Escolar Documentos
Profissional Documentos
Cultura Documentos
(MTCNA)
BRAUSER
2019
Sobre o Instrutor
Leonardo Rosa
• Consultor em Internetworking
desde 2006.
• Instrutor MikroTik desde 2012,
certificado na Polônia.
• Ministra cursos e treinamentos nas
certificações MTCNA, MTCRE, MTCINE,
MTCWE, MTCTCE, MTCUME, MTCIPv6E e
MTCSE
2
Objetivos do Curso
• Promover uma visão geral do software
RouterOS e dos produtos RouterBOARD
• Treinamento prático em configurações
MikroTik, manutenção e resolução de
problemas básicos
3
Aprendizado
Esperado
O estudante irá:
• Se habilitar a configurar, gerenciar e
solucionar problemas básicos em
dispositivos MikroTik RouterOS
• Se habilitar a prover serviços básicos a
clientes
• Ter uma base sólida e ferramentas
valiosas para gerenciar uma rede
4
Certificações MikroTik
7
Agenda
• Treinamento: das 9h às 17h
• 1 hora de almoço: 12h
• Coffee-break à tarde de 30 minutos:
15h30
• Exame de certificação: último dia, 1 hora
8
Serviços locais
• Saída de emergência: mesma
principal
• Banheiros dentro da sala
• Café e água dentro da sala
9
Gentileza
• Colocar telefone em “silêncio” e
atender chamadas apenas fora da sala
• Silenciar o áudio do PC
• Faça perguntas!
• Abra um bloco de notas
• Anote seu número “XY”
10
Apresentações
• Seu Nome e Empresa
• Seu conhecimento sobre redes
• Sua experiência com o RouterOS
• Expectativas com este curso
11
Certified Network Associate
(MTCNA)
Módulo 1
Introdução
Sobre a MikroTik
• Fabricante de software e hardware
para roteadores
• Produtos usados por ISPs,
empresas e residências
• Missão: tornar as tecnologias da
Internet mais rápidas, mais
poderosas e acessíveis a uma faixa
maior de usuários
13
Sobre a MikroTik
• 1996: Estabelecida
• 1997: Soft. RouterOS para x86 (PC)
• 2002: Primeira RouterBOARD
• 2006: Primeiro MUM
(MikroTik User Meeting) - Praga,
República Checa
• 2017: Maior MUM: Indonésia, 3000+
14
Sobre a MikroTik
• Situada na
Letônia
• Mais de 160
funcionários
• mikrotik.com
• routerboard.com
15
MikroTik RouterOS
• É o sistema operacional do
hardware RouterBOARD da MikroTik
• Pode também ser instalado em um
PC ou como máquina virtual (VM)
• SO independente baseado no
kernel Linux (atualmente 3.3.5)
16
Recursos RouterOS
• Suporte completo a 802.11 a/b/g/n/ac
• Firewall/controle de banda
• Tunelamento Ponto-a-Ponto (PPTP,
PPPoE, SSTP, OpenVPN)
• DHCP/Proxy/HotSpot
• Muito mais, ver em: wiki.mikrotik.com
17
MikroTik RouterBOARD
• Uma família de soluções em
hardware criada pela MikroTik que
roda o RouterOS
• Variando desde routers
residenciais à concentradores de
acesso de grande porte
• Milhões de RouterBOARDs estão
atualmente roteando o mundo
18
MikroTik RouterBOARD
• Soluções integradas – prontas para uso
• Apenas placas – para montagem de
sistema próprio ou personalizado
• Cases – para montagens personalizadas
da RouterBOARD
• Interfaces – para expandir funcionalidades
• Acessórios
19
Primeiro Acesso
• Cabo null modem
• Cabo ethernet
• WiFi
Cabo Cabo
Null Ethernet
Modem
WiFi
20
Primeiro Acesso
• Emulador de terminal, em caso de
conexão por porta serial
• Telnet
• SSH
• WebFig
• WinBox - mikrotik.com/download
21
WinBox
• Endereço IP padrão (LAN):
192.168.88.1
• Usuário: admin
• Senha: (em branco)
22
LA
MAC WinBox
B
• Observe a barra de título do
WinBox quando conectado usando
o endereço IP
• Conecte ao router usando o
endereço MAC
• Observe a barra novamente
23
LA
MAC WinBox
B
• Desabilite o endereço IP na
interface bridge
• Tente logar no router usando o
endereço IP (não é possível)
• Tente logar no router usando o
MAC WinBox (funciona)
24
LA
MAC WinBox
B
• Habilite o endereço IP na interface
bridge
