Wireless
Potncia de TX para cartes N
Bridging transparente para links em N, utilizando MPLS/VPLS

94

mdbrasil - todos direitos reservados

MIMO
MIMO Multiple Input and Multiple Output
SDM Spatial Division Multiplexing
Streams espaciais mltiplos atravsde mltiplas antenas.
Configuraes de antenas mltiplas para receber e transmitir:
- 1x1, 1x2, 1x3
- 2x2, 2x3
- 3x3

95

mdbrasil - todos direitos reservados

802.11n Data Rates

96

mdbrasil - todos direitos reservados

Bonding dos Canais 2 x 20 Mhz

Adiciona mais 20 Mhz ao canal existente


O canal colocado abaixo ou acima da freqncia principal
compatvel com clientes legados de 20 Mhz
Conexo feita no canal principal
Permite utilizar taxas mais altas
97

mdbrasil - todos direitos reservados

Agregao de Frames

Combinando mltiplos frames de dados em um simples frame - diminui o overhead


Agregao de unidades de Servio de dados MAC - MAC Protocol Data Units
(AMPDU)
Usa Acknowledgement em bloco
Pode aumentara a latncia, por default habilitado somente para trfego de
melhor esforo
Enviando e recebendo AMSDU-s pode aumentar o uso de processamento

98

mdbrasil - todos direitos reservados

Configuraes
Ht-TxChains/Ht-RxChains: Qual
conector da antena usar para receber
e transmir

a configurao de antennamode ignorada para cartes N.


ht-amsdu-limit: Mximo AMSDU
que o dispositivo pode preparar
ht-amsdu-threshold: mximo
tamanho de frame que permitido
incluir em AMSDU.
99

mdbrasil - todos direitos reservados

Configuraes
ht-guard-interval: intervalo de guarda.

any: longo ou curto,


dependendo da velocidade de
transmisso

long: intervalo de guarda longo

ht-extension-channel: se ser usado a


extenso adicional de 20 Mhz.

below: abaixo do canal


principal

above: acima do canal


principal

ht-ampdu-priorities:prioridades do frame para o qual AMPDU sending deve ser


negociado e utilizado (agregando frames e usando acknowleddgment em bloco)
100

mdbrasil - todos direitos reservados

Configuraes

Quando utilizando dois canais ao mesmo


tempo, a potncia de transmisso
dobrada (incrementada em 3 dB)

101

mdbrasil - todos direitos reservados

Configurando bridge transparente em enlaces N


WDS no suporta a agregao de frames e portanto no prov a
velocidade total da tecnologia N.
EoIP incrementa overhead.
Para fazer bridge transparente com velocidades maiores e menos
overhead em enlaces N devemos utilizar MPLS/VPLS

102

mdbrasil - todos direitos reservados

Configurando bridge transparente em enlaces N


Estabelecer um link AP <-> Station, configurando dois IPs quaisquer.
Ex. 172.16.0.1/30 e 172.16.0.2/30
Em ambos os lados:
Habilitaro LDP (Label Distribution Protocol)
Adicionar a Interface wlan1

103

mdbrasil - todos direitos reservados

Configurando bridge transparente em enlaces N


Configurando o tnel VPLS em ambas as pontas

Criar uma Bridge entre a interface VPLS e a ethernet de saida do link


Confirme o status do LDP e do tnel VPLS
mpls ld neighbor print

mpls forwarding-table print


interface vpls monitor vpls1 once

104

mdbrasil - todos direitos reservados

VPLS bridge e fragmentao


O tnel VPLS incrementao tamanho do pacote
Se este tamanho excede o MPLS MTU da interface de sada, feita a fragmentao

Se a interface ethernet suportar um MPLS MTU de 1526 ou maior, a fragmentao


pode ser evitada incrementando o MPLS MTU.
Uma lista das RouterBoards que suportamMPLS MTU maiores pode ser encontrada no
wiki da Mikrotik
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards

105

mdbrasil - todos direitos reservados

Outdoor Setup
(Segundo Recomendaes da Mikrotik Latvia)
Teste cada canal separadamente, antes de usar ambos ao mesmo tempo.
Para operao em dois canais usar polarizaes diferentes para cada canal.
Quando utilizar antenas de polarizao dupla, a isolao recomendada da
antena, no mnimo 25 dB.

106

mdbrasil - todos direitos reservados

Laboratrio de Enlaces N

Estabelea um link N com seu vizinho


Teste a performance com um e dois canais
Crie uma bridge transparente utilizando VPLS

107

Recorte de tela efetuado: 8/6/2008, 9:06 PM

mdbrasil - todos direitos reservados

Configuraes da camada Fsica


Potncias

108

mdbrasil - todos direitos reservados

Recorte de tela efetuado: 8/6/2008, 9:06 PM

Configuraes da camada Fsica - Potncias

default: no interfere na potencia original do carto


card rates: fixa mas respeita as variaes das taxas para diferentes velocidades

all rates fixed: fixa em um valor para todas velocidades


manual: permite ajustar potencias diferentes para cada velocidade

109

Recorte de tela efetuado: 8/6/2008, 9:06 PM

mdbrasil - todos direitos reservados

Configuraes da camada Fsica - Potncias

Quando a opo regulatory domain est sendo utilizada, somente as frequencias

permitidas no pas selecionado em Country estaro disponveis. Alem disso o Mikrotik


Ajustar a potencia do rdio para atender a regulamentao do pas, levando em conta
o valor em dBi informado no campo Antenna Gain

OBS: At a verso 3.11 tal ajuste no era feito corretamente para o Brasil.

110

Recorte de tela efetuado: 8/6/2008, 9:06 PM

mdbrasil - todos direitos reservados

Configuraes da camada Fsica


seleo de antenas
Em cartes de rdio que tem duas saidas para

Antenas possvel uma ou outra.


Antena a: utiliza a antena a (main) para tx e rx
Antena b: utiliza a antena b (aux) para tx e rx

rx-a/tx/b: recepo em a e transmisso em b


tx-a/rx-b: transmisso em a e recepo em b

111

Recorte de tela efetuado: 8/6/2008, 9:06 PM

mdbrasil - todos direitos reservados

Configuraes da camada Fsica


seleo de antenas
Em cartes de rdio que tem duas saidas para

Antenas possvel uma ou outra.


Antena a: utiliza a antena a (main) para tx e rx
Antena b: utiliza a antena b (aux) para tx e rx

rx-a/tx/b: recepo em a e transmisso em b


tx-a/rx-b: transmisso em a e recepo em b

112

Recorte de tela efetuado: 8/6/2008, 9:06 PM

mdbrasil - todos direitos reservados

Configuraes da camada Fsica


DFS
no radar detect: escaneia o meio e escolhe
o canal em que for encontrado o menor nmero
de redes
radar detect: escaneia o meio e espera 1
minuto para entrar em operao no canal
escolhido se no for detectada a ocupao
nesse canal.
O modo DFS (Seleo Dinmica de Frequncia)
obrigatrio para o Brasil nas faixas de 52505350 e 5350-5725
113

Recorte de tela efetuado: 8/6/2008, 9:06 PM

mdbrasil - todos direitos reservados

Configuraes da camada Fsica


Prop. Extensions e WMM support
Proprietary Extensions: Opo com a nica
finalidade de dar compatibilidade ao Mikrotik
com chipsets Centrino (post-2.9.25)
WMM support: QoS no meio fsico (802.11e)
enabled: permite que o outro dispositivo
use wmm
required: requer que o outro dispositio
use wmm
114

Recorte de tela efetuado: 8/6/2008, 9:06 PM

mdbrasil - todos direitos reservados

Configuraes da camada Fsica


AP e Client Tx Rate / Compression
Default AP Tx Rate: Taxa mxima em bps
que o AP pode transmitir para cada um de seus
clientes. Funciona para qualquer tipo de cliente

Default Client Tx Rate: Taxa mxima em


bps que o Cliente pode transmitir ao AP. S
funciona para clientes Mikrotik.
Compression: Recurso de compresso em
Hardware disponvel no Chipset Atheros.
Melhora desempenho se o cliente possuir esse
recurso. No afeta clientes que no possuam.
(Recurso incompatvel com criptografia)
115

mdbrasil - todos direitos reservados

Recorte de tela efetuado: 8/6/2008, 9:06 PM

Configuraes da camada Fsica


Data Rates
A velocidade em uma rede Wireless definida
pela modulao que os dispositivos conseguem
trabalhar.
Supported Rates: So as velocidades de
trfego de dados entre APs e clientes .
Basic Rates: So as velocidades que os
dispositivos se comunicam independentemente
do trfego de dados em si (beacons, mensagens
de sincronismo, etc)
Embora o prprio manual do Mikrotik aconselhe
deixar as velocidades em seu default, melhores
performances so conseguidas evitando
trabalhar em baixas velocidades
116

mdbrasil - todos direitos reservados

Recorte de tela efetuado: 8/6/2008, 9:06 PM

Configuraes da camada Fsica


Ack Timeout
Dados
A

B
Ack

O Ack Timeout o tempo que um dispositivo Wireless espera pelo pacote


de Ack que deve ser enviado para confirmar toda transmisso Wireless.
dynamic : O Mikrotik calcula dinamicamente o Ack de cada cliente
mandando de tempos em tempos sucessivos pacotes com Ack timeouts
diferentes e analisando as respostas.
indoors: valor constante para redes indoor.

pode ser fixado manualmente digitando-se no campo.


117

Recorte de tela efetuado: 8/6/2008, 9:06 PM

mdbrasil - todos direitos reservados

Configuraes da camada Fsica


Valores referenciais para Ack Timeout

OBS: Valores orientativos. Valores ideais podem estar em uma faixa de +- 15 microsegundos
118

mdbrasil - todos direitos reservados

Ferramentas de Site Survey

119

mdbrasil - todos direitos reservados

Interface Wireless / Geral / Scan

Escaneia o meio (causa queda das conexes estabelecidas)


A Ativa
B BSS
P Protegida
R rede Mikrotik
N Nstreme
Na linha de comando pode ser acessada em /interface/wireless/scan wlan1
120

mdbrasil - todos direitos reservados

Interface Wireless / Geral / Uso de frequencias

Mostra o uso das frequencias em todo o espectro, para site survey


(causa queda das conexes estabelecidas)
Na linha de comando pode ser acessada em
/interface/wireless/frequency-monitor wlan1
121

mdbrasil - todos direitos reservados

Interface Wireless / Geral / Alinhamento

Ferramenta de alinhamento com sinal sonoro


( Colocar o MAC do AP remoto no campo Filter e campo Audio)

Rx Quality Potencia (dBm) do ltimo pacote recebido


Avg. Rx Quality Potencia mdia dos pacotes
recebidos.
Last Rx tempo em segundos do ltimo pacote foi recebido
Tx Quality Potencia do ltimo pacote transmitido
Last Rx tempo em segundos do ltimo pacote transmitido

OBS: Filtrar MAC do PtP

Correct nmero de pacotes recebidos sem erro


122

mdbrasil - todos direitos reservados

Interface Wireless / Geral / Sniffer

Ferramenta para sniffar o ambiente Wireless captando e decifrando pacotes


Muito til para detectar ataques do tipo deauth attack e monkey jack
Pode ser arquivado no prprio Mikrotik ou passado por streaming para outro sevidor com o protocolo TZSP
Na linha de comando habilita-se em / interface wireless sniffer sniff wlan1

123

mdbrasil - todos direitos reservados

Interface Wireless / Geral / Snooper

Com a ferramenta Snooper possvel monitorar a carga de trfego em cada canal, por estao e
por rede.
Escaneia as frequencias definidas em scan-list da interface
124

mdbrasil - todos direitos reservados

Configuraes de Modo de
Operao

125

mdbrasil - todos direitos reservados

Interface Wireless / Geral

Comportamento do protocolo ARP


disable: no responde a solicitaes ARP. Clientes tem de acessar por
tabelas estticas.
proxy-arp: passa o seu prprio MAC quando h uma requisio para algum
host interno ao roteador.
reply-only: somente responde as requisies. Endereos de vizinhos so
resolvidos estaticamente
126

mdbrasil - todos direitos reservados

Configuraes Fsicas / Modo Operao

ap bridge: Modo Ponto de Acesso (AP) repassa os MACs do meio Wireless de forma
transparente para o meio Cabeado.
bridge: Modo idntico ao modo ap bridge, porm aceitando um cliente apenas.
station: Modo cliente de um AP No pode ser colocado em bridge com outras interfaces

127

mdbrasil - todos direitos reservados

Configuraes Fsicas / Modo Operao

station pseudobridge: Estao que pode ser colcada em modo bridge, porm que passa
ao AP sempre o seu prprio endereo MAC (uma bridge verdadeira passa os MACs
internos a ela).

station pseudobridge clone: Modo idntico ao pseudobridge, porm que passa ao AP um


MAC pr determinado do seu interior.
station wds: Modo estao, que pode ser colocado em bridge com a interface ethernet e
que passa de forma transparente os MACs internos (bridge verdadeira). necessrio que o
AP esteja em modo WDS (ver tpico especfico de WDS, a frente)
128

mdbrasil - todos direitos reservados

Configuraes Fsicas / Modo Operao

alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal.
Neste modo a interface Wireless escuta os pacotes que so mandados a ela por outros
dispositivos trabalhando no mesmo canal.

wds slave: Ser visto no tpico especfico de WDS.


Nstreme dual slave: Visto no tpico especfico de Nstreme / Nstreme Dual

129

mdbrasil - todos direitos reservados

Acesso ao meio fsico


Protocolo Nstreme

130

mdbrasil - todos direitos reservados

Recorte de tela efetuado: 8/6/2008, 9:06 PM

Configuraes da camada Fsica


Como trabalha o CSMA Carrier Sense Multiple Access
Estao A
defer

Estao B

Redes Ethernet Tradicionais

CRS

Mtodo CSMA/CD

CRS

defer

Estao C

CRS

(Collision Detection)

CRS

COLISO

Estao A

Redes Wireless 802.11


Estao B

backoff

Mtodo CSMA/CA

CRS

Estao C

defer

backoff

CRS

CRS

backoff (rest)

CRS

(Collision Avoidance)
131

mdbrasil - todos direitos reservados

Recorte de tela efetuado: 8/6/2008, 9:06 PM

Configuraes da camada Fsica


Nstreme
Enable Nstreme: Habilita o Nstreme.

(As opes abaixo dessa s fazem sentido


estando esta habilitada.)
Enable Polling: Habilita o mecanismo de Polling. Recomendado

Disable CSMA: Desabilita o Carrier Sense. Recomendado


Framer Policy: Poltica em que sero agrupados os pacotes:
dynamic size: O Mikrotik determina

best fit: agrupa at o valor definido em Framer Limit sem fragmentar


exact size: agrupa at o valor definido em Framer Limit fragmentando se
necessrio
Framer Limit: Tamanho mximo do pacote em Bytes.

132

Recorte de tela efetuado: 8/6/2008, 9:06 PM

mdbrasil - todos direitos reservados

Configuraes da camada Fsica


Nstreme Dual
1 : Passar o modo de operao das
interfaces para nstreme dual slave.

2 : Criar uma interface


Nstreme Dual definindo
quem Tx e quem Rx.
(usar canais distantes)

133

Recorte de tela efetuado: 8/6/2008, 9:06 PM

mdbrasil - todos direitos reservados

Configuraes da camada Fsica


Nstreme Dual
3 : Verificar o MAC
escolhido pela interface
Nstreme dual e informar no
lado oposto.
4 : Criar uma bridge
entre a ethernet e a interface
Nstreme Dual.

Prticas de RF recomendadas:

Antenas de qualidade, Polarizaes invertidas, canais distantes, distncia entre


antenas.
134

mdbrasil - todos direitos reservados

WDS & Mesh WDS

135

mdbrasil - todos direitos reservados

WDS : Wireless Distribution System


CANAL 11

CANAL 1

CANAL 1

Com WDS possvel criar uma cobertura Wireless ampla e permitindo


que os pacotes passem de um AP ao outro de forma transparente. Os Aps devem
ter o mesmo SSID e estarem no mesmo canal.

136

mdbrasil - todos direitos reservados

2 APs com WDS


AP-3

Bridge learn
table

AP-3

Bridge learn
table

Wireless PC-Card

yyy

xxx

yyy

xxx

Wireless PC-Card
Tabela de associaes
STA-2

Tabela de associaes
WDS Relay
STA-1
Packet for STA-2

WDS Relay
ACK
Pacote para STA-2

Pacote para STA-2

ACK
ACK

STA-1
xxx

BSS-B
BSS-A

STA-2
yyy

137

mdbrasil - todos direitos reservados

WDS : Wireless Distribution System


INTERNET

INTERNET

CANAL 1

138

mdbrasil - todos direitos reservados

WDS / Mesh WDS


RSTP
Para evitar o looping na rede necessrio habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante sendo o RSTP mais rpido.

O (R)STP inicialmente elege uma root bridge e utiliza o algortimo breadth-first search que
quando encontra um MAC pela primeira vz, torna o link ativo. Se o encontra outra vz,
torna o link desabilitado.
Normalmente habilitar o (R)STP j o suficiente para atingir os resultados. No entanto
possvel interferir no comportamento padro, modificando custos, prioridades, etc.
139

mdbrasil - todos direitos reservados

WDS / Mesh WDS


(R)STP
Ajustar para baixo se desejar assegurar a eleio
dessa bridge como root .

Custo: permite um caminho ser eleito em lugar de outro

Prioridade: quando os custos so iguais, eleito o de

prioridade mais baixa.

140

mdbrasil - todos direitos reservados

WDS / Mesh WDS


(R)STP

Admin MAC Address

A Bridge usa o endereo MAC da porta ativa com o menor nmero de porta
A porta Wireless est ativa somente quando existem hosts conectados a ela.

Para evitar que os MACs fique variando, possvel atribuir manualmente


um endereo MAC.
141

mdbrasil - todos direitos reservados

WDS / Mesh WDS


WDS Default Bridge: Informe aqui a bridge
default.
WDS Default Cost: Custo da porta da bridge
do link WDS.
Modos de WDS

WDS Cost Range: Margem do custo que pode


ser ajustada com base no troughput do link

dynamic: as interfaces WDS so criadas dinamicamente quando um


dispositivo em WDS encontra outro compatvel (mesmo SSID e canal)
static: As interfaces tem de ser criadas manualmente com cada uma
apontando para o MAC de sua parceira
dynamic mesh: O mesmo que dinmica, porm com um algortmo
proprietrio para melhoria do link (no compatvel com outros fabricantes)
static mesh: A mesma explicao acima, porm para esttiva.
142

mdbrasil - todos direitos reservados

Wireless / Interfaces / WDS

WDS:
Cria-se as interfaces WDS, dando os parametros:

Name: Nome da rede WDS


Master Interface: Interface sobre a qual
funcionar o WDS, podendo esta inclusive ser uma
interface virtual
WDS ADDRESS: Endereo MAC que a interface
WDS ter.
143

mdbrasil - todos direitos reservados

WDS / Mesh WDS


Laboratrios de WDS/Mesh

Link transparente com station-wds


Rede Mesh com WDS+RSTP
WDS-Slave

144

mdbrasil - todos direitos reservados

AP Virtual

145

mdbrasil - todos direitos reservados

Wireless / Interfaces

Interfaces Virtuais:
Criando interfaces virtuais podemos montar vrias
redes dando perfis de servio diferentes
Name: Nome da rede virtual

MTU: Unidade de transferencia mxima (bytes)


MAC Address: D o MAC que quiser para o novo AP !
ARP
Enable/Disable: habilita/desabilita
proxy-arp: passa seu MAC
reply-only
OBS: Demais configuraes identicas de uma AP

146

mdbrasil - todos direitos reservados

Controle de Acesso

147

mdbrasil - todos direitos reservados

Wireless Tables / Access List

O Access List utilizado pelo Access Point para restringir associaes de clientes.
Esta lista contem os endereos MAC de clientes e determina qual a ao deve ser
tomada quando um cliente tenta conectar. A comunicao entre clientes da mesma
interface, virtual ou real, tambm controlada nos Access List.
O processo de associao ocorre da seguinte forma:

- Um cliente tenta se associar a uma interface Wlanx


- Seu MAC procurado no acces list da interface Wlanx.
- Caso encontrada a ao especificada ser tomada:
- authenticate marcado: deixa o cliente se autenticar
- forwarding marcado, o cliente se comunica com outros..
148

mdbrasil - todos direitos reservados

Wireless Tables / Access List


Access List
MAC Address: Mac a ser liberado
Interface: Interface Real ou Virtual onde ser
feito o controle.
AP Tx Limit: Limite de trfego AP cada
Cliente

Private Key: Chave de criptografia


40 bit wep
128 bit wep
Aes-com

Client Tx Limit: Limite de trfego Cliente AP


( s vale para cliente Mikrotik )
Authentication: Habilitado, autentica os MACs
declarados.
Forwarding: Habilitdo permite a comunicao
entre clientes habilitados ( intra bss ) 149

mdbrasil - todos direitos reservados

Wireless Tables / Connect List

A Connect List tem a finalidade de listar os pontos de


Acesso que o Mikrotik configurado como cliente pode se
conectar.
MAC Address: MAC do AP
SSID: Nome da Rede
Area Prefix: String para conexo com o AP de mesma
area

Security Profile: definido nos perfis de segurana.


OBS: Essa opo interessante para evitar que o Cliente
se associe em um Ponto de Acesso falso ( sequestro do
AP )

150

mdbrasil - todos direitos reservados

Segurana de acesso em
redes sem fio

151

mdbrasil - todos direitos reservados

Segurana Rudimentar
(O que no segurana)
1 Nome de rede (SSID) escondido

Pontos de Acceso sem fio por padro fazem o


broadcast do seu SSID nos pacotes chamados
beacons. Este comportamiento puede ser
modificado no Mikrotik habilitando a opo
Hide SSID.
Fragilidades:
SSID tem de ser conhecido pelos clientes
Scanners Passivos descobrem facilmente
pelos pacores de probe requestdos clientes.
152

mdbrasil - todos direitos reservados

Segurana Rudimentar
(O que no segurana)
2 Controle de MACs
Descobrir MACs que trafegam no ar muito simples com ferramentas
apropriadas
Airopeek para Windows
Kismet, Wellenreiter, etc para Linux/BSD
Spoofar um MAC muito fcil, tanto em Linux como em Windows.
- FreeBSD :
ifconfig <interface> -L <MAC>
- Linux :
ifconfig <interface> hw ether <MAC>
153

mdbrasil - todos direitos reservados

Segurana Rudimentar
(O que no segurana)
3 Criptografia WEP
Wired Equivalent Privacy foi o sistema de criptografia inicialmente
especificado no padro 802.11 e est baseada no compartilhamento de um
segredo (semente) entre o ponto de Acesso e os clientes, usando o algortimo
RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na Internet, existindo muitas ferramentas para quebrar a chave,
como:
Airodump
Airreplay
Aircrack
Hoje trivial a quebra da WEP que pode ser feita em poucos minutos com
tcnicas baseadas nas ferramentas acima.
154

mdbrasil - todos direitos reservados

Comprometendo a WEP (em definitivo )

5 Suporte muito vasto para crackear a WEP


You Tube Vdeo ( em espanhol )
http://www.youtube.com/watch?v=PmVtJ1r1pmc

155

mdbrasil - todos direitos reservados

IEEE 802.11i
Devido aos problemas apresentados pela WEP o IEEE criou o Grupo de
trabalho 802.11i cuja tarefa principal era fazer a especificao de um padro
de fato seguro.
Antes da concluso do trabalho do grupo 802.11i a indstria lanou padres
intermedirios, como o WEP+, TKIP e o WPA (Wireless Protected Access)
Em junho de 2004 o padro foi aprovado e a indstria deu o nome comercial de
WPA2.

