Curso

Mikrotik

Reviso de conceitos bsicos:

TCP/IP
ENDEREAMENTO
ROTEAMENTO
Modelo OSI e TCP/IP

Camada 1 conexes fsicas: cabos, wireless etc

o Ethernet, 802.11 a/b/g

Camada 2 detecta/corrige erros, controla fluxo, end. fsico

o Endereamento MAC

Camada 3 responsvel pelo endereamento lgico:

o IP, IPX/SPX, NETBEUI, Apple Talk ...

O Mikrotik RouterOS um dispositivo de camada 3 do modelo OSI.

O endereo IP formado por 4 octetos binrios.

Endereamento e Roteamento IP
Quando um dispositivo de rede envia um pacote ao outro, o protocolo IP precisa saber:

Se esto na mesma rede fsica

o envia o pacote para o barramento de rede
o
Se esto em redes diferentes
o envia para o roteador (gateway padro ou outra rota)
Gateway = porto de sada - toda a rede que precisa se
comunicar com outra precisa de um caminho de sada.

Entendendo a Mscara
Sub-redes
1
2
4
8
16
32
64
XX
XX

Hosts
254
126
62
30
14
6
2
XX
1

Mscara Decimal
255.255.255.0
255.255.255.128
255.255.255.192
255.255.255.224
255.255.255.240
255.255.255.248
255.255.255.252
XX
255.255.255.255

Mscara Binria
(11111111.11111111.11111111.00000000)
(11111111.11111111.11111111.10000000)
(11111111.11111111.11111111.11000000)
(11111111.11111111.11111111.11100000)
(11111111.11111111.11111111.11110000)
(11111111.11111111.11111111.11111000)
(11111111.11111111.11111111.11111100)
(11111111.11111111.11111111.11111110)
(11111111.11111111.11111111.11111111)

Bits
/24
/25
/26
/27
/28
/29
/30
/31
/32

Trfego

Unicast
o Trfego destinado a apenas um host
Broadcast
o Trfego destinado a todos os hosts da mesma rede. Redes remotas podem ser unidas
atravs de tneis e serem parte do mesmo domnios de broadcast.
Multicast
o Trfego destinado a hosts previamente inscritos para receberem o trfego multicast.
Os dispositivos de rede devem ter capacidade de propagar o trfego multicast.

Protocolos

Protocolo ARP
o Serve para associar IPs com endereos fsicos: IP > Mac

Protocolo TCP
o Utilizado para controle de transporte dos dados (datagramas IP).
o Garante que estes sejam entregues de maneira confivel, sem serem alterados ou
corrompidos.
o Faz a segmentao e reagrupao de grandes blocos de dados de forma ordenada.
o Permite o funcionamento de vrios servios simultneos, atravs de portas:

21 FTP

23 Telnet

80 HTTP

... etc

Protocolo UDP
o Utilizado para o transporte rpido entre dispositivos.
o Ao contrrio do TCP, o UDP um protocolo sem conexo, portanto no garante a
entrega do datagrama.
o Tambm utiliza portas:

53 DNS

Conceitos bsicos do
RouterOS
Caractersticas:

Roteamento
o Esttico e Dinmico
o Polticas de Roteamento
Bridging
o Protocolo Spanning Tree, rstp
o Mltiplas interfaces na bridge
o Bridge com firewall filtro
Servidores e Clientes
o DHCP, PPtP, PPPoE, Ipsec etc...
Servidores
o Cache, Web Proxy, DNS etc
Gateway de Hotspot
Linguagem interna de Scripts

Funcionalidades:

Access Point e Station Wireless

Roteador dedicado
Bridge
Firewall
Controlador de Banda e QoS
Concentrador PPPoE, PPtP, IPSec, L2TP etc
Roteador de Borda BGP!
Hotspot

Estrutura:

Baseado em kernel Linux

Pode ser instalado em HDs ou flash
Instalao modular
Mdulos atualizveis
Interface grfica amigvel

Como acessar o RouterOS?

Monitor e teclado
Porta Serial 8 / N / 1 / 9600
Telnet
Telnet de MAC
SSH
Winbox (Windows ou Linux com Wine)

Ferramentas de Diagnstico:

Ping Traceroute
Medidor de banda
Torch
SNMP

Instalao:

Pode ser instalado usando:

o Disquete
o CD ISO bootvel gravado com imagem
o Via rede, utilizando o netinstall
o Comando dd do Linux
o Aplicativos semelhantes para Windows (Ex.: Physdiskwrite)

Licenciamento:

A chave gerada sobre um software-id fornecido pelo prprio Mikrotik

IMPORTANTE: A licena fica vinculada ao HD ou Flash;
o Portanto este disco pode ser utilizado em outra placa, mantendo a licena original;
o Porm a formatao do disco com ferramentas de terceiros faz PERDER a licena.

Atualizao

Instrues:
o Conecte ao Mikrotik via FTP com um software apropriado;
o Selecione modo binrio;
o Faa o upload dos pacotes;
o Depois, para verificar utilize o comando /file print;
o Reinicie o roteador com o comando /system reboot ou ctrl+alt+del no
console;
o Depois do reboot verifique se os pacotes foram instalados corretamente com o
comando /system package print;

Acesso Via Terminal

Primeiro acesso
o Winbox, serial, SSH ou Telnet
o Usurio admin senha em branco
Ajuda
o ? mostra um help para o diretrio em que esteja
[Mikrotik] > ?
o ? Aps um comando incompleto mostra as opes disponveis para este comando
[Mikrotik] > interface ?

