Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia Exclusivo de Referencia-Mikrotik PDF
Guia Exclusivo de Referencia-Mikrotik PDF
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Ajuda
- ?: Mostra um help para o diretrio em que se esteja
[Mikrotik] > ?
- ? Aps um comando incompleto: Mostra as opes adicionais disponveis.
[Mikrotik] > interface ?
- Navegao nos nveis de diretrio
- [Mikrotik] > interface {enter}
- [Mikrotik] interface > wireless {enter}
- [Mikrotik] interface wireless > print {enter}
- Pode-se ir diretamente com / interface wireless print
- / Para voltar na raiz
- Tecla TAB
- Comandos no precisam ser totalmente digitados, podendo ser completados
com a tecla TAB
- Havendo mais de uma opo para o j digitado, se pressionar TAB duas vezes
mostra as opes.
Comandos mais comuns
- Print:
-
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
INTERFACE WIRELESS
Boto Scan
Escaneia o meio (causa queda das conexes estabelecidas)
A Ativa
B BSS
P Protegida
R Rede Mikrotik
N Nstreme
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Boto - Align
Ferramenta de alinhamento com sinal sonoro (Colocar o MAC do AP remoto no campo Filter e
campo udio)
Obs.: Ao utilizar esta opo, a conexo estabelecida interrompida.
Rx Quality Potncia (dBm) do ltimo pacote recebido
Avg. Rx Quality Potncia mdia dos pacotes recebidos
Last Rx Tempo em segundos do ltimo pacote recebido
Tx Quality Potncia do ltimo pacote transmitido
Last Tx Tempo em segundos do ultimo pacote transmitido
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Boto Sniff
Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes
Muito til para detectar ataques do tipo deauth attack e monkey jack.
Pode ser arquivado no prprio Mikrotik ou passado por streaming para outro servidor com
protocolo TZSP
Boto Snooper
Com a ferramenta Snooper possvel monitorar a carga de trfego em cada canal, por estao
ou por rede.
Esta opo escaneia as freqncias definidas em scan-list da interface.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Guia General
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Guia Wireless
10
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
11
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
12
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Nesta tela possvel configurar as Taxas de transmisso suportadas e as Taxas Bsicas, sendo
que:
- Taxas Suportadas (Supported Rates): So todas as taxas que o carto que est
sendo configurado suporta.
- Taxas Bsicas (Basic Rates): So as taxas mnimas suportadas por todos os
dispositivos Wireless presentes na rede
Observao: recomenda-se deixar sempre as taxas bsicas no mnimo (1mbps)
13
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Guia Advanced
rea: String alfanumrica utilizada para descrever um Access Point. Os clientes comparam
esse valor com o que estiver configurado em sua rea Prefix, e se a string toda ou pelo menos
os primeiros caracteres coincidirem estabelecida a associao.
Max Station Count: Nmero mximo de estaes que podem se conectar no AP. Limite
terico de 2007.
Ack Timeout: Tempo de expirao (timeout) do pacote de confirmao de recebimento
(acknowledgment) enviado por uma estao
- dynamic: ajuste dinmico. O roteador manda pacotes variveis e em funo da
resposta procura ajustar ao timeout ideal.
- indoors: para redes indoor.
- pode ser ajustado manualmente (valor inteiro em microssegundos) digitando-se
diretamente na interface.
Valores sugeridos de Ack-Timeout
14
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Range
0Km
5Km
10Km
15Km
20Km
25Km
30Km
35Km
40Km
45Km
Chipset version
5000 (5.2Ghz only)
5211 (801.11a/b)
5212 (802.11a/b/g)
Ack-timeout
5Ghz-turbo
default
30
48
67
89
111
137
168
190
-
5Ghz
default
52
85
121
160
203
249
298
350
405
5Ghz
5Ghz-turbo
2.4Ghz-G
default
62
96
133
174
219
268
320
375
-
2Ghz-b
2Ghz-g
Default
Max
Default
Max
Default
Max
Default
Max
30
30
25
204
409
409
22
22
22
102
204
204
n/a
109
30
n/a
409
409
n/a
n/a
52
n/a
n/a
409
15
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
em
segundos
acima
do
qual
um
cliente
considerado
On Fail Retry Time: Intervalo de tempo aps o qual repetida a comunicao para um
dispositivo wireless cuja comunicao tenha falhado.