IEEE

WEP

Indstria
(Wi-Fi Alliance)

WEP

802.11i

WEP +
TKIP

WPA

WPA2
156

mdbrasil - todos direitos reservados

Fundamentos de Segurana
Privacidade
A informao no pode ser legvel por terceiros
Integridade
A informao no pode ser alterada quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz ser.
Cliente AP: O Cliente tem que se certificar que est se conectando no
AP verdadeiro. Um AP falso possibilita o chamado ataque do
homem do meio
157

mdbrasil - todos direitos reservados

Privacidade e Integridade
Tanto a privacidade como a integridade so garantidas por tcnicas de
criptografia.
O algortimo de criptografia de dados em WPA o RC4, porm
implementado de uma forma bem mais segura que na WEP. E na WPA2 utilizase o AES.
Para a Integridade dos dados WPA usa TKIP Algoritimo de Hashing
Michael e WPA2 usa CCMP (Cipher Block Chaining Message Authentication
Check CBC-MAC)
Encrypted

802.11

802.11

Header

Header

Data

MIC

158

mdbrasil - todos direitos reservados

Autenticao e distribuio de chaves

Autenticao

WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/

Mikrotik c/

Mikrotik

Radius

Sem certificados

Certificados 2 lados
159

mdbrasil - todos direitos reservados

Fundamentos de Segurana WPAx


Autenticao

Autenticao

WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/

Mikrotik c/

Mikrotik

Radius

Sem certificados

Certificados 2 lados
160

mdbrasil - todos direitos reservados

Como funciona a WPAx-PSK


Client
Passhrase (PSK)

PMK = f ( passphrase, SSID )

AP

Uma chave mestra chamada PMK

Passhrase (PSK)

Pairwise Master Key criada por um

PMK = f ( passphrase, SSID )

hash entre a semente e o SSID.


A PMK guardada no Registro do

256-bit pairwise master key (PMK)

256-bit pairwise master key (PMK)

Windows on no arquivo supplicant.conf

do Linux
Derive PTK
S-nounce
OK, install MIC
Check MIC

Derive PTK,

Check MIC

Outra chave chamada PTK - Pairwise

Transient Key criada de maneira


dinmica aps um processo de

Install Key

Install Key

Begin encrypting

Begin encrypting

handshake de 4 vias. PTK nica por


sesso
161

mdbrasil - todos direitos reservados

Utilizando WPA/WPA2 PSK


muito simples a configurao de
WPA/WPA2-PSK com o Mikrotik
WPA - PSK
Configure o modo de chave dinmico,WPA

PSK, e a chave pr combinada.


WPA2 PSK
Configure o modo de chave dinmico

WPA2, PSK, e a chave pr combinada.


As chaves so alfanumricas de 8 at

63 caracteres
162

mdbrasil - todos direitos reservados

WPA / WPA2 PSK segura ?

A maneira conhecida hoje para quebrar WPA-PSK somente por ataque de


dicionrio.
Como a chave mestra - PMK combina uma contrasenha com o SSID, escolhendo
palavras fortes torna o sucesso por ataque de fora bruta praticamente
impossvel.
http://arstechnica.com/articles/paedia/wpa Projeto na Internet para cracked.ars/1
estudo de fragilidades da WPA/WPA2 PSK
Cowpatty http://sourceforge.net/projects/cowpatty

A maior fragilidade no entanto da tcnica de PSK para WISPs que a chave se


encontra em texto plano nos computadores dos clientes.

163

mdbrasil - todos direitos reservados

WPA com TKIP foi quebrada ?


Recentemente foi publicada uma quebra de WPA quando usando TKIP
http://arstechnica.com/articles/paedia/wpa-cracked.ars/1
Na verdade a vulnerabilidade no quebra a WPA com TKIP e sim permite alguns ataques
acessrios explorando essa vunerabilidade como envenenamento de arp e de cache de
DNS. Esses ataques so ineficazes quando se tem WPA forte e reciclagem rpida de
chaves.
A concluso do artigo est abaixo (em ingls):
So WPA isn't broken, it turns out, and TKIP remains mostly intact. But this exploit
based on integrity and checksums should argue for a fast migration to AES-only WiFi
networks for businesses who want to keep themselves secure against further
research in this arearesearch already planned by Tews and Beck. And now that
these two have opened the door, WPA will certainly become subject to even closer
scrutiny by thousands of others interested in this space: black-, gray-, and whitehatted.
164

mdbrasil - todos direitos reservados

WPA / WPA2 PSK segura ?


Quando o atacante tem a chave possvel:

Ganhar acesso no autorizado

Falsificar um Ponto de acesso e fazer o ataque do homem-do-meio (man-in-themiddle)

Recomendaes para WISPs

Somente use PSK se tem absoluta certeza que as chaves esto protegidas
(somente tem acesso aos equipamentos dos clientes o prprio WISP)

No se esquea que as chaves PSK esto em texto plano nos Mikrotiks (at
para usurios read-only)

Felizmente o Mikrotik apresenta uma alternativa para distribuio de chaves


WPA2 por Radius (visto mais a frente)
165

mdbrasil - todos direitos reservados

Fundamentos de Segurana WPAx


Autenticao

Autenticao

WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/

Mikrotik c/

Mikrotik

Radius

Sem certificados

Certificados 2 lados
166

mdbrasil - todos direitos reservados

Diffie-Hellmann
(Without Certificates)
1.
Side A
Secret
number
x

Side B
Generator
g

Prime
number
p

Cada lado escolhe um nmero


secreto x g p.

2.

Lado A comea selecionando um


nmero primo muito grande (p) e
um pequeno inteiro o gerador
(g)

3.

Lado A calcula usando aritmtica


modular a chave pblica , K(a):

K(a) = gx(mod p)
K(a), g, p

K(a) = g x (mod p)
4.

Lado A manda para o lado B a


chave pblica e o nmero primo
(p), e o gerador (g)167

mdbrasil - todos direitos reservados

Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x

Side B
Generator
g

5.

Lado B faz um clculo similar com


a sua chave secreta e o nmero
primo e o gerador para obter sua
chave pblica.

6.

Lado B manda para lado A a cahve


pblica.

Prime
number
p

K(a) = gx(mod p)

K(a), g, p
Generator
g

Prime
number
p

Secret
number
y

K(b) = gy(mod p)
K(b)

7.

Agora os dados podem calcular


uma mesma chave pr
compartilhada (que no circulou
pelo meio inseguro)
Shared key = K(b)x (mod p)
Shared key = K(a)y (mod p)
168

mdbrasil - todos direitos reservados

Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x

Side B
Generator
g

8.

Os dois clculos produzem valores


exatamente iguais, graas a
propriedade da aritmtica modular

9.

A chave calculada utilizada como


PMK e inicia o processo de
criptografia normalmente (AES
para WPA2 e RC4 para WPA)

Prime
number
p

K(a) = gx(mod p)

K(a), g, p
Generator
g

Prime
number
p

Secret
number
y

K(b) = gy(mod p)
K(b)
Key = K(b)x(mod p)

Key = K(a)y(mod p)

Same value
169

mdbrasil - todos direitos reservados

Setup with EAP-TLS No Certificates


AP Configuration

Security Profile

170

mdbrasil - todos direitos reservados

Station Configuration

Setup with EAP-TLS No Certificates

Security Profile

171

mdbrasil - todos direitos reservados

EAP-TLS sem Certificados seguro ?

Como resultado da negociao anonima resulta uma PMK que de conhecimento


exclusivo das duas partes e depois disso toda a comunicao criptografada por
AES (WPA2) o RC4 (WPA)

Seria um mtodo muito seguro se no houvesse a possibilidade de um atacante


colocar um Mikrotik com a mesma configurao e negociar a chave normalmente
como se fosse um equipamento da rede

Uma idia para utilizar essa configurao de forma segura utilizar esse mtodo,
e depois de fechado o enlace, criar um tnel criptografado PPtP ou L2TP entre os
equipamentos.
172

mdbrasil - todos direitos reservados

Fundamentos de Segurana WPAx


Autenticao

Autenticao

WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/

Mikrotik c/

Mikrotik

Radius

Sem certificados

Certificados 2 lados
173

mdbrasil - todos direitos reservados

Trabalhando com Certificados


Un certificado digital um arquivo que identifica de forma
inequvoca o seu proprietrio.
Certificados so criados por instituies emissoras chamadas
de CA (Certificate Authorities)

Os Certificados podem ser :

Assinados por uma instituio acreditada (Verisign,


Thawte, etc)

ou

Certificados auto-assinados
174

mdbrasil - todos direitos reservados

Passos para implementao de EAP-TLS com Certificados


auto assinados
Passo A Criar a entidade Certificadora (CA)
Passo B Criar as requisies de Certificados
Passo C Assinar as requisies na CA
Passo D Importar os Certificados assinados para os Mikrotiks
Passo E Se necessrio, criar os Certificados para mquinas Windows
Tutoriais detalhados de como fazer isso:

http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
175

mdbrasil - todos direitos reservados

Mtodo EAP-TLS sem Radius (em APs e Clientes)

176

mdbrasil - todos direitos reservados

Security Profiles Mtodos de EAP

EAP-TLS
Usa Certificados

177

mdbrasil - todos direitos reservados

Security Profiles TLS Mode


verify certificates
Requer um certificado e verifica se foi
firmado por uma ~CA
dont verify certificates
Requer um Certificado, porm no verifica
no certificates
Certificados so negociados dinmicamente
com o el algortmo de Diffie-Hellman
(explicado anteriormente
178

mdbrasil - todos direitos reservados

Autenticao e distribuio de chaves

Autenticao

WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/

Mikrotik c/

Mikrotik

Radius

Sem certificados

Certificados 2 lados
179

mdbrasil - todos direitos reservados

WPAx com Radius

Porta controlada
INTERNET

AP/NAS

Client station

Authenticator

Supplicant

Radius Server
Authentication
Server

EAP
Porta no controlada
180

mdbrasil - todos direitos reservados

EAP
EAP um protocolo para identificao de hosts ou usurios originalmente
projetado para Protocolo Ponto a Ponto (PPP)
AP/NAS

Client station

Radius Server

Authenticator
Supplicant

Authentication
Server

EAP na LAN

EAP sobre RADIUS

Suporta diferentes tipos de autenticao. Os mais comuns so:


EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-LEAP, EAP-MD5 etc
181

mdbrasil - todos direitos reservados

Tipos de EAP

EAP
Type

Open/
Proprietary

TLS

Mutual

Authentication Credentials

User
Key
Material

Name

Auth

Supplicant

Authenticator

Open

Yes

Certificate

Certificate

Yes

In Clear
Yes

TTLS

Open

Yes

Username/Pwd

Certificate

Yes

No

PEAP

Open

Yes

Username/Pwd

Certificate

Yes

No

LEAP

Proprietary

Yes

Username/Pwd

Yes

Yes

182

mdbrasil - todos direitos reservados

Tipos de EAP
LEAP: (Lightweight EAP)
um protocolo proprietrio da Cisco patenteado antes mesmo da 802.11i e WPA/
baseado em nome de usurio e senha que se envia sem proteo.

Este mtodo no cuida da proteo das credenciais durante a fase de


autenticao do usurio com o servidor.
Trabalha com variados tipos de clientes, porm somente com APs da Cisco.
Ferramente para crackear LEAP: Asleap - http://asleap.sourceforge.net/

OBS: Mikrotik no suporta LEAP.


183

mdbrasil - todos direitos reservados

Tipos de EAP
PEAP: (Protected EAP) and EAP-TTLS (EAP tunneled TLS)
PEAP y TTLS so dois mtodos bastante parecidos e fazem uso de Certificados
Digitais do lado do Servidor e usurio e senha no lado cliente.
O processo segue a seguinte ordem:
1 O Servidor manda uma requisio EAP

2 Criado um tnel criptografado atravs do envio do Certificado


3 O usurio e senha passado de forma criptografada

O problema com TTLS e PEAP que possvel o ataque do homem-do-meio


OBS: A diferena entre TTLS e PEAP que PEAP compatvel com outros protocolos

como LEAP

184

mdbrasil - todos direitos reservados

Tipos de EAP
EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse mtodo
para um Servidor Radius
Prov o maior nvel de segurana e necessita de Certificados nos lados do Cliente e
do Servidor Radius
Os passos de como configurar e instalar certificados em um Servidor RADIUS
podem ser obtidos em:

http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
185

mdbrasil - todos direitos reservados

Station Configuration

Setup with EAP-TLS + Radius


Client Configuration
Security Profile

Certificate

186

mdbrasil - todos direitos reservados

AP Configuration

Setup with EAP-TLS + Radius


AP Configuration
Security Profile

187

mdbrasil - todos direitos reservados

O mtodo EAP-TLS + Radius seguro ?


No se discute que o EAP-TLS o mtodo mais seguro que se pode obter, porm h
Um ponto que se pode levantar como uma possvel fragilidade:
Client station

AP/NAS

Radius Server

Authenticator
Supplicant

Authentication
Server

Existem ataques conhecidos contra o protocolo Radius.


Se um atacante tem acesso fsico ao link entre o AP e o Radius

Atacando la entrega
da PMK

ele pode fazer ataque de fora bruta para descobrir a PMK.


Para evitar isso h vrias formas como proteger esse trecho
com um tunel L2TP ou PPtP
188

mdbrasil - todos direitos reservados

Resumo dos mtodos possveis de


implantao e seus problemas

Chaves presentes nos clientes e acessveis aos operadores

Mtodo Sem Certificados:

Passvel de invaso por equipamento que tambem opere desse modo

WPA-PSK:

Problemas com processamento

Mikrotik com Mikrotik com EAP-TLS

Mtodo seguro porm invivel economicamente e de implantao


praticamente impossvel em redes existentes.
189

mdbrasil - todos direitos reservados

Resumo dos mtodos possveis de


implantao e seus problemas

Mikrotik com Radius:


EAP-TTLS e EAP-PEAP:

Sujeito ao homem do meio e pouco disponvel nos atuais


equipamentos.

EAP-TLS

Mtodo seguro, porm tambm no disponvel na maioria dos


equipamentos. Em plaquinhas possvel implementa-los.

190

mdbrasil - todos direitos reservados

Mtodo alternativo Mikrotik


O Mikrotik na verso V3 oferece a possibilidade de distribuir uma chave WPA2 por
cliente . Essa chave configurada no Access List do AP e vinculada ao MAC
address do cliente, possibilitando que cada cliente tenha sua chave.

Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a
usurios do Mikrotik !
191

mdbrasil - todos direitos reservados

Mtodo alternativo Mikrotik

Felizmente porm o Mikrotik permite que a chave seja atribuda por Radius o que
torna muito interessante esse mtodo.
Para configurar precisamos:
Criar um perfil WPA2 qualquer
Habilitar a autenticao via MAC no AP

Ter a mesma chave configurada tanto no cliente como no Radius.

192

mdbrasil - todos direitos reservados

Configurando o Perfil

193

mdbrasil - todos direitos reservados

Configurando a Interface Wireless

194

mdbrasil - todos direitos reservados

Arquivo users: (/etc/freeradius)

# Sintaxe:
# MAC Cleartext-Password := MAC
Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres
001DE05A1749

Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912

001B779ADD5D Cleartext-Password := "001B779ADD5D"


Mikrotik-Wireless-Psk = "12345678911
001B77AF82C9

Cleartext-Password := "001B77AF82C9"

Mikrotik-Wireless-Psk = "12345678911"

195

mdbrasil - todos direitos reservados

Radius (dictionary)
/usr/share/freeradius/dictionary.mikrotik

196

mdbrasil - todos direitos reservados

Laboratrio de PSK por cliente


O aluno que quiser participar, crie um arquivo texto no formato abaixo e
coloque no FTP com a identificao XY-PSK, onde XY seu nmero.

# Sintaxe:
# MAC Cleartext-Password := MAC
Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres

001DE05A1749

#Exemplo:
Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912

197

Recorte de tela efetuado: 10/17/2008, 10:48 AM

mdbrasil - todos direitos reservados

Consideraes acerca de PPPoE e Hotspot


quando utilizados por provedores para segurana

198

mdbrasil - todos direitos reservados

Tuneis PPPoE
aspectos gerais
PPPoE : originalmente desenvolvido para redes cabeadas
O PPPoE Server (PPPoEd) escuta as requisies de clientes PPPoE que por
sua vz utilizam o protocolo PPPoE discovery tudo feito na camada 2
PPPoE por padro no criptografado pode ser configurado com criptografia
MPPE se o cliente suporta esse mtodo.
O mtodo CHAP protege apenas o nome de usurio e senha e nada alm disso.

199

mdbrasil - todos direitos reservados

Tneis PPPoE
aspectos gerais

A interface que escuta as requisies PPPoE no deve ter configurado Ip que


seja roteado ou para o qual esteja sendo feito NAT. Se isso ocorre possvel
burlar a autenticao PPPoE.
Como outros tneis os valores de MTU e MRU devem ser modificados.

PPPoE sensivel a variaes de sinal.


Em mquinas Windows necessrio a instalao de um discador, o que
representa trabalho administrativo.

200

mdbrasil - todos direitos reservados

PPPoE e Segurana
Un atacante que falsifique um endereo MAC em uma planta onde se rode
PPPoE no consegue navegar, porem causa muitos problemas aos usurios
verdadeiros.
.
Existem ataques a PPPoE quando falsos clientes disparam sucessivas
requisies de conexo (PPPoE discovery) causando negao de servio.
O mais grave no entanto que no PPPoE o usurio no autentica o
Servidor. Por esse motivo um ataque do tipo do homem-do-meio pode ser
facilmente implementado. Basta que o atacante ponha um AP falso em uma
posio privilegiada e configure um PPPoE Server para capturar as requisies
dos clientes. Isso pode ser usado para negar servio ou para capturar senhas.

201

mdbrasil - todos direitos reservados

Hotspots
aspectos gerais
Originalmente foram desenvolvidos para dar servio de conexo Internet em
Hotis, Shoppings, etc. Com o tempo tem sido utilizados como plataforma para
autenticar usurios de WISPs.
A interface configurada para ouvir o hotspot captura a tentativa de navegao e
pede usurio e senha.
Existem vrios mtodos de autenticao, inclusive com Certificados digitais
possvel fazea a autenticao por HTTPS.

202

mdbrasil - todos direitos reservados

Hotspots e Segurana

Uma vez que um usurio tenha sido autenticado e seu par IP + MAC seja
descoberto e falsificado por um atacante, este ganha acesso sem usurio e senha.
O ponto de acesso no v os dois, porm somente um usurio. O servio fica
precrio mas h a navegao de ambos.

Trabalhando com Certificados Digitais e HTTPS, dr-se-ia ao usurio a


possibilidade deste autenticar o ponto de acesso, evitando assim o ataque do
home-do-meio. No entanto dificilmente o usurio estar devidamente orientado
para tanto e a maioria deles aceitar um Certificado falso.

203

mdbrasil - todos direitos reservados

PPPoE & Hotspot & segurana - concluses


PPPoE tem muitas vantagens porque elimina uma srie de problemas
comuns de redes wireless como broadcasts, trafegos causados por vrus, etc.
Hotspots apresentam muitas facilidades interessantes como mandar
mensagens, criar rotas, etc.
Ambos so excelentes ferramentas para auxiliar na administrao e controle
de rede, pricipalmete quando implementados em conjunto com Radius.

PPPoE e Hotspot ajudam muito, porm no podem ser encarados como


plataformas de segurana como tem sido at ento !
Segurana em Wireless se faz somente com criptografia bem
implementada e em redes cabeadas com dispositivos com isolao de
portas.
204

mdbrasil - todos direitos reservados

Porque os WISPs no utilizam Criptografia em Wireless ?


WISPs dizem que no utilizam Criptografia pelos seguintes motivos:
Muita Complexidade
No fato. Com Mikrotik as implementaes so muito fceis

Equipamentos antigos no aceitam criptografia.


verdade, mas no Mikrotik possvel ter diversos perfis, com vrios tipos de
criptografia.

Antigos problemas da WEP fazem WPA no confivel


As tcnicas empregadas so muito diferentes e no h comparao.

Problemas de performance com a criptografia


Novos Chipsets Atheros fazem criptografia em hardware no h problemas
de performance
205

mdbrasil - todos direitos reservados

Segurana concluses (quase) finais


Segurana em meio wireless que cumpra os requisitos de:
- Autenticao mtua
- Confidencialidade
- Integridade de dados
Somente se consegue com a utilizao de uma estrutura baseada em
802.11i (WPA2) com EAP-TLS implementada con Certificados Digitais +
Radius.
Um excelente approach a utilizao de chaves Privadas WPA2-PSK
quando distribuidas pelo Radius.

Outras implementaes como a formao de VPNs entre os clientes e um


concentrador antes que seja dado o acesso rede tambem uma soluo
possvel que no foi abordada aqui pois em escala sua implementao pode se
mostrar invivel.
206

mdbrasil - todos direitos reservados

Lembre-se tambmque a senha dos rdios clientes tambm importante

207

mdbrasil - todos direitos reservados

Case MD Brasil
Pontos de acesso:
Mikrotik RB133 somente como AP Bridge c/ 3 cartes R52, mdia 25 clientes p/ carto
100% clientes com WPA2 atribuda por Radius

208

mdbrasil - todos direitos reservados

Case MD Brasil
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente
Em seguida pedida autenticao Hotspot para cada cliente.
A opo por Hotspot nada tem a ver com a segurana. somente uma opo de negcio

OBS destaque para o uptime !

209

mdbrasil - todos direitos reservados

Case MD Brasil
Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais
concentrao de clientes.
Web-Proxys dos pontos de acesso armazenam objetos pequenos
Web-Proxy central (no Mikrotik) armazena objetos grandes.

210

mdbrasil - todos direitos reservados

Para maiores detalhes de implementao de PSK individual por cliente


ver trabalho apresentado no MUM Brasil 2008
(Disponvel em nosso FTP)

211

mdbrasil - todos direitos reservados

Firewall
com Mikrotik

212

mdbrasil - todos direitos reservados

Firewall

O Firewall normalmente usado como ferramenta de segurana para prevenir o


acesso no autorizado rede interna e ou acesso ao roteador em si, bloquear diversos
tipos de ataques e controlar o fluxo de dados tanto de entrada como de sada.
Alm de segurana no Firewall que sero desempenhadas diversas funes
importantes como a classificao e marcao de pacotes para uso nas ferramentas de
QoS
A classificao do trfego feita no Firewall pode ser baseada em vrios classificadores
como endereos MAC, endereos IP, tipos de endereos IP (broadcast, multicast, etc)
portas de origem e de destino, range de portas, protocolos, Tipo do Servio (ToS),
tamanho do pacote, contedo do pacote, etc etc.

213

mdbrasil - todos direitos reservados

Firewall viso geral

Filter Rules: onde ficam as regras de filtros de pacotes


NAT: onde feito a traduo de endereos (mascaramento por exemplo)
Mangle: onde feita a marcao de pacotes, conexes e roteamento
Connections: onde so visualizadas as conexes existentes
Address Lists: lista de endereos IP inserida manual ou dinamicamente que
podem ser utilizados em vrias partes do Firewall
Layer 7 Protocols: Filtros de camada 7 (Aplicao)
214

mdbrasil - todos direitos reservados

Princpios Gerais de Firewall


Canais default
- Um Firewall opera por meio de regras de Firewall. Uma regra uma expresso lgica
que diz ao roteador o que fazer com um tipo particular de pacote.