Administrao do RouterOS
Utilizando Menus do WINBOX - Prtica

Colocando uma senha para acesso

Colocando um nome no roteador

Configurar Endereos IP

Configurar Default Gateway

Configurar DNSs

Configurar Data/Hora, Time Zone e NTP

Desativar ou configurar servios que podem ser inseguros (Telnet e SSH)

Usando Torch

Amarrando IP ao MAC

Anotaes

Princpios de Firewall
Estrutura de firewall do Mikrotik

Caractersticas da implementao de Firewall no Mikrotik

Filtragem de pacotes stateful

Firewall Stateful: pode acompanhar o estado das conexes de rede (tais como
sesses TCP, UDP comunicao). O firewall estar programado para distinguir pacotes
legtimos para diferentes tipos de conexes. Apenas pacotes combinados com uma
conexo conhecida sero autorizados pelo firewall, outras sero rejeitadas.

Filtragem de pacotes P2P (camada aplicao layer 7)

Classificao de trfego por MAC address, endereos IP, tipos de trfego (multicast,
broadcast etc), portas, range de portas, protocolos, tamanho do pacote etc etc etc

Princpios Bsicos de Firewall

Um firewall opera por meio de regras. Uma regra uma expresso lgica que diz ao
roteador o que fazer com um tipo particular de pacote.

Cada regra constituda de 2 partes:

1. Encontra o fluxo de trfego que se enquadra em uma condio pr-definida;
2. Diz a ao que deve ser tomada com os pacotes que satisfazem a condio.

As regras so organizadas em canais (chains). Existem 3 pr-definidos:

1. INPUT responsvel pelo trfego que vai PARA o roteador;
2. OUTPUT responsvel pelo trfego que SAI do roteador;
3. FORWARD responsvel pelo trfego que PASSA pelo roteador;

Ateno: regras de NAT no so FORWARD, por mais que paream ser pois o
trfego estaria passando pelo roteador. Elas entram nas chains de INPUT e OUTPUT.
Porm, como veremos mais tarde, no Mikrotik as regras de NAT j so separadas das
regras de filter. Elas j tm suas chains prprias: srcnat e dstnat

As regras so sempre processadas por canal, na ordem que esto listadas, ou seja, de cima
para baixo;
o Se um pacote atende condio e tomada uma ao com ele, no importam as
regras que estejam abaixo deste canal, pois no sero processadas.

Um pacote que no se enquadre em qualquer regra do canal ser, por default, aceito;

Laboratrio de Firewall
Exemplos diversos implementados na prtica

Fazer um NAT simples

Bloquear acesso DE UM IP / RANGE

Bloquear acesso PARA UM IP / RANGE

Bloquear acesso a uma PORTA / RANGE de PORTAS

Bloquear acesso de um MAC

Bloqueios utilizando Address Lists

Anotaes

Princpios de Qualidade de Servio (QoS) e

Controle de banda (Shaping)
QoS
As regras de QoS (Quality of Service) fazem com que o roteador priorize e limite o trfego de rede. O QoS no
necessariamente utilizado para limitao, mas principalmente para proporcionar qualidade. Abaixo algumas features do
mecanismo de Controle de Banda do RouterOS:
o
o
o
o
o
o

Limitar a banda de um IP, subnet, protocolo, portas e outros parmetros.

Limitar o trfego P2P
Priorizar alguns trfegos especficos em relao a outros
Queue Burst para navegao mais rpida.
Aplicar queues em intervalos fixos de tempo
Compartilhar o trfego disponvel para os usurios de forma justa, ou dependendo da carga do canal.

Filas Simples
A maneira mais fcil de fazer o controle de velocidade de clientes usando as simple queues. Com apenas uma entrada
possvel configurar as velocidade de donwload e upload.HTB (Hierarchical Token Bucket) a disciplina de enfileiramento
utilizada pelo RouterOS.
As queues enxergam a direo dos pacotes IP da mesma forma que apareceriam no firewall.
Para o shaping os parmetros so:

limit-at: banda garantida (CIR)

max-limit: banda mxima permitida (MIR)

priority ordem em cada classe que serve ao mesmo nvel (onde 8 a prioridade mais baixa e 1 a mais
alta)

Cores:
o

Verde: a classe est com a velocidade igual ou menor do que limit-at.

Amarelo: a classe est com velocidade maior do que limit-at, e menor ou igual do que a max-limit. Neste
caso a classe pede a classe pai para usar mais banda. Se a classe pai estiver verde permitir o uso, se
estiver em amarelo enviar a solicitao para a sua classe pai, se tiver, e assim por diante.

Vermelho: a classe excedeu o max-limit, e no pode mais pedir banda para a classe pai.

Burst

Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo. Os parmetros que
controlam o burst so:
o

burst-limit: limite mximo que alcanar

burst-time: tempo que durar o burst

burst-threshold: patamar onde comea a limitar

max-limit: MIR

Grficos de Trfego

Disponibilizando grficos de trfego para clientes

rvore de Filas Queue Tree

Trabalhar com rvore de filas a maneira mais elaborada de administrar o trfego. Com elas possvel
construir uma hierarquia de classes sob medida.
Os filtros de rvores so aplicados na interface especificada. Os filtros so apenas marcas que o
Firewall faz nos fluxos de pacotes na opo Mangle. Os filtros enxergam os pacotes na ordem em
que eles chegam ao roteador.
Para o uso de rvores de filas lanamos mo de interfaces virtuais denominadas:
o

Global-in: contabiliza todo o trfego que entra no roteador pelas interfaces de entrada

Global-out: contabiliza todo o trfego que sai do roteador pelas interfaces de sada