Default: 100ms
Update Stats Interval: Periodicidade de atualizao das estatsticas da interface.
Default = 10s
Guia WDS
16
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
WDS Mode: Neste modo de operao todos os APs tem que estar configurados com o mesmo
nome de rede e utilizando o mesmo canal. Alm da comunicao entre APs, o WDS permite
que se conectem em qualquer dos APs estaes wireless
- disabled: WDS desabilitado
- static: As estaes WDS ficam atreladas umas s outras de forma esttica, com cada
uma referenciando o MAC de sua parceria.
- dynamic: Uma vez estabelecido o enlace, a rede WDS criada automtica e
dinamicamente.
Quando em modo dinmico, um dispositivo perde o link, a interface dinmica desaparece e se
h algum endereo IP configurado nessa interface, o estado desta mudado para unknown.
Quando o link volta esse estado no muda permanecendo unknown. Por isso no se
aconselha a colocar IPs em interfaces WDS dinmicas. Ao invs disso, utilize a default bridge
para permitir que quando o link volte interface, seja colocada automaticamente na Bridge.
Tendo em vista que WDS pressupe mesmo canal em todos os APs, fica incompatvel o uso de
DFS.
WDS Default Bridge: Uma vez criada uma Bridge em /interface bridge add, os APs
configurados em WDS podem fazer parte desta, bastando indicar neste combo. Para WDS
dinmico recomendvel que todas as interfaces estejam sobre a mesma Bridge.
WDS Default Cost: No caso de redes malhadas (Mesh) feitas com WDS podem-se definir
custos diferentes para diversos trajetos, dando preferncias a determinadas rotas de forma
manual.
WDS Cost Range: Indicao da faixa de custos que sero empregados na rede Mesh.
WDS Ignore SSID: Uma vez habilitada essa opo, os APs iro criar links com qualquer outro
AP que esteja configurado na mesma freqncia, independente do SSID configurado nas
mesmas.
Default = No.
17
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Guia Nstreme
Nstreme um protocolo proprietrio Mikrotik (no 802.11) que tem por objetivo estabelecer
links de desempenho melhorado quando comparado ao padro Wi-fi Normal. Destinado
principalmente a links ponto-a-ponto, mas podendo, tambm, ser utilizado em ambientes
multiponto, desde que todos tenham nstreme habilitado (obviamente todos Mikrotik).
Enable Polling: No modo Polling as transmisses das estaes so coordenadas pelo AP
evitando as colises por n escondido. No utilizado o metido CSMA/CA comum das redes
Wi-fi.
Framer Policy: Mtodo utilizado para combinar pacotes em um quadro maior e com isso
diminuir o overhead da comunicao, aumentando consequentemente a performance.
- none: no combina os pacotes
- besti-fit: coloca o maior nmero de pacotes possveis em um frame, at que o limite
estabelecido em framer-limit seja atingido. No fragmenta pacotes.
- exact-size: pe quantos pacotes for possvel em um quadro, at que o limite
estabelecido em framer-limit seja atingido, mesmo que seja necessrio fragmentar.
- dynamic-size: escolhe o melhor tamanho do quadro, dinamicamente.
Framer Limit: Tamanho mximo do quadro.
Default = 3200 bytes
18
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Guia Tx Power
Tx Power Mode: Interface utilizada para configurar a potncia de transmisso valores de 30dBm a 30dBm
Default = 17dBm
- All-rates-fixed: utiliza a mesma potncia configurada em Tx Power para todas as
velocidades.
- Card-rates: utiliza as velocidades prprias dos firmwares dos cartes
- Default: utiliza a potncia default (17dBm)
- Manual-table: permite a configurao de diversas potncias em funo da taxa de
transmisso.
Observao: A possibilidade de alterar a potncia do carto normalmente utilizada
para diminuir a potncia nominal do mesmo e no aumenta-la
19
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Guia Status
20
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Guia Traffic
21
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
22
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Nstreme Dual: Cria uma interface para uso como Nstreme dual utilizando duas antenas
(uma antena para Tx (Transmisso) e outra para Rx (Recepo)).