- Regras so organizadas em canais ( chains ) e existem 3 canais pr definidos:


Input : responsvel pelo trfego que vai PARA o router

Forward : responsvel pelo trfego que PASSA pelo router


Output : responsvel pelo trfego que SAI do router

215

mdbrasil - todos direitos reservados

Diagrama da Estrutura de Filtro

Filtro Forward

Deciso de

Deciso de

Filtro Input

Filtro Output

Interface de

Processo Local

Processo Local

Interface de

entrada

IN

OUT

Sada

roteamento

Roteamento

216

mdbrasil - todos direitos reservados

Princpios Gerais de Firewall


Regras

1 - As regras de Firewall so sempre processadas por canal, na ordem que so


listadas, ou seja de cima para baixo.
2 - As regras de firewall funcionam como o que em programao chamamos de
expresses condicionais , ou seja se <condio> ento <ao>
3 Se um pacote no atende TODAS as condies de uma regra ele passa para a
regra seguinte.

217

mdbrasil - todos direitos reservados

Princpios Gerais de Firewall


Regras

4 Quando o pacote atende a TODAS as condies da regra tomada uma ao com


ele, no importam as regras que estejam abaixo nesse canal, pois estas NO sero
processadas

5 Existem algumas excesses ao critrio acima, que so as aes de passthrough (


passar adiante ) , log e add to address list. (visto adiante)
6 - Um pacote que no se enquadre em qualquer regra do canal, ser por default
aceito.
218

mdbrasil - todos direitos reservados

Firewall do Mikrotik Filter Rules


As regras de filtro podem ser organizadas e mostradas das seguintes maneiras:
all: todas
dynamic: regras dinmicamente criadas por servios (ex. Hotspot)
input: regras do canal input
output: regras do canal output
forward: regras do canal forward

219

mdbrasil - todos direitos reservados

Firewall do Mikrotik Filter Rules


Algumas aes que se pode tomar nas regras de filtro:

accept: aceita o pacote


passthrough: ignora a regra (mas contabiliza) e passa
para a regra seguinte
drop: descarta silenciosamente o pacote
reject: descarta o pacote e responde com uma
mensagem de icmp ou tcp reset (ver ao lado)
tarpit: Respondendo com SYN/ACK ao um pacote
TCP/SYN entrante, mas no conclui a conexo.
220

mdbrasil - todos direitos reservados

Firewall / Filtro / canais criados pelo usurio


Alm dos canais padro, o administrador pode criar canais prprios, bastando dar
nomes a eles. Essa prtica ajuda muito na organizao do Firewall.
Para utilizar um canal criado devemos desviar o fluxo atravs de uma ao JUMP..
No exemplo abaixo, alm de input, output e forward, esto criados canais
chamados sanidade, segurana, vrus, etc.

221

mdbrasil - todos direitos reservados

Como funciona o canal criado pelo usurio


Regra
Regra
Regra
JUMP
Regra
Regra

Regra
Regra
Regra

Regra

Regra

Regra
Regra
Regra

Regra

Alm dos canais


padro, o
administrador pode
criar canais prprios
e associa-los a um
canal padro.

Regra
Regra

Regra
Regra
Canal criado pelo usurio
222

mdbrasil - todos direitos reservados

Como funciona o canal criado pelo usurio


Regra
Regra
Regra
JUMP
Regra
Regra

Regra
Regra
Regra

Regra

Regra

Regra
Regra
Regra

Regra

Caso exista uma


regra que tome a
ao RETURN,
o retorno feito
antecipadamente e
as regras abaixo
deste so ignoradas

RETURN
Regra

Regra
Regra
Canal criado pelo usurio
223

mdbrasil - todos direitos reservados

Firewall do Mikrotik Filter Rules


Aes relativas a canais criados pelo usurio que se pode
tomar nas regras de filtro:
jump: salta para o canal definido em jump-target
Jump Target: nome do canal para onde deve saltar

Return: Volta para o canal que chamou o jump

224

mdbrasil - todos direitos reservados

Firewall do Mikrotik Address Lists


Uma Address List, ou lista de
endereos uma lista de endereos IP
que pode ter vrias utilizaes,
conforme sero vistos alguns
exemplos mais adiante.
Pode-se adicionar dinamicamente
entradas a essas listas no Filtro ou no
Mangle.

Aes:
add dst to address list: adiciona o IP de destino lista
add src to address list: adiciona o IP de origem lista
Address List: nome da lista de endereos
Timeout: por quanto tempo a entrada ir permanecer
225

mdbrasil - todos direitos reservados

Connection Tracking
Connection Tracking ( seguimento de conexes ) se refere a habilidade do roteador
de manter o estado da informao relativa s conexes, tais como endereos IP de
origem ou destino e pares de porta, estados da conexo, tipos de protocolos e
timeouts. Firewalls que fazem connection tracking so chamados de "stateful" e so
mais seguros que aqueles que fazem o processamento "stateless

226

mdbrasil - todos direitos reservados

Connection Tracking
- O sistema de Connection Tracking ou Conntrack o corao do Firewall. Ele obtem e
mantm informaes sobre todas as conexes ativas.
- Quando se desabilita a Funo de Connection Tracking so perdidas as
funcionalidades de NAT e marcao de pacotes que dependam de conexo. Pacotes
no entanto podem ser marcados diretamente.
-.Conntrack exigente de recursos de hardware. Quando o equipamento trabalha
apenas como AP Bridge por exemplo, indicado desabilita-la
227

mdbrasil - todos direitos reservados

Localizao da Conntrack
Filtro Forward

Deciso de
roteamento

Filtro Input

Conntrack

Filtro Output

Deciso de
Roteamento

Conntrack

Interface de

Processo Local

Processo Local

Interface de

entrada

IN

OUT

Sada
228

mdbrasil - todos direitos reservados

Connection Tracking

O estado de uma conexo pode ser:


established: significando que o pacote parte de uma conexo j estabelecida
anteriormente
new: significando que o pacote est iniciando uma nova conexo ou faz parte de
uma conexo que ainda no trafegou pacotes em ambas direes
related: significando que o pacote inicia uma nova conexo, mas que essa
associada a uma conexo existente como FTP por exemplo
invalid: significando que o pacote no pertence nenhuma conexo conhecida
nem est iniciando outra.
229

mdbrasil - todos direitos reservados

Firewall Filter
Protegendo o prprio Roteador e os Clientes

230

mdbrasil - todos direitos reservados

Princpios Bsicos de Proteo


Proteo do prprio roteador
tratamento das conexes e eliminao de trfego prejudicial/intil
permitir somente os servios necessrios no prprio roteador
prevenir e controlar ataques e acesso no autorizado ao roteador
Proteo da rede interna
tratamento das conexes e eliminao de trfego prejudicial/intil
permitir somente os servios necessrios nos clientes

prevenir e controlar ataques e acesso no autorizado em clientes.

231

mdbrasil - todos direitos reservados

Regras de Firewall
tratamento de conexes
Regras no Canal Input
Descarta conexes invlidas
Aceita conexes estabelecidas
Aceita conexes relacionadas
Aceita todas as conexes da rede interna
Descarta o restante

232

mdbrasil - todos direitos reservados

Regras no Canal Input cont.

Regras de Firewall
Controle de servios

Permitir o acesso externo ao Winbox


Permitir acesso externo por SSH
Permitir acesso externo por Telnet
Relocar as regras para que funcionem

233

mdbrasil - todos direitos reservados

Regras de Firewall
Filtrando trfego prejudicial/intil

Filtros de portas de vrus

Bloqueia portas mais populares utilizadas por vrus TCP e UDP 445 e 137-139
No momento existem algumas centenas Trojans ativos e menos de 50 tipos de vrus
ativos
No site da Mikrotik h uma lista com as portas e protocolos que utilizam esses vrus.
Baixar lista de vrus Mikrotik e fazer as regras de acordo

234

mdbrasil - todos direitos reservados

Regras de Firewall
Filtrando trfego indesejvel e possveis ataques
Controle de ICMP
-Internet Control Message Protocol (ICMP) basicamente uma ferramenta para
diagnstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados.

-Um roteador tipicamente utiliza apenas 5 tipos de ICMP (type:code), que so:
- PING Mensagens 0:0 e 8:0
- TRACEROUTE Mensagens 11:0 e 3:3
- PMTUD Path MTU discovery mensagem 3:4
Os outros tipos de ICMP podem ser bloqueados.
235

mdbrasil - todos direitos reservados

IPs Bogons:
Existem mais de 4 milhes de endereos IPV4

Regras de Firewall
Filtrando trfego indesejvel

Existem muitos ranges de IP restritos em redes pblicas


Existem vrias ranges de IPs reservados (no usados at o momento) para
propsitos especficos.
No material do curso est disponvel uma Lista de IPs Bogons atualizada em maio de
2008, baseado no site Cymru que mantm a movimentao desses IPs atualizada.
http://www.cymru.com/Documents/bogon-dd.html
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a IPs privados e
uma boa prtica filtra-los.
236

mdbrasil - todos direitos reservados

Firewall
Protees de ataques
Ping Flood
Ping Flood consiste usualmente de
grandes volumes de mensagens de ICMP
aleatrias
possvel detectar essa condio com a
regra ao lado

Interessante associar essa regra com


uma de log

237

mdbrasil - todos direitos reservados

Firewall - Protees de ataques


Port Scan
Consiste no escaneamento de portas
TCP e UDP
A deteco somente possvel para
ataques de TCP
Portas baixas (0 1023)
Portas altas (1024 65535)

238

mdbrasil - todos direitos reservados

Firewall - Protees de ataques


DoS
O Principal objetivo do ataque de DoS o consumo de recursos como CPU ou
largura de banda.

Usualmente o roteador inundado com requisies de conexes TCP/SYN


causando a resposta de TCP/SYN-ACK e a espera do pacote de TCP/ACK
Normalmente no intencional e causada por vrus em clientes
Todos IPs com mais de 10 conexes com o roteador podem ser considerados
atacantes .

239

mdbrasil - todos direitos reservados

Firewall - Protees de ataques


DoS
Ataques DoS - cont
Se simplesmente descartarmos as conexes, permitiremos que o atacante crie
uma nova conexo.
A proteo pode ser implementada em dois estgios:
Deteco criando uma lista dos atacantes DoS com base em connection
limit
Supresso aplicando restries aos que forem detectados.

240

mdbrasil - todos direitos reservados

Firewall - Protees de ataques


DoS

241

mdbrasil - todos direitos reservados

Firewall - Protees de ataques


DoS

Com a ao tarpit aceitamos a conexo e a


fechamos, no deixando no entanto o atacante
trafegar.

Esta regra deve ser colocada antes da regra


de deteco ou ento a address list vai
reeescreve-la todo o tempo.

242

mdbrasil - todos direitos reservados

Firewall
Protees de ataques
dDOS
Ataques de dDos (dDoS) so bastante
parecidos com os de DoS, porm partem de
um grande nmero de hosts infectados
A nica medida que podemos tomar
habilitar a opo TCP syn cookie no
connection tracking do Firewall

243

mdbrasil - todos direitos reservados

Firewall do Mikrotik NAT


NAT Network Address Translation uma tcnica que permite que hosts em uma
LAN usem um conjunto de endereos IP para comunicao interna e outro para
comunicao externa.
Existem dois tipos de NAT:
Source Nat (srcnat), ou NAT de origem, quando o roteador reescreve o IP de
origem e ou a porta por um outro IP de destino.

SRC

DST

SRC NAT

Novo SRC

DST

Destination NAT (dstnat), ou NAT de destino quando o roteador reescreve o


endereo ou a porta de destino.

SRC

DST

DST NAT

SRC Novo DST


244

mdbrasil - todos direitos reservados

Firewall do Mikrotik NAT

As regras de NAT so organizadas em canais:


dstnat:
Processa o trfego mandado PARA o roteador e ATRAVS do roteador, antes que ele
seja dividido em INPUT e FORWARD.
src-nat:
Processa o trfego mandado a PARTIR do roteador e ATRAVS do roteador, depois
que ele sai de OUTPUT e FORWARD

245

mdbrasil - todos direitos reservados

NAT
Filtro Forward

Dstnat

Deciso de
Roteamento

Filtro Output

Deciso de
Roteamento

Conntrack

Filtro Input

Conntrack

Srcnat

Interface de

Processo Local

Processo Local

Interface de

entrada

IN

OUT

Sada
246

mdbrasil - todos direitos reservados

NAT - Exemplos
Source NAT - Mascarando a rede 192.168.0.0/24 atrs do IP 200.200.200.200 que est
configurado na interface ether1

Os pacotes de qualquer host da rede 192.168.0.0/24


sairo com o IP 200.200.200.200

247

mdbrasil - todos direitos reservados

NAT - Exemplos
Destination NAT e Source NAT (1:1) Apontando o IP 200.200.200.200 para o host interno
192.168.0.100

248

mdbrasil - todos direitos reservados

NAT - Exemplos
Redirecionamento de Portas: Fazendo com que tudo que chegue na porta 5100 v para
o servidor WEB que est na mquina interna 192.168.0.100 e tudo que chegar na porta 5200
v para a mquina 192.168.0.200

249

mdbrasil - todos direitos reservados

NAT - Exemplos
NAT 1:1 com netmap: Apontando a rede interna 192.168.0.0/24 para a rede pblica
200.200.200.200/24

250

mdbrasil - todos direitos reservados

NAT Helpers

Firewall do Mikrotik NAT

Hosts em uma rede nateada no possuem conectividade fim-a-fim


verdadeira. Por isso alguns protocolos podem no trabalhar
satisfatriamente em alguns cenrios. Servios que requerem a
iniciao de conexes TCP de for a da rede, bem como protocolos
stateless como o UDP por exemplo, podem no funcionar.
Para contornar esses problemas, a implementao de NAT no
Mikrotik prev alguns NAT helpers que tem a funo de auxiliar
nesses servios.
Redirecionamento e Mascaramento
So formas especiais de de dstnat e srcnat respectivamente, onde
no se especifica para onde vai o pacote (to-address). Quando um
pacote nateado como dst-nat, no importa se a ao nat ou
redirect que o IP de destino automticamente modificado.
251

mdbrasil - todos direitos reservados

Address Lists

Address Lists permitem que o usurio crie listas de


endereos IP agrupados entre si. Estes podem ser
utilizados pelo filtro do Firewall, Mangle e NAT.
Os registros de Address Lists podem ser atualizados
dinamicamente via action=add-src-to-address-list ou
action=add-dst-to-address-list, opes encontradas
em NAT, Mangle ou Filter.
No Winbox possvel editar o nome da lista,
simplesmente digitando-o

252

mdbrasil - todos direitos reservados

Address Lists - Exemplo


Penalizar o usurio que tentar
dar um Telnet no Roteador.
Fazer com que esse usurio
no faa mais nada.

- cria-se as listas no Address


list com o IP e da-se um nome
para a lista ( soh_Telnet )

- marca-se no mangle no canal


prerouting o protocolo TCP e
porta 23

253

mdbrasil - todos direitos reservados

Address Lists - Exemplo


- Ainda no Mangle, adiciona-se
a ao add-source ao address
list chamado soh_telnet

- Nas regras de filtro, no canal


input pega-se os pacotes que
esto na lista soh_telnet e
escolhe-se a ao drop.

254

mdbrasil - todos direitos reservados

Knock.exe 192.168.0.2 1234:tcp 4321:tcp

255

mdbrasil - todos direitos reservados

Knock.exe 192.168.0.2 1234:tcp 4321:tcp

/ip firewall rule


add chain=input dst-port=1234 protocol=tcp action=add-src-to-address-list
address-list=temp address-list-timeout=15s
add chain=forward dst-port=4321 protocol=tcp src-address-list=temp
action=add-src-to-address-list address-list=liberado address-listtimeout=15m
256

mdbrasil - todos direitos reservados

Liberando o acesso para quem estiver na lista e negando


para o resto

257

mdbrasil - todos direitos reservados

FIREWALL MANGLE

258

mdbrasil - todos direitos reservados

Firewall do Mikrotik Mangle

A Facilidade Mangle apresentada no RouterOS do Mikrotik permite introduzir marcas


em conexes e em pacotes IP em funo de comportamentos especficos.
As marcas introduzidas pelo Mangle so utilizadas em processamento futuro e delas
fazem uso ferramentas como o controle de banda, ferramentas de QoS e NAT. Elas
existem porm somente dentro do roteador, no sendo transmitidas para for a.

possvel porm com o Mangle alterar determinados campos no cabealho IP,


como o ToS ( type of service ) e campos de TTL ( Time to live )
259

mdbrasil - todos direitos reservados

Estrutura do Mangle
As regras de Mangle so organizadas em canais e obedecem as mesmas regras
gerais das regras de filtros, quanto a sintaxe.
possvel tambm criar canais pelo usurio
H 5 canais padro:
Prerouting: marca antes da fila Global-in
Postrouting: marca antes da fila Global-out
Input: marca antes do filtro de Input
Output: marca antes do filtro Output
Forward: marca antes do filtro Forward
260

mdbrasil - todos direitos reservados

Diagrama do Mangle
Mangle
Forward

Mangle

Deciso de

Deciso de

Mangle

Prerouting

Roteamento

Roteamento

Postrouting

Interface de

Mangle

Mangle

entrada

Input

Output

Processo Local

Processo Local

IN

OUT

Interface de
Sada

261

mdbrasil - todos direitos reservados

Aoes do Mangle
As opes de marcao incluem:
mark-connection apenas o primeiro pacote.

mark-packet marca um fluxo (todos os pacotes)


mark-routing marca pacotes para polticas de
roteamento
262

mdbrasil - todos direitos reservados

Marcando Conexes
Use mark-connection para identificar um ou um grupo de conexes com uma
marca especfica de conexo.
Marcas de conexo so armazenadas na tabela de connection tracking.
S pode haver uma marca de conexo para uma conexo.
A facilidade Connection Tracking ajuda a associar cada pacote a uma conexo
especfica.

263

mdbrasil - todos direitos reservados

Marcando Pacotes
Pacotes podem ser marcados:

Indiretamente, usando a facilidade de connection tracking, com


base em marcas de conexo previamente criaddas ( mais rpido e
mais eficiente )
Diretamente, sem o connection tracking no necessrio marcas
de conexo e o roteador ir comparar cada pacote com determinadas
condies.
264

mdbrasil - todos direitos reservados

Estrutura de Firewall no Mikrotik

265

mdbrasil - todos direitos reservados

Fluxo de pacotes no Firewall

266

mdbrasil - todos direitos reservados

Mangle Exemplo de marcao


Marcando a conexo P2P

[admin@MikroTik] ip firewall mangle> print


Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward p2p=all-p2p action=mark-connection
new-connection-mark=marca_da_conexao passthrough=yes

267

mdbrasil - todos direitos reservados

Mangle Exemplo de marcao


Marcando os pacotes P2P

[admin@MikroTik] ip firewall mangle> print


Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward p2p=all-p2p action=mark-connection new-connectionmark=conexao_p2p passthrough=yes
1 chain=forward connection-mark=conexao_p2p action=mark-packet newpacket-mark=pacote_p2p passthrough=no
268

mdbrasil - todos direitos reservados

Mangle
Exemplos
Queremos dar um tratamento diferenciado a vrios tipos de fluxos e
Precisamos marcar:

Fluxo de Navegao http e https

FTP

Email

MSN

ICMP

P2P

O que no foi marcado acima


269

mdbrasil - todos direitos reservados

Dvidas ??

270

mdbrasil - todos direitos reservados

QoS e Limite de Banda

271

mdbrasil - todos direitos reservados

Largura de Banda
Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada de dbito)
usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est
ligado largura da banda em hertz. O termo banda larga denota conexes com uma largura em
hertz relativamente alta, em contraste com a velocidade padro em linhas analgicas
convencionais (56 kbps), na chamada conexo discada.

Limite de Banda
O limite de banda o limite mximo de transferncia de dados, onde tambm designada sua
velocidade. Por exemplo, voc pode ter uma conexo de banda de 1Mbps, onde voc
conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por segundo.
O termo banda frequentemente utilizado por operadoras de telecomunicaes referindo-se
ao limite de dados recebidos ou enviados oferecido pelo servio num perodo de um ms.
Ultrapassando-se esse limite, as operadoras podem aplicar cortes no limite de transferncia de
dados de um dado cliente.
272

mdbrasil - todos direitos reservados

Traffic Shaping

Traffic shaping um termo utilizado para definir a prtica de priorizao do


trfego de dados, atravs do condicionamento da banda de redes, a fim de
otimizar o uso da largura de banda disponvel.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia e
PSCM. Estas empresas utilizam programas de gesto de dados que
acompanham e analisam a utilizao e priorizam a navegao, bloqueando
ou diminuindo o trfego de dados. A prtica comumente adotada para
servios conhecidos por demandar grande utilizao da largura de banda,
como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos dos
usurios, capturar informaes sobre IPs acessados, ativar gravaes
automticas a partir de determinadas condutas, reduzir ou interferir na
transferncia de dados de cada usurio.
273

mdbrasil - todos direitos reservados

Qualidade de Servio
No campo das telecomunicaes e redes de computadores, o termo
Qualidade de Servio (QoS), em especial nas redes de comutao de
pacotes, refere-se garantia de largura de banda ou, como em muitos
casos, utilizada informalmente para referir-se a probabilidade de um
pacote circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias de QoS. A
primeira procura oferecer bastantes recursos, suficientes para o pico
esperado, com uma margem de segurana substancial. simples e eficaz,
mas na prtica assumido como dispendioso, e tende a ser ineficaz se o
valor de pico aumentar alm do previsto.

O segundo mtodo o de obrigar os dispositivos a reservar os recursos, e


apenas aceitar as reservas se os roteadores conseguirem servi-las com
confiabilidade.
Qualidade de Servio (QoS) significa que o(s) roteador(es) deve(m)
priorizar e controlar o trfego na rede. Diferentemente da limitao de
banda o QoS tem a misso de racionalizar os recursos da rede,
balanceando o fluxo de dados com a melhor velocidade possvel, evitando
o monoplio do canal.

274

mdbrasil - todos direitos reservados

Qualidade de Servio

Os mecanismos para prover QoS do Mikrotik so:


limitar banda para certos IPs, subredes, protocolos, portas e outros parmetros
limitar trfego peer to peer
priorizar certos tipos de fluxos de dados em relao a outros
utilizar bursts para melhorar o desempenho de acesso WEB
aplicar filas em intervalos de tempo fixos
compartilhar a banda disponvel entre os usurios de forma ponderada e
dependendo da carga do canal
utilizao de WMM Wireless Multimdia
MPLS Multi Protocol Layer Switch
275

mdbrasil - todos direitos reservados

Qualidade de Servio
Os principais termos utilizados em QoS so:

queuing discipline (qdisc) disciplina de enfileiramento um algortimo que


mantm e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem (
podendo inclusive reordena-los ) e detremina quais pacotes sero descartados.
Limit At ou CIR (Committed Information Rate) Taxa de dados garantida a
garantia de banda fornecida a um circuito/link.
Max Limit ou MIR (Maximal Information Rate) Banda mxima que ser
fornecida, ou seja limite a partir do qual os pacotes sero descartados
Priority Prioridade a ordem de importancia que o trfego ser processado.
Pode-se determinar qual tipo de trfego ser processado primeiro.
276

mdbrasil - todos direitos reservados

Filas (queues)

Para ordenar e controlar o fluxo de dados, aplicada uma poltica de enfileiramento


aos pacotes que estejam deixando o roteador, ou seja,
As filas so aplicadas na interface onde o fluxo est saindo !
A limitao de banda feita mediante o descarte de pacotes. No caso de protocolo
TCP, os pacotes descartados sero reenviados, de forma que no h com que se
preocupar com relao perda de dados. O mesmo no vale para UDP.