Global-total: que alm do trfego que passa pelo roteador, contabiliza tambm aquele que dirigido
tambm para ele

Global-in

Global-total

Global-out

Roteador

As rvores de filas so configuradas em:

/queue tree

Laboratrio de QoS
Implementando um conjunto de regras pr-configuradas para QoS de servios

Usando Firewall / Mangle / Queue Tree para implementar QoS

/ ip firewall mangle
add chain=forward protocol=tcp dst-port=80 action=mark-connection \
new-connection-mark=conexao_http passthrough=yes comment="" disabled=no
add chain=forward connection-mark=conexao_http action=mark-packet \
new-packet-mark=pacotes_http passthrough=no comment="" disabled=no
add chain=forward p2p=all-p2p action=mark-connection new-connection-mark=conexao_p2p \
passthrough=yes comment="" disabled=no
add chain=forward connection-mark=conexao_p2p action=mark-packet new-packet-mark=pacotes_p2p \
passthrough=no comment="" disabled=no

/ queue tree
add name="Todos Marcados" parent=Computech packet-mark="" limit-at=0 queue=default priority=8 \
max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="HTTP" parent="Todos Marcados" packet-mark=pacotes_http limit-at=0 queue=default \
priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="P2P" parent="Todos Marcados" packet-mark=pacotes_p2p limit-at=2000000 queue=default \
priority=8 max-limit=3000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no

Anotaes

Tneis e VPN
Conceitos de VPN's e suas aplicaes

VPN
Uma Rede Particular Virtual (Virtual Private Network - VPN) uma rede de comunicaes privada normalmente utilizada por
uma empresa ou um conjunto de empresas e/ou instituies, construda em cima de uma rede de comunicaes pblica
(como por exemplo, a Internet). O trfego de dados levado pela rede pblica utilizando protocolos padres.
As VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticao e
integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados,
estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras.

Tneis e VPNs no Mikrotik

O RouterOS trabalha com diversos protocolos de tneis. Elas so:

o
o
o
o
o

Point to Point Tunneling Protocol (PPtP)

Point to Point over Ethernet (PPPoE)
Layer 2 Tunneling Protocol ( L2TP )
Ethernet over IP (EoIP)
Tneis IP over IP (IPIP)

Neste curso, utilizaremos o PPtP, para estabelecer a conexo segura, e o EoIP, para criarmos a bridge transparente

Laboratrio de VPN e Tneis

Interligando remotamente 2 redes como bridge transparente

Prtica

Conceitos importantes: WAN - LAN - Tnel - Bridge

o

WAN: interface pblica fsica (wlan1 ou ether1...) - Internet ou no...

LAN: Interface privada interna ethernet local fsica (wlan2 ou ether2...)

Tnel: estabelecido entre as 2 interfaces WAN usando PPtP criando uma nova interface: Tnel EoIP

Bridge: LAN + Tunel EoIP

Anotaes

Linguagem de Script no Mikrotik

Noes e aplicaes de Scripting

Variveis
O RouterOS suporta dois tipos de variveis, que so global (todo o sistema) e local (acessvel apenas dentro
do script atual), respectivamente. Uma varivel pode ser referenciada pelo sinal "$" seguida do nome da varivel, com
exceo dos comandos set e unset que obtm o nome da varivel sem preceder do sinal de cifro. A varivel deve ser
composta por letras, nmeros e o sinal "-. Devem ser declaradas antes de serem utilizadas em scripts.
Existem quatro tipos de declarao:
global
local
variveis indexadoras de loop for e foreach com bloco do
variveis de monitor com do
Para atribuir um novo valor a uma varivel, use o comando :set seguido do nome da varivel sem o sinal $ e o seu
novo valor. Para remover uma varivel, use o comando :unset seguido do nome da varivel. Neste caso, se a
varivel global, esta remoo funciona apenas no script atual.

Comandos
O RouterOS tem alguns comandos de console e expresses que no dependem do nvel de menu onde se
est. Estes comandos no mudam as configuraes diretamente, mas so teis para automatizar vrios processos de
manuteno. A lista completa das ICE pode ser acessada digitando : e em seguida dois tabs:
[admin@MikroTik] > :
environment do
terminal
error
beep
execute
delay
find

for
foreach
global
if

led
len
local
log

nothing
parse
pick
put

resolve
set
time
toarray

tobool
toid
toip
toip6

tonum
tostr
totime
typeof

while

environment lista de todas as variveis

terminal configura o terminal
beep produz um sinal audvel se for suportado pelo hardware
delay pausa a execuo por determinado tempo
do executa um comando
execute roda um script separado
find localiza itens por valor
for executa um comando para um range de valores inteiros
foreach - executa um comando para cada um dos argumentos de uma lista
global declara e atribui um valor para uma varivel global
if executa um comando se uma condio for verdadeira
led controla LEDs, se o hardware suportar
len retorna o nmero de elementos no valor
local atribui um valor para uma varivel local
log manda mensagens para os logs
nothing no faz nada e no retorna nada comando extremamente til :-)
pick retorna um range de caracteres de strings ou valores de arrays
put mostra um argumento na tela
resolve DNS lookup
set muda o valor da varivel
terminal comandos relacionados ao terminal
time retorna o tempo que o comando levou para ser executado
toarray - converte um argumento para um valor de array
tobool converte um valor para verdadeiro
toid - converte um argumento em um nmero de valor interno
toip - converte um argumento em um endereo IP
toip6 - converte um argumento em um endereo IPv6
ktonum - converte um argumento para um nmero inteiro
tostr converte um argumento para um valor de string

totime converte um argumento para um valor de interval de tempo

typeof retorna o tipo do valor
while executa comandos enquanto uma condio for verdadeira

Scripts prontos podem ser baixados no site:

http://wiki.mikrotik.com/wiki/Scripts

 Redes Wireless Usando Mikrotik

Significado dos cones:

Adicionar novas entradas

Remover entradas existentes
Habilitar o item
Desabilitar o item
Acrescentar ou adicionar comentrios Desfazer a ao Refazer a ao

INTERFACE WIRELESS

Boto Scan
Escaneia o meio (causa queda das conexes estabelecidas) A Ativa B BSS P
Protegida R Rede Mikrotik N Nstreme

Boto Freq. Usage

Mostra o uso as freqncias em todo o espectro, para site survey Obs.: Ao utilizar esta
opo, a conexo estabelecida interrompida.

