Você está na página 1de 263

Treinamento oficial

MikroTik
Mdulo MTCNA
(MikroTik Certified Network Associate)

Mdulos MikroTik

1- Introduo

Agenda
Treinamento das 08:30hs s 18:30hs
Coffe break as 16:00hs
Almoo as 12:30hs 1 hora de durao

1- Introduo

Agenda
Contedo do MTCNA:
Configurao bsica;
Gerencia de redes;
Bridges
Roteamento esttico;
Wireless;
Firewall;
QoS e Controle de banda;
Tneis e VPNs.

1- Introduo

Contedo bnus:
Reviso TCP/IP;
Load Balance;
Failover;
Introduo ao OSPF;
Hotspot;
Web Proxy.

Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.

Evite conversas paralelas.


Deixe habilitado somente a interface ethernet de
seu computador.

1- Introduo

Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.

1- Introduo

Objetivos do curso
Abordar todos os tpicos necessrios para o
exame de certificao MTCNA.
Prover um viso geral sobre o MikroTik
RouterOS e as RouterBoards.
Fazer uma abordagem simples e objetiva com
a maioria das ferramentas que o MikroTik
RouterOS dispe para prover boas solues.

1- Introduo

Onde est a MikroTik ?

MikroTik(MK): Empresa
Roterboard(RB):Hardware
RouterOS(ROS): Software
1- Introduo

Oque so Routerboards?

Hardware criado pela MikroTik.


Atende desde usurios domsticos at grandes empresas.
Hardware relativamente barato se comparado com outros fabricantes.
Possui atualmente mais de 100 modelos de Roteadores e Switchs.
Veja abaixo algum modelos.

Uso domstico e Soho


Wireless integrado

Empresas de mdio porte

RB 951

Empresas de mdio porte


Wireless integrado

RB 951G

RB 750r2

Empresas de mdio porte


Montvel e Rack

RB 2011

Grandes empresas
72 ncleos de processamento

RB 2011
CCR 1072

Nomenclatura das routerboards


Serie 400

RB 450

0 ou nenhuma wireless

5 interfaces ethernet

3 slots p/ wireless
Serie 400

RB 433
3 interfaces ethernet
1- Introduo

10

RouterOS
RouterOS alm de estar disponvel para Routerboards
tambm pode ser instalado em hardware x86.
RouterOS o sistema operacional das Routerboards e que
pode ser configurado como:
Roteador
Controlador de contedo (Web-proxy)
Controlador de banda (Queues)
Controlador de fluxo para QoS(Firewall mangle + Queues)
Firewall (camada 2,3 e 7)
Access Point wireless 802.11a/b/g/n (o hardware deve possuir
wlan)
Outros

1- Introduo

11

Winbox
Winbox uma utilitrio usado para acessar o
RouterOS via MAC ou IP.
Usurio padro admin e senha vazio.

1- Introduo

12

Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso voc no tenha o utilitrio winbox no seu
computador faa o seguinte:
Altere seu computador para Obter endereo IP
automaticamente.
Abra o navegador e digite 192.168.88.1.
No menu a esquerda clique na ultima opo (logout).
Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.

1- Introduo

13

Resetando seu router


Abra o winbox clique em
Clique no endereo MAC ou IP.
No campo Login coloque admin.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em New Terminal.
Com terminal aberto digite:
system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.

1- Introduo

14

Diagrama da rede

Lembre-se de seu nmero: XY


1- Introduo

15

Identificando seu roteador

1- Introduo

16

Configurao bsica
Conectando seu router a um ponto de acesso
Configurando endereo de IP
Configurando mascara de sub-rede
Configurando DNS
Configurando Gateway (rota default)
Configurando seu computador
Realizando testes de conectividade

1- Introduo

17

Renomeando suas interfaces


Renomeie suas interface conforme a imagem
abaixo.

1- Introduo

18

Conectando seu router a um ponto de


acesso
Configurao da interface wireless

1- Introduo

19

Configurando IP na interface de WAN


Adicione os IP na interface de WAN

1- Introduo

20

Teste de conectividade
1) Pingar a partir da Routerboard o seguinte IP: 172.25.X.254
2) Pingar a partir da Routerboard o IP de WAN dos integrantes
de seu grupo.
3) Pingar a partir da Routerboard o IP de WAN dos integrantes
de outro grupo.
4) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8

1- Introduo

21

Configurao do roteador
Adicione a rota padro

1- Introduo

22

Teste de conectividade
1) Pingar a partir da Routerboard o IP de WAN dos integrantes
de outro grupo.
2) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8
3) Pingar a partir da Routerboard o seguinte endereo: uol.com

1- Introduo

23

Configurao do roteador
Adicione o servidor DNS

Teste novamente o ping para: uol.com


Quando voc checa a opo Alow remote requests, voc est
habilitando seu router como um servidor de DNS.
1- Introduo

24

Configurando IP na interface de LAN


Adicione os IP na interface de LAN

1- Introduo

25

Configure seu Notebook

1- Introduo

26

Teste de conectividade
1) Pingar a partir do notebook o seguinte IP: 10.X.Y.1
2) Pingar a partir do notebook o seguinte IP: 8.8.8.8
3) Pingar a partir do notebook o seguinte endereo: uol.com
4) Analisar os resultados.

1- Introduo

27

Adicionando uma regra de source nat


Adicionar uma regra de NAT, mascarando as
requisies que saem pela interface wlan1.

1- Introduo

28

Teste de conectividade
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Aps a confirmao de que tudo est
funcionando, faa o backup da routerboard e
armazene-o no notebook. Ele ser usado ao
longo do treinamento.

1- Introduo

29

Faa um backup
Clique no menu Files e depois em Backup para salvar
sua configuraes.
Arraste o arquivo que foi gerado para seu computador.

1- Introduo

30

Instalao do RouterOS
Porque importante saber instalar o
RouterOS?
Necessrio quando se deseja utilizar um hardware prprio.
Assim como qualquer S.O. o RouterOS tambm pode
corromper o setor de inicializao (geralmente causado por
picos eltricos).

Necessrio quando se perde o usurio e senha de acesso ao


sistema.
1- Introduo

31

Instalao do RouterOS
Assim como qualquer sistema operacional o RouterOS precisa
ser instalado(em routerboards j vem instalado por padro) ,
as duas principais maneiras de instalar o ROS so:

ISO botvel (imagem)


Via rede utilizando o Netinstall

1- Introduo

32

Download
http://www.mikrotik.com/download

1- Introduo

33

Download
No link acima voc pode fazer o download das imagens ISO ou
do arquivo contendo todos os pacotes.
Sempre ao fazer o download fique atento a arquitetura de
hardware (mipsbe, mipsle,x86).
Obs: Nunca instale verses de teste em roteadores em
produo sempre selecione verses estveis.

1- Introduo

34

Instalando pela ISO


Em caso de voc estar utilizando uma maquina fsica grave a
ISO em um CD e ajuste a sequencia de boot para CD/DVD.

1- Introduo

35

Instalando via netinstall em


routerboards
Para instalar o RouterOS em uma Routerboard, inicialmente
temos que acessar a routerboard via interface serial e alterar a
sequencia de inicializao para ethernet (placa de rede).

Caso a Routerboard no possua interface serial a sequencia de


inicializao poder ser alterada segurando o boto de reset.
Veja abaixo.

Dica
O boto de reset tem duas funes:

1 - Resetar a configurao de fabrica


Mantenha o boto pressionando durante o boot at os LEDs comearem a
piscar(solte o boto assim que o LED comear a piscar)
2 - Alterar sequencia de boot para instalao via NetInstall
Mantenha o boto pressionando durante o boot por um tempo maior at os LEDs
pararem de piscar ento solte o boto e use o manual de instalao via NetInstall

1- Introduo

36

Pacotes do RouterOS
System: Pacote principal contendo os servios bsicos e drivers. A rigor o nico
que obrigatrio.
PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente, Relay e Servidor DHCP.
Advanced-tools: Ferramentas de diagnstico, netwatch e outros utilitrios.
HotSpot: Suporte a HotSpot.
NTP: Servidor de horrio oficial mundial.
IPv6: Suporte a endereamento IPv6
MPLS: Suporte a MPLS
Routing: Suporte a roteamento dinmico.
Security : IPSEC, SSH, Secure WinBox.
Dica
-

No possvel adicionar drivers ou qualquer outro tipo de pacote que no seja criado diretamente pela MikroTik.