277

mdbrasil - todos direitos reservados

Tipos de Filas
Antes de enviar os pacotes por uma interface, eles so processados por uma disciplina
de filas (queue types). Por padro as disciplinas de filas so colocadas sob queue
interface para cada interface fsica.

Uma vz adicionada uma fila (em queue tree ou queue simple) para uma interface
fsica, a fila padro da interface (interface default queue), definida em queue interface,
no ser mantida. Isso significa que quando um pacote no encontra (match) qualquer
filtro, ele enviado atravs da interface com prioridade mxima.
278

mdbrasil - todos direitos reservados

Tipos de Filas
Disciplinas Scheduler e Shaper
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:

schedulers (re)ordenam pacotes de acordo com um determinado


algortimo e descartam aqueles que se enquadram na disciplina.
Disciplinas Scheduler so:
PFIFO, BFIFO, SFQ, PCQ, RED
shapers tambm fazem a limitao. So:
PCQ e HTB
279

mdbrasil - todos direitos reservados

Tipos de Filas
Controle de Trfego
O controle de trfego implementado atravs de dois mecanismos:
Pacotes so policiados na entrada
pacotes indesejveis so descartados
Pacotes so enfileirados na respectiva interface de sada
pacotes podem ser atrasados, descartados ou priorizados

280

mdbrasil - todos direitos reservados

Controle de Trfego
O controle de trfego implementado internamente por 4 tipos de componentes:
Queuing Disciplines = qdisc
algoritmos que controlam o enfileiramento e envio de pacotes.
ex.: FIFO
Classes
representam entidades de classificao de pacotes.
cada classe pode estar associada a uma qdisc
Filters
utilizados para classificar os pacotes e atribu-los as classes.
Policers
utilizados para evitar que o trfego associado a cada filtro ultrapasse limites
pr-definidos.
281

mdbrasil - todos direitos reservados

Tipos de Filas
PFIFO e BFIFO
Estas disciplinas de filas so baseadas no algortimo FIFO (First-In First-Out), ou seja, o
primeiro que entra o primeiro que sai.
A diferena entre PFIFO e BFIFO que, um medido em pacotes e o outro em bytes.
Existe apenas um parmetro chamado pfifo-limit (bfifo-limit) que determina a quantidade de
dados uma fila FIFO pode conter. Todo pacote que no puder ser enfileirado (se a fila est
cheia) ser descartado. Tamanhos grandes de fila podero aumentar a latncia, em
compensao prov uma melhor utilizao do canal.

282

mdbrasil - todos direitos reservados

Tipos de Filas

RED
RED- Random Early Detection Deteco aleatria antecipada um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho mdio da
fila .
Quando o tamanho mdio da fila atinge o valor configurado em red-min-threshold, o RED
aleatriamente escolhe um pacote para descartar. A probabilidade do nmero de pacotes que
sero descartados cresce na medida em que a mdia do tamanho da fila tambm cresce. Se o
tamanho mdio da fila atinge red-max-threshold, os pacotes so descartados com a
probabilidade mxima. Entretanto existem casos em que o tamanho real da fila (no a mdia)
muito maior que red-max-threshold, ento todos os pacotes que excederem red-limit sero
descartados.
RED indicado em links congestionados com altas taxas de dados. Como muito rpido
funciona bem com TCP.

283

mdbrasil - todos direitos reservados

Tipos de Filas
SFQ
Stochastic Fairness Queuing (SFQ) Enfileiramento Estocstico com justia, um
disciplina que tem a justia assegurada por algoritmos de hashing e round roubin. O
fluxo de pacotes pode ser identificado, exclusivamente, por 4 opes:
src-address
dst-addess
src-port
dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritimo round
robin distribui a banda disponvel para estas subfilas, a cada rodada configurada no
parmetro allot (bytes).
No limita trfego. O objetivo equalizar os fluxos de trfego (sesses TCP e streaming
UDP) quando o link (interface) est completamente cheio. Se o link no est cheio, ento
no haver fila e, portanto, qualquer efeito, a no ser quando combinado com outras
disciplinas (qdisc).
284

mdbrasil - todos direitos reservados

Tipos de Filas
SFQ
A fila, que utiliza SFQ, pode conter 128 pacotes e h 1024 sub-filas disponveis.
recomendado o uso de SFQ em links congestionados para garantir que as conexes
no degradem. SFQ especialmente indicado em conexes sem fio.

285

mdbrasil - todos direitos reservados

Tipos de Filas
PCQ
O PCQ - Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico tipo de enfileiramento de baixo nvel que pode
fazer limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm cria
sub-filas considerando o parametro pcq-classifier. Cada sub-fila tem um taxa de transmisso
estabelecida em pcq-rate e o tamanho do pacote mximo igual a pcq-limit. O tamanho total
de uma fila a PCQ fica limitado ao que for configurado em pcq-total-limit.
O exemplo abaixo mostra o uso do PCQ com pacotes classificados pelo endereo de origem

286

mdbrasil - todos direitos reservados

Tipos de Filas

PCQ
Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero agrupados em sub-filas diferentes. Nesse caso possvel fazer
a limitao ou equalizao para cada sub-fila com o parmetro pcq-rate. Talvez a parte mais
significante decidir em qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo trfego da interface pblica ser agrupado pelo endereo de origem (e
provavelmente no o que se deseja), mas ser for empregada na interface pblica todo o
trfego de nossos clientes ser agrupado pelo endereo de origem, o que torna fcil
equalizar ou limitar o upload dos clientes. O mesmo controle pode ser feito para downloads,
mas, nesse caso ser utilizado o classificador dst-address e configurado na interface local.

PCQ uma boa ferramenta para controlar ou equalizar a banda entre diversos usurios com
pouco trabalho de administrao.

287

mdbrasil - todos direitos reservados

QoS - HTB
HTB (Hierarchical Token Bucket) uma disciplina de enfileiramento hierrquica que usual
para aplicar diferentes polticas para diferentes tipos de trfego. O HTB simula vrios links
um um nico meio fsico, permitindo o envio de diferentes tipos de trfego em diferentes links
virtuais. Em outras palavras, HTB muito til para limitar o download e upload de usurios
de uma rede, desta forma no existe saturamento da largura de banda disponvel no link
fsico. Alm disso, no Mikrotik ROS, utilizado o HTB para configuraes de QoS.
Cada class tem um pai e pode ter uma ou mais
filhas. As que no tm filhas, so colocados no
level 0, onde as filas so mantidas, e so
chamadas de leaf class.
Cada classe na hierarquia pode priorizar e dar forma ao
trfego (shaping).
- Para shaping os parmetros so:
limit-at: banda garantida (CIR)
max-limit: banda mxima permitida (MIR)
- Para priorizar:
priority: de 1 a 8, sendo 1 a maior prioridade.
*Prioridade s funcionar aps o limit-at ser alcanado.

288

mdbrasil - todos direitos reservados

QoS - HTB
Exemplo de HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Resultados
Queue03 receber 6Mbps
Queue04 receber 2Mbps
Queue05 receber 2Mbps
Descrio: O HTB foi configurado, de modo que, satisfazendo
todas as garantias (limit-at) a filla principal (pai) no possuir
nenhuma capacidade para distribuir mais banda caso seja
solicitado por uma filha.

289

mdbrasil - todos direitos reservados

QoS - HTB
Exemplo de HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Resultados
Queue03 receber 2Mbps
Queue04 receber 6Mbps
Queue05 receber 2Mbps
Descrio: Aps satisfazar todas garantias, o HTB
disponibilizar mais banda, at o mximo permitido (max-limit)
para a fila com maior prioridade. Mas neste caso, permitir-se
reserva de 8Mbps de throughput para as filas Queue04 e
Queue05, as quais, a que possuir maior prioridade receber
primeiro o adicional de banda, pois a fila Queue02 possui
garantia atribuida.

290

mdbrasil - todos direitos reservados

QoS - HTB
Termos do HTB:
Filter - um processo que classifica pacotes. Os filtros so responsveis pela
classificao de pacotes para que eles sejam colocados nas correspondentes qdiscs.
Todos os filtros so aplicados no fila raiz HTB e classificados diretamente nas qdiscs,
sem atravessar a rvore HTB. Se um pacote no est classificado em nenhuma das
qdiscs, enviado para a interface diretamente, por isso nenhuma regra HTB
aplicada aos pacotes (isso significa prioridade maior que qualquer pacote do fluxo
gerido pelo HTB) .
Level - posio de uma classe na hierarquia.

Class - algoritmo de limitao no fluxo de trfego para uma determinada taxa. Ela
no guarda quaisquer pacotes (esta funo s pode ser realizada por uma fila). Uma
classe pode conter uma ou mais subclasses (inner class) ou apenas uma e um qdisc
(leaf class).
291

mdbrasil - todos direitos reservados

QoS - HTB
Termos do HTB:
Inner class - uma classe que tenha uma ou mais classes filhas ligadas a ela.
No armazenam quaisquer pacotes, ento qdiscs no podem ser associados a
elas (qdisc e configuraes de filtros so ignoradas, embora possam ser exibidos
na configurao do RouterOS). S fazem limitao de trfego. Definio de
prioridade tambm ignorada.
Leaf class - uma classe que tem uma classe pai, mas ainda no tem nenhuma
classe filha. Leaf class esto sempre localizadas no level 0 da hierarquia.

Self feed - uma sada (fora da rvore HTB para a interface) para os pacotes de
todas as classes ativas no seu nvel de hierarquia. Existe uma self feed por level,
cada uma constituda por 8 self slots, que representam as prioridades.

292

mdbrasil - todos direitos reservados

QoS - HTB
Termos do HTB:
Auto slot - um elemento de uma self feed que corresponde a cada prioridade.
Existe um auto slot por nvel. Todas as classes ativas no mesmo nvel, com a
mesma prioridade, so anexados a um auto slot que enviam os pacotes para fora.

Active class (para um nvel particular) - uma class que est associada a um auto
slot em determinado nvel.
Inner feed - semelhante a uma self feed, constitudos de inner self slots,
presentes em cada classe interior. Existe um inner feed por inner class.
Inner feed slot - similar auto slot. Cada inner feed constitudo de inner slots
os quais representam uma prioridade.
293

mdbrasil - todos direitos reservados

QoS - HTB
Estados das classes HTB
Cada classe HTB pode estar em um dos 3 estados,
dependendo da banda que est consumindo:
verde de 0% a 50% da banda disponvel est em
uso.
amarelo de 51% a 75% da banda disponvel
est em uso.
vermelho de 76% a 100% da banda disponvel
est em uso. Aqui ocorre o descarte de pacotes,
quando se ultrapassa o max-limit.

294

mdbrasil - todos direitos reservados

QoS - HTB
No Mikrotik ROS as estruturas do HTB podem ser anexadas a
quatro locais diferentes:
Interfaces Virtuais
global-in representa todas as interfaces de entrada em geral (INGRESS queue). As
filas atreladas global-in recebem todo o trfego entrante no roteador, antes da filtragem de
pacotes.
global-out representa todas as interfaces de sada em geral (EGRESS queue). As
filas atreladas global-out recebem todo o trfego que sai do roteador.
global-total representa uma interface virtual atravs da qual passa todo o fluxo de
dados. Quando se associa uma poltica de filas global-total, a limitao feita em ambas
as direes. Por exemplo se configurarmos um total-max-limit de 256kbps, teremos um total
de upload+download limitado em 256 kbps, podendo haver assimetria.
Outras Interfaces
Interface X- representa uma interface particular. Somente o trfego que configurado
para sair atravs desta desta interface passar atravs da fila HTB.
295

mdbrasil - todos direitos reservados

QoS - HTB
Interfaces Virtuais e o Mangle
Mangle
Forward

Global In
(+Global Total)

Deciso de
Roteamento

Deciso de
Roteamento

Mangle
Postrouting

Mangle
Prerouting

Mangle
Input

Mangle
Input

Global-out
(+Global-Total)

Interface de
entrada

Processo Local
IN

Processo Local
OUT

Interface de
Sada
296

mdbrasil - todos direitos reservados

Filas Simples

- As filas simples (simple queue) so a maneira mais fcil de se limitar a banda de


endereos IPs distintos ou sub-redes. Elas permitem configurar as velocidades de upload
e download com apenas uma entrada.
- Tambm podem ser usadas para configurao de aplicaes de QoS.

- Os filtros de filas simples so executados completamente pelo HTB nas interfaces


global-out (queue direct) e global-in (queue reverse)
- Os filtros enxergam as direes dos pacotes IP da mesma forma que apareceriam no
Firewall.
- Hotspot, DHCP e PPP criam dinamicamente filas simples.
297

mdbrasil - todos direitos reservados

Filas Simples

- As principais propriedades configurveis de uma fila simples so:


Limite por direo IP de origem ou destino
Interface do cliente
tipo de fila
configuraes de limit-at, max-limit, priority e burst para download e upload
Horrio

298

mdbrasil - todos direitos reservados

Como funciona o Burst

Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo.

Os parmetros que controlam o Burst so:


burst-limit: limite mximo que alcanar
burst-time: tempo que durar o burst
burst-threshold: patamar onde comea a limitar
max-limit: MIR
299

mdbrasil - todos direitos reservados

Como funciona o Burst


Exemplo
max-limit=256kbps
burst-time=8s

burst-threshold=192kbps
burst-limit=512kbps
dado ao cliente inicialmente a banda burst-limit=512 kbps. O algortimo calcula a taxa mdia
de consumo de banda durante o burst-time de 8 segundos.
com 1 segundo a taxa mdia (0+0+0+0+0+0+0+512)/8 = 64kbps (abaixo do threshold)
com 2 segundos j de (0+0+0+0+0+0+512+512)/8 = 128 kbs (abaixo do threshold)
com 3 segundos (0+0+0+0+0+512+512+512)/8 = 192 ( o ponto de inflexo onde acaba o
burst)
A partir do momento que foi atingido o ponto de inflexo o Burst desabilitado e a taxa
mxima do cliente passa a ser o max-limit.

300

mdbrasil - todos direitos reservados

Utilizao de PCQ

PCQ Per Connection Queue Enfileiramento por conexo


- PCQ utilizado para equalizar a cada usurio em particular ou cada conexo em
particular

- Para utilizar PCQ, um novo tipo de fila deve ser adicionado com o argumento
kind=pcq
- Devem ainda ser escolhidos os parmetros:
pcq-classifier
pcq-rate
301

mdbrasil - todos direitos reservados

Utilizao de PCQ

- Com o rate configurado como zero, as


subqueues no so limitadas, ou seja elas
podero utilizar o mximo de largura de
banda disponvel em max-limit
- Se configurarmos um rate para PCQ a
subqueues sero limitadas nesse rate, at o
total de max-limit

302

mdbrasil - todos direitos reservados

Utilizao de PCQ

- Nesse caso, como o rate da fila 128k, no


existe limit-at e tem um total de 512k, os clientes
recebero a banda da seguinte forma:

512k
128k

Banda total

2 clientes

128

64k

4 clientes

8 clientes

303

mdbrasil - todos direitos reservados

Utilizao de PCQ

- Nesse caso, como o rate da fila 0, no existe


limit-at e tem um total de 512k, os clientes
recebero a banda da seguinte forma:

256k
512k

512k
256k

Banda total

1 cliente

2 clientes

64k

8 clientes

304

mdbrasil - todos direitos reservados

rvores de Filas
Trabalhar com rvores de filas uma maneira mais elaborada de administrar o
trfego. Com elas possvel construir sob medida uma hierarquia de classes, onde
poderemos configurar as garantias e prioridades de cada fluxo em relao outros,
determinando assim uma poltica de QoS para o fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especificada. Os filtros so
apenas marcas que o firewall faz no fluxo de pacotes na opo mangle. Os filtros
enxergam os pacotes na ordem em que eles chegam ao roteador.
tambm a nica maneira para adicionar uma fila em uma interface separada.
Tambm possvel ter o dobro de enfileiramento (exemplo: priorizao de trfego
em global-in e/ou global-out, limitao por cliente na interface de sada). Se
configurado filas simples (queue simple) e rvore de filas (queue tree) no mesmo
roteador, as filas simples recebero o trfego primeiro e o classificaro.
305

mdbrasil - todos direitos reservados

rvores de Filas

- As rvores de filas so configuradas em


queue tree
- Dentre as propriedades configurveis se
incluem;
Escolher uma marca de trfego
(feita no mangle)
parent-class ou interface de
sada ( incluindo as interfaces virtuais global-in
e global-out)
Tipo de Fila (queue type)
configuraes de limit-at, maxlimit, priority e burst
306

mdbrasil - todos direitos reservados

rvores de Filas
Laboratrio

Queue

Limit-At

Max-Limit

C1

10M

20M

C2

1M

20M

C3

1M

20M

C4

1M

20M

C5

1M

20M

O roteador no conseguir garantir a banda para C1.

307

mdbrasil - todos direitos reservados

rvores de Filas
Laboratrio

Com parent (hierarquia)

308

mdbrasil - todos direitos reservados

rvores de Filas
Laboratrio

Mais hierarquia
C1 possui maior prioridade, portanto consegue atingir o max-limit, o restante da
banda divido entre as outras leaf-queue
309

mdbrasil - todos direitos reservados

rvores de Filas
Laboratrio

Garantia na inner queue

310

mdbrasil - todos direitos reservados

rvores de Filas
Laboratrio

Prioridade na leaf queue

311

mdbrasil - todos direitos reservados

rvores de Filas
Laboratrio

Prioridade funciona apenas na leaf queue, no funciona na inner queue

Erros comuns:
leaf queue sem parent
prioridade configurada para inner queue

312

mdbrasil - todos direitos reservados

Dvidas ??

313

mdbrasil - todos direitos reservados

Tneis
&
VPNs

314

mdbrasil - todos direitos reservados

VPN

Uma Rede Particular Virtual (Virtual Private Network - VPN) uma rede de
comunicaes privada normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituies, construda em cima de uma rede de comunicaes pblica
(como por exemplo, a Internet). O trfego de dados levado pela rede pblica
utilizando protocolos padro, no necessariamente seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a
confidencialidade, autenticao e integridade necessrias para garantir a privacidade
das comunicaes requeridas. Quando adequadamente implementados, estes
protocolos podem assegurar comunicaes seguras atravs de redes inseguras.
315

mdbrasil - todos direitos reservados

VPN
As principais caractersticas das VPNs so:

Promover acesso seguro sobre meios fsicos pblicos como a Internet por
exemplo.
Promover acesso seguro sobre linhas dedicadas, wireless, etc.
Promover acesso seguro a servios em ambiente corporativo de correio,
impressoras, etc.
Fazer com que o usurio, na prtica, se torne parte da rede corporativa
remota recebendo IPs desta e perfis de segurana definidos.
A base da formao das VPNs o tunelamento entre dois pontos, porm
tunelamento no sinnimo de VPN.
316

mdbrasil - todos direitos reservados

Tunelamento
A definio de Tunnelling a capacidade de criar tneis entre
dois hosts, por onde trafegam dados.
O Mikrotik implementa diversos tipos de Tunelamento, podendo ser tanto servidor
como cliente desse protocolos.
PPP ( Point to Point Protocol )

IPSec ( IP Security )

PPPoE ( Point to Point Protocol over Ethernet )

Tneis IPIP

PPtP ( Point to Point Tunneling Protocol )

Tneis EoIP

L2TP ( Layer 2 Tunneling Protocol )

VPLS
Tneis TE
317

mdbrasil - todos direitos reservados

Algumas definies comuns


para os servios PPP
MTU/MRU: unidades mximas de transmisso/recepo em bytes. Normalmente o
padro ethernet permite 1500 bytes. Em servios PPP que precisam encapsular os
pacotes, deve se definir valores menores para evitar a fragmentao.
Keepalive Timeout: define o perodo de tempo em segundos aps o qual o roteador
comea a mandar pacotes de keepalive a cada segundo. Se nenhuma resposta de
keepalive recebida pelo perodo de tempo de 2 vezes o keep-alive-timeout o cliente
considerado desconectado.

Authentication:
Pap: usurio/senha passa em texto plano, sem criptografia
Chap: usurio/senha com criptografia
mschap1: verso chap da Microsoft conf. RFC 2433
mschap2: verso chap da Microsoft conf. RFC 2759

318

mdbrasil - todos direitos reservados

Algumas definies comuns


para os servios PPP

PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP maiores do


que a rede pode suportar, ou seja, maiores que o menor MTU (Maximum Transmission
Unit) do caminho, ento ser necessrio que haja algum mecanismo para avisar que
esta estao dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a
resposta dos roteadores intermedirios (possivelmente com pacotes do tipo ICMP
Packet To Big) e a adequao do tamanho dos pacotes posteriores chamada Path
MTU Discovery ou PMTUD. Normalmente esta funcionalidade est presente em todos
os roteadores comerciais e sistemas Unix Like, assim como no Mikrotik ROS.

MRRU: tamanho mximo do pacote, em bytes, que poder ser recebido no link. Se um
pacote ultrapassa o valor definido ele ser divido em pacotes menores, permitindo o
melhor dimensionamento do tnel. Especificar MRRU significa permitir MP (Multilink
PPP) sobre um tnel simples. Essa configurao til para o protocolo PMTU
Discovery superar falhas. O MP deve ser ativado em ambos os lados (cliente e
servidor).
319

mdbrasil - todos direitos reservados

Change MSS (Mximum Segment Size Field, ou seja o tamanho mximo do segmento de dados.).
Um pacote com MSS que ultrapassa o MSS dos roteadores por onde um tnel est estabelecido
deve ser fragmentado antes de envi-lo. Em alguns casos o PMTUD est quebrado ou os
roteadores no conseguem trocar as informaes de maneira eficiente e causam uma srie de
problemas com transferncia HTTP, FTP e correio eletrnico, alm de mensageiros instantneos.
Neste caso o Mikrotik ROS proporciona ferramentas onde possvel intervir e configurar uma
diminuio do MSS dos prximos pacotes atravs do tnel visando resolver o problema.

320

mdbrasil - todos direitos reservados

Servidor ou Cliente PPPoE


PPPoE (point-to-point protocol over Ethernet) uma adaptao do PPP para
funcionar em redes Ethernet. Pelo fato da rede Ethernet no ser ponto a ponto, o
cabealho PPPoE inclui informaes sobre o remetente e destinatrio, desperdiando
mais banda (~2% a mais).
- Muito usado para autenticao de clientes com Base em Login e senha. O PPPoE
estabelece a sesso e realiza a autenticao com o provedor de acesso a Internet.
- O cliente no tem IP configurado, o qual atribuido pelo PPPoE server
(concentrador), normalmente operando em conjunto com um servidor Radius. No
Mikrotik ROS, no obrigatrio o uso de servidor Radius, pois o mesmo permite a
criao e gerenciamento de usurios e senhas em uma tabela local (/ppp secrets).
- PPPoE, por padro, no criptografado (pode-se lanar mo do mtodo MPPE,
desde que o cliente suporte este mtodo)
321

mdbrasil - todos direitos reservados

Servidor ou Cliente PPPoE

O cliente descobre o servidor atravs do protocolo PPPoE discover, que


tem o nome do servio a ser utilizado.