Boto - Align
Ferramenta de alinhamento com sinal sonoro (Colocar o MAC do AP remoto no campo
Filter e campo udio)
Obs.: Ao utilizar esta opo, a conexo estabelecida interrompida.
Rx Quality Potncia (dBm) do ltimo pacote recebido Avg. Rx Quality Potncia mdia
dos pacotes recebidos Last Rx Tempo em segundos do ltimo pacote recebido Tx Quality
Potncia do ltimo pacote transmitido Last Tx Tempo em segundos do ultimo pacote
transmitido

Boto Sniff
Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes Muito til para
detectar ataques do tipo deauth attack e monkey jack. Pode ser arquivado no prprio
Mikrotik ou passado por streaming para outro servidor com protocolo TZSP

Boto Snooper

Com a ferramenta Snooper possvel monitorar a carga de trfego em

cada canal, por estao
ou por rede.
Esta opo escaneia as freqncias definidas em scan-list da interface.

Guia General

Name: Nome da Interface.

Type: wireless.
MTU: Unidade mxima de transferncia (bytes).
MAC Address: Endereo MAC da interface.
Chip Info / PCI Info: Informaes da placa;
ARP: -disable: no responde a solicitaes ARP. Clientes tem que acessar tabelas
estticas
-proxy-arp: passa o seu prprio MAC quando h uma requisio para algum host interno
ao roteador;
-reply-only: somente responde as requisies. Endereos de vizinhos so resolvidos
estaticamente.

Guia Wireless

Radio Name: apelido usado para identificar a interface.

Mode: Modo de operao.
-station: modo cliente de AP. No pode ser bridgeado. No passa os MACs
internos, mas somente o seu;
-station wds: estao que pode ser bridgeada, passando transparentemente os
MACs. AP precisa estar em WDS;
-ap-bridge: Modo Access Point normal;
- modo ponto de acesso para suportar um cliente somente (links ponto a ponto);
-alignment-only: modo para alinhar antenas e monitorar sinal;
- nstreme-dual-slave: para enlaces em modo nstreme dual;
-wds-slave: trabalha como ponto de acesso escravo, adaptando-se a um WDS
mestre (adapta-se s configuraes da mestre).
SSID: Nome de rede.
Band: Banda e modo de operao.
-2.4Ghz-b: 802.1b at 11mbps;
-2.4Ghz-b/g: 802.11b at 11mbps e 802.11g at 54mbps (modo misto);
- 2.4Ghz-only-g: 801.11g at 54mbps (somente
clientes g);
-2.4Ghz-g-turbo: modo proprietrio Atheros at
108mbps;
-5Ghz: 802.11a at 54mbps;
-5Ghz-turbo: Modo proprietrio Atheros at 108mbps;
-2.Ghz-10Mhz: Modo cloacking, utiliza canal de 10Mhz;
-2.Ghz-5Mhz: Modo cloacking, utiliza canal de 5Mhz;
-5.Ghz-10Mhz: Modo cloacking, utiliza canal de 10Mhz;
-5.Ghz-5Mhz: Modo cloacking, utiliza canal de 5Mhz.

Frequency: Freqncias de trabalho em funo da banda escolhida e do domnio

regulatrio.
Scan List: lista de freqncias a serem escaneadas.
- Quando a interface est configurada como cliente, sero procuradas APs que
estiverem nessa lista;
- Por default, sero buscadas as freqncias do domnio regulatrio;
- Pode-se forar o escaneamento de freqncias especificas, colocando-as
separadas por vrgula.
Secutity Profile: Perfil de segurana. Perfis de segurana podem ser criados/alterados
em Wireless/Security profiles.
Frequency Mode:
-Regulatory domain: somente so permitidas o uso das freqncias do pas
indicado no campo Country, sendo que a potncia mxima de transmisso EIRP ser
limitada de acordo com a legislao, considerando-se o ganho de antena indicado no
campo Antenna Gain;
-Manual-tx-power: os canais permitidos so os do pas selecionado mas a
potncia informada pelo operador;
-superchannel: somente possvel com a licena superchannel. Todos os canais e
potncias suportados pelo hardware sero permitidos.
Country: Pas de operao.
Antenna Gain: Ganho da antena em dBi.
DFS Mode: Modo de seleo dinmica de freqncia.
-none: No usa DFS;
-no-radar-detect: O AP escaneia os canais da scan-list e escolhe para operar
na menor freqncia detectada;
-radar-detect: O AP escaneia a partir da scan-list e escolhe a menos freqncia
detectada. Se durante 60 segundos no detectado nesse canal, ela comea a operar
nesse canal, caso contrrio continua escaneando sempre pelos canais menos ocupados.
Observao: No Brasil necessrio DFS para operar de 5250-5350 e 54705725 e existem valores mnimos em dBm que, se detectados no permitida a
operao nesses canais (art. 50 da resoluo 365/2004 da Anatel).
Proprietary extensions: Mtodo para inserir informaes adicionais (proprietrias
Mikrotik) nos pacotes Wireless a fim de contornar problemas de compatibilidade com
verses antigas (antes da 2.9.25) com novos cartes Intel Centrino.
- pr-2.9.25: Inclui extenses da forma aceita por verses mais antigas do
RouterOS. Incompatvel com clientes Centrino;
-post-2.9.25: Extenses aceitas a partir dessa verso e compatvel com todos os
clientes conhecidos at o momento.
Default AP Tx Rate: estabelece a taxa mxima, em bps que cada cliente pode ter de
download.
Default Client Tx Rate: Estabelece a taxa mxima, em bps que cada cliente pode enviar
ao AP S funciona para cliente, tambm, Mikrotik.
Default Authenticate: (default-authentication) Especifica a ao padro a ser adotada
pela AP para os clientes Wireless que no estejam declarados nas access lists (controle de
MAC). Para os equipamentos configurados como clientes, especifica a ao a ser adotada
para os APs que no estejam na Connect List.
Yes: Como AP, deixa o cliente se associar, mesmo se no estive declarado na
Access List. Como cliente, associa-se a qualquer AP, mesmo que no esteja na Connect
List.
Default Forward: (default-forwarding) Determina se poder haver comunicao entre
clientes conectados na mesma interface Wireless. Esse bloqueio feito na camada 2 de
enlace e portanto independente de IP (alguns APs tem esse recurso como IntraBSS relay).
-Yes (marcado): permite a comunicao;
-No (desmarcado): No permite a comunicao.