• Logue no router usando o
endereço IP
25
WebFig
• Navegador - http://192.168.88.1
26
Quick Set
• Configuração basica do router em
uma única janela
• Acessível por WinBox e WebFig
• Descrito com mais detalhes no
curso “Introdução ao MikroTik
RouterOS e RouterBOARDs”
27
Quick Set
28
Configuração Padrão
• Diversas configurações são aplicadas
• Para mais informação veja a página
configuração padrão
• Exemplo: SOHO routers - DHCP client
na Ether1, DHCP server no resto das
portas + WiFi
• Pode ser descartada e o router ficará
em “branco”
29
Linha de Comando
• Disponível via SSH, Telnet ou ‘New
Terminal’ no WinBox e WebFig
30
Linha de Comando
• <tab> completa o comando
• <tab> duplo mostra os
comandos/opções disponíveis
• ‘?’ mostra a ajuda
• Navegue através dos comandos
anteriores com as setas <↑>, <↓>
31
Linha de Comando
• Estrutura hierarquica (similar ao
menu do WinBox)
• Mais info na página console da wiki
B
AP da sala
notebook seu router
192.168.88.1
33
LA
Notebook - Router
B
• Conecte o notebook ao router com
o cabo plugando-o na ether3
• Desabilite outras interfaces
(wireless) em seu notebook
• Certifique-se que a interface
Ethernet está em DHCP
34
LA
Router - Internet
B
• O gateway da Internet da sala está
acessível na rede sem-fio via AP
(access point)
AP da sala
notebook seu router
192.168.88.1
35
LA
Router - Internet
B
• Para se conectar no AP você
precisará:
• Remover/desabilitar a wireless da
interface bridge
(usada na “default configuration”)
• Atribuir a interface wireless ao
modo “station” e ssid “MTCNA”
36
LA
Router - Internet
B
• Para ter internet na RB e no PC
você precisará:
• Alterar o DHCP client para a
interface wireless
• E incluir a wlan1 na lista WAN de
interfaces (/interface list member)
37
LA
Router - Internet
B
Remova/
desabilite a
interface
WiFi da
interface
bridge
Bridge → Ports
38
LA
Router - Internet
B
DHCP
client na
interface
WiFi
IP → DHCP Client
39
LA
Ajuste adicional
B
Altere a lista
para “all”
IP → Neighbor
40
Conferindo a
LA
B
Conectividade
• Ping www.mikrotik.com do seu notebook
41
Troubleshooting
• O router não pinga além do AP
• O router não resolve nomes
• O notebook não pinga além do router
• O notebook não resolve nomes
• A regra masquerade não funciona
42
RouterOS Releases
• Long-term (bugfix) – correções,
sem novos recursos
• Stable (current) – mesmas
correções + novos recursos
• Testing (release candidate) –
versões beta e RC)
43
Atualizando o RouterOS
• Maneira mais fácil
System → Packages
45
Pacotes do
RouterOS
Pacote Funcionalidade
LA
B
Pacotes
• Desabilite o pacote wireless
• Reinicie o router
• Observe a lista de interfaces
• Habilite o pacote wireless
• Reinicie o router
• Verifique/corrija sua internet
47
RouterBOOT
System → Routerboard
• Disponível em
www.mikrotik.com/download
50
RouterOS Users
System → Users
51
Backup da
Configuração
• Existem dois tipos de backup
• Arquivo Backup (.backup) – usado
para restaurar a configuração no
mesmo router
• Arquivo Export (.rsc) – usado para
mover a configuração para outro
router
52
Reset
Configuration
• Resetar para a default configuration
• Manter os usuários do RouterOS
após o reset
• Resetar o router sem qualquer
configuração (em branco)
• Rodar um script após o reset
System → Reset Configuration
53
Backup da
LA
B
Configuração
• Crie um arquivo .backup
• Resete a config do router
(vai perder acesso à internet)
• Restaure a configuração do router
(o acesso à internet volta)
54
O
pc
LA
io
na
Backup via Export
l
B
• Crie um arquivo .rsc (comando “export”)
• Resete a config do router completamente
• Importe a config do arquivo com o
comando /import <arquivo.rsc>
55