Precisa estar no mesmo barramento fsico ou os dispositivos passarem para


frente as requisies PPPoE (pppoe relay).

No Mikrotik ROS o valor padro do Keep Alive Timeout 10, e funcionar


bem na maioria dos casos. Se configurarmos para 0, o servidor no
desconectar os clientes at que os mesmos solicitem ou o servidor for
reiniciado.

322

mdbrasil - todos direitos reservados

Configurao do Servidor PPPoE


1 Crie um pool de IPs para o PPPoE
/ip pool add name=pool-pppoe
ranges=10.1.1.1-10.1.1.254

2 Adicione um Perfil de PPPoE onde:


Local address = endereo IP do concentrador
Remote address = pool do pppoe
/ppp profile add name=perfil-pppoe" local-address=192.168.1.1 remote-address=pool-pppoe
323

mdbrasil - todos direitos reservados

Configurao do Servidor PPPoE


3 Adicione um usurio e senha
/ppp secret add name=usuario
password=123456
service=concentrador-pppoe
profile=perfil-pppoe.
Caso queira verificar o MAC-Address,
adicione-o em Caller ID. Esta opo no
obrigatria, mas um parmetro a
mais que garante segurana.

324

mdbrasil - todos direitos reservados

Configurao do Servidor PPPoE


4 Adicione o PPPoE Server
Service Name = nome que os clientes vo
procurar (pppoe-discovery).
/interface pppoe-server server add
authentication=chap,mschap1,mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=1480 max-mtu= 1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename=concentrador-pppoe

325

mdbrasil - todos direitos reservados

Mais sobre Perfis


Bridge: bridge para associar ao perfil.
Incoming/Outgoing Filter: nome do canal do Firewall
para pacotes entrando/saindo.
Address List: lista de endereos IPs para associar ao
perfil.
DNS Server: configurao dos servidores DNS a
atribuir nos clientes. Pode se configurar mais de um
endereo IP.

Use Compression/Encryption/Change TCPMSS:


caso estejam default associam ao valor que est
configurado no perfil DEFAULT-PROFILE.
326

mdbrasil - todos direitos reservados

Mais sobre Perfis


Session Timeout: a durao mxima de uma
sesso pppoe.
Idle Timeout: o perodo de ociosidade na
transmisso de uma sesso. Se no houver trfego
IP dentro do perodo configurado a sesso
terminada.
Rate Limit: limitao da velocidade na forma rxrate[/tx-rate] rx o upload do cliente
OBS: Pode ser usada a sintaxe: rx-rate[/tx-rate] [rx-burstrate[/tx-burst-rate] [rx-burst-threshold[/tx-burstthreshold] [rx-burst-time[/tx-burst-time] [priority] [rxrate-min[/tx-rate-min]]]].

Only One: permite apenas uma sesso para o


327
mesmo usurio.

mdbrasil - todos direitos reservados

Mais sobre o user Database


Service: Especifica o servico disponvel para esse
cliente em particular.

Caller ID: MAC address do cliente


Local Address/Remote Address: endereo IP
local(servidor) e remote(cliente) que podero ser
atribudos a um cliente em particular.
Limit Bytes In/Out: Quantidades de Bytes que o
cliente pode trafegar por sesso PPPoE

Routes: Rotas que so criadas no lado servidor para


esse cliente especfico.Vrias rotas podem ser
adicionadas separadas por vrgula.
328

mdbrasil - todos direitos reservados

Detalhes adicionais do PPPoE Server


O Concentrador PPPoE do Mikrotik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do Concentrador de Acesso pode ser
usado pelos clientes para identificar o acesso em que deve se
registrar.
Nome do Concentrador = Identidade do roteador (/system
identity)

O valor de MTU/MRU inicialmente recomendado para o PPPoE


de 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no Access Point. Para clientes RouterOS, a interface de
rdio pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes. Isto otimiza a transmisso de
pacotes e evita problemas associados com MTU menor que 1500
bytes. At o momento no possumos nenhuma maneira de alterar
a MTU da interface sem fio em clientes MS Windows.
One session per Host: permite apenas uma sesso por host
(MAC address)
Max Sessions: nmero mximo de sesses simultneas que o
Concentrador suportar.
329

mdbrasil - todos direitos reservados

Segurana no PPPoE
Para assegurar um servidor PPPoE
pode-se utilizar Filtros de Bridge,
configurando a entrada ou repasse
(depende da configurao do Mikrotik
ROS) os protocolos pppoe-discovery e
pppoe-session, e descartando todos os
demais.
Mesmo que haja somente uma
interface, ainda assim possvel utilizar
os Fitros de Bridge, bastando para tal,
criar um bridge e associar em Ports
apenas esta interface. Em seguida
alterar no PPPoE Server a interface que
o mesmo escuta.
330

mdbrasil - todos direitos reservados

Configurao do PPPoE Client

AC Name: nome do Concentrador. Deixando em branco conecta com qualquer um.


Dial on Demand: disca automaticamente sempre que gerado um trfego de sada.
Add default route: adiciona uma rota padro (no usa a do servidor).
Use Peer DNS: Usa o DNS configurado no Concentrador.
331

mdbrasil - todos direitos reservados

PPTP e L2TP
Point-to-Point Tunneling Protocol e Layer 2 Tunneling Protocol
L2TP Layer 2 Tunnel Protocol Protocolo de tunelamento de camada 2 um protocolo
de tunelamento seguro para transportar trfego IP utilizando PPP. O protocolo L2TP
trabalha no layer 2 de forma criptografada ou no e permite enlaces entre dispositivos de
diferentes redes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacotes de dados. A
porta UDP 1701 utilizada para o estabelecimento do link e o trfego em si utiliza qualquer
porta UDP disponvel, o que significa que L2TP pode ser usado com a maioria dos Firewalls
e Routers, funcionando tambm atravs de NAT.

L2TP e PPTP possuem as mesmas funcionalidades.


332

mdbrasil - todos direitos reservados

Configurao do Servidor PPTP e L2TP

Configure um faixa de endereos IP, em IP POOL, um perfil para o PPTP e um usurio


em PPP Secrets, conforme as imagens.
333

mdbrasil - todos direitos reservados

Configurao do Servidor PPTP e L2TP

Configure os servidores PPTP e L2TP


Atente-se para o perfil a utilizar
Configure nos hosts locais
um cliente PPTP e realize a
conexo com um servidor de
outra rede diferente da rede
conectada.
Ex.: hosts da rede
192.168.100.0/24 conectaremse a servidores da rede
192.168.200.0/24 e vice-versa.

334

mdbrasil - todos direitos reservados

Configurao do cliente PPtP e L2TP

As configuraes para o cliente PPTP ou L2TP


so bastante simples, conforme observamos
nas imagens.

335

mdbrasil - todos direitos reservados

Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio
protocolo IP baseado na RFC 2003. um protocolo simples que
pode ser usado para ligar duas Intranets atravs da Internet
usando 2 roteadores.
A Interface do tnel IPIP aparece na lista de interfaces como se
fosse uma interface real.
Vrios roteadores comerciais, incluindo o Cisco e roteadores
baseados em Linux suportam esse protocolo.
Um exemplo prtico de uso de IPIP seria a necessidade de
monitorar hosts atravs de um NAT, onde o tnel IPIP colocaria
a rede privada disponvel para o host que realiza o
monitoramento, sem necessidade de criao de usurio e senha
como nas VPNs.

336

mdbrasil - todos direitos reservados

Tneis IPIP
Exemplo:
Supondo que temos de unir as redes que esto por trs dos roteadores 200.200.200.1 e
200.200.100.1. Para tanto basta que criemos as interfaces IPIP em ambos, da seguinte
forma:

337

mdbrasil - todos direitos reservados

Tneis IPIP
Em seguida atribui-se endereo IP s interfaces criadas ( de
preferncia ponto a ponto )

Pronto, est criado o tnel IPIP e agora as redesfazem parte do mesmo domnio de
broadcast.
338

mdbrasil - todos direitos reservados

Tneis EoIP
EoIP ( Ethernet over IP ) um protocolo proprietrio Mikrotik
para encapsulamento de todo tipo de trfego sobre o
protocolo IP. Quando habilitada a funo de bridge dos
roteadores que esto interligados atravs de um tnel EoIP,
todo o trfego passado de um lado para o outro como se
houvesse um cabo de rede interligando os pontos, mesmo
roteando pela Internet e por vrios protocolos.
EoIP possibilita:
Interligao em bridge de LANs remotas atravs da Internet
Interligao em bridge de LANs atravs de tneis criptografados
Possibilidade de bridgear LANs sobre redes Ad Hoc 802.11
Caractersticas:
A interface criada pelo tnel EoIP suporta todas as funcionalidades de uma interface
Ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP.
O protocolo EoIP encapsula frames Ethernet atravs do protocolo GRE.
O nmero mximo de tneis suportados no Mikrotik ROS so 65536.
339

mdbrasil - todos direitos reservados

Tneis EoIP

Criando um tnel EoIP entre as redes que esto por


trs dos roteadores 200.200.200.1 e 200.200.100.1.
OBS:
- Os MACs devem ser diferentes e estar entre o
range 00-00-5E-80-00-00 to 00-00-5E-FF-FF-FF, pois
so endereos reservados para essas aplicaes.
-O MTU deve ser deixado em 1500 para evitar
fragmentaes.
- O tnel ID deve ser o mesmo em ambos os lados.
340

mdbrasil - todos direitos reservados

Tneis EoIP

Adicione a interface EoIP


bridge, juntamente com a
interface da rede que far parte
do mesmo domnio de broadcast
(normalmente uma interface da
rede privada LAN).

341

mdbrasil - todos direitos reservados

Dvidas ??

342

mdbrasil - todos direitos reservados

Hotspot
no
Mikrotik

343

mdbrasil - todos direitos reservados

Hotspot
O que ?
Hotspot um termo utilizado para se referir a uma rea pblica onde est disponvel um servio
de acesso a Internet, normalmente atravs de uma rede sem fio Wi-Fi. Aplicaes tpicas
incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc.
O conceito de Hotspot pode ser usado no entanto para dar acesso controlado a uma rede
qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha.
Como funciona ?
Quando em uma rea de cobertura de um Hotspot, um usurio que possua um Laptop e tente
navegar pela WEB arremetido para uma pgina do Hotspot que pede suas credenciais,
normalmente usurio e senha. Ao fornece-las e sendo um cliente autorizado pelo Hotspot o
usurio ganha acesso Internet podendo sua atividade ser controldada e bilhetada.
344

mdbrasil - todos direitos reservados

Hotspot
Setup do Hotspot:
1 Escolha a interface que vai
ouvir o Hotspot
2 Escolha o IP em que vai rodar
o Hotspot e indique se a rede ser
mascarada
3 D um pool de endereos que
sero distribuidos para os
usurios do Hotspot (se no tiver,
crie em /ip pool)
4 Selecione um certificado, caso
queira usar.
continua

345

mdbrasil - todos direitos reservados

Hotspot
Setup do Hotspot:
continuao
5 Se quiser forar a usar o
seu smtp, indique o IP aqui

6 D o endereo IP dos
servidores de DNS que iro
resolver os nomes para os
usurios do Hotspot
7 D o nome do DNS (
aparecer no Browser dos
clientes ao invs do IP)
Pronto, est configurado o
Hotspot !

OBS: os mesmos passos


acima podem ser feitos
no terminal com /ip
hotspot setup
346

mdbrasil - todos direitos reservados

Hotspot
Embora tenha sido uma configurao bastante fcil e rpida, o Mikrotik se encarregou
de fazer o trabalho pesado, criando as regras apropriadas no Firewall, bem como uma
fila especfica para o Hotspot.

347

mdbrasil - todos direitos reservados

Hotspot - Detalhes de Configurao


keepalive-timeout ( time | none ; default: 00:02:00 )
Utilizado para detectar se o computador do cliente est
ativo e encontrvel. Caso nesse perodo de tempo o teste
falhe, o usurio tirado da tabela de hosts e o endereo Ip
que ele estava usando liberado. O tempo contabilizado
levando em considerao o momento da desconexo
menos o valor configurado ( 2 minutos por default)
idle-timeout ( time | none ; default: none ) mximo
perodo de inatividade para clientes autorizados.
utilizado para detecta que clientes no esto usando redes
externas ( internet em geral ) e que no h trfego do
cliente atravs do roteador. Atingindo o timeou o cliente
derrubado da lista dos hosts, o endereo IP liberado e a
sesso contabilizada a menos desse valo.
addresses-per-mac ( integer | unlimited ; default: 2 )
nmero de IPs permitidos para um particular MAC
348

mdbrasil - todos direitos reservados

Hotspot Server Profiles

HTML Directory:
Diretrio onde esto colocadas as pginas desse Hotspot
HTTP Proxy / HTTP Proxy Port
Endereo e porta do Servidor de Web Proxy

SMTP Server:
Endereo do servidor de SMTP
rate-limit:
Cria uma simple Queue para todo o Hotspot (vai aps as filas dinamicas dos
usurios.
349

mdbrasil - todos direitos reservados

Hotspot Server Profiles


login-by
cookie - usa HTTP cookies para autenticar sem pedir as credenciais. Se o cliente ainda
no tiver um cookie ou tiver expirado usa outro mtodo
http-chap - usa mtodo CHAP mtodo criptografado
http-pap - usa autenticao com texto plano pode ser sniffado facilmente
https usa tunel SSL criptografado. Para isso funcionar, um certificado vlido deve ser
importado para o roteador.
mac Tenta usar o MAC dos clientes primeiro como nome de usurio. Se existir na
tabela de usurios local ou em um Radius, o cliente liberado sem username/password
trial no requer autenticao por um certo perodo de tempo

HTTP Cookie Lifetime: tempo de vida dos Cookies


Split User Domain: corta o dominio do usurio no caso de usurio@dominio.com.br
350

mdbrasil - todos direitos reservados

Hotspot Server Profiles


Utilizao de servidor Radius para autenticao do Hotspot
:
Location ID e Location Name: Podem ser atribuidos aqui ou no Radius normalmente deixar em
branco.

Habilitar Accounting para fazer a bilhetagem dos usurios, com histrico de logins, desconexes,
etc
Interim Update: Frequencia de envio de informaes de accounting (segundos). 0 assim que
ocorre o evento.
NAS Port Type: Wireless, Ethernet ou Cabo
351

mdbrasil - todos direitos reservados

Hotspot User Profiles


Os user profiles servem para dar tratamento diferenciado a grupos de
usurios, como suporte, comercial, diretoria, etc
Session Timeout: tempo mximo permitido (depois disso o cliente
derrubado)

Idle Timeout / Keepalive Timeout: mesma explicao anterior, no


entanto agora somente para os usurios desse perfil.
Status Autorefresh: tempo de refresh da pgina de Status do
Hotspot
Shared Users: nmero mximo de clientes com o mesmo
username.

352

mdbrasil - todos direitos reservados

Hotspot User Profiles


Os perfis dos usurios podem conter os limites de velocidade
implementados de forma completa, com bursts, limit-at, etc
Rate Limit:
rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate]] [rx-burst-threshold[/txburst-threshold]] [rx-burst-time[/tx-burst-time]] [priority] [rx-limit-at[txlimit-at]]

Exemplo: 128k/256k 256k/512k 96k/192k 8/8 6 32k/64k

-- 128k de upload, 256k de download


-- 256k de burst p/ upload, 512k de burst p/ download
-- 96k de threshold p/ upload, 192k de threshold p/ download
-- 8 segundos de burst time
-- 6 de prioridade
-- 32k de garantia de upload, 64k de garantia de download
353

mdbrasil - todos direitos reservados

Hotspot User Profiles


Incoming Filter: nome do firewall chain aplicado aos pacotes que
chegam dos usurios deste perfil
Outgoing Filter: nome do firewall chain aplicado aos pacotes que
vo para os usurios desse perfil

Incoming Packet Mark: Marca colocada automticamente em


todos os pacotes oriundos de usurios desse perfil
Outgoing Packet Mark: Marca colocada em todos os pacotes que
vo para os usurios desse perfil.
Open Status Page: mostra a pgina de status
http-login : para usurios normais que logam pela web
always ; para todos, inclusive os que logam por MAC

Transparent Proxy: se deve usar proxy transparente


354

mdbrasil - todos direitos reservados

Hotspot User Profiles


Com a opo Advertise possvel enviar de tempos em tempos
popups para os usurios do Hotspot.
Avertise URL: Lista das pginas que sero anunciadas. A lista
cclica, ou seja quando a ltima mostrada, comea-se novamente
pela primeira.
Advertise Interval: Intervalos de exibio dos Popups. Depois da
sequencia terminada, usa sempre o ltimo intervalo. No exemplo, so
mostradas inicialmente a cada 30 segundos, 3 vezes e depois a cada
1 hora.
Advertise Timeout: Quanto tempo deve esperar para o anncio ser
mostrado, antes de bloquear o acesso rede com o Walled-Garden
pode ser configurado um tempo ( default = 1 minuto )
nunca bloquear
bloquear imediatamente

355

mdbrasil - todos direitos reservados

Hotspot User Profile - Scripts


O mikrotik possui uma linguagem interna de scripts que podem
ser adicionados para serem executados em alguma situao
especfica.
No Hotspot possvel criar scripts que executem comandos a
medida que um usurio desse perfil se conecta ou se
desconecta do Hotspot
-Os parmetros que controlam essas execues so
on-login
on-logout
Os scripts so adicionados com / system scripts add
356

mdbrasil - todos direitos reservados

Hotspot Users

357

mdbrasil - todos direitos reservados

Hotspot Users
Detalhes de cada usurio:
all para todos os hotspots configurados ou para um especfico.
Name: Nome do usurio. Se o modo trial estiver habilitado o Hotspot
colocar automticamente o nome T-MAC_address. No caso de autenticao
por MAC, o MAC pode ser adicionado como username (sem senha).
Endereo IP: caso queira vincular esse usurio a um endereo fixo.
MAC Address: caso queira vincular esse usurio a um MAC determinado
Profile: perfil de onde esse usurio herda as propriedades
Routes: rota que ser adicionada ao cliente quando esse se conectar.
Sintaxe endereo de destino gateway metrica. Exemplo 192.168.1.0/24
192.168.166.1 1. Vrias rotas separadas por vrgula podem ser adicionadas.
Email: ?
358

mdbrasil - todos direitos reservados

Hotspot Users
Limit Uptime: Total de tempo que o usurio pode usar o Hotspot.
til para fazer acesso pr pago. Sintaxe hh:mm:ss. Default = 0s
sem limite.
Limit Bytes In: total de Bytes que o usurio pode transmitir. (bytes
que o roteador recebe do usurio.
Limit Bytes Out: total de Bytes que o usurio pode receber. (bytes
que o roteador transmite para o usurio.

Os limites valem para cada usurio. Se um usurio j fez o download


de parte de seu limite, o campo session limit vai mostrar o restante.
Quando o usurio exceder seu limite ser impedido de logar. As
estatsticas so atualizadas cada vez que o usurio faz o logoff, ou
seja enquanto ele estiver logado as estatsticas no sero mostradas.
Use /ip hotspot active para ver as estatsticas atualizadas nas
sesses correntes dos usurios.
Se um usurio tem o endereo IP especificado somente poder haver
um logado. Caso outro entre com o mesmo usurio/senha, o primeiro
ser desconectado.
359

mdbrasil - todos direitos reservados

Hotspot Active

Mostra dados gerais e estatsticas de todos os


usurios conectados
360

mdbrasil - todos direitos reservados

IP Bindings

O Mikrotik por default tem habilitado o universal client que uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1.
Esta facilidade denominada DAT na AP 2500 e eezee no StarOS.
possvel fazer tambm tradues NAT estticas com base no IP original, ou IP da
rede ou no MAC do cliente. possvel tambm permitir a certos endereos
contornarem (by-passarem) a autenticao do Hotspot. Ou seja sem ter de logar
na rede inicialmente. Tambm possvel bloquear endereos
continua
361

mdbrasil - todos direitos reservados

IP Bindings

MAC Address: mac original do cliente


Address: endereo IP configurado no cliente (ou rede)
To Address: endereo IP para o qual o original deve ser traduzido.
Type: Tipo de Binding
Regular: faz uma traduo 1:1 regular
Bypassed: faz a traduo mas dispensa o cliente de logar no Hotspot
Blocked: a traduo no ser feita e todos os pacotes sero descartados.
362

mdbrasil - todos direitos reservados

Hotspot Ports

A facilidade de NAT e NAT 1:1 do Hotspot causa problemas com alguns protocolos
incompatveis com NAT. Para que esses protocolos funcionem de forma
consistente, devem ser usados os mdulos helpers
No caso de NAT 1:1 o nco problema com relao ao mdulo de FTP que deve
ser configurado para usar as portas 20 e 21.
.
363

mdbrasil - todos direitos reservados

Walled Garden
Configurando um Walled Garden ou Jardim Murado possvel oferecer ao usurio o acesso a
determinados servios sem necessidade de autenticao. Por exemplo em um Aeroporto poderse-ia disponibilizar informaes climticas, horrios de voos, etc sem a necessidade do usurio
adquirir crditos para acesso externo.
Quando um usurio no logado no Hotspot requisita um servio do Walled Garden o gateway no
o intercepta e, no caso de http, redireciona a reuisio para o destino ou para um proxy.

Para implementar o Walled Garden para requisies http, existe um Web Proxy embarcado no
Miktotik, de forma que todas as requisies de usurios no autorizados passem de fato por esse
proxy.
Observar que o proxy embarcado no tem as funes de fazer cache, pelo menos por ora. Notar
tambm que esse proxy embarcado faz parte do pacote system e no requer o pacote webproxy.
364

mdbrasil - todos direitos reservados

Walled Garden

importante salientar que o Walled Garden no se destina somente a servio WEB,


mas qualquer servio que queiramos configurar. Para tanto existem 2 menus distintos
que esto acima, sendo que o da esquerda destina-se somente para HTTP e HTTPS e o
da direita para outros servios e protocolos.
No terminal o acesso ao primeiro por /ip hotspot walled-garden e ao segundo /ip
hotspot walled-garden ip
365

mdbrasil - todos direitos reservados

Walled Garden p/ HTTP e HTTPS


Action: allow ou deny permite ou nega
Server: Hotspot ou Hostpots para o qual vale esse
Walled Garden
Src Address: Endereo IP do usurio requisitante.
Dst Address: Endereo IP do Web Server
Method: mtodo de http
Dst Host: nome de domnio do servidor de destino.
Dst Port: porta de destino que o cliente manda a
solicitao.
Path: caminho da requisio.
OBS:
- nos nomes de dominio necessrio o nome completo,
podendo ser usados coringas
- aceita-se expresses regulares devendo ser iniciadas
com (:)
366

mdbrasil - todos direitos reservados

Walled Garden p/ outros protocolos

Action: aceita, descarta ou rejeita o pacote


Server: Hotspot ou Hostpots para o qual vale esse
Walled Garden
Src Address: Endereo IP de origem do usurio
requisitante.
Protocol: Protocolo a ser escolhido da lista
Dst Port: Porta TCP ou UDP que est sendo
requisitadao
Dst Host: Nome de domnio do WEB server

367

mdbrasil - todos direitos reservados

Hotspot - Cookies

Quando configurado o login por Cookies, estes ficam armazenados no Hotspot,


com o nome do usurio, MAC e o tempo de validade.
Enquanto estiverem vlidos o usurio no precisa passar o par usurio/senha
Podem ser deletados (-) forando assim o usurio fazer nova autenticao

368

mdbrasil - todos direitos reservados

Personalizando o Hotspot
Pginas do Hotspot
As pginas do Hotspot so totalmente configurveis e alm disso possvel criar conjuntos
totalmente diferentes das pginas do Hotspot para vrios perfis de usrios especificando
diferentes diretrios html raiz ) /ip hotspot profile html-directory.
Principais pginas que so mostradas aos usurios:
redirect.html redireciona o usurio a uma pgina especfica
login.html Pgina de login que pede ao usurio o login e senha. Esta pgina tem os
seguintes parametros:
username / password
dst URL original que o usurio solicitou antes do redirecionamento (ser
aberta aps o login com sucesso)
popup se ser aberto uma janela de pop-up quando o usurio se logar com
sucesso.