Observao: Quando as interfaces esto em Bridge, pode haver comunicao entre

clientes de interfaces diferentes, mesmo com esse recurso habilitado.
Hide SSID: Determine se o AP vai divulgar o nome da Rede em broadcast atravs de
beacons.
-Yes (marcado): no divulga, somente respondendo aos clientes que
enviarem os probe requests;
-No (desmarcado): divulga o nome da rede.

Guia Data Rates

Nesta tela possvel configurar as Taxas de transmisso suportadas e as Taxas Bsicas,

sendo que:
-Taxas Suportadas (Supported Rates): So todas as taxas que o carto que
est sendo configurado suporta.
-Taxas Bsicas (Basic Rates): So as taxas mnimas suportadas por todos os
dispositivos Wireless presentes na rede
Observao: recomenda-se deixar sempre as taxas bsicas no mnimo (1mbps)

Guia Advanced

rea: String alfanumrica utilizada para descrever um Access Point. Os clientes comparam
esse valor com o que estiver configurado em sua rea Prefix, e se a string toda ou pelo
menos os primeiros caracteres coincidirem estabelecida a associao.
Max Station Count: Nmero mximo de estaes que podem se conectar no AP. Limite
terico de 2007.
Ack Timeout: Tempo de expirao (timeout) do pacote de confirmao de recebimento
(acknowledgment) enviado por uma estao
- dynamic: ajuste dinmico. O roteador manda pacotes variveis e em funo da
resposta procura ajustar ao timeout ideal.
-indoors: para redes indoor.
- pode ser ajustado manualmente (valor inteiro em microssegundos).
Range
0Km
5Km
10Km
15Km
20Km
25Km
30Km
35Km

5Ghz
default
52
85
121
160
203
249
298

Ack-timeout
5Ghz-turbo
default
30
48
67
89
111
137
168

2.4Ghz-G
default
62
96
133
174
219
268
320

40Km
45Km

Chipset version
5000 (5.2Ghz only)
5211 (801.11a/b)
5212
(802.11a/b/g)

350
405
5Ghz

190
5Ghz-turbo

375
2Ghz-b

2Ghz-g

Default

Max

Default

Max

Default

Max

Default

Max

30
30

204
409

22
22

102
204

n/a
109

n/a
409

n/a
n/a

n/a
n/a

25

409

22

204

30

409

52

409

Observao: Esses valores so meramente referenciais e devem ser

ajustados em funo do hardware empregado e do ambiente.

Noise Floor Threshold: Piso de rudo do ambiente (em dBm).

Observao: No localizamos documentao suficiente para
esclarecer a utilidade prtica desta opo. Em princpio deve trabalhar com
cartes que tenham a opo de deteco de noise floor noise-floorcontrol
Periodic Calibration: Para assegurar a performance do chipset sob
diversas condies de temperatura ambiente o Mikrotik faz calibraes
peridicas.
Calibration Interval: Intervalo em segundos entre as
calibraes peridicas. Default = 60 segundos.
Burst Time: Tempo em microssegundos que o carto wireless pode
transmitir continuamente. Essa opo s vlida para chipset Atheros
AR5000, AR5001X e AR5001X+. A varivel de leitura burst-support,
acessvel via terminal mostra a capacidade ou no do suporte a essa
opo.
Antena Mode: Permite a escolha da antena.
- antena a/b: escolhe uma das antenas a ou b
- tx-a/rx-b: usa a antena A para TX e a B para RX
- tx-b/rx-a: usa a antena B para TX e a A para RX
Preamble Mode: escolhe o modo do prembulo (comunicao inicial e de
sincronizao).
- long: padro compatvel com 802.11 em geral (mais antigo)
- short: padro suportado por alguns cartes mais modernos; porem
no compatvel com 801.11. Utilizando short, h aumento (pequeno) de
performance.
- both: ambos so suportados
Compression: Quando habilitada a compresso (em modo AP-bridge ou
bridge), permite que um cliente que tenha a mesma capacidade de
compresso habilitada comunique-se com o AP comprimindo os dados
(compresso de hardware) melhorando a performance. Esta opo no