1- Introduo

37

Lista completa de pacotes do RouterOS


Package
advanced-tools (mipsle, mipsbe, ppc,
x86)
calea (mipsle, mipsbe, ppc, x86)

dhcp (mipsle, mipsbe, ppc, x86)

Features
advanced ping tools. netwatch, ip-scan, sms tool, wakeon-LAN
data gathering tool for specific use due to
"Communications Assistance for Law Enforcement Act" in
USA
Dynamic Host Control Protocol client and server

gps (mipsle, mipsbe, ppc, x86)


hotspot (mipsle, mipsbe, ppc, x86)

Global Positioning System devices support


HotSpot user management

ipv6 (mipsle, mipsbe, ppc, x86)

IPv6 addressing support

mpls (mipsle, mipsbe, ppc, x86)

Multi Protocol Labels Switching support

multicast (mipsle, mipsbe, ppc, x86)

Protocol Independent Multicast Sparse Mode; Internet Group Managing Protocol - Proxy

ntp (mipsle, mipsbe, ppc, x86)


ppp (mipsle, mipsbe, ppc, x86)

Network protocol client and service


MlPPP client, PPP, PPTP, L2TP, PPPoE, ISDN PPP clients
and servers
routerboard (mipsle, mipsbe, ppc, x86) accessing and managing RouterBOOT. RouterBOARD
specific imformation.
routing (mipsle, mipsbe, ppc, x86)
dynamic routing protocols like RIP, BGP, OSPF and routing
utilities like BFD, filters for routes.
security (mipsle, mipsbe, ppc, x86)

IPSEC, SSH, Secure WinBox

system (mipsle, mipsbe, ppc, x86)

basic router features like static routing, ip addresses,


sNTP, telnet, API, queues, firewall, web proxy, DNS
cache, TFTP, IP pool, SNMP, packet sniffer, e-mail send
tool, graphing, bandwidth-test,
torch, EoIP, IPIP,bridging, VLAN, VRRP etc.). Also, for
RouterBOARD platform - MetaROUTER | Virtualization

ups (mipsle, mipsbe, ppc, x86)


user-manager (mipsle, mipsbe, ppc, x86)
wireless (mipsle, mipsbe, ppc, x86)
arlan (x86)
isdn (x86)
lcd (x86)
radiolan (x86)
synchronous (x86)
xen ( discontinued x86)
kvm (x86)
routeros-mipsle (mipsle)

routeros-mipsbe (mipsbe)

routeros-powerpc (ppc)

routeros-x86 (x86)

mpls-test (mipsle, mipsbe, ppc, x86)


routing-test (mipsle, mipsbe, ppc, x86)

APC ups
MikroTik User Manager
wireless interface support
legacy Aironet Arlan support
ISDN support
LCD panel support
RadioLan cards support
FarSync support
XEN Virtualization
KVM Virtualization
combined package for mipsle (RB100,
RB500) (includes system, hotspot, wireless,
ppp, security, mpls, advanced-tools, dhcp,
routerboard, ipv6, routing)
combined package for mipsbe (RB400)
(includes system, hotspot, wireless, ppp,
security, mpls, advanced-tools, dhcp,
routerboard, ipv6, routing)
combined package for powerpc (RB300,
RB600, RB1000) (includes system, hotspot,
wireless, ppp, security, mpls, advanced-tools,
dhcp, routerboard, ipv6, routing)
combined package for x86 (Intel/AMD PC,
RB230) (includes system, hotspot, wireless,
ppp, security, mpls, advanced-tools, dhcp,
routerboard, ipv6, routing)
Multi Protocol Labels Switching support
improvements
routing protocols (RIP, OSPF, BGP)
improvements

http://wiki.mikrotik.com/wiki/Manual:System/Packages
1- Introduo

38

Gerenciando pacotes
Voc pode habilitar e desabilitar pacotes em:

1- Introduo

39

Mac-telnet

1- Introduo

40

MNDP
MikroTik Neighbor Discovery protocol
Protocolo para descoberta de vizinhos.

1- Introduo

41

Outros modos de acesso


Aps configurar um endereo de IP no
RouterOS existem outros modos de acesso.
SSH
FTP
Telnet
Web

1- Introduo

42

SSH e telnet

1- Introduo

43

FTP
Usado para transferir arquivos.

1- Introduo

44

WEB
O acesso via web traz quase todas as funes
existentes no winbox.

1- Introduo

45

Upgrade do RouterOS
Faa download de Upgrade package (.npk).
Arraste para dentro de Files no winbox e
reinicie seu router.

1- Introduo

46

Atualizando a RB
Faa download do pacote .npk.
Envie o pacote para sua Routerboard
usando o winbox ou via FTP.
Reinicie o roteador.
Confira se a nova verso foi instalada.
Novas verses esto disponveis no site.
http://www.mikrotik.com/download

1- Introduo

47

Atualizando a RB
Certifique se que sua routerboard tem conectivade
com a internet.
Cliquem em System=> Packages=> Check for Updates

1- Introduo

48

Upgrade de firmware
Para fazer upgrade de firmware clique em:

1- Introduo

49

Nveis de licena
O RouterOS trabalha com nveis de licena isso significa que
cada nvel lhe oferece um numero X de recursos.
A chave de licena gerada sobre um software-id fornecido
pelo sistema.
A licena fica vinculada ao HD ou Flash e/ou placa me.
A formatao com outras ferramentas muda o software-id
causa a perda da licena.

1- Introduo

50

Nveis de licena

1- Introduo

51

NTP
As routerboard no tem fonte de alimentao
interna, portanto sempre que o hardware for
desligado sistema perde a data e a hora, isso vem
a ser um grande problema quando necessrio
analisar os logs.
Para que seu equipamento fique
sempre com a data e hora correta
devemos usar o cliente NTP
(Network time protocol).
1- Introduo

52

Configurando Cliente NTP

1- Introduo

53

Ajustando fuso horrio

1- Introduo

54

Backup
Existem duas maneiras de se realizar backup do
sistema:
Backup comum = Salva todo o contedo do router em
um arquivo criptografado que no pode ser
editado(salva inclusive os usurios e senhas de login
no router).
Backup com comando export = Voc pode exportar
um backup completo ou apenas uma parte. Com esse
tipo de backup o arquivo gerado no criptografado e
pode ser aberto por qualquer editor de texto(no
exporta dados de usurios e senhas de login no
router).

1- Introduo

55

Diferena entre os dois backups


Backup comum

Criptografado

Permite colocar senha

Carrega usurios de acesso ao router

Carrega usurios PPP, hotspot e outros

Comando export

Possvel editar

Compatvel com hardware diferente

Possibilidade de exportar e importar por partes

1- Introduo

56

Backup comum

Observe que o arquivo gerado recebe o


identificao do router mais as informaes de
data e hora.
1- Introduo

57

Localizando e editando backup


Aps o comando
export file=bkp_router_XY compact
O arquivo gerado est no menu files.

Aps transferir o arquivo para


sua maquina ele poder ser
editado pelo bloco de notas.
1- Introduo

58

Backup
Faa os dois tipos de backup.
Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado

1- Introduo

59

Modo seguro
O MikroTik permite o acesso ao sistema atravs do modo seguro.
Este modo permite desfazer as configuraes modificadas caso a
sesso seja perdida de forma automtica. Para habilitar o modo
seguro pressione CTRL+X ou na parte superior clique em Safe
Mode.

1- Introduo

60

Modo seguro
Se um usurio entra em modo seguro, quando j h
um nesse modo, a seguinte mensagem ser dada:
Hijacking Safe Mode from someone unroll/release/
u: desfaz todas as configuraes anteriores feitas em modo
seguro e pe a presente sesso em modo seguro
d: deixa tudo como est
r: mantm as configuraes no modo seguro e pe a
sesso em modo seguro. O outro usurio receber a
seguinte mensagem:

Safe Mode Released by another user

1- Introduo

61

Dvidas e perguntas ?

1- Introduo

62

Modelo OSI, TCP/IP


e
protocolos
2 - OSI, TCP/IP e protocolos

63

Um pouco de historia
1962 Primeiras comunicaes em rede.
1965 Primeira comunicao WAN.
1969 Desenvolvido o TCP.
1978 Vrios padres de comunicao.
1981 Inicio de discusses sobre padronizaes.
1984 Chegada do modelo OSI
Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
2 - OSI, TCP/IP e protocolos

64

Modelo OSI vs TCP/IP


Modelo OSI

Modelo TCP/IP

Modelo usado para estudos

Modelo usado na prtica

2 - OSI, TCP/IP e protocolos

65

Um pouco mais sobre o modelo OSI


Os dados so gerados na camada de aplicao, e a partir
de ento sero encapsulados camada por camada at
chegar a camada fsica onde sero transformados em
sinais (eltricos ,luminosos etc...)
Em cada camada so adicionados cabealhos. Veja abaixo
os tipos de informaes que so imputadas em cada
cabealho.
Cabealho possui porta (TCP/UDP) de origem e destino
Cabealho possui IP de origem e destino
Cabealho possui MAC de origem e destino

2 - OSI, TCP/IP e protocolos

66

Encapsulamento

1- Introduo

67

Encapsulamento
Dados

Camada 7 aplicao - Dados

Camada 4 transporte - Portas

Camada 3 rede - IP

Camada 2 enlace - MAC

2 - OSI, TCP/IP e protocolos

68

PDU - Protocol data unit


Protocol data unit ou em portugus Unidade de
dados de protocolo em telecomunicaes
descreve um bloco de dados que transmitido
entre duas instncias da mesma camada.
Camada

PDU

4 - Camada de transporte

Segmento

3 - Camada de rede

Pacote

2 - Camada de enlace

Quadro ou trama (frame)

1 - Camada fsica

Bit

2 - OSI, TCP/IP e protocolos

69

1 - Camada fsica
A camada fsica define as caractersticas tcnicas
dos dispositivos eltricos.
nesse nvel que so definidas as especificaes
de cabeamento estruturado, fibras pticas, etc...
Banda, frequncia e potencia so grandeza que
podemos alterar diretamente na camada 1.