Licenças RouterOS
• Toda RouterBOARD embarca
uma licença
• Diferentes níveis de licença
(recursos)
• Atualizações ilimitadas
• Licença para x86 pode ser System → License
comprada em mikrotik.com
ou com distribuidores
56
Licenças RouterOS
Nível Tipos Usos
0 Trial Mode 24h trial
1 Free Demo
57
Módulo 1
Resumo
Certified Network Associate
(MTCNA)
Módulo 2
DHCP
DHCP
• Dynamic Host Configuration Protocol
• Usado para distribuir automaticamente
endereços IP em uma rede local
• Use DHCP apenas em redes confiáveis
• Funciona dentro de um domínio de
broadcast
• O RouterOS suporta ambos DHCP
cliente e servidor
60
DHCP Client
IP → DHCP Client
61
DNS
• Por padrão o DHCP
client busca pelo
endereço IP de
servidor DNS
• Pode também ser
atribuído
manualmente
IP → DNS
62
DNS
• O RouterOS suporta entradas
estáticas de DNS
• Por padrão existe uma entrada
estática do tipo A nomeada
'router.local' a qual aponta para o IP
192.168.88.1
• Isto significa que você pode acessar
o router usando este nome ao invés
do IP – http://router.local IP → DNS → Static
63
DHCP Server
• Automaticamente atribui endereço
IP a hosts solicitantes em uma
rede local
• Um endereço IP deve ser
configurado na mesma interface
do DHCP Server
• Para habilitar use o ‘DHCP Setup’
64
LA
DHCP Server
B
• Disconecte do router
• Reconecte usando o endereço MAC
do router
65
LA
DHCP Server
B
• Vamos remover a config existente
do DHCP Server atual e criar uma
nova config
• Vamos usar seu número (XY) para
a subrede (192.168.XY.0/24)
• Para habilitar o DHCP Server na
bridge, devemos configurá-lo na
interface bridge (e não nas portas
físicas)
66
LA
DHCP Server
B
Remova
DHCP Server
Remova
DHCP Network
IP → DHCP Server
67
LA
DHCP Server
B
Remova
IP Pool
IP → Pool
Remova
IP Address
IP → Address
68
LA
DHCP Server
B
Adicione
endereço IP
192.168.XY.1/24
na interface
bridge
• Exemplo, XY=199
69
LA
DHCP Server
B
1 2
3 4
5 6
IP → DHCP Server → DHCP Setup
70
LA
DHCP Server
B
• Disconecte do router
• Renove o IP do seu notebook
• Conecte no router através do novo
IP 192.168.XY.1
• Confira a conectividade com a
Internet
71
DHCP Static
Leases
Convertendo lease
dinâmico para
estático
73
Tabela ARP
• Provê informação sobre endereço
IP, endereço MAC e a interface na
qual o dispositivo está conectado
IP → ARP
74
ARP estático
• Conferem maior segurança na rede
• A interface de rede pode ser
configurada para 'reply-only' e
responder apenas a entradas ARP
conhecidas
75
ARP estático
Entrada ARP
estática
IP → ARP
76
ARP estático
Interface
responderá
apenas a
entradas ARP
conhecidas
Interfaces → bridge-local
77
DHCP e ARP
• O DHCP Server pode adicionar
entradas ARP automaticamente
• Combinado com 'leases' estáticos
e 'reply-only', o ARP pode elevar a
segurança na rede enquanto
mantém o uso facilitado pelos
usuários
78
DHCP e ARP
IP → DHCP Server
Adiciona entradas
ARP para os
DHCP leases
79
Módulo 2
Resumo
Certified Network Associate
(MTCNA)
Módulo 3
Roteamento
Roteamento
• Opera na camada de rede (Layer3
no modelo OSI)
• O roteamento define para onde os
pacores devem ser enviados
IP → Routes
82
Roteamento
• Dst. Address: redes que podem ser
alcançadas
• Gateway: endereço IP do próximo
router para se chegar ao destino
IP → Routes
83
Nova Rota Estática
IP → Routes
84
Roteamento
• Se existirem duas ou mais rotas
direcionando para o mesmo endereço, a
mais específica será usada
• Dst: 192.168.90.0/24, gateway: 10.0.0.1
• Dst: 192.168.90.128/25, gateway: 10.0.0.2
• Se um pacote precisa ser enviado para
192.168.90.135, o gateway 10.0.0.2 será
usado
85
Roteamento
• Check gateway – a cada 10 segundos
envia ou um ICMP echo request (ping)
ou um ARP request.