afeta clientes que no tenham capacidades de compresso

A capacidade ou no de compresso de um dispositivo wireless pode ser
vista em Interface wireless info print.
Disconnect Timeout: Valor em segundos acima do qual um cliente
considerado desconectado.
Default = 3 segundos
On Fail Retry Time: Intervalo de tempo aps o qual repetida a
comunicao para um dispositivo wireless cuja comunicao tenha falhado.
Default: 100ms
Update Stats Interval: Periodicidade de atualizao
estatsticas da interface. Default = 10s

das

Guia WDS

WDS Mode: Neste modo de operao todos os APs tem que estar configurados com o
mesmo nome de rede e utilizando o mesmo canal. Alm da comunicao entre APs, o
WDS permite que se conectem em qualquer dos APs estaes wireless
- disabled: WDS desabilitado
- static: As estaes WDS ficam atreladas umas s outras de forma esttica, com
cada uma referenciando o MAC de sua parceria.

- dynamic: Uma vez estabelecido o enlace, a rede WDS criada automtica e

dinamicamente.
Quando em modo dinmico, um dispositivo perde o link, a interface dinmica desaparece
e se h algum endereo IP configurado nessa interface, o estado desta mudado para
unknown. Quando o link volta esse estado no muda permanecendo unknown. Por isso
no se aconselha a colocar IPs em interfaces WDS dinmicas. Ao invs disso, utilize a
default bridge para permitir que quando o link volte interface, seja colocada
automaticamente na Bridge.
Tendo em vista que WDS pressupe mesmo canal em todos os APs, fica incompatvel o
uso de DFS.
WDS Default Bridge: Uma vez criada uma Bridge em /interface bridge add, os APs
configurados em WDS podem fazer parte desta, bastando indicar neste combo. Para WDS
dinmico recomendvel que todas as interfaces estejam sobre a mesma Bridge.
WDS Default Cost: No caso de redes malhadas (Mesh) feitas com WDS podem-se definir
custos diferentes para diversos trajetos, dando preferncias a determinadas rotas de
forma manual.
WDS Cost Range: Indicao da faixa de custos que sero empregados na rede Mesh.

WDS Ignore SSID: Uma vez habilitada essa opo, os APs iro criar links
com qualquer outro AP que esteja configurado na mesma freqncia,
independente do SSID configurado nas mesmas.

Default = No.

Guia Nstreme
Nstreme um protocolo proprietrio Mikrotik (no 802.11) que tem por objetivo
estabelecer links de desempenho melhorado quando comparado ao padro Wi-fi Normal.
Destinado principalmente a links ponto-a-ponto, mas podendo, tambm, ser utilizado em
ambientes multiponto, desde que todos tenham nstreme habilitado (obviamente todos
Mikrotik).
Enable Polling: No modo Polling as transmisses das estaes so coordenadas pelo AP
evitando as colises por n escondido. No utilizado o metido CSMA/CA comum das
redes Wi-fi.
Framer Policy: Mtodo utilizado para combinar pacotes em um quadro maior e com isso
diminuir o overhead da comunicao, aumentando consequentemente a performance.
- none: no combina os pacotes
- besti-fit: coloca o maior nmero de pacotes possveis em um frame, at que o
limite estabelecido em framer-limit seja atingido. No fragmenta pacotes.
- exact-size: pe quantos pacotes for possvel em um quadro, at que o limite
estabelecido em framer-limit seja atingido, mesmo que seja necessrio fragmentar.
- dynamic-size: escolhe o melhor tamanho do quadro, dinamicamente.
Framer Limit: Tamanho mximo do quadro.

Default = 3200 bytes

Guia Tx Power

Tx Power Mode: Interface utilizada para configurar a potncia de transmisso valores

de 30dBm a 30dBm
Default = 17dBm
- All-rates-fixed: utiliza a mesma potncia configurada em Tx Power para todas as
velocidades.
- Card-rates: utiliza as velocidades prprias dos firmwares dos cartes
- Default: utiliza a potncia default (17dBm)
- Manual-table: permite a configurao de diversas potncias em funo da taxa de
transmisso.
Observao: A possibilidade de alterar a potncia do carto normalmente
utilizada para diminuir a potncia nominal do mesmo e no aument-la

Guia Status

Mostra informaes sobre o status do AP

-Band: Freqncia e modo de operao
-Freqncia: Canal utilizado
-Registered Clients: Clientes registrados
-Authenticated Clients: Clientes autenticados
-Overal Tx CCQ: Valor em porcentagem que mostra a eficincia da Banda de transmisso
em relao mxima banda terica disponvel no link. Esse valor calculado com base
nos pacotes Wireless que so retransmitidos no meio fsico. Quanto mais retransmisses,
menos a eficincia.
-Ack Timeout: Tempo de expirao do ACK em microssegundos.
-Noise Floor: Piso de rudo em dBm.

Guia Traffic

Menu Wireless Interfaces

Ao clicar em adicionar interfaces, so dadas as opes:

-VirtualAP: Cria interfaces virtuais (APs com nomes diferentes) na mesma interface
fsica. Os parmetros de freqncia, modo de operao, canal, etc., sero herdados do AP
principal.

Criando interfaces virtuais, podemos montar vrias redes dando perfis de servios
diferentes.