2 - OSI, TCP/IP e protocolos

70

2 - Camada de enlace
Camada responsvel pelo endereamento fsico, controle de acesso ao
meio e correes de erros da camada I.
Endereamento fsico se faz pelos endereos MAC (Controle de Acesso ao
Meio) que so nicos no mundo e que so atribudos aos dispositivos de
rede.

Switchs, bridges ,ethernets e PPP so exemplos de dispositivos que


trabalham em camada II.
NO separa os domnios de broadcast.
PPPoE, DHCP, ARP e outros protocolos se propagam pelo domnio de
broadcast.

2 - OSI, TCP/IP e protocolos

71

Criando uma bridge


Podemos resumir um bridge como um switch virtual.
Roteador
Bridge1

2 - OSI, TCP/IP e protocolos

wlan1

72

Adicionando interfaces na bridge

Roteador
Bridge1

2 - OSI, TCP/IP e protocolos

wlan1
73

Endereo MAC
o nico endereo fsico de um dispositivo de
rede.
usado para comunicao com a rede local.

Exemplo de endereo MAC:

00:0C:42:00:00:00
2 - OSI, TCP/IP e protocolos

74

3 - Camada de rede
Responsvel pelo endereamento lgico dos pacotes.

Determina que rota os pacotes iro seguir para atingir o destino baseado em
fatores tais como condies de trfego de rede e prioridade.
Separa domnios de broadcast.
PPPoE, DHCP, ARP e outros protocolos NO se propagam em domnio de
broadcast diferentes.

2 - OSI, TCP/IP e protocolos

75

4 - Camada de transporte
Quando no lado do remetente, responsvel por
pegar os dados das camadas superiores e dividir
em pacotes para que sejam transmitidos para a
camada de rede.
No lado do destinatrio, pega os pacotes
recebidos da camada de rede, remonta os dados
originais e os envia para camada superior.
Esto na camada IV: TCP, UDP, RTP

2 - OSI, TCP/IP e protocolos

76

Estado das conexes


possvel observar o estado das conexes no MikroTik no menu Connections
(IP=>Firewall=>Connections).
Essa tabela tambm conhecida como conntrack. Muito utilizada para analises
e debugs rpidos.

2 - OSI, TCP/IP e protocolos

77

5 - Camada de sesso
Administra e sincroniza dilogos entre dois
processos de aplicao.
Une duas entidades para um relacionamento
e mais tarde as desune. (ex. de unio:
login/autenticao e desunio: logoff).
Controla troca de dados, delimita e sincroniza
operaes em dados entre duas entidades.

2 - OSI, TCP/IP e protocolos

78

6 - Camada de apresentao
A principal funo da camada de apresentao
assegurar que a informao seja transmitida de tal
forma que possa ser entendida e usada pelo
receptor.
Este nvel pode modificar a sintaxe da mensagem,
sempre preservando sua semntica.
O nvel de apresentao tambm responsvel por
outros aspectos da representao dos dados, como
criptografia e compresso de dados.
2 - OSI, TCP/IP e protocolos

79

7 - Camada de aplicao
Muito confundem aplicao com aplicativo.
Usurio interagem com o aplicativo e o
aplicativo interage com protocolos da camada
de aplicao( HTTP, SMTP, FTP, SSH, Telnet ...).

HTTP
HTTPS
DNS

2 - OSI, TCP/IP e protocolos

80

O datagrama
Dados

Camada 7 aplicao - Dados

Dados

Camada 4 transporte - Portas

Dados

Camada 3 rede - IP

Dados

Camada 2 enlace - MAC

2 - OSI, TCP/IP e protocolos

81

Protocolos

2 - OSI, TCP/IP e protocolos

82

Endereo IP
o endereo lgico de um dispositivo de rede.

usado para comunicao entre redes.


Endereo IPv4 um numero de 32 bits divido
em 4 parte separado por pontos.
Exemplo de endereo IP: 200.200.0.1.
2 - OSI, TCP/IP e protocolos

83

Sub Rede
Como o prprio no j diz (sub rede) a uma parte de rede ou seja uma rede que foi
dividida.
O tamanho de uma sub rede determinado por sua mscara de sub rede.
O endereo de IP geralmente acompanhado da mascara de sub rede.
Com esses dois dados (Endereo IP e mascara de sub rede) podemos dimensionar onde
comea e onde termina nossa sub rede.
Exemplo de mascara de sub rede: 255.255.255.0 ou /24.
O endereo de REDE o primeiro IP da sub rede.
O endereo de BROADCAST o ltimo IP da sub rede.
Esses endereos(Rede e broadcast) so reservados e no podem ser usados.
End IP/Mas

10.1.2.3/8

10.1.2.3/16

10.1.2.3/24

End de Rede

10.0.0.0

10.1.0.0

10.1.2.0

End de Broadcast

10.255.255.255

10.1.255.255

10.1.2.255

2 - OSI, TCP/IP e protocolos

84

Protocolos - IP
Usado para identificar logicamente um host.
Possui endereos pblicos e privados.
Possui duas verses IPv4 (quase esgotado) e IPv6.

2 - OSI, TCP/IP e protocolos

85

Protocolos - ARP
ARP Address resolution protocol ou simplesmente
protocolo de resoluo de endereos.
Como o prprio nome sugere esse protocolo consegue
resolver(encontrar) o endereo MAC atravs do
endereo de IP e aps feito isto o coloca em uma
tabela.

2 - OSI, TCP/IP e protocolos

86

Como ARP funciona


Quando o dispositivo H1 precisa enviar dados para H2 que est no
mesmo segmento de rede , o dispositivo H1 precisa descobrir o
endereo MAC de H2.Ento o protocolo ARP envia uma requisio para
todos os diapositivos(MSG-01).
Ento o host que com endereo de IP apropriado(H2) responde com o
dado solicitado (MSG-02).
Ento o dispositivo H1 recebe o endereo MAC e se prepara para o
prximo passo para transmitir dados para H2.
MSG-01
Quero saber o
MAC do host
com IP
10.11.11.2

MSG-02
Sou eu e meu MAC
00:00:00:11:11:02

10.11.11.2/24
00:00:00:11:11:02

10.11.11.1/24
00:00:00:11:11:01
10.11.11.3/24
00:00:00:11:11:03

2 - OSI, TCP/IP e protocolos

87

Protocolos - UDP / TCP


UDP

TCP

Servio sem conexo; nenhuma sesso


estabelecida entre os hosts.

Servio orientado por conexo; uma sesso


estabelecida entre os hosts.

O UDP no garante ou confirma a entrega


nem sequencia os dados.

O TCP garante a entrega usando


confirmaes e entrega sequenciada dos
dados.

O UDP rpido, requer baixa sobrecarga e


pode oferecer suporte comunicao
ponto a ponto e de ponto a vrios pontos.

O TCP mais lento, requer maior


sobrecarga e pode oferecer suporte apenas
comunicao ponto a ponto.

2 - OSI, TCP/IP e protocolos

88

Protocolos - ICMP

Internet Control Message Protocol ou protocolo de


mensagens de controle da Internet usado para relatar
erros e trocar informaes de status e controle.
Geralmente usamos aplicativos que utilizam o protocolo
ICMP para sabermos se um determinado host esta
alcanvel e/ou qual a rota para aquele host(ping e
tracert).

2 - OSI, TCP/IP e protocolos

89

DHCP

2 - OSI, TCP/IP e protocolos

90

Perguntas ?

2 - OSI, TCP/IP e protocolos

91

Roteamento

6 - Roteamento

92

O que roteamento
Em termos gerais, o
roteamento o
processo de encaminhar
pacotes entre redes
conectadas.

Para redes baseadas em TCP/IP, o roteamento faz


parte do protocolo IP.
Para que o roteamento funcione ele trabalha em
combinao com outros servios de protocolo.
6 - Roteamento

93

Quando o processo roteamento utilizado?


Sempre que dois hosts em redes distintas
precisarem se comunicar, eles iro depender de
um roteador para que tal comunicao ocorra.
192.168.1.201/24

192.168.1.1/24
192.168.20.1/24

192.168.1.202/24

Exemplo 1
No necessita de roteamento

192.168.20.2/24

Exemplo 2
Necessita de roteamento

Origem

Destino

Origem

192.168.1.201

192.168.1.202

192.168.1.201

6 - Roteamento

Destino
192.168.20.2

94

Tipos de rotas

/ip route print


Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

2- Introduo ao roteamento

95

Funcionamento padro
192.168.1.1

192.168.1.200

187.15.15.134

8.8.8.8

Pacote IP
Origem

Destino

192.168.1.99

8.8.8.8

Tabela de rotas

Quando um pacote chega a


um roteador ele consulta
sua tabela de rotas para
verificar se existe uma
entrada para o destino
solititado.
6 - Roteamento

Tudo que for


destinado a:
(Dst. Address)

Encaminhe para
o roteador:
(Gateway)

0.0.0.0/0

192.168.1.1

10.10.10.0/24

192.168.4.1

10.172.0.0/23

10.172.4.1

8.8.0.0/16

10.172.5.1

96

Na tabela de rotas
Para cada encaminhamento o roteador faz um leitura
completa da tabela de rotas.
Se o roteador encontrar mais de uma rota para o destino
solicitado ele sempre ir utilizar a rota mais especifica.
Tabela de rotas

A rota defult ser utilizada


sempre que no houver uma
rota mais especifica para o
determinado destino.

