Escolar Documentos
Profissional Documentos
Cultura Documentos
Apostila Curso Mikrotik PDF
Apostila Curso Mikrotik PDF
Mikrotik
Endereamento e Roteamento IP
Quando um dispositivo de rede envia um pacote ao outro, o protocolo IP precisa saber:
Entendendo a Mscara
Sub-redes
1
2
4
8
16
32
64
XX
XX
Hosts
254
126
62
30
14
6
2
XX
1
Mscara Decimal
255.255.255.0
255.255.255.128
255.255.255.192
255.255.255.224
255.255.255.240
255.255.255.248
255.255.255.252
XX
255.255.255.255
Mscara Binria
(11111111.11111111.11111111.00000000)
(11111111.11111111.11111111.10000000)
(11111111.11111111.11111111.11000000)
(11111111.11111111.11111111.11100000)
(11111111.11111111.11111111.11110000)
(11111111.11111111.11111111.11111000)
(11111111.11111111.11111111.11111100)
(11111111.11111111.11111111.11111110)
(11111111.11111111.11111111.11111111)
Bits
/24
/25
/26
/27
/28
/29
/30
/31
/32
Trfego
Unicast
o Trfego destinado a apenas um host
Broadcast
o Trfego destinado a todos os hosts da mesma rede. Redes remotas podem ser unidas
atravs de tneis e serem parte do mesmo domnios de broadcast.
Multicast
o Trfego destinado a hosts previamente inscritos para receberem o trfego multicast.
Os dispositivos de rede devem ter capacidade de propagar o trfego multicast.
Protocolos
Protocolo ARP
o Serve para associar IPs com endereos fsicos: IP > Mac
Protocolo TCP
o Utilizado para controle de transporte dos dados (datagramas IP).
o Garante que estes sejam entregues de maneira confivel, sem serem alterados ou
corrompidos.
o Faz a segmentao e reagrupao de grandes blocos de dados de forma ordenada.
o Permite o funcionamento de vrios servios simultneos, atravs de portas:
21 FTP
23 Telnet
80 HTTP
... etc
Protocolo UDP
o Utilizado para o transporte rpido entre dispositivos.
o Ao contrrio do TCP, o UDP um protocolo sem conexo, portanto no garante a
entrega do datagrama.
o Tambm utiliza portas:
53 DNS
Conceitos bsicos do
RouterOS
Caractersticas:
Roteamento
o Esttico e Dinmico
o Polticas de Roteamento
Bridging
o Protocolo Spanning Tree, rstp
o Mltiplas interfaces na bridge
o Bridge com firewall filtro
Servidores e Clientes
o DHCP, PPtP, PPPoE, Ipsec etc...
Servidores
o Cache, Web Proxy, DNS etc
Gateway de Hotspot
Linguagem interna de Scripts
Funcionalidades:
Estrutura:
Monitor e teclado
Porta Serial 8 / N / 1 / 9600
Telnet
Telnet de MAC
SSH
Winbox (Windows ou Linux com Wine)
Ferramentas de Diagnstico:
Ping Traceroute
Medidor de banda
Torch
SNMP
Instalao:
Licenciamento:
Atualizao
Instrues:
o Conecte ao Mikrotik via FTP com um software apropriado;
o Selecione modo binrio;
o Faa o upload dos pacotes;
o Depois, para verificar utilize o comando /file print;
o Reinicie o roteador com o comando /system reboot ou ctrl+alt+del no
console;
o Depois do reboot verifique se os pacotes foram instalados corretamente com o
comando /system package print;
Primeiro acesso
o Winbox, serial, SSH ou Telnet
o Usurio admin senha em branco
Ajuda
o ? mostra um help para o diretrio em que esteja
[Mikrotik] > ?
o ? Aps um comando incompleto mostra as opes disponveis para este comando
[Mikrotik] > interface ?
Administrao do RouterOS
Utilizando Menus do WINBOX - Prtica
Configurar Endereos IP
Configurar DNSs
Usando Torch
Amarrando IP ao MAC
Anotaes
Princpios de Firewall
Estrutura de firewall do Mikrotik
Classificao de trfego por MAC address, endereos IP, tipos de trfego (multicast,
broadcast etc), portas, range de portas, protocolos, tamanho do pacote etc etc etc
Um firewall opera por meio de regras. Uma regra uma expresso lgica que diz ao
roteador o que fazer com um tipo particular de pacote.