- Name: Nome da rede virtual

- MTU: Unidade de transferncia mxima (bytes)
- MAC Address: D o MAC que quiser para o novo AP
-ARP
-Enable/Disable: Habilita/Desabilita
-Proxy-arp: passa seu MAC
-Reply-only

Observao: Demais configuraes idnticas de uma AP

-WDS: Cria uma interface WDS dando os parmetros:

- Name: Nome da rede WDS
- Master Interface: Interface sobre a qual funcionar o WDS, podendo esta
inclusive ser uma interface virtual
- WDS Address: endereo MAC que a interface ter.

-Nstreme Dual: Cria uma interface para uso como Nstreme dual utilizando duas antenas
(uma antena para Tx (Transmisso) e outra para Rx (Recepo)).

- Tx Rdio: especifica-se as interfaces de Tx.

- Rx Rdio: especifica-se as interfaces de Rx.
- Tx/Rx Band e Frequency: Especifica-se a Banda de Tx e Rx que podem inclusive
ser de frquencias diferentes (2.4Ghz para Tx e 5.8Ghz para Rx)
- Framer Policy:
- Best-fit: pacotes so agrupados em frames, sem fragmentao
-exact-size: pacotes so agrupados em frames, com fragmentao se
necessrio.
Observao: Com Nstreme dual possvel escolher as velocidades de
transmisso e recepo e ainda monitorar o status das conexes.

Menu Wireless Access List

O Access List utilizado pelo Access Point para restringir associaes de

clientes. Esta lista contm os endereos MAC de clientes e determina qual a
ao deve ser tomada quando um cliente tenta conectar. A comunicao entre
clientes da mesma interface, virtual ou real, tambm controlada nos Access

List. O processo de associao ocorre da seguinte forma:

-

Um cliente tenta se associar a uma interface WlanX

Seu MAC procurado no Access List da interface WlanX
Caso encontrada a ao especificada ser tomada:
Authentication marcado: deixa o cliente se autenticar
Forwarding marcado, o cliente se comunica com outros

-MAC Address: MAC a ser liberado

-Interface: Interface Real ou Virtual onde ser feito o controle
-AP Tx Limit: Limite de trfego do AP para o Cliente
-Client Tx Limit: Limite de trfego do Cliente para o AP (apenas se
cliente Mikrotik)
-Authentication: Habilitado, autentica os MACs declarados.
-Forwarding: Habilitado, permite a comunicao entre clientes
habilitados (intra bss)
-Private Key: Chave de criptografia
-40bit wep
-128 bit wep
-Aes-com

Menu Wireless Security Profiles

Na tabela Security Profiles so definidos os perfis de segurana da parte

Wireless que poder ser utilizados no RouterOS.
-Name: Nome que aparecer em outras telas, referenciando esse perfil.
-Mode: Modo de operao
- dynamic keys: gera chaves dinmicas
- static-keys-required: criptografia todos os pacotes e somente
aceita pacotes criptografados.
- static-keys-optional: se existe uma chave privada esttica de
estao (static-staprivate-key), esta ser utilizada. Caso contrrio, estando
a estao no modo AP, no ser utilizada criptografia e em modo estao
usar se estiver setada a static-transmit-key.
-Authentication Types

Evoluo dos padres de Segurana wireless

- WPA2 (802.11i) com EAP
- WPA2 (802.11i) com PSK
- WPA com AES ccm + SEGURANA
- WPA com MD5
-WEP com TKIP
-WEP 128 bits

- WPA: Mtido no padro IEEE utilizado Durante algum tempo pela indstria para evitar
problemas do WEP
- WPA2: Mtodo compatvel com 802.11i do IEEE
- PSK (Pr Shared Key): chave compartilhada entre dois dispositivos.
- EAP: Extensive Authentication Protocol
Observao: O AP ir divulgar todos os modos de autenticao marcados aqui e as
estaes escolhero o mtodo considerando mais seguro. Exemplo: WPA EAP ao invs de
WPA PSK

-Unicast Chipers
- TKIP: Protocolo de integridade de chave Temporal. Mtodo utilizado durante
algum tempo para contornar problemas da WEP (Proxim implementa como WEP Plus).
- AES CCM: Mtodo de criptografia WPA mais seguro, que utiliza algoritimo AES.
- PSK (Pr Shared Key): chave compartilhada entre dois dispositivos.
- EAP: Extensive Authentication Protocol

Observao: O AP ir divulgar todos os modos de autenticao marcados aqui e

as estaes escolhero o mtodo considerando mais seguro. Exemplo: WPA EAP ao
invs de WPA PSK
-Mtodos EAP

- Passtrough: Repassa o pedido de autenticao para um Servidor Radius (esta

opo somente usada em APs)
- EAP/TLS: Utiliza um Certificado TLS (Transport Layer Certificate)
- TLS Mode:
- No-certificate: Certificados so negociados dinamicamente utilizando o algoritmo
de Deffie-Helmman.
- Dont-verify-certificate: exige o certificado, porm no o confere com uma
entidade certificadora.
- Verify-certificate: exige e verifica o certificado.
- TLS Certificate: Habilita um certificado importado em /Certificates

-Static Keys: Utilizado em caso de WEP

Referncias:
- Mikrotik Wiki - http://wiki.mikrotik.com/wiki/
dos) digitando-se diretamente na interface. Valores sugeridos de Ack-Timeout

Nstreme dual Step-by-Step

From MikroTik Wiki
Jump to: navigation, search

Here is a step-by-step explanation how to enable nstreme dual on a fresh installed

MikroTik devices:

I. MikroTik Device 1
1.1. Enabling wireless cards 1 and 2:
[admin@MikroTik] > interface enable wlan1
[admin@MikroTik] > interface enable wlan2