6 - Roteamento

Dst. Address

Gateway

0.0.0.0/0

192.168.1.1

8.0.0.0/8

10.172.6.1

8.8.0.0/16

10.172.5.1

97

Diagrama simples para roteamento


R1

1.1.1.1/30

1.1.1.2/30

10.1.1.1/24

10.2.2.1/24

Rede 2

Rede 1

10.2.2.0/24

10.1.1.0/24
10.1.1.2/24

R2

Roteamento
6 - Roteamento

10.2.2.2/24

98

Criando as rotas
Rota em R1
para alcanar a rede 2

Rota em R2
para alcanar a rede 1

6 - Roteamento

99

Perguntas ?

6 - Roteamento

100

Wireless no Mikrotik

5 - Wireless

101

Configuraes Fsicas
Padro IEEE

Frequncia

Largura de
banda mxima

Velocidade mx

802.11b

2.4Ghz

20Mhz

11 Mbps

802.11g

2.4Ghz

20Mhz

54 Mbps

802.11a

5Ghz

20Mhz

54 Mbps

802.11n

2.4Ghz e 5 Ghz

40Mhz

300 Mbps

802.11ac

5 Ghz

80Mhz

866 Mbps

5 - Wireless

102

Tipos de enlaces
Ponto a ponto

Station

AP

Ponto multi-ponto
Station

AP

60

Station

Station

5 - Wireless

103

Interface wireless Modo de operao

ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma


transparente para a rede cabeada.
bridge: O mesmo que o o modo ap bridge porm aceitando somente um cliente.
station: Modo cliente de um ap. No pode ser colocado em bridge com outras
interfaces.
station bridge: Faz um bridge transparente porm s pode ser usado para se
conectar a um AP Mikrotik.
5 - Wireless

104

MIMO
MIMO: Multiple Input and Multiple Output

5 - Wireless

105

Potncias

Quando a opo regulatory domain est habilitada, somente as frequncias


permitidas para o pas selecionado em Country estaro disponveis. Alm disso o
MikroTik ajustar a potncia do rdio para atender a regulamentao do pas,
levando em conta o valor em dBi informado em Antenna Gain.

5 - Wireless

106

Espalhamento espectral

11

2412

2422

2432

2442

2452

2462

2422

2432

2442

2452

+
20Mhz
2402

2412

5 - Wireless

2462

2472

107

Canalizao 5Mhz e 10Mhz

Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de tx

5 - Wireless

108

Canalizao 20Mhz, 40Mhz e 80Mhz

Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx

5 - Wireless

109

Data Rates
A velocidade em uma rede wireless definida pela modulao que os dispositivos
conseguem trabalhar.
Supported Rates: So as velocidades de dados entre o AP e os clientes.
Basic Rates: So as velocidades que os dispositivos se comunicam independentemente
do trfego de dados (beacons, sincronismos, etc...)

5 - Wireless

110

802.11n - Velocidades nominais

5 - Wireless

111

Ferramentas de Site Survey - Scan


A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik

Escaneia o meio. Obs.: Qualquer operao de site survey causa queda das
conexes estabelecidas.

5 - Wireless

112

Ferramentas de Site Survey Uso de


frequncias
Mostra o uso das frequncias
em todo o espectro para site
survey conforme a banda
selecionada no menu
wireless.

5 - Wireless

113

Interface wireless - Sniffer


Ferramenta para sniffar
o ambiente wireless
captando e decifrando
pacotes.

Muito til para detectar


ataques.
Pode ser arquivado no
prprio MikroTik ou
passado por streaming
para outro servidor
com protocolo TZSP.

5 - Wireless

114

Interface wireless - Snooper

Com a ferramenta snooper possvel monitorar a


carga de trfego em cada canal por estao e por rede.
Scaneia as frequncias definidas em scan-list da
interface.
5 - Wireless

115

NV2
Proprietrio da MikroTik (no funciona com outros
fabricantes).

Baseado em TDMA (Time Division Multiple Access).


Resolver o problema do n escondido.
Melhora throughput e latncia especialmente em PtMP.

Funcionamento do NV2
Diferente do padro 802.11 onde no existe controle do meio, com a
utilizao de NV2 o AP controla todo o acesso ao meio (em outras palavras o
AP decide quem ir transmitir e quem ir receber).

Em redes NV2 o AP divide o tempo em perodos fixos (Timeslot).


Esses perodos (Timeslot) so alocados para Download e Upload de forma
organizada, sendo que dois clientes no iro transmitir ao mesmo tempo e
logo temos o seguinte:
- Evitamos colises
- Aproveitamos melhor a largura de banda
- Aumento do throughput

Segurana de Acesso em redes sem fio

5 - Wireless

118

Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons. Este comportamento
pode ser modificado no MikroTik
habilitando a opo Hide SSID.

Pontos negativos:
SSID deve ser conhecido pelos clientes.
Scanners passivos o descobrem facilmente
pelos pacotes de probe request dos
clientes.

5 - Wireless

119

Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
MikroTik como sniffer.

Spoofar um MAC bem simples. Tanto usando


windows, linux ou Mikrotik.

5 - Wireless

120

Interface Wireless Controle de


Acesso

A Access List utilizada pelo AP para restringir associaes de


clientes. Esta lista contem os endereos MAC de clientes e
determina qual ao deve ser tomada quando um cliente tenta
conectar.
A comunicao entre clientes da mesma interface, virtual ou real,
tambm pode ser controlada na Access List.

5 - Wireless

121

Interface Wireless Controle de


Acesso
O processo de associao
ocorre da seguinte forma:

Um cliente tenta se associar a uma interface wlan;

Seu MAC procurado na access list da interface wlan;

Caso encontrado, a ao especifica ser tomada:


Authentication: Define se o cliente poder se associar ou
no;
Fowarding: Define se os clientes podero se comunicar.
5 - Wireless

122

Interface Wireless Access List


MAC Address: Endereo MAC a ser
liberado ou bloqueado.
Interface: Interface real ou virtual onde
ser feito o controle de acesso.
AP Tx Limit: Limite de trfego enviado
para o cliente.
Client Tx Limit: Limite de trfego enviado
do cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.

Management Protection Key: Chave usada para evitar ataques de


desautenticao. Somente compatvel com outros Mikrotiks.

5 - Wireless

123

Interface Wireless Connect List


A Connect List tem a finalidade de listar os
APs que o MikroTik configurado como
cliente pode se conectar.
MAC Address: MAC do AP a se conectar.
SSID: Nome da rede.
Area Prefix: String para conexo com AP
de mesma rea.
Security Profile: Definido nos perfis de
segurana.
Obs.: Essa uma boa opo para evitar que o cliente se associe a um AP
falso.
5 - Wireless

124

Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para
quebrar a chave, como:
Airodump.
Airreplay.
Aircrack.

Hoje com essas ferramentas bem simples quebrar a WEP.

5 - Wireless

125

Evoluo dos padres de segurana

5 - Wireless

126

Chave WPA e WPA2 - PSK


A configurao da chave WPA/WAP2PSK muito simples no Mikrotik.
No menu wireless clique na Security
Profile e adicione um novo perfil
Configure o modo de chave dinmico e
a chave pr combinada para cada tipo
de autenticao.

Em cada Wlan selecione o perfil de


segurana desejado.
Obs.: As chaves so alfanumricas de 8 at
64 caracteres.

5 - Wireless

127

Segurana de WPA / WPA2


Atualmente a nica maneira conhecida para
se quebrar a WPA-PSK somente por ataque
de dicionrio.

A maior fragilidade paras os WISPs que a


chave se encontra em texto plano nos
computadores dos clientes ou no prprio
Mikrotik.
5 - Wireless

128

Mtodo alternativo com Mikrotik


A partir da verso 3 o MikroTik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave configurada na Access List do AP
e vinculada ao MAC Address do cliente, possibilitando que cada um
tenha sua chave.

Obs.: Cadastrando as PSK na access list,


voltamos ao problema da chave ser
visvel a usurios do Mikrotik.

5 - Wireless

129

Perguntas ?

5 - Wireless

130

Firewall no Mikrotik

7 - Firewall

131

Firewall
O firewall normalmente usado como ferramenta de segurana
para prevenir o acesso no autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas
diversas funes importantes como a classificao e marcao
de pacotes para desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em
vrios classificadores como endereos MAC, endereos IP, tipos
de endereos IP, portas, TOS, tamanho do pacotes, etc...

7 - Firewall

132

Firewall - Opes

Filter Rules: Regras para filtro de pacotes.