• Se várias rotas usam o mesmo
gateway e existe uma rota que tem a
opção check-gateway habilitada,
então todas as rotas estarão sujeitas
ao comportamento do check-gateway
86
Default Gateway
• Default gateway: um router (next
hop) para qual todo tráfego que não
tiver destino definido será enviado
• É reconhecido pela rede de destino
0.0.0.0/0
87
LA
Default Gateway
B
• Atualmente o default gateway para seu
router foi configurado automaticamente
pelo uso do DHCP-Client
• Remova a rota padrão da tabela em
/ip route
• Verifique a conectividade com a Internet
(não deve funcionar)
88
LA
Default Gateway
B
• Adicione o default gateway
manualmente (router do instrutor)
• Verifique se a conectividade com a
Internet está disponível
89
Rotas Dinâmicas
• Rotas com as flags DAC são
adicionadas automaticamente
• Uma rota DAC se origina da
configuração do endereço IP
IP → Addresses
IP → Routes
90
Route Flags
• A - active
• C - connected
• D - dynamic
• S - static IP → Routes
91
Roteamento Estático
• A rota estática define como
alcançar uma rede de destino
específica
• O rota padrão também é uma rota
estática. Ela direciona todo tráfego
para o gateway
92
LA
Roteamento Estático
B
• O objetivo é pingar o notebook do
seu vizinho
• Desative o firewall do router em
/ip firewall filter e o firewall do PC
• Pergunte ao vizinho o IP de sua
interface wireless
• E a subrede da sua LAN
(192.168.XY.0/24)
93
LA
Roteamento Estático
B
• Adicione uma nova rota
• Atribua o Dst. Address – endereço
de rede da LAN do vizinho (ex.
192.168.55.0/24)
• Atribua o Gateway – o IP da wireless
do vizinho (ex. 10.5.120.55)
• Agora você deve conseguir pingar o
notebook do seu vizinho
94
Roteamento Estático
• Fácil de configurar em redes pequenas
• Não é escalável
• É necessária configuração manual
para cada nova subrede que precisa
ser alcançada
95
Módulo 3
Resumo
Certified Network Associate
(MTCNA)
Módulo 4
Bridge
Bridge
• Bridges são dispositivos de camada 2
• A bridge é um dispositivo transparente
• Tradicionalmente usado para unir dois
segmentos de rede
• Uma bridge separa o domínio de
colisão em duas partes
• Um switch de rede é uma bridge com
múltiplas portas – cada porta é um
domínio de colisão
98
Bridge
• Todos os hosts podem se comunicar
entre si
• Todos compartilham o mesmo domínio
de colisão
99
Bridge
• Todos os hosts ainda podem se
comunicar entre si
• Agora existem 2 domínios de colisão
100
Bridge
• O RouterOS implementa software bridge
• Interfaces ethernet, wireless, SFP e
túneis podem ser adicionadas na bridge
• A config padrão em routers SOHO faz
bridge entre a porta wireless e a ether2
• Ether2-5 são combinadas em um switch.