369

mdbrasil - todos direitos reservados

Personalizando o Hotspot
Pginas do Hotspot
As pginas do Hotspot so totalmente configurveis e podem ser
editadas em qualquer editor html, sendo depois atualizadas no
mikrotik.
possvel criar conjuntos totalmente diferentes de pginas do
Hotspot para vrios perfis de usrios especificando diferentes
diretrios html raiz ) /ip hotspot profile html-directory.

Essa possibilidade, associada a criao de APs virtuais possibilita


que em uma mesma rea pblica o detentor da infraestrutura
possa fornecer servio a vrios operadores, utilizando os mesmos
equipamentos.
370

mdbrasil - todos direitos reservados

Hotspot com https


Criar o certificado em uma mquina Unix com o Script:

#!/bin/sh
SERVER=hotspot.mikrotikbrasil.com.br
PRIVATE_KEY=$SERVER.key

CERTIFICATE_FILE=$SERVER
VALID_DAYS=1095
openssl genrsa -des3 -out $PRIVATE_KEY 1024

openssl req -new -x509 -days $VALID_DAYS -key $PRIVATE_KEY -out


$CERTIFICATE_FILE
Importar o Certificado em / certificate import

371

mdbrasil - todos direitos reservados

Dvidas ??

372

mdbrasil - todos direitos reservados

User Manager

373

mdbrasil - todos direitos reservados

User Manager
O que o User Manager ?
um sistema de gerenciamento de usurios que pode ser utilizado para controlar
Usurios de Hotspot
Usurios PPP (PPtP e PPPoE)
Usurios DHCP
Usurios Wireless em Geral
Usurios do sistema RouterOS em si

374

mdbrasil - todos direitos reservados

User Manager
Como implementar (2.9.x)

Fazer o download do pacote / FTP para o Router / Reboot


Criar o primeiro subscriber (somente no terminal)
[admin@MikrotikBrasil] tool user-manager customer> add login="admin"
password=1234" permissions=owner
Na V3 no necessrio criar usurio padro admin, senha em branco.
Logar via WEB com o usurio e senhas criados acima em:
http://IP_do_Router/userman

375

mdbrasil - todos direitos reservados

User Manager - Conceitos


Customers, Subscribers e Users

Customers so os provedores de servio. Eles tem acesso interface WEB para


manipular os usurios (users) crditos e roteadores.
Um Subscriber um Customer com permisses de dono
Os Subscribers tem conhecimento de tudo que acontece com seus sub-customers,
crditos, usurios, roteadores, sesses, etc. No entanto um subscriber no tem acesso
aos dados de outros subscribers.
Users so os pobres mortais que usam os servios oferecidos pelos Customers

376

mdbrasil - todos direitos reservados

User Manager Algumas caractersticas


Cada Subscriber pode criar vrios Customers, personalizando telas de login para os
usurios, permisses que os Customers tem, Modelos de Voucher, etc
Voucher o carto de login/senha que pode ser gerado em lote para o atendimento de
um Hotel, por exemplo
possvel implementar esquemas de criao de login pelo usurio com pagamento por
carto de crdito via PayPal ou Autorize.net
possvel configurar na mesma mquina o User Manager e o Hotspot, possibilitando
uma soluo nica para prestar servio em Hotel com uma mquina rodando Mikrotik
apenas.

377

mdbrasil - todos direitos reservados

Exemplo de implementao de User Manager com Hotspot


No Router:
/ ip hotspot profile set hsprof1 use-radius=yes
/ radius add service=hotspot address=x.x.x.x secret=123456
No User Manager:
/ tool user-manager router add subscriber=MikrotikBrasil ip-address=10.5.50.1 sharedsecret=123456
No caso, para usar somente uma mquina, basta apontar o mesmo IP x.x.x.x que ela ser
o Hotspot e ao mesmo tempo o User Manager

378

mdbrasil - todos direitos reservados

Exemplo de implementao de User Manager com Hotspot

379

mdbrasil - todos direitos reservados

Dvidas ??

380

mdbrasil - todos direitos reservados

Roteamento
Mikrotik RouterOS suporta dois tipos de roteamento:
Roteamento Esttico: As rotas criadas pelo usurio atravs de insero
de rotas pr definidas em funo da topologia da rede
Roteamento Dinmico: As rotas so geradas automticamente atravs de
algum agregado de endereamento IP ou por protocolos de roteamento
O Mikrotik suporta ECMP - Equal Cost Multipath Routing (Roteamento por
multicaminhos com mesmo Custo), que um mecanismo que permite rotear pacotes
atravs de vrios links e permite balanceamento de carga.
possvel ainda no Mikrotik se estabelecer Polticas de Roteamento (Policy Routing)
dando tratamento diferenciado a vrios tipos de fluxo a critrio do adminstrador.
381

mdbrasil - todos direitos reservados

Polticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer uma poltica de
roteamento:

As polticas podem ser por marca de pacotes, por classes de endereos Ip e portas.
A marca dos pacotes deve ser adicionada no Firewall, no mdulo Mangle com
routing-mark
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindo-os para
um determinado gateway.

possivel utilizar poltica de roteamento quando se utiliza mascaramento (NAT)


382

mdbrasil - todos direitos reservados

Polticas de Roteamento
Observaes Importantes:
Uma aplicao tpica de Polticas de Roteamento trabalhar com dois links
direcionando parte do trfego por um e parte por outro. Por exemplo a canalizao de
aplicaes peer-to-peer por um link menos nobre
impossvel porm reconhecer o trfego peer-to-peer do a partir do primeiro pacote,
mas to somente aps as conexes estabelecidas, o que impede o funcionamento dos
programas P2P em caso de NAT de origem.
A estratgia nesse caso colocar como gateway default o link menos nobre, marcar
o trfego conhecido e nobre ( HTTP, DNS, POP3, SMTP, etc) e desvia-lo para o link
nobre. Todas as outras aplicaes, incluido o P2P, iro para o link no nobre.
383

mdbrasil - todos direitos reservados

Exemplo de Poltica de Roteamento

Na situao normal queremos que a rede:

192.168.0.0/24, use o gateway GW_1,


192.168.1.0/24, use o gateway GW_2
No caso de falha aos pings do GW_1 ou
do GW_2, queremos automticamente
rotear para o GW_Backup.

384

mdbrasil - todos direitos reservados

Exemplo de Poltica de Roteamento


1. Marcar pacotes da rede 192.168.0.0/24 com new-routing-mark=net1, e pacotes da rede
192.168.1.0/24 com new-routing-mark=net2:
ip firewall mangle> add src-address=192.168.0.0/24 action=mark-routing new-routing-mark=net1
chain=prerouting
ip firewall mangle> add src-address=192.168.1.0/24 action=mark-routing new-routing-mark=net2
chain=prerouting
2. Rotear os pacotes da rede 192.168.0.0/24 para o gateway GW_1 (10.0.0.2), pacotes da rede
192.168.1.0/24 para o gateway GW_2 (10.0.0.3), usando as correspondentes marcas de pacotes.
Se GW_1 ou GW_2 falharem ( no responder a pings), rotear para GW_Backup (10.0.0.1):
ip route> add gateway=10.0.0.2 routing-mark=net1 check-gateway=ping
ip route> add gateway=10.0.0.3 routing-mark=net2 check-gateway=ping
ip route> add gateway=10.0.0.1

385

mdbrasil - todos direitos reservados

Exemplo de Poltica de Roteamento


Com Winbox:

386

mdbrasil - todos direitos reservados

Balanceamento
de Carga com
PCC
O recurso PCC (per connection classifier) est disponvel a partir da V3.24
387

mdbrasil - todos direitos reservados

Balanceamento
de Carga com
PCC
O recurso PCC (per connection classifier) est disponvel a partir da V3.24
388

mdbrasil - todos direitos reservados

Balanceamento
de Carga com
PCC
O recurso PCC (per connection classifier) est disponvel a partir da V3.24
389

mdbrasil - todos direitos reservados

Balanceamento de Carga com PCC


Exemplo para 3 Links
1.1.1.1

1.1.1.2
2.2.2.2

192.168.0.0/24

3.3.3.2

2.2.2.1

Internet

3.3.3.1

390

mdbrasil - todos direitos reservados

Balanceamento com PCC


PCC = Per connection Classifier (Classificador por conexo). Com o PCC possvel
dividir o trfego em fluxos distintos, em funo de um critrio de classificao. Os
parametros de configurao so:
Classificador::

Denominador: Nmero de canais por onde sero divididos os fluxos

Contador. Determina o nmero do canal que ser utilizado.


391

mdbrasil - todos direitos reservados

Balanceamento com PCC


Exemplo para balanceamento de 3 links

392

mdbrasil - todos direitos reservados

Balanceamento com PCC


Exemplo para balanceamento de 3 links

393

mdbrasil - todos direitos reservados

Balanceamento com PCC


Exemplo para balanceamento de 3 links

394

mdbrasil - todos direitos reservados

Marcao de rotas

395

mdbrasil - todos direitos reservados

Marcao de rotas

396

mdbrasil - todos direitos reservados

Marcao de rotas

397

mdbrasil - todos direitos reservados

Rotas

398

mdbrasil - todos direitos reservados

Nat

399

mdbrasil - todos direitos reservados

Nat

400

mdbrasil - todos direitos reservados

Nat

401

mdbrasil - todos direitos reservados

Roteamento Dinmico
O Mikrotik RouterOS suporta os seguintes protocolos de roteamento:
RIP verso 1 e RIP verso 2
OSPF verso 2
BGP verso 4
- Verses em desenvolvimento do Mikrotik do suporte a verses mais recentes
desses protocolos, mas ainda em fase beta.
- O uso de roteamento dinamico permite implementar redundncia e balanceamento de
carga de forma automtica e uma forma de se fazer uma rede semelhante s redes
conhecidas como Mesh, porm de forma esttica.
402

mdbrasil - todos direitos reservados

Roteamento BGP
O protocolo BGP (Border Gateway Protocol) destinado a fazer comunicao entre
Autonomous Systems diferentes, podendo ser considerado como o corao da
Internet.
O BGP mantm uma tabela de prefixos de rotas contendo as informaes de
encontrabilidade de redes (NLRI Network Layer Reachbility Information) entre os
ASs.
A verso corrente do BGP a verso 4, especificada na RFC 1771.
403

mdbrasil - todos direitos reservados

OSPF
O protocolo Open Shortest Path First (Abra primeiro o caminho mais curto) um
protocolo do tipo link-state. Ele usa o algortimo de Dijkstra para calcular o caminho
mais curto para todos os destinos.
O OSPF distribui informaes de roteamento entre os roteadores que participem de um
mesmo AS ( Autonomous System) e que tenham obviamente o protocolo OSPF
habillitado.
Para que isso acontea todos os roteadores tem de ser configurados de uma maneira
coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocolo
OSPF.

O protocolo OSPF iniciado depois que adicionado um registro na lista de redes. As


rotas so aprendidas e instaladas nas tabelas de roteamento dos roteadores.
artigo da Cisco sobre OSPF: http://www.cisco.com/warp/public/104/1.html#t3

404

mdbrasil - todos direitos reservados

Tipos de roteadores em OSPF


O OSPF define 3 tipos de roteadores:
Roteadores internos a uma rea
Roteadores de backbone (dentro da rea 0)
Roteadores de borda de rea (ABR)
Roteadores ABR ficam entre 2 reas e deve tocar a rea 0
Roteadores de borda com Autonomous System (ASBR)
So os roteadores que participam do OSPF mas fazem a comunicao com
um AS
405

mdbrasil - todos direitos reservados

OSPF
Settings

Router ID: IP do roteador. Caso no especificado o roteador utiliza o maior endereo IP que exista
na interface.
Redistribute Default Route: Especifica como deve ser distribuida a rota default
never: nunca distribui
if installed (as type 1): envia (com mtrica 1) se tiver sido instalada como rota
esttica ou adicionada por DHCP ou PPP
if installed (as type 2): envia (com mtrica 2) se tiver sido instalada como rota
esttica ou adicionada por DHCP ou PPP
always (as type 1): sempre, com mtrica 1
always (as type 2): sempre, com mtrica 2
406

mdbrasil - todos direitos reservados

OSPF Settings

Redistribute Connected Routes: Caso habilitado, o roteador ir redistribuir todas as rotas


relativas a redes que estejam diretamente conectadas a ele (sejam alcanveis)
Redistribute Static Routes: Caso habilitado, distribui as rotas estticas cadastradas em
/ip route

Redistribute RIP: Caso habilitado, redistribui as rotas aprendidas por RIP


Redistribute BGP: Caso habilitado, redistribui as rotas aprendidas por BGP

Na aba Metrics, possivel mudar o custo que sero exportadas as diversas rotas

407

mdbrasil - todos direitos reservados

reas de OSPF
O protocolo OSPF permite que vrios roteadores
sejam agrupados entre si. Cada grupo formado
chamado de rea e cada rea roda uma cpia do
algortimo bsico, e que cada rea tem sua prpria
base de dados do estado de seus roteadores.

A diviso em reas importante pois como a


estrutura de uma rea s visvel para os
participantes desta, o trfego sensivelmente
reduzido.
aconselhvel utilizar no mximo 60 a 80
roteadores em cada rea..
Acessa-se as opes de rea em / routing ospf
area
408

mdbrasil - todos direitos reservados

Rede OSPF

Define-se aqui a Rede OSPF, com os seguintes parametros:

- rea: rea do OSPF associada


- Network: Endereo IP/Mscara, associado. Permite definir uma
ou mais interfaces associadas a uma rea. Somente redes
conectadas diretamente podem ser adicionadas aqui.

409

mdbrasil - todos direitos reservados

OSPF

410

mdbrasil - todos direitos reservados

Dvidas ??

411

mdbrasil - todos direitos reservados

The Dude
O Cara

412

mdbrasil - todos direitos reservados

O que o DUDE
Como ferramenta de Monitoramento:

Fornece informaes acerca de quedas e restabelecimentos de


redes, servios, assim como uso de recursos de equipamentos.
Permite o mapeamento da rede com grficos da topologia da
rede e relacionamentos lgicos entre os dispositivos
Notificaes via audio/vdeo/email acerca de eventos
Grfico de servios mostrando, latencia, tempos de resposta de
DNS, utilizao de banda, informaes fsicas de links, etc.

Monitoramento de dispositivos no RouterOS com SNMP..

413

mdbrasil - todos direitos reservados

O que o DUDE
Como ferramenta de Gerenciamento:
Possibilidade de utilizar ferramentas para acesso direto a
dispositivos da rede a partir do diagrama da mesma.
Acesso direto a dispositivos Mikrotik RouterOS atravs do
Winbox
Armazenamento de histrico de eventos (logs) de toda a rede,
com momentos de queda, restabelecimentos, etc.
Possibilidade de utilizar SNMP tambm para a tomada a tomada
de decises (SNMP set)
(V. MUM Czech Republic 2009 Andrea Coppini)
414

mdbrasil - todos direitos reservados

Instalando o DUDE
Instalando no WIndows:
Fazer o download, clicar no executvel e responder sim para
todas perguntas
Instalando no Linux:
Instalar o Wine e a partir dai proceder como no Windows.
Instalando em uma Routerboard ou PC com Mikrotik
Baixar o pacote referente a arquitetura especfica, enviar para o
equipamento via ftp ou Winbox e bootar o mesmo

415

mdbrasil - todos direitos reservados

Instalao em Routerboards
O espao em disco consumido pelo DUDE considervel devido, entre
outras coisas, aos grficos e logs a serem armazenados. Assim, no caso de
instalao em Routerboards aconselhavel o uso daquelas que possuam
possibilidade de armazenamento adicional, como
RB 433UAH aceita HD externo via USB

RB 450G aceita micro SD


RB 600A aceita micro SD
RB 1000 aceita flash card
OBS: possivel instalar em equipamentos sem as capacidades acima,
porm podero ocorrer problemas de perda de dados e impossibilidade e
efetuar backup.

416

mdbrasil - todos direitos reservados

Comeando usar o DUDE


A instalao do DUDE em Windows ou Linux sempre instala o Cliente e o
Servidor e no primeiro uso ele sempre ir tentar usar o Servidor Local
(localhost).
Caso queira se conectar em outro DUDE (por exemplo instalado em outra
Routerboard) clique em
Para desabilitar o Servidor Local:

417

mdbrasil - todos direitos reservados

Comeando usar o DUDE


Auto Discovery
O auto discovery permite que o Servidor
DUDE localize os dispositivos de seu
segmento de rede, atravs de provas de
ping, arp, snmp, etc e por servios.
Outros segmentos de redes que tenham
Mikrotiks podem tambem ser mapeados
por seus vizinhos (neighbours)

Conselho amigo: Se vai usar o DUDE para fazer um bom controle de sua rede
esquea o auto discovery !
418

mdbrasil - todos direitos reservados

Comeando o desenho da Rede


Adicionando dispositivos
O Mikrotik tem um Wizard para a criao de
dispositivos. Informe o IP e, se for Mikrotik clique em
RouterOS

419

mdbrasil - todos direitos reservados

Comeando o desenho da Rede


Adicionando dispositivos
Em seguida descubra os servios que esto rodando nesse
equipamento.

Aproveite esse momento para refletir quanta coisa intil e insegura pode estar
rodando em sua rede Desabilite tudo que for desnecessrio.
420

mdbrasil - todos direitos reservados

Comeando o desenho da Rede


Adicionando dispositivos

O dispositivo est criado.


Clique no dispositivo criado para ajustar vrios parametros, mas principalmente:

Nome para exibio


Tipo do dispositivo

421421

mdbrasil - todos direitos reservados

Comeando o desenho da Rede


Adicionanddo dispositivos no pr definidos
O DUDE possui vrios dispositivos pr definidos mas podese criar novos dispositivos customizados para que o desenho
realmente reflita a realidade prtica.
Por razes de produtividade aconselhvel que todos os
dipositivos existentes na rede sejam criados com suas
propriedades especficas antes do desenho da rede, mas
nada impede que isso seja feito depois.

422422

mdbrasil - todos direitos reservados

Comeando o desenho da Rede


Adicionando dispositivos estticos
Quando a rede possui elementos no configurveis por IP
(switches L2 no gerenciveis por exemplo), necessrio
criar dispositivos estticos para fazer as ligaes.

Com isso pode-se completar o diagrama de rede de forma


mais realista e parecida com a rede real.
423423

mdbrasil - todos direitos reservados

Comeando o desenho da Rede


Criando os Links entre dispositivos
No mapa, clicar com o boto direito, selecionar Add Link e ligar os 2
dispositivos informando:
Mastering Type:
RouterOS: Se o dispositivo for Mikrotik, habilita a escolha da
Interface para mostrar velocidades e estado do link.

Informando a velocidade mxima


do link, ativa a sinalizao do
estado do mesmo.

SNMP: para outros dispositivos que tenham suporte a snmp.

Simple: somente traa a linha mas no mostra informaes.


424424

mdbrasil - todos direitos reservados

Notificaes
Criando novos tipos de notificao
Duplo clique no dispositvo / clique no
servio e na guia notificao informar o
tipo de notificao.

425425

mdbrasil - todos direitos reservados

Notificaesao contrario
teis quando se quer monitorar servios que
no devem estar ativos

426426

mdbrasil - todos direitos reservados

Grficos de uso / performance, etc

427427

mdbrasil - todos direitos reservados

Salvando as configuraes
As configuraes so salvas automaticamente na medida em que so feitas.
Para ter um backup externo, use o export que ser gerado um XML com todas as

configuraes que por sua vez podem ser importadas em outro DUDE.

Import
Export

428428

mdbrasil - todos direitos reservados

Dvidas ??

429

mdbrasil - todos direitos reservados

WEB - Proxy

430

mdbrasil - todos direitos reservados

WEB - Proxy
O Web Proxy possibilita o armazenamento de objetos Internet (dados disponveis
via protocolos HTTP e FTP) em um sistema local.

Navegadores Internet usando web-proxy podem acelerar o acesso e reduzir o


consumo de banda.
Quando configurar o Web proxy, certifique-se que apenas os clientes da rede
local utilizaro o mesmo, pois uma configurao aberta permitir o acesso
externo, trazendo problemas graves de segurana.
Com o Web Proxy possvel criar filtros de acesso a contedo indesejvel,
tornando a navegao mais segura aos clientes.
Um web proxy em execuo, mesmo sem cache, pode ser til como um firewall
HTTP e FTP (negar acesso a determinados tipos de arquivo, como por exemplo
MP3) ou ainda para redirecionar os pedidos de proxy externos.
431

mdbrasil - todos direitos reservados

WEB - Proxy

O MikroTik RouterOS implementa um web-proxy com as seguintes caractersticas:

HTTP proxy
Transparent proxy. Onde transparente e HTPP ao mesmo tempo
Lista de Acesso por origem, destino, URL e mtodos de requisio
Lista de Acesso Cache (especifica os objetos que podero ou no ser
cacheados)
Lista de Acesso Direto (especifica quais recursos devero ser acessados
diretamente - atravs de outro web-proxy)
Sistema de Logging

432

mdbrasil - todos direitos reservados

WEB - Proxy
Web-Proxy configurado para 10 GiB de cache, escutando na porta 8080:
Clear Cache Serve para esvaziar o cache
armazenado (dependendo do tamaho do cache
esta opo poder ser bastante lenta).
Enable Utilizado para habilitar ou desabilitar o
web-proxy.
Src.Address - poder ficar em branco. Em caso
de uma hierarquia de proxy, este ser o endereo
IP utilizado pelo protocolo ICP. O src.address
quando deixado em branco (0.0.0.0/0) ser
automaticamente configurado pela tabela de
roteamento.

433

mdbrasil - todos direitos reservados

WEB - Proxy
Port - A porta onde o web-proxy escutar.
Parent Proxy - Utilizado para indicar o IP de um servidor proxy pai numa hierarquia de
proxy.
Parent Proxy Port - A porta que o parent proxy escuta.
Cache Administrator - Um nome ou endereo de e-mail para exibio no caso de avisos
emitidos aos clientes.

Max. Cache Size - Tamanho mximo em kiBytes que o cache atingir.


Cache on Disk - Habilita o proxy a armazenar o cache em disco. Caso fique desabilitado
o armazenamento ser na RAM (Random Access Memory).
434

mdbrasil - todos direitos reservados

WEB - Proxy
Max Client Connections - nmero mximo de conexes simultneas de clientes permitidas
no proxy. Aps antigido o limite configurado todas as novas conexes sero rejeitadas.