NAT: Onde feito a traduo de endereos e portas.
Mangle: Marcao de pacotes, conexo e roteamento.
Service Ports: Onde so localizados os NAT Helpers.
Connections: Onde so localizadas as conexes existentes.
Address List: Lista de endereos ips inseridos de forma dinmica ou esttica e
que podem ser utilizadas em vrias partes do firewall.
Layer 7 Protocols: Filtros de camada 7.
7 - Firewall

133

Estrutura do Firewall
Firewall
Tabela Filter

Tabela NAT

Canal input

Canal SRCNAT

regras

regras

regras

regras

Canal Output

Canal DSTNAT

regras

regras

regras

regras

Tabela Mangle
Canal input
regras

Canal Output
regras
Canal Forward
regras
Canal Prerouting

Canal Forward

regras

regras

Canal Posrouting

regras

regras
7 - Firewall

134

Fluxo do Firewall
Chegada
Canal Prerouting
Canal DSTNAT

Deciso
de
roteamento

Canal Forward
Canal Output

Canal Posrouting
Canal SRCNAT

Canal Input
Deciso
de
roteamento

Sada

Processo local
7 - Firewall

135

Firewall Connection Track


Refere-se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem
e destino, as respectivas portas, estado da conexo, tipo de
protocolos e timeouts. Firewalls que fazem connection track so
chamados de statefull e so mais seguros que os que fazem
processamentos stateless.

7 - Firewall

136

Firewall Connection Track


O sistema de connection tracking o corao do
firewall. Ele obtm e mantm informaes sobre todas
conexes ativas.
Quando se desabilita a funo connection tracking so
perdidas as funcionalidades NAT e as marcaes de
pacotes que dependam de conexo. No entanto,
pacotes podem ser marcados de forma direta.
Connection track exigente de recursos de hardware.
Quando o equipamento trabalha somente como bridge
aconselhvel desabilit-la.
7 - Firewall

137

Localizao da Connection Tracking


Chegada
conntrack
Canal Prerouting
Canal DSTNAT

Deciso
de
roteamento

Canal Forward
Canal Output

Canal Posrouting

conntrack

Canal SRCNAT

Deciso
de
roteamento

Sada

Canal Input

Processo local
7 - Firewall

138

Firewall Connection Track

Estado das conexes:


established: Significa que o pacote faz parte de uma conexo j
estabelecida anteriormente.
new: Significa que o pacote est iniciando uma nova conexo ou faz
parte de uma conexo que ainda no trafegou pacotes em ambas
direes.
related: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
invalid: Significa que o pacote no pertence a nenhuma conexo
existente e nem est iniciando outra.
7 - Firewall

139

Firewall Princpios gerais

As regras de firewall so sempre processadas por canal, na


ordem que so listadas de cima pra baixo.
As regras de firewall funcionam como expresses lgicas
condicionais, ou seja: se <condio> ento <ao>.
Se um pacote no atende TODAS condies de uma regra,
ele passa para a regra seguinte.

7 - Firewall

140

Processamento das regras


SE combina com os campos ENTO executa a ao.
SE IP de destino=8.8.8.8

ENTO execute Drop

SE proto=TCP e dst-port=80 ENTO executa Accept

7 - Firewall

141

Firewall Princpios gerais


Quando um pacote atende TODAS as condies
da regra, uma ao tomada com ele, no
importando as regras que estejam abaixo nesse
canal, pois elas no sero processadas.

Algumas excees ao critrio acima devem ser


consideradas como as aes de: passthrough,
log e add to address list.
Um pacote que no se enquadre em qualquer
regra do canal, por padro ser aceito.
7 - Firewall

142

Firewall Filter Rules


Forward
Input
Output
As regras so organizadas em canais(chain) e existem 3
canais default de tabela filters.
INPUT: Responsvel pelo trfego que CHEGA no router;
OUTPUT: Responsvel pelo trfego que SAI do router;
FORWARD: Responsvel pelo trfego que PASSA pelo router.
7 - Firewall

143

Firewall Filters Rules


Algumas aes que podem ser tomadas nos filtros de
firewall:
passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de
icmp ou tcp reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas
no aloca recursos.

7 - Firewall

144

Firewall Organizao das regras

As regras de filtro pode ser organizadas e


mostradas da seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por servios.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usurios.
7 - Firewall

145

Firewall Address List

A address list contm uma lista de endereos IP


que pode ser utilizada em vrias partes do firewall.
Pode-se adicionar entradas de forma dinmica
usando o filtro ou mangle conforme abaixo:
Action:
add dst to address list: Adiciona o IP de destino lista.
add src to address list: Adiciona o IP de origem lista.
Address List: Nome da lista de endereos.
Timeout: Por quanto tempo a entrada permanecer na lista.
7 - Firewall

146

Firewall
Protegendo o roteador

7 - Firewall

147

Princpios bsicos de proteo


Proteo do prprio roteador :
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao
roteador.

Proteo da rede interna :


Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Prevenir e controlar ataques e acesso no autorizado em
clientes.

7 - Firewall

148

Firewall Proteo bsica

Regras do canal input


Descarta conexes invlidas.
Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede interna.
Descartar o restante.
7 - Firewall

149

Firewall Proteo bsica

Regras do canal input


Permitir acesso externo ao winbox.
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
7 - Firewall

150

Firewall Tcnica do knock knock

7 - Firewall

151

Firewall Tcnica do knock knock


A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter seu
endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que estejam
na lista libera_winbox:

/ip firewall filter


add chain=input protocol=tcp dst-port=2771 action=add-src-to-address
list address-list=knock address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add
src-to-address-list address-list=libera_winbox address-list-timeout=15m
comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox


action=accept disabled=no
add chain=input protocol=tcp dst-port=8291 action=drop disbled=no
7 - Firewall

152

Firewall Ping flood


Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatrias.
Para evitar o Ping flood, podemos bloquear todo trfego de
ICMP.
Ao bloquear todo trafego de ICMP podemos ter problemas com
algumas aplicaes (monitoramento e outros protocolos).

Por isso aconselhvel colocarmos uma exceo permitindo um


pelo menos 30 mensagens de ICMP por segundo.
7 - Firewall

153

Firewal Evitando ping flood

/ip firewall filter


add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp
add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp

7 - Firewall

154

Firewall - NAT

Traduo de endereos e portas

7 - Firewall

155

Firewall - NAT
NAT Network Address Translation uma tcnica que permite que
vrios hosts em uma LAN usem um conjunto de endereos IPs para
comunicao interna e outro para comunicao externa.
Existem dois tipos de NAT :
SRC NAT: O roteador faz alteraes de IP ou porta de origem.

DST NAT: O roteador faz alteraes de IP ou porta de destino.

7 - Firewall

156

Firewall - NAT
As regras de NAT so organizadas em canais:
dstnat: Processa o trfego enviado PARA o
roteador e ATRAVS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.
srcnat: Processa o trfego enviado A PARTIR do
roteador e ATRAVS do roteador, depois que ele
sai de OUTPUT e/ou FORWARD.

7 - Firewall

157

Firewall NAT Fluxo de pacotes

7 - Firewall

158

Firewall - SRCNAT
Source NAT: A ao mascarade troca o endereo IP
de origem de uma determinada rede pelo endereo IP
da interface de sada. Portanto se temos, por exemplo,
a interface ether5 com endereo IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trs da ether1,
podemos fazer o seguinte:

Desta forma, todos os endereos IPs da rede local


vo obter acesso a internet utilizando o endereo
IP 185.185.185.185

7 - Firewall

159

Firewall - DSTNAT
Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a servios que rodem na rede interna.
Dessa forma podemos dar acesso a servios de
clientes sem utilizao de endereo IP pblico.
Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.

7 - Firewall

160

Firewall NAT Helpers

Hosts atrs de uma rede nateada no possuem conectividade


fim-afim verdadeira. Por isso alguns protocolos podem no
funcionar corretamente neste cenrio. Servios que requerem
iniciao de conexes TCP fora da rede, bem como protocolos
stateless como UDP, podem no funcionar. Para resolver este
problema, a implementao de NAT no MikroTik prev alguns
NAT Helpers que tm a funo de auxiliar nesses servios.

7 - Firewall

161

Perguntas ?

7 - Firewall

162

Failover

8 - Balance e Failover

163

Acertando sua rota principal

Abra sua rota default.


Coloque o campo distance=1
Clique em comment e coloque principal

1- Introduo

164

Simulando um segundo link


Adicione uma VLAN
Adicione um IP para a VLAN

8 - Balance e Failover

165

Adicionando uma segunda rota

8 - Balance e Failover

166

Viso geral das rotas


Veja como deve ficar suas rotas default.
Quando o roteador tem duas rotas com o endereo de destino iguais o campo distace ir
determinar qual rota ser usado para o encaminhamento de pacotes.
Lembrando que a menor distancia ser sempre escolhida.

8 - Balance e Failover

167

Adicionando a nova regra de NAT


Para no ter duas regras de NAT, vamos fazer o seguinte.
Criar uma address-list no Firewall chamada rede-local e colocar e nela seu range
de IP da sua rede local.