23
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
O Access List utilizado pelo Access Point para restringir associaes de clientes. Esta lista
contm os endereos MAC de clientes e determina qual a ao deve ser tomada quando um
cliente tenta conectar. A comunicao entre clientes da mesma interface, virtual ou real,
tambm controlada nos Access List.
O processo de associao ocorre da seguinte forma:
- Um cliente tenta se associar a uma interface WlanX
- Seu MAC procurado no Access List da interface WlanX
- Caso encontrada a ao especificada ser tomada:
- Authentication marcado: deixa o cliente se autenticar
- Forwarding marcado, o cliente se comunica com outros
-
24
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Na tabela Security Profiles so definidos os perfis de segurana da parte Wireless que poder
ser utilizados no RouterOS.
- Name: Nome que aparecer em outras telas, referenciando esse perfil.
- Mode: Modo de operao
- dynamic keys: gera chaves dinmicas
- static-keys-required: criptografia todos os pacotes e somente aceita pacotes
criptografados.
- static-keys-optional: se existe uma chave privada esttica de estao (static-staprivate-key), esta ser utilizada. Caso contrrio, estando a estao no modo AP, no ser
utilizada criptografia e em modo estao usar se estiver setada a static-transmit-key.
- Authentication Types
Evoluo dos padres de Segurana wireless
+ SEGURANA
- WPA: Mtido no padro IEEE utilizado surante algum tempo pela indstria para evitar
problemas do WEP
- WPA2: Mtodo compatvel com 802.11i do IEEE
- PSK (Pr Shared Key): chave compartilhada entre dois dispositivos.
- EAP: Extensive Authentication Protocol
Observao: O AP ir divulgar todos os modos de autenticao marcados aqui e as
estaes escolhero o mtodo considerando mais seguro.
Exemplo: WPA EAP ao invs de WPA PSK
25
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Unicast Chipers
- TKIP: Protocolo de integridade de chave Temporal. Mtodo utilizado durante algum
tempo para contornar problemas da WEP (Proxim implementa como WEP Plus).
- AES CCM: Mtodo de criptografia WPA mais seguro, que utiliza algoritimo AES.
- PSK (Pr Shared Key): chave compartilhada entre dois dispositivos.
- EAP: Extensive Authentication Protocol
Observao: O AP ir divulgar todos os modos de autenticao marcados aqui e as
estaes escolhero o mtodo considerando mais seguro.
Exemplo: WPA EAP ao invs de WPA PSK
- Mtodos EAP
26
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
27
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
AP-BRIDGE
Bridge ou ponte, um dispositivo que liga duas redes que usam protocolos distintos, ou dois
segmentos da mesma rede que usam o mesmo protocolo, por exemplo ethernet ou token ring.
Uma bridge ignora os protocolos utilizados nos dois segmentos que liga, j que opera a um
nvel muito baixo do modelo OSI (nvel 2); somente envia dados de acordo com o endereo do
pacote. Este endereo no o endereo IP (internet protocol) mas o MAC (media access
control) que nico para cada placa de rede. Os nicos dados que so permitidos atravessar
uma bridge so dados destinados a endereos vlidos no outro lado da ponte. Desta forma
possvel utilizar uma bridge para manter um segmento da rede livre dos dados que pertencem
a um outro segmento.
Configurando AP-Bridge no Mikrotik:
- Clique no menu Interfaces.
- Clique na interface Wlan desejada e clique no boto Habilitar
28
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Radio Name: Coloque nessa opo o nome que voc deseja que o Rdio tenha na
Mode: AP Bridge
Band: Escolha a Banda de Operao desejada
Frequency: Canal de operao do equipamento
no boto OK
29
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
50mW (default)
=
63mW
=
100mW
=
150mW
=
200mW
=
250mW
=
316mW
=
400mW
Obs: Verifique a potncia mxima permitida para o carto utilizado antes de fazer a alterao.