Ether2 é a master, 3-5 são slave.
101
Bridge
• É possível remover a config do
'switch chip' e usar a bridge
• Sem o uso do 'switch chip', o
consumo de CPU aumenta
• Mais controle – pode-se usar IP
firewall para as portas da bridge
102
Bridge Firewall
• As interfaces em bridge no
RouterOS suportam firewall
• O tráfego que flue através da
bridge pode ser processada pelo
firewall
• Para habilitar: Bridge → Settings →
Use IP Firewall
103
Bridge Firewall
104
Bridge
• Devido a limitações do padrão
802.11, clientes wireless (mode:
station) não suporta bridge
• O RouterOS implementa diversos
outros modos para superar esta
limitação
105
Wireless Bridge
• station bridge - RouterOS com RouterOS
• station pseudobridge - RouterOS com
outros
• station wds (Wireless Distribution
System) - RouterOS com outros
106
LA
Bridge
B
• Vamos criar uma grande bridge em
nossa rede
• Todos os notebooks estarão na mesma
rede
• Nota: cuidado ao unir redes em bridge!
• Crie um backup antes de iniciar o LAB!
107
LA
Bridge
B
Altere o modo
para 'station
bridge'
Wireless → wlan1
Desabilite o
DHCP Server
IP → DHCP Server
108
LA
Bridge
B
Adicione a interface
wireless na bridge
Bridge → Ports
109
LA
Bridge
B
• Renove o IP do seu notebook
• Você deve adquirir IP do router do
instrutor
• Pergunte o IP do seu vizinho e tente
pingar em seu endereço
– No PC, confira o MAC com arp -a
B
• Restaure a configuração do seu
router através do backup criado
anterior a este LAB
• Ou restaure manualmente :)
111
Módulo 4
Resumo
Certified Network Associate
(MTCNA)
Módulo 5
Wireless
Wireless
• O MikroTik RouterOS provê suporte
completo aos padrões de rede
wireless IEEE 802.11a/n/ac (5GHz)
e 802.11b/g/n (2.4GHz)
114
Padrões Wireless
Padrão IEEE Frequência Velocidade
Dependendo do modelo de
RouterBOARD
115
Canais 2.4GHz
117
Canais 5GHz
• O RouterOS suporta todas as
faixas de frequências em 5GHz
• 5180-5320MHz (canais 36-64)
• 5500-5720MHz (canais 100-144)
• 5745-5825MHz (canais 149-165)
• Varia de acordo com a
regulamentação dos países
118
Canais 5GHz
Padrão IEEE Channel Width
802.11a 20MHz
20MHz
802.11n
40MHz
20MHz
40MHz
802.11ac
80MHz
160MHz
119
Regulamentação
121
Regulamentação
• O modo DFS 'radar detect'
(anterior à v6.35) irá selecionar
um canal com o menor número de
redes para uso caso nenhum radar
seja detectado por 60s neste canal
Wireless
122
Wireless Chains
• O 802.11n introduziu o conceito de MIMO
(Multiple In and Multiple Out)
• Envia e recebe dados usando múltiplos
rádios em paralelo
• O 802.11n com uma chain (SISO) pode
alcançar apenas 72.2Mbps (em cartões
antigos, 65Mbps)
123
Tx Power
Cartão Chains
• Note on implementation of Tx
Wireless em uso
Potência por Chain Potência Total
Power on
1
RouterOS Igual à potência
Igual à potência selecionada
802.11n
selecionada
2 +3dBm
3 +5dBm
Igual à potência
1
selecionada Igual à potência
802.11ac
selecionada
2 -3dBm
3 -5dBm
124
Tx Power
• Usado para ajustar a potência de
transmissão do cartão wireless
• Mude para 'all rates fixed' e ajuste
a potência
Wireless → Tx Power
125
Sensibilidade de Rx
• A sensibilidade de recepção é o
menor nível de potência no qual a
interface consegue detectar um sinal
• A depender do uso planejado, esse
valor deve ser levado em
consideração ao comparar
RouterBOARDS
• Limites menores significa melhor
detecção de sinal
126
Rede Wireless
AP Instrutor
Estações wireless
127
Access Point
• Atribua na interface
mode=ap bridge
• Selecione a banda
• Atribua a frequência
• Atribua o SSID (ID
da rede wireless)
• Atribua o Security
Profile
128
Radio Name
• Um “nome” para a interface wireless
• Visível apenas entre RouterOS
129
Registration Table
• Veja todas as conexões wireless de
todas as interfaces
Wireless → Registration
130
Segurança
• Apenas WPA (WiFi Protected
Access) ou WPA2 devem ser
usadas
• WPA-PSK ou WPA2-PSK com
criptografia AES-CCM
131
Segurança
• Ambas as chaves
WPA e WPA2 podem
ser especificadas
para permitir
conexões de
dispositivos que não
suportam WPA2
• Escolha uma chave Wireless → Security Profiles
forte!