8 - Balance e Failover

168

Adicionando a nova regra de NAT

V em IP -> Firewall -> NAT

Apague as regras j existentes

Crie a nova regra de NAT conforme a imagem

8 - Balance e Failover

169

Testando os dois links


Acesse o site www.ping.eu e verifique seu IP publico.
Desabilite sua rota principal e verifique se est navegando normalmente para internet.
Acesse o site www.ping.eu novamente e verifique se seu IP publico mudou.

8 - Balance e Failover

170

Preparando nosso failover


Para que possamos saber se um link realmente est
fora devemos monitorar um host qualquer na internet.
Devemos fazer com que o teste de monitoramento seja
encaminhado sempre por um nico link, pois caso isso
no acontea podemos ter um falso positivo.
Como fazer com que um determinado host seja
acessado por um nico link?

8 - Balance e Failover

171

Manipulando a rota principal via comandos


Quando o link principal estiver DOWN deveremos desabilitar a rota principal.
O comando para desabilitar a rota : /ip route disable [find comment=principal]

Quando o link principal estiver UP deveremos habilitar a rota principal.


O comando para desabilitar a rota : /ip route enable [find comment=principal]

8 - Balance e Failover

172

Criando o script

8 - Balance e Failover

173

Forando o teste sair somente por um link


Para forarmos o teste somente por um link,
podemos criar uma rota de teste.

8 - Balance e Failover

174

Balanceamento de Carga com PCC


Link 1

Link 2

172.25.X.254

172.25.10.254

8 - Balance e Failover

175

Elementos da operao de diviso

Classificador

Dividendo

8 - Balance e Failover

Divisor

Resto

176

Balanceamento de Carga com PCC


O PCC um recurso utilizado para classificar o trfego de
acordo com critrios pr-determinados relacionados das
conexes. Os parmetros de configurao so:
Classificador

Dividendo

8 - Balance e Failover

Divisor

Resto

177

Balanceamento de Carga com PCC


Classificador

Divisor

Resto

A partir do classificador selecionado ser gerado


um dividendo
O dividendo que ser divido pelo denominador e
ento encontraremos o resto da diviso.
O resto ser levado em conta para dizer se o
pacote combina ou no com a regra do firewall.
8 - Balance e Failover

178

Balanceamento de Carga com PCC


Primeiro precisamos fazer marcas de roteamento para que
possamos direcionar os pacotes por mais de um gateway.
Poderamos simplesmente efetuar as marcas de roteamento ,
porm isso pode consumir muito recurso de processamento do
roteador.
Para evitar o consumo excessivo de CPU, primeiro marcamos a
conexo e depois marcamos o roteamento com base na conexo
que j foi marcada.
Todas as marcaes so feitas no Mangle do firewall

8 - Balance e Failover

179

Sequencia para criar um Load balance com PCC

1) Marcas de conexo
Utilizando o PCC

2) Marcas de roteamento
com base nas marcas de conexo criadas anteriormente

3) Criar novas rotas


com base nas marcas de roteamento criadas anteriormente

8 - Balance e Failover

180

Criando as marcas de conexo link1


Exemplo de PCC com 2 links

8 - Balance e Failover

181

Criando as marcas de conexo link2


Exemplo de PCC com 2 links

8 - Balance e Failover

182

Criando as marcas de roteamento - link1


Exemplo de PCC com 2 links

8 - Balance e Failover

183

Criando as marcas de roteamento - link2


Exemplo de PCC com 2 links

8 - Balance e Failover

184

Criando as novas rotas

Rota para link 1


com marcas de roteamento

Rota para link 2


com marcas de roteamento

8 - Balance e Failover

185

Tneis e VPN

9 - Tuneis e VPN

186

VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que
fornecem confidencialidade, autenticao e integridade necessrias
para garantir a privacidade das comunicaes requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.

9 - Tuneis e VPN

187

VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurana definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.

9 - Tuneis e VPN

188

Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O MikroTik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
Tneis GRE
9 - Tuneis e VPN

189

Site-to-site

9 - Tuneis e VPN

190

Conexo remota

9 - Tuneis e VPN

191

Endereamento ponto a ponto /32


Geralmente usado em tneis
Pode ser usado para economia de IPs.
Router 1

Router 2

9 - Tuneis e VPN

192

Diagrama de VPN

Internet
IP pblico
172.25.1.1

IP da VPN
2.2.2.2

IP da VPN
1.1.1.1
Rede LAN
10.1.1.0/24

IP pblico
172.25.2.1

Rede LAN
10.1.2.0/24

DST

GW

DST

GW

10.1.2.0/24

2.2.2.2

10.1.1.0/24

1.1.1.1

9 - Tuneis e VPN

193

Ativando o um roteador como servidor


de VPN

9 - Tuneis e VPN

194

Criando o usurio para o PPTP Client

Usurio e senha que ser


utilizado para autenticao.

IP que ser atribudo localmente quando o usurio teste se conectar


IP que ser atribudo para o host remoto quanto o usurio teste se conectar

9 - Tuneis e VPN

195

Criando o PPTP Client

9 - Tuneis e VPN

196

Acompanhando o Status

Status no servidor
9 - Tuneis e VPN

Status no client

197

Criando as rotas

Rota no client

Rota no servidor

Status no servidor
9 - Tuneis e VPN

Status no client
198

PPP Definies Comuns para os


servios
MTU/MRU: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentao.
Keepalive Timeout: Define o perodo de tempo em segundos aps o qual
o roteador comea a mandar pacotes de keepalive por segundo. Se
nenhuma reposta recebida pelo perodo de 2 vezes o definido em
keepalive timeout o cliente considerado desconectado.

Authentication: As formas de autenticao permitidas so:


Pap: Usurio e senha em texto plano sem criptografica.
Chap: Usurio e senha com criptografia.
Mschap1: Verso chap da Microsoft conf. RFC 2433
Mschap2: Verso chap da Microsoft conf. RFC 2759
9 - Tuneis e VPN

199

PPP Definies Comuns para os


servios
PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento
ser necessrio que haja algum mecanismo para avisar que esta estao
dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequao dos
pacotes posteriores chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade est presente em todos roteadores,
sistemas Unix e no MikroTik ROS.
MRRU: Tamanho mximo do pacote, em bytes, que poder ser recebido
pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes
menores, permitindo o melhor dimensionamento do tnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
9 - Tuneis e VPN

200

PPP Definies Comuns para os


servios
Change MSS: Maximun Segment Size, tamanho mximo do segmento de
dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o
tnel est estabelecido deve ser fragmentado antes de envi-lo. Em alguns
caso o PMTUD est quebrado ou os roteadores no conseguem trocar
informaes de maneira eficiente e causam uma srie de problemas com
transferncia HTTP, FTP, POP, etc... Neste caso MikroTik proporciona
ferramentas onde possvel interferir e configurar uma diminuio do MSS
dos prximos pacotes atravs do tnel visando resolver o problema.

9 - Tuneis e VPN

201

PPPoE Cliente e Servidor


PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui
informaes sobre o remetente e o destinatrio, desperdiando mais banda.
Cerca de 2% a mais.
Muito usado para autenticao de clientes com base em Login e Senha. O
PPPoE estabelece sesso e realiza autenticao com o provedor de acesso a
internet.
O cliente no tem IP configurado, o qual atribudo pelo Servidor
PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No MikroTik no obrigatrio o uso de Radius pois o mesmo
permite criao e gerenciamento de usurios e senhas em uma tabela local.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado
desde que o cliente suporte este mtodo.
9 - Tuneis e VPN

202

PPPoE Cliente e Servidor


O cliente descobre o servidor
atravs do protocolo pppoe
discovery que tem o nome do
servio a ser utilizado.
Precisa estar no mesmo
barramento fsico ou os
dispositivos passarem pra
frente as requisies PPPoE
usando pppoe relay.
No MikroTik o valor padro do Keepalive Timeout 10, e
funcionar bem na maioria dos casos. Se configurarmos pra zero, o
servidor no desconectar os
clientes at que os mesmos solicitem ou o servidor for reiniciado.

9 - Tuneis e VPN

203

Passos para criar o PPPoE server


1) Criar o Pool
2) Criar o servidor de PPPoE
3) Ajustar ou criar um novo perfil

4) Criar usurios
9 - Tuneis e VPN

204

Criando
um
Pool
Esses so os endereos que sero entregues ao clientes que se conectarem no
servidor de PPPoE.

Para fins de organizao iremos reservar o primeiro IP utilizvel para usarmos em


nosso roteador (no nosso caso o 10.1.1.1).
Tambem iremos fazer uma reserva de endereo para cliente que por ventura
precisarem de IP fixo (no nosso caso do 10.1.1.241 at o 10.1.1.254)

9 - Tuneis e VPN

205

Criando o PPPoE server


Service Name = Nome que os clientes vo procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai escutar.

9 - Tuneis e VPN

206

Criando um novo perfil


Name = Nome de identificao do perfil
Local Address = Endereo que ser utilizado no servidor de PPPoE

Remote Address = Endereos que sero entregues ao clientes que se


conectarem(nesse caso selecionamos o pool previamente criado).