30
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
31
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
32
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
33
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no menu IP
- Clique na opo Addresses
34
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Bits
30
29
28
27
26
25
24
23
22
21
20
19
18
17
16
15
14
13
12
11
10
9
8
Common Use
2 Host Subnet
6 Host Subnet
14 Host Subnet
30 Host Subnet
32 Host Subnet
126 Host Subnet
254 Host Net/Subnet
510 Host Subnet
1.022 Host Subnet
2.046 Host Subnet
4.094 Host Subnet
8.190 Host Subnet
16.382 Host Subnet
32.766 Host Subnet
65.534 Host Net/Subnet
131.070 Host Subnet
262.142 Host Subnet
524.286 Host Subnet
1.048.574 Host Subnet
2.097.150 Host Subnet
4.194.302 Host Subnet
8.388.606 Host Subnet
16.777.214 Host Subnet
35
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
36
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
37
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
RDIO 1
Crie uma interface bridge
Clique no menu Bridge
Clique em adicionar para que uma nova interface bridge seja criada.
38
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Clique no boto OK
39
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
40
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
Para que haja comunicao entre os dois equipamentos, um roteador deve ser configurado
como AP (station WDS) e o outro deve ser configurado como Station
41
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
42
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
43
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em adicionar
- Escolha a opo WDS
- Em Master Interface, escolha a opo wlan1
- Clique no boto OK
44
45
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
46
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
RDIO 2
Para a configurao do outro ponto (bridge), configure como abaixo:
- Crie uma interface bridge
- Clique no menu Bridge
- Clique em adicionar para que uma nova interface bridge seja criada.
47
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
48
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
49
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
Para que haja comunicao entre os dois equipamentos, um roteador deve ser configurado
como AP (station WDS) e o outro deve ser configurado como Station
50
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
51
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
52
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Clique no menu IP
Clique na opo Addresses
Clique em adicionar
Digite o IP 10.0.0.216/24
Em Interface, escolha a bridge criada (wds-bridge)
- Clique no boto OK
A configurao est completa.
53
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
54
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
55
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
56
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
57
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
58
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
59
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
60
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
61
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
62
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
63
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Clique na
Na opo
Na opo
Clique no
guia Action
Action, escolha a opo mark packet
New Packet Mark, digite um nome para a marcao dos pacotes
boto OK
64
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
QUEUE
- Clique no menu Queue
- Clique na guia Queue Tree
- Clique em Adicionar
- Na guia General, na opo Name, digite um nome para a regra
- Na opo Parent, escolha a opo global-in
- Na opo Packet Mark, escolha a marcao dos pacotes criada anteriormente
- Na opo Queue Type, escolha a opo default
- Na opo Priority, permanea com o nmero 8
- Na opo Max Limit, digite o limite mximo permitido (utilize k (minsculo) ou M
(maisculo) aps sua opo)
- Clique no boto OK
65
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
66
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Conforme imagem acima, usaremos duas interfaces wireless (duas antenas) no router
repetidor. Os links WDS sero estabelecidos entre o 'Main gateway' e o 'repetidor ', e entre o
repetidor' e o 'AP1' (os usurios finais so conectados na omni do AP1).
CASO 2
Conforme esta outra imagem, usaremos duas interfaces wireless (duas antenas) no router
repetidor. Os links WDS sero estabelecidos entre o 'Main gateway' e o 'repetidor ', e entre o
repetidor' e o 'AP1', sendo que os usurios finais podero se conectar na antena omni da
repetidora e na antena omni do AP1.
67
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
68
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
69
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
70
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
71
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
72
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
73
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
74
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
75
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo wlan1
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
76
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo wds1
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
77
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
78
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Address, digite um IP para o seu primeiro equipamento, em nosso caso: 192.168.0.1/24
- Em Interface, escolha a opo bridge1
- Clique no boto OK
79
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
80
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
81
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
82
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
83
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
84
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
85
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Configure a interface wireless wlan2, dando um clique duplo nela no menu Interface.
- Clique na guia Wireless
- Em Radio Name, digite um nome para identificao da interface;
- Em Mode, escolha a opo bridge;
- Em SSID, digite um nome para identificao da interface na Rede;
- Em Band, escolha a banda desejada, em nosso caso: 2.4Ghz-B/G (a mesma banda escolhida
na interface do Equipamento AP1);
- Em Frequency, escolha o canal que melhor lhe convier (o mesmo canal escolhido na interface
do Equipamento AP1).