Ateno: regras de NAT no so FORWARD, por mais que paream ser pois o
trfego estaria passando pelo roteador. Elas entram nas chains de INPUT e OUTPUT.
Porm, como veremos mais tarde, no Mikrotik as regras de NAT j so separadas das
regras de filter. Elas j tm suas chains prprias: srcnat e dstnat
As regras so sempre processadas por canal, na ordem que esto listadas, ou seja, de cima
para baixo;
o Se um pacote atende condio e tomada uma ao com ele, no importam as
regras que estejam abaixo deste canal, pois no sero processadas.
Um pacote que no se enquadre em qualquer regra do canal ser, por default, aceito;
Laboratrio de Firewall
Exemplos diversos implementados na prtica
Anotaes
Filas Simples
A maneira mais fcil de fazer o controle de velocidade de clientes usando as simple queues. Com apenas uma entrada
possvel configurar as velocidade de donwload e upload.HTB (Hierarchical Token Bucket) a disciplina de enfileiramento
utilizada pelo RouterOS.
As queues enxergam a direo dos pacotes IP da mesma forma que apareceriam no firewall.
Para o shaping os parmetros so:
priority ordem em cada classe que serve ao mesmo nvel (onde 8 a prioridade mais baixa e 1 a mais
alta)
Cores:
o
Amarelo: a classe est com velocidade maior do que limit-at, e menor ou igual do que a max-limit. Neste
caso a classe pede a classe pai para usar mais banda. Se a classe pai estiver verde permitir o uso, se
estiver em amarelo enviar a solicitao para a sua classe pai, se tiver, e assim por diante.
Vermelho: a classe excedeu o max-limit, e no pode mais pedir banda para a classe pai.
Burst
Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo. Os parmetros que
controlam o burst so:
o
max-limit: MIR
Grficos de Trfego
Global-in: contabiliza todo o trfego que entra no roteador pelas interfaces de entrada
Global-out: contabiliza todo o trfego que sai do roteador pelas interfaces de sada
Global-total: que alm do trfego que passa pelo roteador, contabiliza tambm aquele que dirigido
tambm para ele
Global-in
Global-total
Global-out
Roteador
Laboratrio de QoS
Implementando um conjunto de regras pr-configuradas para QoS de servios
/ queue tree
add name="Todos Marcados" parent=Computech packet-mark="" limit-at=0 queue=default priority=8 \
max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="HTTP" parent="Todos Marcados" packet-mark=pacotes_http limit-at=0 queue=default \
priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="P2P" parent="Todos Marcados" packet-mark=pacotes_p2p limit-at=2000000 queue=default \
priority=8 max-limit=3000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
Anotaes
Tneis e VPN
Conceitos de VPN's e suas aplicaes
VPN
Uma Rede Particular Virtual (Virtual Private Network - VPN) uma rede de comunicaes privada normalmente utilizada por
uma empresa ou um conjunto de empresas e/ou instituies, construda em cima de uma rede de comunicaes pblica
(como por exemplo, a Internet). O trfego de dados levado pela rede pblica utilizando protocolos padres.
As VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticao e
integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados,
estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras.
Neste curso, utilizaremos o PPtP, para estabelecer a conexo segura, e o EoIP, para criarmos a bridge transparente
Prtica
Tnel: estabelecido entre as 2 interfaces WAN usando PPtP criando uma nova interface: Tnel EoIP
Anotaes
Variveis
O RouterOS suporta dois tipos de variveis, que so global (todo o sistema) e local (acessvel apenas dentro
do script atual), respectivamente. Uma varivel pode ser referenciada pelo sinal "$" seguida do nome da varivel, com
exceo dos comandos set e unset que obtm o nome da varivel sem preceder do sinal de cifro. A varivel deve ser
composta por letras, nmeros e o sinal "-. Devem ser declaradas antes de serem utilizadas em scripts.