9 - Tuneis e VPN

207

Criando
um
usurio
Adicione um usurio e senha

Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID.


Esta opo no obrigatria, mas um parmetro a mais para
segurana.

9 - Tuneis e VPN

208

Mais sobre perfis

Bridge: Bridge para associar ao perfil

Incoming/Outgoing Filter: Nome do canal do


firewall para pacotes entrando/saindo.

Address List: Lista de endereos IP para


associar ao perfil.

DNS Server: Configurao dos servidores DNS a


atribuir aos clientes.
Use Compression/Encryption/Change TCP MSS:
caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.

9 - Tuneis e VPN

209

Mais sobre perfis

Session Timeout: Durao mxima de uma


sesso PPPoE.

Idle Timeout: Perodo de ociosidade na


transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.

Rate Limit: Limitao da velocidade na forma


rx-rate/tx-rate. Pode ser usado tambm na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.

Only One: Permite apenas uma sesso para o


mesmo usurio.
9 - Tuneis e VPN

210

Mais sobre o database

Service: Especifica o servio disponvel para este


cliente em particular.

Caller ID: MAC Address do cliente.

Local/Remote Address: Endereo IP Local (servidor)


e remote(cliente) que podero ser atribudos a um
cliente em particular.

Limits Bytes IN/Out: Quantidade em bytes que o


cliente pode trafegar por sesso PPPoE.

Routes: Rotas que so criadas do lado do servidor


para esse cliente especifico. Vrias rotas podem ser
adicionadas separadas por vrgula.

9 - Tuneis e VPN

211

Mais sobre o PPoE Server


O concentrador PPPoE do MikroTik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes MikroTik, a interface de rdio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.

Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o
concentrador suportar.

9 - Tuneis e VPN

212

Configurando o PPPoE Client

AC Name: Nome do concentrador. Deixando em branco conecta


em qualquer um.
Service: Nome do servio designado no servidor PPPoE.
Dial On Demand: Disca sempre que gerado trfego de sada.
Add Default Route: Adiciona um rota padro(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
9 - Tuneis e VPN

213

Perguntas ?

9 - Tuneis e VPN

214

QoS e Controle de banda

10 - QoS

215

Conceitos bsicos de Largura e Limite


de banda
Largura de banda: Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada
de dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est ligado
largura da banda em hertz. O termo banda larga denota conexes com uma largura em hertz
relativamente alta, em contraste com a velocidade padro em linhas analgicas convencionais (56
kbps), na chamada conexo discada.
Limite de banda: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda de
1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou tambm
chamado de Taxa ou Velocidade de Transferncia ou (throughput), que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
voc conseguir taxas de transferencia de no mximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, voc conseguir uma Taxa de Transferncia de aproximadamente entre 25kbps a
30,7kbps

10 - QoS

216

Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao
do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o
uso da largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores,
capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de
determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.

10 - QoS

217

Qualidade de Servio
No campo das telecomunicaes e redes de computadores, o termo Qualidade de
Servio (QoS) pode tender para duas interpretaes relacionadas, mas distintas.

Em redes de comutao de circuitos, refere-se probabilidade de sucesso em estabelecer


uma ligao a um destino. Em redes de comutao de pacotes refere-se garantia de largura de banda
ou, como em muitos casos, utilizada informalmente para referir a probabilidade de um pacote
circular entre dois pontos de rede.

Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura


oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de segurana
substancial. simples e eficaz, mas na prtica assumido como dispendioso, e tende a ser ineficaz se o
valor de pico aumentar alm do previsto: reservar recursos gasta tempo. O segundo mtodo o de
obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routers conseguirem
servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetrio associado!

10 - QoS

218

Qualidade de Servio
Os mecanismos para prover QoS no MikroTik so:
Limitar banda para certos IPs, subredes, protocolos,
servios e outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch
10 - QoS

219

Qualidade de Servio
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc): Disciplina de enfileiramento. um algoritmo
que mantm e controla uma fila de pacotes. Ela especifica a ordem dos
pacotes que saem, podendo inclusive reorden-los, e determina quais
pacotes sero descartados.
Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. a
garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information Rate): Taxa mxima de dados que
ser fornecida. Ou seja, limite a partir do qual os pacotes sero descartados.
Priority: a ordem de importncia que o trfego processado.
Pode-se determinar qual tipo de trfego ser processado
primeiro.

10 - QoS

220

Filas - Queues
Para ordenar e controlar o fluxo de dados, aplicada uma
poltica de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: As filas so aplicadas na
interface onde o fluxo est saindo.
A limitao de banda feita mediante o descarte de
pacotes.
No caso do protocolo TCP, os pacotes descartados sero
reenviados, de forma que no h com que se preocupar com
relao a perda de dados. O mesmo no vale para o UDP.

10 - QoS

221

Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados
por uma disciplina de filas(queue types). Por padro as disciplinas
de filas so colocadas sob queue interface para cada interface
fsica.

Uma vez adicionada uma fila para uma interface fsica, a fila padro
da interface, definida em queue interface, no ser mantida. Isso
significa que quando um pacote no encontra qualquer filtro, ele
enviado atravs da interface com prioridade mxima.

10 - QoS

222

Controle de trfego
O controle de trfego implementado atravs
de dois mecanismos:
Pacotes so policiados na entrada:
Pacotes so policiados e marcados para
tratamento futuro.
Pacotes so enfileirados na interface de
sada:
Pacotes podem ser atrasados, descartados
ou priorizados.
10 - QoS

223

Filas simples

As principais propriedades configurveis de uma fila simples so:


Limite por direo de IP de origem ou destino
Interface do cliente
Tipo de fila
Limit-at, max-limit, priority e burst para download e upload
Horrio.

10 - QoS

224

Filas simples - Burst


Bursts so usados para
permitir altas taxas de
transferncia por um perodo
curto de tempo.
Os parmetros que controlam o burst so:
- burst-limit: Limite mximo que o burst alcanar.
- burst-time: Tempo que durar o burst.
- burst-threshold: Patamar para comear a limitar.
- max-limit: MIR

10 - QoS

225

Como funciona o Burst

max-limit=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps

Inicialmente dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula a taxa mdia de


consumo de banda durante o burst-time de 8 segundos.
Com 1 segundo a taxa mdia de 64kbps. Abaixo do threshold.
Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do
threshold.
Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde
acaba o burst.
A partir deste momento a taxa mxima do cliente passa a ser o max-limit.

Parametro para passar via PPPoE ou Hotspot

256k/256k 512k/512k 192k/192k 8/8


rx/tx-rate rx/tx-burst-rate rx/tx-burst-threshold rx/tx-burst-time

10 - QoS

226

Utilizao do PCQ
PCQ utilizado para equalizar cada usurio ou
conexo em particular.
Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento kind=pcq.

Devem ainda ser escolhidos os seguintes


parmetros:
pcq-classifier
pcq-rate

10 - QoS

227

Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as subqueues
no so limitadas, ou seja, elas podero usar a largura mxima
de banda disponvel em max-limit.
Caso 2: Se configurarmos um rate para a PCQ as subqueues
sero limitadas nesse rate, at o total de max-limit.

10 - QoS

228

Utilizao do PCQ

Nesse caso, com o rate da fila


128k, no existe limit-at e tem um
max-limit de 512k, os clientes
recebero a banda da seguinte
forma:

10 - QoS

229

Utilizao do PCQ

Nesse caso, com o rate da fila 0,


no existe limit-at e tem um maxlimit de 512k, os clientes recebero
a banda da seguinte forma:

10 - QoS

230

Perguntas ?

10 - QoS

231

Reset a routerboar
Entre no terminal e execute o comando
abaixo:
/system reset-configuration

10 - QoS

232

HotSpot no Mikrotik

3 - Hotspot

233

HotSpot
Geralmente usado em rea pblica como hotis,
aeroportos, shoppings, universidades, etc...

Acesso controlado a uma rede qualquer, com ou sem


fio,
Autenticao baseada em nome de usurio e senha.
Com HotSpot, um usurio que tente navegao pela
WEB arremetido para uma pgina do HotSpot que
pede suas credencias, normalmente usurio e senha.

3 - Hotspot

234

HotSpot

3 - Hotspot

235

HotSpot Perfil de Usurios


O User Profile serve para dar tratamento diferenciado a
grupos de usurios, como suporte, comercial, diretoria,
etc...
Session Timeout: Tempo mximo
permitido.
Idle Timeout/Keepalive: Mesma
explicao anterior, no entanto agora
somente para este perfil de usurios.
Status Autorefresh: Tempo de
refresh da pgina de Status do
HotSpot.
Shared Users: Nmero mximo de
clientes com o mesmo username.
3 - Hotspot

236

HotSpot Perfil de Usurios


Os perfis de usurio podem conter os limites de
velocidade de forma completa.
Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx
burst-limit] [rxburstthreshold/tx-burst-threshold]
[rx-burst-time/tx-bursttime][priority]
[rx-limit-at/tx-limit-at]
Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
128k de upload / 256k de download
256k de upload burst / 512k de download burst
96k threshould de upload / 192k threshloud de
download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de
download

3 - Hotspot

237

HotSpot Perfil de Usurios


Incoming Filter: Nome do firewall chain aplicado aos
pacotes que chegam do usurio deste perfil.
Outgoing Filter: Nome do firewall chain aplicado aos
pacotes vo para o usurio deste perfil.