- Clique no boto OK
Para permitir que usurios finais se conectem a esta interface (utilizando antena omni ou
setorial, por exemplo, de acordo com o CASO 2 no incio deste manual) em Mode, escolha a
opo ap-bridge.
86
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
87
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
88
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
89
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
90
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
91
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo wlan1
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
92
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo wlan2
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
93
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo wds1
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
94
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo wds2
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
95
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
96
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Address, digite um IP para o seu primeiro equipamento, em nosso caso: 192.168.0.2/24
- Em Interface, escolha a opo bridge1
- Clique no boto OK
97
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
98
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
99
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
100
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
101
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
102
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
103
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Configure a interface wireless wlan2, dando um clique duplo nela no menu Interface.
- Clique na guia Wireless
- Em Radio Name, digite um nome para identificao da interface;
- Em Mode, escolha a opo ap bridge;
- Em SSID, digite um nome para identificao da interface na Rede;
- Em Band, escolha a banda desejada, em nosso caso: 2.4Ghz-B/G;
- Em Frequency, escolha o canal que melhor lhe convier;
104
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
105
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
106
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo wlan1
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
107
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo wlan2
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
108
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo wds1
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
109
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
110
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Clique em Adicionar
- Em Address, digite um IP para o seu primeiro equipamento, em nosso caso: 192.168.0.3/24
- Em Interface, escolha a opo bridge1
- Clique no boto OK
111
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
NAT
Em redes de computadores, NAT, Network Address Translation, tambm conhecido como
masquerading uma tcnica que consiste em reescrever os endereos IP de origem de um
pacote que passam sobre um roteador ou firewall de maneira que um computador de uma
rede interna tenha acesso ao exterior (rede pblica). Exemplo:
A estao com IP 192.168.1.13 faz uma requisio, por exemplo, para um endereo externo.
O pacote sai com o IP da estao e corre em direo ao intermediador entre ambiente interno
e externo, o gateway. O gateway, atravs do protocolo NAT mascara o IP da estao com seu
IP (200.158.112.126 - que vlido na internet) assim fazendo com que o pacote seja
entregue no destino solicitado pela estao. No retorno do pacote, ele parte do endereo
externo, chega a nossa rede no servidor NAT (200.158.112.126) e l volta ater o IP da
estao assim chegando estao (192.168.1.13).
Esta foi uma medida de reao face previso da exausto do espao de endereamento IP, e
rapidamente adaptada para redes privadas tambm por questes econmicas (no incio da
Internet os endereos IP alugavam-se, quer individualmente quer por classes/grupos).
Um computador atrs de um roteador gateway NAT tem um endereo IP dentro de uma gama
especial, prpria para redes internas. Como tal, ao aceder ao exterior, o gateway seria capaz
de encaminhar os seus pacotes para o destino, embora a resposta nunca chegasse, uma vez
que os roteadores entre a comunicao no saberiam reencaminhar a resposta (imagine-se
que um desses roteadores estava includo em outra rede privada que, por ventura, usava o
mesmo espao de endereamento). Duas situaes poderiam ocorrer: ou o pacote seria
indefinidamente (1) reencaminhado, ou seria encaminhado para uma rede errada e jogado fora.
(1)
112
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no menu IP
- Clique na opo Firewall
113
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
114
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
- Clique no boto OK
115
116
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
117
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
118
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
119
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
120
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto Ok
121
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
122
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Na guia General, na opo Chain, escolha a opo forward
- Na opo P2P, escolha a opo all-P2P
123
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
- Clique no boto OK
124
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Criando Scripts
125
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Clique em Adicionar
No campo Name, digite: Liberar_P2P
Na opo Policy, desative a opo password
No campo Source, digite o seguinte script:
- Clique no boto OK
126
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
127
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Se voc clicar no Script Liberar_P2P e clicar no boto Run Script, de acordo com o script,
a regra do firewall ficar desabilitada.