Max Server Connections - nmero mximo de conexes simultneas do proxy para


servidores externos. Todas as novas conexes sero colocadas em espera at que
algumas das conexes ativas sejam encerradas.
Max Fresh Time: um limite mximo de quanto tempo objetos sem um termo explcito de
validade sero consideradas atuais (depois de quanto o tempo o proxy dever realizar uma
nova consulta e atualizar os objetos).
Serialize Connections: No habilitar mltiplas conexes ao servidor para mltiplas
conexes do cliente, quando possvel (servidor suportar conexes HTTP persistentes). Os
clientes sero atendidos em princpio pelo mtodo FIFO; o prximo cliente processado
quando a transferncia para a sesso anterior for concluda. Se um cliente est inativo por
algum tempo (no mximo 5 segundos, por padro), o servidor ir interromper a conexo e
abrir outra.
435

mdbrasil - todos direitos reservados

WEB - Proxy
Always From Cache - ignorar pedidos de atualizao dos clientes, caso o contedo seja
considerado atual.

Cache Hit DSCP (TOS) - Marca automaticamente hits do cache com o valor DSCP
configurado.
Cache Drive - exibe o disco que est em uso para o armazenamento dos objetos em
cache. Para configurar o disco necessrio acessar o menu Stores.

OBSERVAO:
O web proxy escuta todos os endereos IP que esto configurados no servidor.

436

mdbrasil - todos direitos reservados

WEB - Proxy

Stores
Submenu:/stores
Com esta opo podemos gerenciar a mdia
onde ser armazenado os objetos do cache.
Possvel adicionar mais de 1 disco.

Copiar o contedo de um disco para outro.


Realizar checagen do disco para
verificao de bad blocks.
Realizar formatao do disco, desde que
no seja onde o sistema est instalado.

437

mdbrasil - todos direitos reservados

WEB - Proxy

Monitorando o Web-Proxy

Uptime - o tempo transcorrido desde que o


proxy foi ativado.
Requests - total de requisies dos clientes ao
proxy.

Hits - nmero de requisies dos clientes


atendidas diretamente do cache, pelo proxy.
Cache Used a quantidade do disco (ou da RAM se o cache armazenado apenas na
mesma) utilizada pelo cache.
RAM Cache Used quantidade da RAM utilizada pelo cache.
Total RAM Used - a quantidade da RAM utilizada pelo proxy (excluindo tamanho da RAM
Cache).
438

mdbrasil - todos direitos reservados

Monitorando o Web-Proxy

WEB - Proxy

Received From Servers - quantidade de dados, em kiBytes,


recebidos de servidores externos
Sent To Clients - quantidade de dados, em kiBytes, enviado
aos clientes.
Hits Sent To Clients - quantidade, em kiBytes, de cache hits
enviado aos clientes.
Barra de Status Exibe informaes do estado do web proxy
stopped - proxy est desabilitado e inativo

running - proxy est habilitado e ativo


formatting-disk - o disco do cache est sendo formatado
checking-disk - checando o disco que contm o cache para corrigir erros e inconsistncias
do mesmo.
invalid-address - proxy est habilitado, mas no est ativo, porque o endereo IP invlido
439
(dever ser alterado o endereo IP ou porta)

mdbrasil - todos direitos reservados

Monitorando o Web-Proxy
Lista de Conexes

WEB - Proxy

Submenu: /ip proxy connections


Descrio
Este menu contem uma lista das conexes ativas do proxy

Descrio das Propriedades


dst-address endereo IP que os dados passaram atravs do proxy
protocol - nome do protocolo
rx-bytes - quantidade de bytes recebidos remotamente
src-address - endereo IP das conexes remotas

440

mdbrasil - todos direitos reservados

Monitorando o Web-Proxy
Lista de Conexes

WEB - Proxy

State

idle - esperando prximo cliente


resolving - resolvendo nome DNS
rx-body - recebendo quadro HTTP

rx-header - recebendo cabealho; ou esperando prxima requisio do cliente


tx-body - transmitindo quadro HTTP
tx-header - transmitindo cabealho HTTP
tx-bytes - quantidade de bytes enviados remotamente

441

mdbrasil - todos direitos reservados

Access List

WEB - Proxy

Submenu: /ip proxy access


A Lista de Acesso configurada da mesma
forma que as regras de firewall. As regras
so processadas de cima para baixo. O
primeiro matching da regra especifica a
tomada de deciso para a conexo. Existe
um total de 6 classificadores para
especificar a regra.
Descrio das propriedades
src-address - endereo IP de origem do
pacote.
dst-address - endereo de destino do
pacote.
dst-port (port{1,10}) - uma porta ou uma
lista de portas para onde o pacote
destinado.

442

mdbrasil - todos direitos reservados

Access List

WEB - Proxy

local-port (port) - especifica a porta do web-proxy que recebe os pacotes. Este valor deve
corresponder a porta que o web-proxy est escutando.
dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)

path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma pgina
web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
action (allow | deny; default: allow) - especifica a ao de negar ou liberar os pacotes que
atravessam o web-proxy.

443

mdbrasil - todos direitos reservados

Access List

WEB - Proxy

Nota

Por padro, aconselhvel configurar uma regra para prevenir requisies nas portas
443 e 563 (conexes atravs de SSL e NEWS).
As opes dst-host e path, corresponde a uma string completa (ex.: no existir um
matching para "example.com" se for configurado apenas "example").
O uso de curingas tambm possvel: '*' (combina um nmero qualquer de caracteres)
e '? '(combina um caractere qualquer).
Expresses regulares tambm so permitidas, e devero iniciar por 2 pontos (':') como
no exemplo:
/ip proxy access add dst-host=":\\.mp\[3g\]$" action=deny

444

mdbrasil - todos direitos reservados

WEB - Proxy
Lista de Gerenciamento do Cache

Submenu: /ip proxy cache


A Lista de Gerenciamento do Cache
especifica como as requisies (domnios,
servidores, pginas) sero cacheadas ou
no pelo servidor web-proxy. Esta lista lista
implementada da mesma forma que a
Lista de Acesso. A ao padro cachear
os objetos se no existir nenhuma regra.
Descrio das propriedades
src-address (IP address/netmask) - IP de origem do pacote.
dst-address (IP address/netmask) - IP de destino do pacote.
dst-port (port{1,10}) - uma lista de portas que o pacote destinado.
local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor
dever corresponder a porta que o web-proxy est escutando.
445

mdbrasil - todos direitos reservados

Lista de Gerenciamento do Cache

WEB - Proxy

dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)

path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma
pgina web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
action (allow | deny; default: allow) especifica a ao a ser tomada quando um
matching ocorrer.
allow - cacheia o objeto de acordo com a regra.
deny no cacheia o objeto de acordo com a regra.

446

mdbrasil - todos direitos reservados

Lista de Acesso Direto

WEB - Proxy

Submenu: /ip proxy direct


Descrio
Quando um Parent Proxy est configurado,
possvel passar a conexo ao mesmo ou tentar
transmitir a requisio diretamente ao servidor de
destino. A lista de Acesso Direto configurada da
mesma forma que a Lista de Acesso, com
exceo do argumento da ao.
Descrio das propriedades
src-address (IP address/netmask) - IP de origem do pacote.
dst-address (IP address/netmask) - IP de destino do pacote.
dst-port (port{1,10}) - uma lista de portas que o pacote destinado.
local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor
dever corresponder a porta que o web-proxy est escutando.
447

mdbrasil - todos direitos reservados

Lista de Acesso Direto

WEB - Proxy

dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma
pgina web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
Nota
action (allow | deny; default: allow) especifica a ao a ser tomada quando um
matching ocorrer.
Diferentemente da Lista de Acesso, a Lista de Acesso Direto tem a ao padro deny.
Esta ao ocorre quando no so especificadas regras nas requisies.
448

mdbrasil - todos direitos reservados

Regra de firewall para redirecionar ao web-proxy local.

WEB - Proxy

1 Utiliza-se a opo firewall nat e insere uma


nova regra para protocolo TCP e porta de
destino 80;

2 Na guia Advanced, insira uma lista de


endereos IP, os quais no sero redirecionados
ao web-proxy;
3 Na guia Action, ser a configurada a ao de
redirect para a porta 8080, onde o web-proxy
est escutando.
449

mdbrasil - todos direitos reservados

Regra de firewall para redirecionar para um web-proxy externo.

WEB - Proxy

1 Utiliza-se a opo firewall nat e insere uma


nova regra para protocolo TCP e porta de
destino 80;

2 Na guia Advanced, insira uma lista de


endereos IP, os quais no sero redirecionados
ao web-proxy;
3 Na guia Action, ser a configurada a ao de
dst-nat para o IP e a porta onde o web-proxy
externo est escutando.
450

mdbrasil - todos direitos reservados

WEB - Proxy
Lista de endereos IP, os quais no faro parte das regras de redirect ou dst-nat.
Submenu: /ip firewall adress-list

451

mdbrasil - todos direitos reservados

WEB - Proxy
Filtro de firewall para proteger o acesso ao web-proxy
Submenu: /ip firewall filter
/ip firewall filter
add action=drop chain=input comment="" disabled=no dst-port=8080 in-interface=WAN
protocol=tcp

452

mdbrasil - todos direitos reservados

Mtodos HTTP
Descrio

WEB - Proxy

OPTIONS
Este mtodo uma requisio de informaes sobre as opes da comunicao
disponvel entre o cliente e o servidor (web-proxy) identificadas por Request URI (Uniform
Resource Identifier, um termo genrico para todos os tipos de nomes e endereos aos
quais referem-se os objetos da WEB. A URL um tipo de URI). Este mtodo permite que o
cliente determine as opes e (ou) as requisies associadas a um recurso sem iniciar
qualquer recuperao da comunicao.

GET
Este mtodo recupera qualquer informao identificada pelo Request-URI. Se o
Request-URI refere-se a um processo de tratamento de dados a resposta ao mtodo GET
dever conter os dados produzidos pelo processo, e no o cdigo fonte do processo ou
procedimento(s), a menos que o cdigo fonte seja o resultado do processo.
O mtodo GET pode tornar-se um GET condicional se o pedido inclui uma
mensagem If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match ou If-Range no
cabealho do pacote. O mtodo GET condicional utilizado para reduzir o trfego de rede
com a especificao de que a transferncia da conexo dever ocorrer apenas nas
circunstncias descritas pela(s) condio(es) do cabealho do pacote.
453

mdbrasil - todos direitos reservados

Mtodos HTTP
Descrio

WEB - Proxy

O mtodo GET pode tornar-se um GET parcial se o pedido inclui uma mensagem
Range no cabealho do pacote. O mtodo GET parcial destinado a reduzir o uso
desnecessrio de rede, solicitando apenas partes dos objetos sem transferncia dos dados j
realizada pelo cliente. A resposta a uma solicitao GET pode ser cacheada somente se ela
preencher os requisitos para cache HTTP.
HEAD
Este mtodo compartilha todas as caractersticas do mtodo GET exceto pelo fato
de que o servidor no deve retornar uma message-body na resposta. Este mtodo recupera
a meta informao do objeto intrnseco requisio, que conduz a uma ampla utilizao da
mesma para testar links de hipertexto, acessibilidade e modificaes recentes.
As respostas a uma requisio HEAD podem ser cacheadas da mesma forma
que as informaes contidas nas respostas podem ser utilizadas para atualizar o cache
previamente identificados pelo objeto.

454

mdbrasil - todos direitos reservados

Mtodos HTTP
Descrio

WEB - Proxy

POST
Esse mtodo solicita que o servidor de origem aceite uma requisio do objeto,
subordinado a um novo recurso identificado pelo Request-URI. A verdadeira ao realizada
pelo mtodo POST determinada pelo servidor de origem e normalmente dependente da
Request-URI. Respostas ao mtodo POST no so cacheadas, a menos que a resposta
inclua Cache-Control ou Expires no cabealho do pacote.
PUT
Esse mtodo solicita que o servidor de destino fornea uma Request-URI. Se
existe outro objeto sob a RequestURI especificada, o objeto deve ser considerado como
atualizado sobre a verso residente no servidor de origem. Se a Request-URI no est
apontando para um recurso existente, o servidor origem devem criar um recurso com a URI.
Se a requisio passa atravs de um cache e as Request-URI identificam um ou
mais objetos no cache, essas inscries devem ser tratadas como atualizveis (antigas).
Respostas a este mtodo no so cacheadas.
455

mdbrasil - todos direitos reservados

Mtodos HTTP
Descrio

WEB - Proxy

TRACE
Este mtodo invoca remotamente um loop-back na camada de aplicao da mensagem de
requisio. O destinatrio final da requisio dever responder a mensagem recebida para
o cliente uma resposta 200 (OK) no corpo da mesma. O destinatrio final no a origem
nem o primeiro servidor proxy a receber um MAX-FORWARD de valor 0 na requisio.
Uma requisio TRACE no inclui um objeto. As respostas a este mtodo no devem ser
cacheadas.

456

mdbrasil - todos direitos reservados

Dvidas ??

457

mdbrasil - todos direitos reservados

Laboratrio Final

Abram um terminal
system reset-configuration

458

mdbrasil - todos direitos reservados

Obrigado !
Edson Xavier Veloso Jr.

Srgio Souza

Wardner Maia

edson@mikrotikbrasil.com.br

sergio@mikrotikbrasil.com.br

maia@mikrotikbrasil.com.br

459

mdbrasil - todos direitos reservados

ANEXOS

460

mdbrasil - todos direitos reservados

Balanceamento
de Carga
melhorado
com Mikrotik
Ateno Os prximos 32 slides so referentes configuraao
de balanceamento com o antigo mtodo de NTH para a V3

(mtodo substitudo pelo PCC)

461

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Conforme pudemos ver at agora existem diversos mtodos para se fazer
balanceamento de carga, cada um com suas particularidades.
Um dos problemas que ocorre quando queremos balancear o trfego utilizando duas
ou mais operadoras diferentes com relao ao funcionamento de diversos servios
dependentes da manuteno conexo, como por exemplo https, servios de
mensagens e outros.
O Mikrotik apresenta um atributo no Mangle que auxilia na marcao de pacotes que
o NTH (n-simo). O NTH tem o objetivo de encontrar a n-simo pacote recebido por
uma regra. Seu uso definido pelos parametros:

nth ( every, packet )


462

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Nth ( every, packet )
So dois nmeros inteiros que significam :
every: encontra cada pacote de nmero every. Exemplo, se every = 1, a regra
encontrar o primeiro pacote.

packet: a regra encontra o pacote com esse nmero. Obviamente esse nmero
dever estar entre 1 e every.
Obs: No exemplo a seguir, necessrio a opo Passthrough=YES
463

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo, para balancear 3 links:
nth = 3,1 3,2 3,3
- o primeiro pacote encontra a regra 3,1 (por causa do 1).
- o segundo pacote encontra a regra 3,2 (por causa do 2)
- o terceiro encontra a regra 3,3 (por causa do 3)
- a cada every+1 o contador zerado, iniciando o processo novamente.
464

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Para balancear 2 links:
nth = 2,1

2,2

Para balancear 4 links:


nth = 4,1 4,2 4,3 4,4
Para balancear 7 links:
nth = 7,1 7,2 7,3 7,4 7,5 7,6 7,7
Para balancear n links:
nth = n,n-1 n,n-2 n,n-3 n,n-4 n,n-5 n,n-6 n,n-7
465

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
200.200.200.2

200.200.200.1

192.168.0.0/24

Internet
200.200.100.2

200.200.100.1

/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2
add address=200.200.100.2/30 network=200.200.100.0/30 broadcast=200.200.100.3 interface=wan1
466

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
1 marca-se a conexo no
canal prerouting, pela
interface Local e estado da
conexo new
2 Marca-se a conexo com
a etiqueta primeira e manda
passar adiante
3 Na aba Extra marca-se
o atributo NTH
467

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links continuao:
4 no canal prerouting, na Interface
Local, escolhe-se agora as conexes
que tem a marca primeira
5 Toma-se a ao mark routing
dando-se o nome de primeira_rota.
Isso significa que todos os pacotes
pertencentes conexo primeira
sero rotulados com a marca de
roteamento primeira_rota e marcar
a opo passtrhough.

468

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
continuao.
6 Faz-se o mesmo para a
conexo seguinte, utilizando
agora o atributo NTH = 2,2 e
a marca de conexo
segunda

469

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
continuao:
7 Finalizando a etapa de
marcao, faz-se o mesmo
procedimento de marcar os
pacotes pertencentes conexo
segunda colocando-se a marca
de rota segunda_rota

470

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
continuao:
10 necessrio agora fazer
as regras de NAT de forma que
as conexes marcadas como
primeira sejam nateadas pelo IP
da WAN1

471

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
continuao:
11 Da mesma forma, as
conexes marcadas como
segunda devem ser nateadas
pelo endereo IP da WAN2

472

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links continuao:
12 Cria-se ento as rotas default
apontando para o primeiro e segundo link,
dependendo da marcao recebida
previamente.
13 Finalmente cria-se uma rota default
apontando para qualquer um dos links, com
a finalidade de mandar os pacotes no
marcados, no caso o trfego do prprio
roteador.

473

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio
Nesse caso, nosso objetivo fazer o balanceamento entre 2 links, mas forando que as
conexes dos mesmos usurios saiam sempre pelo mesmo link.
Fazemos isso, utilizando a tcnica do NTH combinada com as Address Lists do
Firewall.
1 Adicionamos duas Address Lists no Firewall

474

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

2 Fazemos agora com que todas as conexes novas oriundas dos


usurios contidos na Lista_1 sejam marcadas com a marca primeira e
em seguida fazemos com que os pacotes dessa conexes recebam a
marca de rota primeira_rota

475

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

Regra 1

476

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

Regra 2

477

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

3 O mesmo fazemos agora para as conexes novas oriundas dos


usurios contidos na Lista_2.
Marcamos as conexes com a marca segunda e em seguida fazemos
com que os pacotes dessa conexes recebam a marca de rota
segunda_rota

478

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

Regra 3

479

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

Regra 4

480

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Fazemos agora as
marcaes, desta vz
utilizando o NTH.
Nestas regras iro passar
todos os clientes que no
estiverem j inscritos em
listas.

Regra 5
481

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Agora, os usurios que foram
marcados com uma marca de
conexo especfica, so inscritos
em uma lista.
No caso, primeira Lista_1
Regra 6

482

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH

Ainda na marca de conexo


primeira, marca-se a rota
primeira_rota
Regra 7

483

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH

Repetimos tudo de novo


utilizando no entanto o NTH =
2,2
Regra 8

484

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH

Adiciona-se agora os usurios na


Lista_2
Regra 9

485

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH

Regra 10

486

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Regra 11
Faz-se normalmente as regras
de NAT de forma que as
conexes marcadas como
primeira sejam nateadas pelo IP
da WAN1

487

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Regra 12
O mesmo para as conexes
marcadas como segunda, que
devem ser nateadas pelo
endereo IP da WAN2

488

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links continuao:
13 Cria-se ento as rotas default
apontando para o primeiro e segundo
link, dependendo da marcao
recebida previamente.
14 Finalmente cria-se uma rota
default apontando para qualquer um
dos links, com a finalidade de mandar
os pacotes no marcados.
489

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, utilizando


links de velocidades diferentes
Quando temos vrios links de velocidades diferentes e queremos balancea-los de forma
ponderada podemos faze-lo utilizando a seguinte lgica:
Somamos os valores das velocidades de todos os links.
Dividimos o valor encontrado pela velocidade do menor link
O valor encontrado menos 1 ser o valor de every.
O valor de packet ir variar de zero at esse valor encontrado menos 1
490

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, utilizando


links de velocidades diferentes
Exemplo: temos 4 links de velocidades de 512, 1024, 1024 e 2048 kbps e queremos balancealos:
Total da Banda = 512 + 1024 + 1024 + 2048 = 4608
Equivalencia de link = 4608/512 = 9 ( como se tivssemos 9 links de 512kbps)
Escolhemos os seguintes valores de NTH: 9,1 9,2 9,3 9,4 9,5 9,6 9,7 9,8 9,9
Seguindo a mesma lgica do que foi feito para dois links, no mangle, marcamos as conexes e
rotas de 1 a 8.
Promovemos ento o balanceamento direcionando 1 conexo para o link1, 2 para o link2, 2 para
o link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexes.
491

mdbrasil - todos direitos reservados

Dvidas ??

492

mdbrasil - todos direitos reservados

Balanceamento
de Carga
melhorado
com Mikrotik
Ateno Os prximos 32 slides so referentes configuraao
de balanceamento com o antigo mtodo de NTH para a V2.9

(mtodo modificado pela V3, e depois substituido pelo PCC a partir da 3.24)

493

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Conforme pudemos ver at agora existem diversos mtodos para se fazer
balanceamento de carga, cada um com suas particularidades.
Um dos problemas que ocorre quando queremos balancear o trfego utilizando duas
ou mais operadoras diferentes com relao ao funcionamento de diversos servios
dependentes da manuteno conexo, como por exemplo https, servios de
mensagens e outros.
O Mikrotik apresenta um atributo no Mangle que auxilia na marcao de pacotes que
o NTH (n-simo). O NTH tem o objetivo de encontrar a n-simo pacote recebido por
uma regra. Seu uso definido pelos parametros:

nth ( every, counter, packet )


494

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Nth ( every, counter, packet )
So trs nmeros inteiros que significam :
every: encontra cada pacote de nmero every+1. Exemplo, se every = 1, a regra
encontrar o segundo pacote.

counter: especifica qual contador utilizar. um nmero aleatrio que deve ser
escolhido de 0 a 15, devendo ser o mesmo para um grupo que se queira balancear.
packet: a regra encontra o pacote com esse nmero. Obviamente esse nmero
dever estar entre 0 e every.
495

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo, para balancear 3 links:
nth = 2,3,0 2,3,1 2,3,2
- o primeiro pacote encontra a regra 2,3,0 (por causa do 0).
- o segundo pacote encontra a regra 2,3,1 (por causa do 1)
- o terceiro encontra a regra 2,3,2 (por causa do 2)
- a cada every+1 o contador zerado, iniciando o processo novamente.
496

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Para balancear 2 links:
nth = 1,2,0

1,2,1

Para balancear 4 links:


nth = 3,3,0 3,3,1 3,3,2 3,3,3
Para balancear 7 links:
nth = 6,15,0 6,15,1 6,15,2 6,15,3 6,15,4 6,15,5 6,15,6

497

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Para balancear 2 links:
nth = 1,2,0

1,2,1

Para balancear 4 links:


nth = 3,3,0 3,3,1 3,3,2 3,3,3
Para balancear 7 links:
nth = 6,15,0 6,15,1 6,15,2 6,15,3 6,15,4 6,15,5 6,15,6

498

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
200.200.200.2

200.200.200.1

192.168.0.0/24

Internet
200.200.100.2

200.200.100.1

/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2
add address=200.200.100.2/30 network=200.200.100.0/30 broadcast=200.200.100.3 interface=wan1
499

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
1 marca-se a conexo no
canal prerouting, pela
interface Local e estado da
conexo new
2 Marca-se a conexo com
a etiqueta primeira e manda
passar adiante
3 Na aba Extra marca-se
o atributo NTH
500

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links continuao:
4 no canal prerouting, na Interface
Local, escolhe-se agora as conexes
que tem a marca primeira
5 Toma-se a ao mark routing
dando-se o nome de primeira_rota.
Isso significa que todos os pacotes
pertencentes conexo primeira
sero rotulados com a marca de
roteamento primeira_rota No se
usa passtrhough pois a ao j foi
tomada e esse pacote para de ser
examinado.
501

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
continuao.
6 Faz-se o mesmo para a
conexo seguinte, utilizando
agora o atributo NTH = 1,1,1
e a marca de conexo
segunda

502

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
continuao:
7 Finalizando a etapa de
marcao, faz-se o mesmo
procedimento de marcar os
pacotes pertencentes conexo
segunda colocando-se a marca
de rota segunda_rota

503

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
continuao:
10 necessrio agora fazer
as regras de NAT de forma que
as conexes marcadas como
primeira sejam nateadas pelo IP
da WAN1

504

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links
continuao:
11 Da mesma forma, as
conexes marcadas como
segunda devem ser nateadas
pelo endereo IP da WAN2

505

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links continuao:
12 Cria-se ento as rotas default
apontando para o primeiro e segundo link,
dependendo da marcao recebida
previamente.
13 Finalmente cria-se uma rota default
apontando para qualquer um dos links, com
a finalidade de mandar os pacotes no
marcados, no caso o trfego do prprio
roteador.