Incoming Packet Mark: Marca colocada


automaticamente em pacotes oriundos de usurios
deste perfil.
Outgoing Packet Mark: Marca colocada
automaticamente em pacotes que vo para usurios
deste perfil.
Open Status Page: Mostra a pgina de status.
- http-login: para usurios que logam pela WEB.
- always: para todos usurios inclusive por MAC.
Tranparent Proxy: Se deve usar proxy transparente.
3 - Hotspot

238

HotSpot Perfil de Usurios


Com a opo Advertise possvel enviar de
tempos em tempos popups para os usurios do
HotSpot.
Advertise URL: Lista de pginas que sero
anunciadas. A lista cclica, ou seja, quando a ltima mostrada,
comea-se novamente pela primeira.
Advertise Interval: Intervalo de tempo de exibio de popups.
Depois da sequncia terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar
para o anncio ser mostrado, antes de bloquear o
acesso a rede.
- Pode ser configurado um tempo.
- Nunca bloquear.
- Bloquear imediatamente.

3 - Hotspot

239

HotSpot Perfil de Usurios


O MikroTik possui uma linguagem interna de scripts que podem ser
adicionados para serem executados em alguma situao especifica.
No HotSpot possvel criar scripts que executem comandos a
medida que um usurio desse perfil conecta ou desconecta do
HotSpot.
Os parmetros que controlam essa execuo so:
On Login: Quando o cliente conecta ao HotSpot.
On Logout: Quando o cliente desconecta do
HotSpot.
Os scripts so adicionados no menu:
/system script
3 - Hotspot

240

HotSpot Usurios
Server: all para todos hotspots ou para um especfico.
Name: Nome do usurio. Se o modo Trial estiver ativado
o hotspot colocar automaticamente o nome TMAC_
Address. No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereo IP caso queira vincular esse usurio
a um endereo fixo.
MAC Address: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile: Perfil onde o usurio herda as propriedades.
Routes: Rotas que sero adicionadas ao cliente quando
se conectar. Sintaxe: Endereo destino gateway
mtrica. Vrias rotas separadas por vrgula podem ser
adicionadas.

3 - Hotspot

241

HotSpot Usurios
Limit Uptime: Limite mximo de
tempo de conexo para o usurio.
Limit Bytes In: Limite mximo de
upload para o usurio.
Limit Bytes Out: Limite mximo de
download para o usurio.
Limit Bytes Total: Limite mximo
considerando o download + upload.
Na aba das estatsticas possvel
acompanhar a utilizao desses
limites.
3 - Hotspot

242

HotSpot Liberaes especiais


Para liberar acesso a internet para um
determinado host utilize sem necessidade de
autenticao IP Binding.
Para liberar acesso a um determinado site sem
necessidade de autenticao utilize Walled
Garden.
Para liberar acesso a um determinado IP ou porta
sem necessidade de autenticao utilize o
Walled Garden IP List.
3 - Hotspot

243

HotSpot IP Bindings
O MikroTik por default tem habilitado o universal client que
uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.
possvel tambm fazer tradues NAT estticas com base no
IP original, ou IP da rede ou MAC do cliente. possvel
tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede
inicialmente.
Tambm possvel fazer bloqueio de endereos.

3 - Hotspot

244

HotSpot IP Bindings
MAC Address: mac original do cliente.
Address: Endereo IP do cliente.
To Address: Endereo IP o qual o original deve ser
traduzido.
Server: Servidor hotspot o qual a regra ser aplicada.
Type: Tipo do Binding.
- Regular: faz traduo regular 1:1
- Bypassed: faz traduo mas
dispensa o cliente de logar no
hotspot.
- Blocked: a traduo no ser feita e
todos os pacotes sero bloqueados.

3 - Hotspot

245

HotSpot Walled Garden


Configurando um walled garden possvel oferecer ao usurio o
acesso a determinados servios sem necessidade de autenticao.
Por exemplo em um aeroporto poderia se disponibilizar
informaes sobre o tempo ou at mesmo disponibilizar os sites
dos principais prestadores de servio para que o cliente possa
escolher qual plano quer comprar.
Quando um usurio no logado no hotspot requisita um servio do
walled garden o gateway no intercepta e, no caso do http,
redireciona a requisio para o destino ou um proxy.
Para implementar o walled garden para requisies http, existe um
web proxy embarcado no Mikrotik, de forma que todas requisies
de usurios no autorizados passem de fato por esse proxy.
Observar que o proxy embarcado no MikroTik no tem a funo de
cache, pelo menos por hora. Notar tambm que esse proxy faz
parte do pacote system e no requer o pacote web-proxy.

3 - Hotspot

246

HotSpot Walled Garden


importante salientar que o
walled garden no se destina
somente a servio WEB, mas
qualquer servio que se queira
configurar. Para tanto existem 2
menus distintos conforme do
figuras ao lado. Sendo o menu
de cima para HTTP e HTTPS e o
de baixo para outros servios e
protocolos.
3 - Hotspot

247

HotSpot Walled Garden


Action: Permite ou nega.
Server: Hotspot para o qual o walled garden
vale.
Src.Address: Endereo IP do usurio
requisitante.
Dst. Address: Endereo IP do web server.
Method: Mtodo http ou https.
Dst. Host: Nome do domnio do servidor de
destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisio.
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado
coringas. Tambm possvel utilizar expresses regulares devendo essas ser
iniciadas com (:)
3 - Hotspot

248

HotSpot Walled Garden


Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden
vale.
Src. Address: Endereo IP do usurio
requisitante.
Dst. Address: Endereo IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que ser
requisitada.
Dst. Host: Nome do domnio do servidor de
destino.

3 - Hotspot

249

Perguntas ?

3 - Hotspot

250

Web Proxy

4 - Web proxy

251

Web Proxy
Com o servio de web proxy podemos fazer
cache de objetos da internet e com isso
economizar banda.

Tambm possvel utilizar o web proxy como


filtro de contedo sem a necessidade de fazer
cache.

4 - Web proxy

252

Web Proxy Como usar


Basicamente podemos usar o proxy de duas
maneiras
No transparente: necessrio configurar o
endereo e porta do proxy nos computadores
Transparente: No necessrio alterar nenhum
configurao nos computadores(no tratar
conexes HTTPS).

4 - Web proxy

253

Habilitando nosso Web Proxy

4 - Web proxy

254

Web Proxy No transparente


Precisamos configurar manualmente o endereo e
porta do servidor de Proxy em nosso navegador.

4 - Web proxy

255

Web Proxy Redirecionamento

4 - Web proxy

256

Web Proxy - Access


A lista de acesso permite
controlar contedo que ser
permitido ou negado.
As regras adicionadas nesta
lista so processadas de
forma semelhante que as
regras do firewall. Neste caso
as regras iro processar as
conexes e caso alguma
conexo receba um match
ela no ser mais processada
pelas demais regras.

4 - Web proxy

257

Web Proxy - Access

Src. Address: Endereo ip de origem.


Dst. Address: Endereo ip de destino.
Dst. Port: Porta ou lista de portas destino.
Local Port: Porta correspondente do proxy.
Dst. Host: Endereo IP ou nome de
destino.
Path: Nome da pgina dentro do servidor.
Method: Mtodo HTTP usado nas
requisies.
Action: Permite ou nega a regra.
Redirect To: URL ao qual o usurio ser
redirecionado caso a regra seja de
negao.
Hits: Quantidade de vezes que a regra
sofreu macth.

4 - Web proxy

258

Web Proxy Criando regras


Crie algumas regras de acesso que permitam e
neguem acesso a alguns sites.
Dica: Para bloquear
sites que contm
uma palavra especifica
utilize : antes da palavra.

4 - Web proxy

259

Web Proxy Dst. Host e Path


Dst. Host = Nome DNS ou IP utilizado para
acessar um determinado site (de vermelho).
Path = Caminho de uma pgina ou documento
dentro de um determinado site (de verde).
Exemplos:
http://wiki.mikrotik.com/wiki/Manual:IP/Proxy
http://www.mikrotik.com/thedude
4 - Web proxy

260

Web Proxy Segurana


Quando habilitamos um servidor de Proxy, ele
pode ser usado por qualquer usurio, estando
este na sua rede interna ou externa.
Precisamos garantir que somente os clientes da
rede local tero acesso ao Proxy.
/ip firewall filter
add action=drop chain=input in-interface=interface-wan

4 - Web proxy

261

Web Proxy Regras de Firewall


Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocol=tcp dstport=80 action=redirect to-ports=8080

Protegendo o proxy contra acessos externos


no autorizados
/ip firewall filter add chain=input protocol=tcp dstport=8080 ininterface= wan action=drop

4 - Web proxy

262

Perguntas ?

4 - Web proxy

263