132
WPS
• WiFi Protected Setup (WPS) é um
recurso para acessar a ede WiFi de
forma conveniente, sem a
necessidade de atribuir a chave de
autenticação (passphrase)
• O RouterOS suporta ambos os
modos 'WPS accept' (AP) e 'WPS
client' (station)
133
WPS Accept
• Para permitir acesso a visitantes em seu
AP, você pode usaar o botão WPS accept
• Ao pressioná-lo, ele irá garantir acesso à
conexão com o AP por 2min ou até que
um dispositivo cliente se conecte
• O botão WPS accept precisa ser
pressionado toda vez que um novo
dispositivo precisar se conectar
134
WPS Accept
• Para cada dispositivo isso
precisa ser feito apenas
uma vez
• Todo dispositivo RouterOS
com interface WiFi tem um
botão virtual WPS
• Alguns tem o botão físico
135
Access List
• Usado pelo AP para
permitir/gerenciar conexões das
estações
• Diversos critérios de identificação
como endereço MAC e força do sinal
• Pode determinar autenticação e
encaminhamento (forward) das
estações
• Condições podem respeitar horários
e dias definidos 136
Access List
137
Estação Wireless
• Estação wireless é o cliente
(notebook, celular, router)
• No RouterOS, modo wireless
'station'
138
Estação Wireless
• Atribua na interface
mode=station
• Selecione a banda
• Atribua o SSID (ID
da rede wireless)
• A frequência não é
importante para o
cliente, scan-list sim
139
Connect List
• São regras usadas por estações
para selecionar (ou não) um AP
140
LA
Connect List
B
• Atualmente seu router está
conectado ao AP da sala
• Crie uma regra para negar a
conexão ao AP da sala
141
Snooper
• Obtenha uma visão geral as redes
wireless na banda selecionada
• A interface wireless é desconectada
durante o scaneamento!
• Pode ser usado para escolha do
melhor canal
142
Snooper
Wireless → Snooper
143
Default
Authenticate
144
Default
Authenticate
Default Entrada Access/
Comportamento
Authentication Connect List
145
Default Forward
• Usado para
permitir ou proibir
a comunicação
entre estações
146
Módulo 5
Resumo
Certified Network Associate
(MTCNA)
Módulo 6
Firewall
Firewall
• Um sistema de segurança de rede
para proteger a rede interna da
externa (ex.: Internet)
• Baseado em regras que são
analisadas sequencialmente até
que a condição seja atendida
• As regras de firewall no RouterOS
são gerenciadas nas sessões Filter
e NAT
149
Firewall Rules
• Funciona com o princípio SE - ENTÃO
• Ordenado em cadeias (chains)
• Existem chains pre-definidas
• O usuário pode criar novas chains,
subordinadas a uma das padrão
150
Firewall Filter
• Existem 3 chains padrão
• input (para o router)
• output (a partir do router)
• forward (através do router)
output
input
forward
151
Filter Actions
152
Filter Chains
IP → Firewall
153
Chain: input
• Protege o próprio router
• Tanto da Internet quanto da rede
interna
input
154
LA
Chain: input
B
• Adicione uma regra de accept na interface
bridge para o IP do seu notebook
(Src. Address = 192.168.XY.254)
• Adicione uma regra de drop na interface
bridge para todo o resto
155
LA
Chain: input
B
IP → Firewall → Nova regra de Firewall (+)
156
LA
Chain: input
B
• Mude o endereço IP do seu notebook de
forma estática para 192.168.XY.199, DNS
e gateway: 192.168.XY.1