506

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio
Nesse caso, nosso objetivo fazer o balanceamento entre 2 links, mas forando que as
conexes dos mesmos usurios saiam sempre pelo mesmo link.
Fazemos isso, utilizando a tcnica do NTH combinada com as Address Lists do
Firewall.
1 Adicionamos duas Address Lists no Firewall

507

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

2 Fazemos agora com que todas as conexes novas oriundas dos


usurios contidos na Lista_1 sejam marcadas com a marca primeira e
em seguida fazemos com que os pacotes dessa conexes recebam a
marca de rota primeira_rota

508

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

Regra 1

509

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

Regra 2

510

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

3 O mesmo fazemos agora para as conexes novas oriundas dos


usurios contidos na Lista_2.
Marcamos as conexes com a marca segunda e em seguida fazemos
com que os pacotes dessa conexes recebam a marca de rota
segunda_rota

511

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

Regra 3

512

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, com


conexes persistentes por usurio

Regra 4

513

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Fazemos agora as
marcaes, desta vz
utilizando o NTH.
Nestas regras iro passar
todos os clientes que no
estiverem j inscritos em
listas.

Regra 5
514

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Agora, os usurios que foram
marcados com uma marca de
conexo especfica, so inscritos
em uma lista.
No caso, primeira Lista_1
Regra 6

515

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH

Ainda na marca de conexo


primeira, marca-se a rota
primeira_rota
Regra 7

516

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH

Repetimos tudo de novo


utilizando no entanto o NTH =
1,1,1
Regra 8

517

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH

Adiciona-se agora os usurios na


Lista_2
Regra 9

518

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH

Regra 10

519

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Regra 11
Faz-se normalmente as regras
de NAT de forma que as
conexes marcadas como
primeira sejam nateadas pelo IP
da WAN1

520

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Regra 12
O mesmo para as conexes
marcadas como segunda, que
devem ser nateadas pelo
endereo IP da WAN2

521

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH


Exemplo para 2 Links continuao:
13 Cria-se ento as rotas default
apontando para o primeiro e segundo
link, dependendo da marcao
recebida previamente.
14 Finalmente cria-se uma rota
default apontando para qualquer um
dos links, com a finalidade de mandar
os pacotes no marcados.
522

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, utilizando


links de velocidades diferentes
Quando temos vrios links de velocidades diferentes e queremos balancea-los de forma
ponderada podemos faze-lo utilizando a seguinte lgica:
Somamos os valores das velocidades de todos os links.
Dividimos o valor encontrado pela velocidade do menor link
O valor encontrado menos 1 ser o valor de every.
O valor de packet ir variar de zero at esse valor encontrado menos 1
523

mdbrasil - todos direitos reservados

Balanceamento de Carga com NTH, utilizando


links de velocidades diferentes
Exemplo: temos 4 links de velocidades de 512, 1024, 1024 e 2048 kbps e queremos balancealos:
Total da Banda = 512 + 1024 + 1024 + 2048 = 4608
Equivalencia de link = 4608/512 = 9 ( como se tivssemos 9 links de 512kbps)
Escolhemos os seguintes valores de NTH: 8,1,0 ; 8,1,1 ; 8,1,2 ; 8,1,3 ; 8,1,4 ; 8,1,5 ; 8,1,6 ; 8,1,7,
8,1,8
Seguindo a mesma lgica do que foi feito para dois links, no mangle, marcamos as conexes e
rotas de 1 a 8.

Promovemos ento o balanceamento direcionando 1 conexo para o link1, 2 para o link2, 2 para
o link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexes.
524

mdbrasil - todos direitos reservados

ANEXO
Scripting Host e Ferramentas
Complementares do
Mikrotik

525

mdbrasil - todos direitos reservados

Scripting Host
O Mikrotik possui uma poderosa linguagem interna de Scripts
com a qual diversas aes e tarefas de manuteno podem
ser executadas a partir da ocorrencia de eventos diversos.
Os scripts podem ser executados tanto pelo agendador de
tarefas como por outras ferramentas como o monitoramento
de trfego e o netwatch.
Os comandos de configurao so comandos padro do
RouterOS e as expresses so precedidas de : a
acessveis de todos os sub-menus.
526

mdbrasil - todos direitos reservados

Scripting Host - Variveis


O Mikrotik RouterOS suporta dois tipos de variveis globais (disponveis para todo o
sistema) e locais (acessvel somente ao contexto do script). Uma varivel pode ser
referenciada pelo smbolo de $, seguido pelo nome da varivel, com excesso dos
comandos set e unset que tomam o nome da varivel sem o $.
Os nomes das variveis podem ser compostos de letras, nmeros e do smbolo -. Toda
varivel deve ser obrigatoriamente declarada antes de ser utilzada nos scripts.
Existem 4 tipos de declaraes que podem ser feitas:
global variveis globais podem ser acessadas por todos os scritpts e logins de console
no mesmo roteador. Entretanto elas no so mantidas depois de reboots
local variveis declaradas como locais no so compartilhadas com outros scripts e seu
valor perdido sempre que o script finalizado.
527

mdbrasil - todos direitos reservados

Scripting Host - Variveis


As variveis tambm podem ser declaradas como:
variveis indexadoras de loop definidas dentro de uma declarao for e foreach,
essas variveis so utilizadas apenas para um bloco do de comandos e so removidas
quando o comando completado.
variveis de monitor alguns comandos monitor que tem uma parte do tambm podem
introduzir variveis.
Para obter uma lista de variveis disponveis use o comando :environment print

possvel atribuir um novo valor a uma varivel dentro do script usando o comando :set
seguido do nome da varivel sem o $ e o novo valor. Tambm pode-se eliminar uma
varivel com :unset. Nesse caso, se a varivel local, perdida e se global fica
mantida, porm inacessvel pelo script corrente.
528

mdbrasil - todos direitos reservados

Scripting Host - Variveis


[admin@Hotspot] > :global variavel-global "abcd"
[admin@Hotspot] > :local variavel-local "1234"

[admin@Hotspot] > :put $variavel-global


abcd
[admin@Hotspot] > :put $variavel-local
1234
[admin@Hotspot] > :environment print
Global Variables
variavel-global=abcd
Local Variables
variavel-local=1234
529

mdbrasil - todos direitos reservados

Scripting Host
Inserindo os Scripts

Os scripts ficam armazenados em /system script. As propriedades so as seguintes:


Name: nome que vai ser chamado o script
Policy: so as polticas de segurana aplicveis
Run Count; quantas vezes o script rodou. Valor voltil quando o roteador
reiniciado.
Owner: usurio criador do script
Last Time Started: Data e hora da ltima execuo do scritp
A Facilidade JOB utilizada para manipular tarefas ativas o que estejam
previamente agendadas em /system scheduler
530

mdbrasil - todos direitos reservados

Scripting Host
Exemplos
Faamos um script simples para monitorar o estado
de uma interface de rede ether1 a cada 10 segundos
e fazer com que seja mandado para o log qualquer
inatividade desta.
Script para monitorar:
:global estado-da-interface;
/interface ethernet monitor ether1 once do={:set
estado-da-interface $status};
:if ($status=no link) do={log message=O link
caiu!!!!};

531

mdbrasil - todos direitos reservados

Scripting Host
Exemplos
Em seguida colocamos no Agendador de Tarefas para que dispare o script
Monitora_Lan a cada 10 segundos. Equivalente na linha de comando:
/ system script
add name="Monitora_Lan" source="{:global estado-da-interface;/interface ethernet
monitor ether1 once do={:set estado-da-interface $status};:if\(\$status=no-link\) do={log
message=\"O link caiu!!!!\" }}"
/ system scheduler
add name="Monitora_Lan" on-event=Monitora_Lan start-date=jan/01/1970 starttime=00:00:00 interval=10s comment="" disabled=no

532

mdbrasil - todos direitos reservados

Para popular a tabela ARP

/ system script
add name=popula_ARP code={:foreach i in [/ip arp find dynamic=yes interface=wlan1]
do={ /ip arp add copy-from=$i }
/ system scheduler
add name=popula_ARP" on-event=Monitora_Lan start-date=jan/01/1970 starttime=00:00:00 interval=1d comment="" disabled=no

533

mdbrasil - todos direitos reservados

Scripting Host Comandos e valores de retorno


Alguns comandos so uteis quando os resultados de suas saidas podem ser utilizados
como argumentos em outros comandos. Os valores de retorno de comandos no entanto
no aparecem na tela do terminal e para serem obtidos devem ser colocados entre
colchetes[]. Aps a execuo o valor de retorno do comando ser o valor do contedo
desses colchetes. Esse procedimento chamado de substituio de comando.
Entre os comandos que produzem valores de retorno esto:
find: retorna uma referencia a um tem em particular
ping retorna o nmero de pings com sucesso,
time retorna o tempo,
inc e decr retornam o novo valor de uma varivel
add que retorna o nmero interno de um tem novo criado.

534

mdbrasil - todos direitos reservados

Scripting Host Comandos e valores de retorno


Exemplo de utilizao de find:

[admin@Hotspot] >
[admin@Hotspot] > /interface
[admin@Hotspot] interface> find type=ether
[admin@Hotspot] interface>
[admin@Hotspot] interface> :put [find type=ether]
*1
[admin@Hotspot] interface>
Exemplo de um comando servindo de argumento para outro:
[admin@Hotspot] interface> enable [find type=ether]
[admin@Hotspot] interface>
535

mdbrasil - todos direitos reservados

SCRIPTS - ANEXOS
Comandos e Operadores

536

mdbrasil - todos direitos reservados

Scripting Host Operadores


Na console do RouterOS podem ser feitos clculos simples com nmeros, endereos IPs,
Strings e listas. Para obter o resultado de uma expresso coloque os argumentos entre
parenteses
- menos unrio inverte o sinal de um dado valor.
- menos binrio subtrai dois nmeros, dois IPs ou um IP e um nmero
! NOT NO lgico. Operador unrio que inverte um dado valor booleano
/ diviso. Operador Binrio divide um nmero por outro (d um nmero como
resultado) ou divide um tempo por um nmero (d um tempo como resultado).
. concatenao. Operador Binrio concatena 2 strings ou anexa uma lista a outra, ou
ainda anexa um elemento uma lista.
^ operador XOR (OU exclusivo). Os argumentos e os resultados so endereos IP
~ inverso de bit. Operador unrio que inverte bits em um endereo IP
* multiplicao. Operador Binrio, que pode multiplicar dois nmeros ou um valor de
tempo por um nmero
537

mdbrasil - todos direitos reservados

Scripting Host Operadores


& bitwise AND (E). Os argumentos e resultados so endereos IP
&& AND (operador booleano E). Operador Binrio os argumentos e resultados so valores
lgicos.
+ mais binrio. Adiciona dois nmeros, dois valores de tempo um nmero e um endereo IP.
< menor. Operador Binrio que compara dois nmeros, dois valores de tempo ou dois IPs.
Retorna um valor booleano.
<< deslocamento esquerda. Operador Bindio que desloca um endereo IP com um dado
tamanho de bits. O primeiro argumento o IP e o segundo um inteiro. O resultado outro IP
<= menor ou igual. Operador Binrio que compara 2 nmeros ou 2 valores de tempo ou dois
IPs. O resultado um valor booleano.
> maior. Operador Binrio que compara 2 nmeros, ou 2 valores de tempo ou dois IPs,
retornando um valor booleano
>= maior ou igual. Operador Binrio que compara 2 nmeros, ou 2 valores de tempo ou dois
IPs, retornando um valor booleano
>> - deslocamento direita. Operador Bindio que desloca um endereo IP com um dado tamanho
de bits. O primeiro argumento o IP e o segundo um inteiro. O resultado outro IP
| - bitwise OR. Os argumentos e resultados so ambos endereos IP
|| - OR (operador booleano OU). Operador Binrio. Os argumentos e resultados so valores lgicos.
538

mdbrasil - todos direitos reservados

Exemplos:

Scripting Host Operadores

Ordem de operadores e de avaliao:


[admin@MikroTik] ip firewall rule forward> :put (10+1-6*2=11-12=2+(-3)=-1)
false
[admin@MikroTik] ip firewall rule forward> :put (10+1-6*2=11-12=(2+(-3)=-1))
true
[admin@MikroTik] ip firewall rule forward
NO lgico
[admin@MikroTik] interface> :put (!true)
false
[admin@MikroTik] interface> :put (!(2>3))
true
[admin@MikroTik] interface>
539

mdbrasil - todos direitos reservados

Exemplos:

Scripting Host Operadores

Inverso de bits
[admin@MikroTik] interface> :put (~255.255.0.0)
0.0.255.255
[admin@MikroTik] interface>

Soma
[admin@MikroTik] interface> :put (3ms + 5s)
00:00:05.003
[admin@MikroTik] interface> :put (10.0.0.15 + 0.0.10.0)
cannot add ip address to ip address
[admin@MikroTik] interface> :put (10.0.0.15 + 10)
10.0.0.25
[admin@MikroTik] interface>
540

mdbrasil - todos direitos reservados

Scripting Host Comandos


O RouterOS apresenta vrios comandos internos de console e expresses (ICE) que no
dependem de qual diretrio se esteja no men.

Esses comandos no mudam as configuraes diretamente, mas so teis para


automatizar vrios processos de manuteno.
A lista completa das ICE pode ser acessada digitando : e em seguida dois tabs
[admin@Hotspot] interface> :
beep
execute global local put toarray tonum while
delay
find if log resolve tobool tostr
do
for len nothing set toid totime
environment foreach list pick time toip typeof

541

mdbrasil - todos direitos reservados

Scripting Host Comandos


list lista todos comandos
resolve faz uma busca por um nome de domnio
execute roda um script em separado
local atribui um valor para uma varivel local
global declara e atribui um valor para uma varivel global
set Muda as propriedades do tem
put apresenta os argumentos na tela
while executa um comando enquanto uma condio verdadeira
if executta um comando se uma condio verdadeira
do executa um comando
time retorna o tempo que um comando levou para ser executado
for executa um comando para um range de valores inteiros
foreach executa um comando para cada um dos argumentos de uma lista
delay pausa a execuo por um determinado tempo

542

mdbrasil - todos direitos reservados

Scripting Host Comandos


typeof retorna o tipo do valor
len retorna o nmero de elementos no valor
tostr converte um argumento para uma string
tobool converte um argumento para verdadeiro
tonum converte um argumento para um valor inteiro
totime converte um argumento para um valor de intervalo de tempo
toip -- converte um argumento para um endereo IP
toarray converte um argumento para um valor de array
nothing no faz nada e no retorna nada comando extremamente til
pick retorna um range de caracteres de strings ou valores de arrays
find Localiza items pelo valor
log manda mensagem para os logs
beep produz um sinal audvel se for suportado hardware.
environment/ -- lista de todas as variveis
543

mdbrasil - todos direitos reservados

Scripting Host Comandos


Especiais
Monitor
possvel acessar valores que so mostrados pela maioria das aes
monitor, atravs dos Scripts. Um comando monitor que tem um
parametro do pode ser fornecido tanto pelo nome do script ( /system
scripts), ou pela execuo de comandos de console.

Get
A maior parte dos comandos print produzem valores que so acessveis a
partir dos scripts. Esses comandos print tem um correspondente comando
get no mesmo nvel de men. O comando get aceita um parametro
quando trabalhando com nmeros regulares ou dois parametros quando
trabalhando com listas
544

mdbrasil - todos direitos reservados

Scripting Host
Caracteres Especiais
# usado como comentrio. Linha ignorada
; usado para colocar mltiplos comandos em uma s linha
Caso se precise usar os caracteres especiais {}[]"'\$, como strings normais, eles
devem ser precedidos de uma barra \. Exemplo \\, significa o caracter \
\a campainha, cdigo do caracter 7
\b backspace, cdigo do caracter 8
\f alimentao de pgina, cdigo do caracter 12
\n nova linha, cdigo do caracter 10
\r enter, cdigo do caracter 13
\t tabulao, cdigo do caracter 9
\v tabulao vertical, cdigo do caracter 11
\_ espao, cdigo do caracter 32
545

mdbrasil - Host
todos direitos reservados
Scripting
Exemplos

Scripts que podem ser baixados em http://wiki.mikrotik.com/wiki/Scripts


Filter a command output
Enable and Disable P2P connections
Send Backup email
Limiting a user to a given amount of traffic (using firewall)
Limiting a user to a given amount of traffic II (using queues)
Limiting a user to a given amount of traffic with user levels (using queues)
Generate bogons firewall chain based on routing-marks
Generate routes for stress testing BGP functionality
Set global and local variables
Dynamic DNS Update Script for ChangeIP.com
Reset Hotspot user count
Use SSH to execute commands (DSA key login)
Audible signal test
ECMP Failover Script
Sending text out over a serial port
Setting static DNS record for each DHCP lease
Improved Netwatch

546

mdbrasil - todos direitos reservados

Monitoramento da Rede - Netwatch


A Ferramenta Netwach monitora o estado de hosts
da rede, mandando pacotes de pings para uma
lista de endereos IP especificados.
possvel especificar para cada IP, intervalos de
ping e scripts de console, possibilitando assim que
sejam feitas aes em funo da mudana de
estado de hosts.
547

mdbrasil - todos direitos reservados

Monitoramento da Rede - Netwatch


Host: Endereo IP do host que ser monitorado

Interval: Intervalo em que o host ser pingado. Por


default 1 segundo.
Timeout: Se nenhuma resposta for recebida nesse
tempo, o host ser considerado down.
Na aba Up, deve ser colocado o nome do script de
console que ser executado quando o estado do host
mudar de desconhecido ou down para up.
Na aba Down, deve ser colocado o nome do script de
console que ser executado quando o estado do host
mudar de desconhecido ou up para down
548

mdbrasil - todos direitos reservados

Monitoramento da Rede - Netwatch

O estado dos hosts pode ser visto acima:


Status: up, down ou unknown (desconhecido)

Since: Indica quando o estado do host mudou pela ltima vz.


importante conhecer o nome exato das variveis de mudana de estado, pois elas sero
usadas na lgica dos scripts:

up-scritpt: nome do script que executado quando o estado muda para up


down-script: nome do script que executado quando o estado muda para down

549

mdbrasil - todos direitos reservados

Exemplo de aplicao de Netwatch


Queremos que um o gateway default de uma rede seja alterado, caso o gateway em uso
tenha problemas

[admin@MikroTik] system script> add name=gw_1 source={/ip route set { [/ip route find dst
0.0.0.0] gateway 10.0.0.1}
[admin@MikroTik] system script> add name=gw_2 source={/ip route set {[/ip route find dst
0.0.0.0] gateway 10.0.0.217}
[admin@MikroTik] system script> /tool netwatch

[admin@MikroTik] tool netwatch> add host=10.0.0.217 interval=10s timeout=998ms upscript=gw_2 down-script=gw_1


550

mdbrasil - todos direitos reservados

Monitor de Porta Serial - Sigwatch


O utilitrio Sigwatch permite o monitoramento do estado da porta serial, gerando eventos
no sistema quando h alterao do estado destas. O acesso a essa facilidade somente
pode ser feito pelo Terminal, no estando disponvel no Winbox.
Os parametros a configurar so:
name: nome do tem a ser monitorado pelo Sigwatch
on-condition: em qual situao deve ser tomada alguma ao para esse tem (default
=on):
on: dispara se o estado do pino muda para ativo
off: dispara quando o estado do pino muda para inativo
change: dispara sempre que o estado do pino muda.
551

mdbrasil - todos direitos reservados

Monitor de Porta Serial - Sigwatch


port: nome da porta serial a monitorar
script: nome do script a disparar para esse tem
signal: nome do sinal ou nmero do pino (para DB9 padro) a monitorar (default=rts)
dtr: Data Terminal Ready (pino 4)
rts: Request to Send (pino 7)
cts: Clear to Send (pino8)
dcd: Data Carrier Detect (pino 1)
ri: Ring Indicator (pino 9)
dsr: Data Set Ready (pino 6)
552

mdbrasil - todos direitos reservados

Monitor de Porta Serial - Sigwatch


state: ltimo estado do sinal monitorado
log: (yes|no): se deve ser adicionada uma mensagem na forma name-of-sigwatch-item:
signal changed [to high | to low] facilidade do System-Info sempre que esse tem do
sigwatch for disparado (default=no)
count: contador (s leitura) que indica o nmero de vezes que sigwatch foi ativado. Zera
quando o roteador reiniciado
OBS: O Sigwatch pode disparar um script previamente colocado em system/scripts ou seu
cdigo fonte pode ser digitado diretamente na linha de chamada do script.

553

mdbrasil - todos direitos reservados

Monitor de Porta Serial - Sigwatch

Exemplo: Desejamos monitorar se na porta serial1 do Roteador h sinal de


CTS.

[admin@Hotspot] tool sigwatch> add name="monitor_da_serial"


port=serial0 pin=8 on-condition=change log=no

554

mdbrasil - todos direitos reservados

Traffic Monitor
A ferramenta traffic monitor utilizada para
executar scripts de console, sempre que o trfego
em uma dada interface ultrapasse um valor
determinado.
Parametros de configurao:
Name: Nome do tem
Interface: Interface que ser monitorada
Traffic: se trafego transmitido ou recebido
Threshold: limite em bps que dispara o gatilho
Trigger: Se o gatilho disparado quando o valor
ultrapassa o Threshold ou cai abaixo ou o somente
atinge (subindo ou descendo)
On Event: script a ser executado.
555

mdbrasil - todos direitos reservados

Traffic Monitor
Exemplo: Queremos monitorar o trfego entrante em um roteador com duas interfaces de
rede ether1 e ether2. Quando o trfego exceder 15kbps na ether1 vamos habilitar a
ether2, que ser desabilitada quando o trfego recuar para menos de 12kbps
- Primeiro vamos criar os scripts de subida e descida

556

mdbrasil - todos direitos reservados

Traffic Monitor
Agora vamos definir as aes: quando o trfego passa de 15kbps ativa a
interface, mas s quando cai abaixo de 12 kbps que desabilita

557

mdbrasil - todos direitos reservados

Traffic Monitor
Vamos conferir como ficou na linha de comando:
/ system script

add name="sobe_ether2" source="/interface enable ether2


add name="baixa_ether2" source="/interface disable ether2
/ tool traffic-monitor
add name="acima_de_15" interface=ether1 traffic=received trigger=above
threshold=15000 on-event=sobe_ether2
add name="abaixo_de_12" interface=ether1 traffic=received trigger=above
threshold=12000 on-event=baixa_ether2
558

mdbrasil - todos direitos reservados

Obrigado !
Edson Xavier Veloso Jr.

Srgio Souza

Wardner Maia

edson@mikrotikbrasil.com.br

sergio@mikrotikbrasil.com.br

maia@mikrotikbrasil.com.br

559

Você também pode gostar