Existem quatro tipos de declarao:
global
local
variveis indexadoras de loop for e foreach com bloco do
variveis de monitor com do
Para atribuir um novo valor a uma varivel, use o comando :set seguido do nome da varivel sem o sinal $ e o seu
novo valor. Para remover uma varivel, use o comando :unset seguido do nome da varivel. Neste caso, se a
varivel global, esta remoo funciona apenas no script atual.
Comandos
O RouterOS tem alguns comandos de console e expresses que no dependem do nvel de menu onde se
est. Estes comandos no mudam as configuraes diretamente, mas so teis para automatizar vrios processos de
manuteno. A lista completa das ICE pode ser acessada digitando : e em seguida dois tabs:
[admin@MikroTik] > :
environment do
terminal
error
beep
execute
delay
find
for
foreach
global
if
led
len
local
log
nothing
parse
pick
put
resolve
set
time
toarray
tobool
toid
toip
toip6
tonum
tostr
totime
typeof
while
INTERFACE WIRELESS
Boto Scan
Escaneia o meio (causa queda das conexes estabelecidas) A Ativa B BSS P
Protegida R Rede Mikrotik N Nstreme
Boto - Align
Ferramenta de alinhamento com sinal sonoro (Colocar o MAC do AP remoto no campo
Filter e campo udio)
Obs.: Ao utilizar esta opo, a conexo estabelecida interrompida.
Rx Quality Potncia (dBm) do ltimo pacote recebido Avg. Rx Quality Potncia mdia
dos pacotes recebidos Last Rx Tempo em segundos do ltimo pacote recebido Tx Quality
Potncia do ltimo pacote transmitido Last Tx Tempo em segundos do ultimo pacote
transmitido
Boto Sniff
Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes Muito til para
detectar ataques do tipo deauth attack e monkey jack. Pode ser arquivado no prprio
Mikrotik ou passado por streaming para outro servidor com protocolo TZSP
Boto Snooper
Guia General
Guia Wireless
Guia Advanced
rea: String alfanumrica utilizada para descrever um Access Point. Os clientes comparam
esse valor com o que estiver configurado em sua rea Prefix, e se a string toda ou pelo
menos os primeiros caracteres coincidirem estabelecida a associao.
Max Station Count: Nmero mximo de estaes que podem se conectar no AP. Limite
terico de 2007.
Ack Timeout: Tempo de expirao (timeout) do pacote de confirmao de recebimento
(acknowledgment) enviado por uma estao
- dynamic: ajuste dinmico. O roteador manda pacotes variveis e em funo da
resposta procura ajustar ao timeout ideal.
-indoors: para redes indoor.
- pode ser ajustado manualmente (valor inteiro em microssegundos).
Range
0Km
5Km
10Km
15Km
20Km
25Km
30Km
35Km
5Ghz
default
52
85
121
160
203
249
298
Ack-timeout
5Ghz-turbo
default
30
48
67
89
111
137
168
2.4Ghz-G
default
62
96
133
174
219
268
320
40Km
45Km
Chipset version
5000 (5.2Ghz only)
5211 (801.11a/b)
5212
(802.11a/b/g)
350
405
5Ghz
190
5Ghz-turbo
375
2Ghz-b
2Ghz-g
Default
Max
Default
Max
Default
Max
Default
Max
30
30
204
409
22
22
102
204
n/a
109
n/a
409
n/a
n/a
n/a
n/a
25
409
22
204
30
409
52
409
das
Guia WDS
WDS Mode: Neste modo de operao todos os APs tem que estar configurados com o
mesmo nome de rede e utilizando o mesmo canal. Alm da comunicao entre APs, o
WDS permite que se conectem em qualquer dos APs estaes wireless
- disabled: WDS desabilitado
- static: As estaes WDS ficam atreladas umas s outras de forma esttica, com
cada uma referenciando o MAC de sua parceria.
WDS Ignore SSID: Uma vez habilitada essa opo, os APs iro criar links
com qualquer outro AP que esteja configurado na mesma freqncia,
independente do SSID configurado nas mesmas.
Default = No.
Guia Nstreme
Nstreme um protocolo proprietrio Mikrotik (no 802.11) que tem por objetivo
estabelecer links de desempenho melhorado quando comparado ao padro Wi-fi Normal.
Destinado principalmente a links ponto-a-ponto, mas podendo, tambm, ser utilizado em
ambientes multiponto, desde que todos tenham nstreme habilitado (obviamente todos
Mikrotik).