128
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Se voc clicar no Script Parar_P2P e clicar no boto Run Script, de acordo com o script, a
regra do firewall ficar habilitada.
129
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
130
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
131
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
RESTAURANDO O BACKUP
- Selecione o arquivo com a extenso .backup e clique no boto Restore
132
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
ATRELANDO IP AO MAC
- Clique no menu IP
- Clique na opo ARP
133
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Na opo IP Address, digite o IP do cliente
- Na opo MAC Address, digite o MAC do cliente
- Na opo Interface, escolha a interface na qual o cliente ir se conectar.
- Clique no boto Comment e digite algo para identificar a entrada (por exemplo: nome do
cliente)
- Clique no boto OK
- Clique no boto OK
134
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
135
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
HOTSPOT
Hotspot um termo utilizado para se referir a uma rea pblica onde est disponvel um
servio de acesso a Internet, normalmente atravs de uma rede sem fio Wi-Fi. Aplicaes
tpicas incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc.
O conceito Hotspot pode ser usado, no entanto, para dar acesso controlado a uma rede
qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha.
Quando em uma rea coberta por um Hotspot, um usurio que possua um Laptop e tente
navegar pela WEB arremetido para uma pgina do Hotspot que pede suas credenciais,
normalmente usurio e senha. Ao fornec-las e sendo um cliente autorizado pelo Hotspot o
usurio ganha acesso internet, podendo sua atividade ser controlada e bilhetada.
Considerando a estrutura da imagem abaixo:
136
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
137
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
138
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
50mW (default)
=
63mW
=
100mW
=
150mW
=
200mW
=
250mW
=
316mW
=
400mW
Obs: Verifique a potncia mxima permitida para o carto utilizado antes de fazer a alterao.
139
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
140
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
141
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- No campo Gateway, digite o IP do servidor Gateway.
- Clique no boto OK
142
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Se voc possuir um Certificado de Segurana, faa a transferncia dele para o Mikrotik atravs
de FTP, utilizando qualquer cliente de FTP:
O QUE SSL?
SSL ( Secure Sockets Layer) uma tecnologia de segurana que comumente
utilizada para codificar os dados trafegados entre o computador do usurio e o um
website. O protocolo SSL, atravs de um processo de criptografia dos dados,
previne que os dados trafegados possam ser capturados, ou mesmo alterados no
seu curso entre o navegador (browser) do usurio e o site com o qual ele est se
relacionando, garantindo desta forma informaes sigilosas como login e senha,
neste nosso caso.
Uma sugesto: Pode-se contratar um Certificado de Segurana atravs do site:
http://www.laniway.com.br/br/corporativo/certificado.do;jsessionid=441CFD641B6F
5981DE6594BF96E3D5FD
143
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Clique no
Clique no
Na opo
Na opo
Clique no
menu Certificate
boto Import
Only File, escolha o Certificado que voc transferiu anteriormente.
Passphrase, digite a senha do seu Certificado
boto Import
144
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
145
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no menu IP
- Clique na opo Hotspot
146
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
147
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
148
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- No campo Address Pool of Network aparecer o pool dos IPs que sero distribudos aos
clientes. Em nosso exemplo, sugerido pelo Mikrotik o pool: 192.168.0.2-192.168.0.249
- Clique no boto Next
149
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
150
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
151
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
152
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Na opo DNS Name, D o nome do DNS (aparecer no Browser dos clientes ao invs do
IP).
- Clique no boto Next
153
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
154
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
DETALHES DA CONFIGURAO
155
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
156
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Login By
- MAC
- Tenta usar o MAC dos clientes primeiro como nome de usurio. Se existir na
tabela de usurios local ou em um Radius, o cliente liberado sem login/senha;
- HTTP CHAP - Usa mtodo CHAP Mtodo criptografado;
- HTTP PAP
- Usa autenticao como texto plano pode ser sniffado facilmente;
- Cookie
- Usa http cookies para autenticar sem pedir as credenciais. Se o cliente ainda
no tiver um cookie ou tiver expirado, usa outro mtodo;
- HTTPS
- Usa tnel SSL criptografado. Para isso funcionar, um certificado vlido deve
ser importado para o roteador.