1.2. Assigning IP address to the ethernet interface:

[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=ether1

1.3. Creating bridge interface:

[admin@MikroTik] > interface bridge add

1.4. Adding ethernet interface to the bridge interface:

[admin@MikroTik] > interface bridge port add interface=ether1
bridge=bridge1

1.5. Setting wireless cards 1 and 2 to nstreme mode:

[admin@MikroTik] > interface wireless set wlan1 mode=nstreme-dual-slave
[admin@MikroTik] > interface wireless set wlan2 mode=nstreme-dual-slave

1.6. Creating nstreme dual interface and setting Tx and Rx radios and frequencies:
[admin@MikroTik] > interface wireless nstreme-dual add rx-radio=wlan1 txradio=wlan2
rx-band=5ghz tx-band=5ghz rx-frequency=5180 tx-frequency=5300

1.7. Adding nstreme interface to the bridge:

[admin@MikroTik] > interface bridge port add interface=nstreme1
bridge=bridge1

1.8. Checking the MAC address of the nstreme interface (in this example:
11:11:11:11:11:11):

[admin@MikroTik] > interface wireless nstremedual print

Flags: X disabled, R running
0 X name="nstreme1" mtu=1500 macaddress=11:11:11:11:11:11 arp=enabled
disablerunningcheck=no tx-radio=wlan2 rx-radio=wlan1 remotemac=00:00:00:00:00:00
tx-band=5ghz tx-frequency=5300 rx-band=5ghz rx-frequency=5180
ratesb=1Mbps,2Mbps,5.5Mbps,11Mbps
ratesa/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
framerpolicy=none framerlimit=2560

II. MikroTik Device 2

2.1. Enabling wireless cards 1 and 2:
[admin@MikroTik] > interface enable wlan1
[admin@MikroTik] > interface enable wlan2

2.2. Assigning IP address to the ethernet interface:

[admin@MikroTik] > ip address add address=192.168.1.2/24 interface=ether1

2.3. Creating bridge interface:

[admin@MikroTik] > interface bridge add

2.4. Adding ethernet interface to the bridge interface:

[admin@MikroTik] > interface bridge port add interface=ether1
bridge=bridge1

2.5. Setting wireless cards 1 and 2 to nstreme mode:

[admin@MikroTik] > interface wireless set wlan1 mode=nstreme-dual-slave
[admin@MikroTik] > interface wireless set wlan2 mode=nstreme-dual-slave

2.6. Creating Nstreme dual interface and setting Tx and Rx radios and frequencies and
setting the MAC address of the remote nstreme interface (in this example: 11:11:11:11:11:11
[step 1.8]):
[admin@MikroTik] > interface wireless nstreme-dual add rx-radio=wlan1 txradio=wlan2
rx-band=5ghz tx-band=5ghz rx-frequency=5300 tx-frequency=5180
remotemac=11:11:11:11:11:11 disabled=no

2.7. Adding nstreme interface to the bridge:

[admin@MikroTik] > interface bridge port add interface=nstreme1
bridge=bridge1

2.8. Checking the MAC address of the nstreme interface (in this example:
22:22:22:22:22:22):
[admin@MikroTik] > interface wireless nstremedual print
Flags: X disabled, R running

0 R name="nstreme1" mtu=1500 macaddress=22:22:22:22:22:22 arp=enabled

disablerunningcheck=no tx-radio=wlan2 rx-radio=wlan1 remotemac=11:11:11:11:11:11
tx-band=5ghz tx-frequency=5180 rx-band=5ghz rx-frequency=5300
ratesb=1Mbps,2Mbps,5.5Mbps,11Mbps
ratesa/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
framerpolicy=none framerlimit=2560

III. MikroTik Device 1

1.9. Setting the MAC address of the remote nstreme interface (in this example:
22:22:22:22:22:22 [step 2.8]):
[admin@MikroTik] > interface wireless nstreme-dual set nstreme1
remotemac=22:22:22:22:22:22 disabled=no

BRIDGE TRANSPARENTE ENTRE DOIS PONTOS UTILIZANDO WDS DINMICO

RDIO 1
Crie uma interface bridge Clique no menu Bridge Clique em adicionar para que uma nova
interface bridge seja criada.

No campo Name, digite o nome da interface bridge (exemplo: wds-bridge)

Clique no boto OK

- Clique na guia Ports Ser necessrio adicionar as portas Ether1 e Wlan1 bridge
criada
-

Clique em adicionar
Em Interface, escolha ether1
Em Bridge, escolha a bridge criada: wds-bridge
Clique no boto OK
Clique novamente em adicionar
Em Interface, escolha wlan1
Em Bridge, escolha a bridge criada: wds-bridge
Clique no boto OK

Para que haja comunicao entre os dois equipamentos, um roteador deve ser
configurado como AP (station WDS) e o outro deve ser configurado como Station

CONFIGURAO DO AP (STATION WDS)

- Clique no menu Wireless
- D um clique duplo na interface wlan1
Na guia Wireless, configure os seguintes campos:
- Radio name: Digite o nome do rdio
- Mode: Escolha a opo station wds
- SSID: digite um SSID
- Band: Escolha a banda 2Ghz 10Mhz (para trabalhar em 900Mhz)
- Frequency: Escolha o canal 2427 (Canal 4)
- Localize a guia WDS e clique nela
- No campo WDS Mode, escolha a opo dynamic
- No campo WDS Default Bridge, escolha a bridge criada (wds-bridge)
- Clique no boto OK
- Clique em adicionar
- Escolha a opo WDS
- Em Master Interface, escolha a opo wlan1
- Clique no boto OK
Obs: Para trabalhar com 900Mhz, deve-se usar somente os canais de 3 a 6.