Enable Polling: No modo Polling as transmisses das estaes so coordenadas pelo AP
evitando as colises por n escondido. No utilizado o metido CSMA/CA comum das
redes Wi-fi.
Framer Policy: Mtodo utilizado para combinar pacotes em um quadro maior e com isso
diminuir o overhead da comunicao, aumentando consequentemente a performance.
- none: no combina os pacotes
- besti-fit: coloca o maior nmero de pacotes possveis em um frame, at que o
limite estabelecido em framer-limit seja atingido. No fragmenta pacotes.
- exact-size: pe quantos pacotes for possvel em um quadro, at que o limite
estabelecido em framer-limit seja atingido, mesmo que seja necessrio fragmentar.
- dynamic-size: escolhe o melhor tamanho do quadro, dinamicamente.
Framer Limit: Tamanho mximo do quadro.
Guia Tx Power
Guia Status
Guia Traffic
Criando interfaces virtuais, podemos montar vrias redes dando perfis de servios
diferentes.
-Nstreme Dual: Cria uma interface para uso como Nstreme dual utilizando duas antenas
(uma antena para Tx (Transmisso) e outra para Rx (Recepo)).
- WPA: Mtido no padro IEEE utilizado Durante algum tempo pela indstria para evitar
problemas do WEP
- WPA2: Mtodo compatvel com 802.11i do IEEE
- PSK (Pr Shared Key): chave compartilhada entre dois dispositivos.
- EAP: Extensive Authentication Protocol
Observao: O AP ir divulgar todos os modos de autenticao marcados aqui e as
estaes escolhero o mtodo considerando mais seguro. Exemplo: WPA EAP ao invs de
WPA PSK
-Unicast Chipers
- TKIP: Protocolo de integridade de chave Temporal. Mtodo utilizado durante
algum tempo para contornar problemas da WEP (Proxim implementa como WEP Plus).
- AES CCM: Mtodo de criptografia WPA mais seguro, que utiliza algoritimo AES.
- PSK (Pr Shared Key): chave compartilhada entre dois dispositivos.
- EAP: Extensive Authentication Protocol
Referncias:
- Mikrotik Wiki - http://wiki.mikrotik.com/wiki/
dos) digitando-se diretamente na interface. Valores sugeridos de Ack-Timeout
I. MikroTik Device 1
1.1. Enabling wireless cards 1 and 2:
[admin@MikroTik] > interface enable wlan1
[admin@MikroTik] > interface enable wlan2
1.6. Creating nstreme dual interface and setting Tx and Rx radios and frequencies:
[admin@MikroTik] > interface wireless nstreme-dual add rx-radio=wlan1 txradio=wlan2
rx-band=5ghz tx-band=5ghz rx-frequency=5180 tx-frequency=5300
1.8. Checking the MAC address of the nstreme interface (in this example:
11:11:11:11:11:11):
2.6. Creating Nstreme dual interface and setting Tx and Rx radios and frequencies and
setting the MAC address of the remote nstreme interface (in this example: 11:11:11:11:11:11
[step 1.8]):
[admin@MikroTik] > interface wireless nstreme-dual add rx-radio=wlan1 txradio=wlan2
rx-band=5ghz tx-band=5ghz rx-frequency=5300 tx-frequency=5180
remotemac=11:11:11:11:11:11 disabled=no
2.8. Checking the MAC address of the nstreme interface (in this example:
22:22:22:22:22:22):
[admin@MikroTik] > interface wireless nstremedual print
Flags: X disabled, R running
RDIO 1
Crie uma interface bridge Clique no menu Bridge Clique em adicionar para que uma nova
interface bridge seja criada.
Clique no boto OK
- Clique na guia Ports Ser necessrio adicionar as portas Ether1 e Wlan1 bridge
criada
-
Clique em adicionar
Em Interface, escolha ether1
Em Bridge, escolha a bridge criada: wds-bridge
Clique no boto OK
Clique novamente em adicionar
Em Interface, escolha wlan1
Em Bridge, escolha a bridge criada: wds-bridge
Clique no boto OK
Para que haja comunicao entre os dois equipamentos, um roteador deve ser
configurado como AP (station WDS) e o outro deve ser configurado como Station