- Trial
- No requer autenticao por um certo perodo de tempo.
HTTP Cookie Lifetime: tempo de vida dos Cookies
Split User Domain: corta o domnio do usurio no caso de usurio@dominio.com.br
157
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Location ID
Pode ser atribudo aqui ou no servidor Radius Normalmente deixar em branco
- Location Name
Pode ser atribudo aqui ou no servidor Radius Normalmente deixar em branco
- Accounting
Se habilitado, faz a bilhetagem dos usurios, com histrico de logins, desconexes, etc.
- Interim Update
Freqncia de envio de informaes de accounting (segundos)
0 assim que ocorre o evento
(Gera trfego Interessante que coloque 30 ou 60s)
- NAS Port Type
Wireless, Ethernet ou Cabo
158
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
159
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Com a opo Advertise possvel enviar, de tempos em tempos, pop-ups para os usurios do
Hotspot
- Advertise URL
Lista das pginas que sero anunciadas. A lista cclica, ou seja, quando a ltima mostrada,
comea-se novamente pela primeira.
- Advertise Interval
Intervalos de exibio dos pop-ups. Depois da seqncia terminada, usa sempre o ltimo
intervalo. No exemplo, so mostradas a cada 15 minutos, 2 vezes e depois a cada 30 minutos
- Advertise Timeout
Quanto tempo deve esperar para o anncio ser mostrado, antes de bloquear o acesso rede
com o Walled-Garden
- pode ser configurado um tempo (default = 1 minuto)
- nunca bloquear
- bloquear imediatamente
160
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem
executados em alguma situao especfica
No hotspot possvel criar scripts que executem comandos a medida que um usurio desse
perfil se conecta ou se desconecta do Hotspot
161
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Devemos, agora, cadastrar os usurios que tero permisso para se conectar ao Hotspot.
- Em Hotspot, clique na guia Users
- Clique em Adicionar
- Clique na guia General
- Campo Server: all para todos os hotspots configurados ou para um especfico.
- Campo Name: Nome do usurio (login). No caso de autenticao por MAC, o MAC
pode ser adicionado como username (sem senha)
- Campo Password: para digitar a senha
- Campo Address: Caso queira vincular esse usurio a um endereo fixo
- Campo MAC Address: caso queira vincular esse usurio a um MAC determinado
- Campo Profile: Perfil de onde esse usurio herda as propriedades
- Campo Routes: Rota que ser adicionada ao cliente quando esse se conectar. Sintaxe
de destino gateway mtrica. Vrias rotas podem ser adicionadas separadas por vrgula.
162
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Se um usurio tem o endereo IP especificado, somente poder haver 01 (um) logado. Caso
outro entre com o mesmo usurio/senha, o primeiro ser desconectado.
163
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
164
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
165
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
PERSONALIZANDO O HOTSPOT
As pginas do Hotspot so totalmente configurveis e podem ser editadas em qualquer editor
HTML, sendo posteriormente atualizadas no Mikrotik.
Alm disso, possvel criar conjuntos totalmente diferentes das pginas do Hotspot para
vrios perfis de usurios especificando diferentes diretrios html raiz na opo html-directory
em Hotspot Profile.
Essa possibilidade, associada a criao de Aps virtuais possibilita que, em uma mesma rea
pblica o detentor de infra-estrutura possa, de forma transparente, servir a vrios operadores,
utilizando os mesmos equipamentos.
166
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Voc pode redirecionar todo o trfego atravs de seu Router para o seu prprio Servidor de Email.
- Clique no Menu IP
- Clique na opo Firewall
167
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
168
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Clique na
Na opo
Na opo
Na opo
Clique no
guia Action
Action, escolha a opo dst-nat
To Addresses, digite o IP do servidor de email
To Ports, digite a porta SMTP, 25.
boto OK
169
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Referncias:
- Mikrotik Wiki - http://wiki.mikrotik.com/wiki/
- Apostila Curso Router-OS Mikrotik Wlan Brasil
- Certificado SSL - http://www.laniway.com.br
Cpia autorizada: Marcelo Carvalho - MACNet (AWS)
170