• Desconecte do router
• Tente conectar ao router (não é possível)
• Tente navegar à internet (não é possível)
157
LA
Chain: input
B
• Mesmo o tráfego da Internet sendo
controlado pela chain forward, a
navegação não é possível
• POR QUE? (resposta no próximo slide)
158
LA
Chain: input
B
• Seu notebook está usando o router
como servidor DNS
• Conecte no router usando MAC WinBox
• Adicione uma regra de accept na
interface bridge para permitir as
requisições DNS: protocolo “udp”, porta
“53”. Mova a regra para acima do drop
• Tente navegar à Internet (funciona)
159
LA
Chain: input
B
• Volte seu notebook para DHCP
• Conecte-se ao router
• Remova todas as regras em
/ip firewall filter
160
Chain: forward
• Contém regras que controlam
pacotes que atravessam o router
• Controla o tráfego entre cliente e
Internet e entre os clientes em si
forward
161
LA
Chain: forward
B
• Adicione uma regra de drop para a
porta http (80/tcp) e https (443/tcp)
• Para especificar portas, deve-se
especificar o protocolo IP também
B
• Tente abrir brauser.com.br
(não é possível)
• Tente abrir o WebFig do router
http://router.local (funciona)
• A página web do router funciona
porque o tráfego para a página é
input e não forward
163
Portas Usadas com
Frequência
Porta Serviço
80/tcp HTTP
443/tcp HTTPS
22/tcp SSH
23/tcp Telnet
20,21/tcp FTP
8291/tcp WinBox
5678/udp MikroTik Neighbor Discovery
20561/udp MAC WinBox
164
Address List
• O address list (listas de IP) permite criar
uma regra para vários IPs de uma vez
• É possível adicionar automaticamente
IPs a uma address list
• Os IPs podem ser adicionados por
tempo indeterminado ou por um tempo
predefinido
• O address list pode ter desde um IP,
uma faixa de IPs ou uma subrede inteira
165
Address List
166
Firewall Log
• Cada regra pode ser logada
quando a condição for atendida
• Um prefixo pode ser adicionado ao
log para facilitar na busca pelos
registros depois
167
Firewall Log
168
NAT
• Network Address Translation (NAT)
é o método de modificar a origem
ou destino de um pacote IP
• Existem dois tipos de NAT - ‘source
NAT’ e ‘destination NAT’
169
NAT
• O NAT é usualmente utilizado para
prover acesso a internet para uma rede
local que usa IPs privados (src-nat)
• Ou para acesso remoto a algum
recurso interno (ex.: servidor web)
através da internet, usando
redirecionamento de portas (dst-nat)
170
NAT
Novo IP de
IP de origem
origem
IP privado
Servidor Público
171
NAT
Novo IP
de destino IP de destino
Host
público
Servidor em
rede local
172
NAT
• As chains srcnat e dstnat do firewall
são usadas para implementar as
funcionalidades do NAT
• Similar às regras em Filter, seguem
o princípio SE – ENTÃO
• E são analisadas sequencialmente
até que a condição da regra seja
atendida
173
Dst NAT
Novo Dst.
Dst. Address
address
159.148.147.196:80
192.168.1.1:80
Host
Público
Servidor Web
192.168.1.1
174
Dst NAT
176
Redirect
Endereço de DNS
configurado no PC:53
Novo IP de DNS
127.0.0.1:53
DNS
Cache
177
LA
Redirect
B
• Crie uma regra de dstnat para
redirecionar toda requisição com
destino a porta HTTP (tcp/80) para
a porta 80 do próprio router
• Tente abrir brauser.com.br ou
qualquer outro site que use o
protocolo HTTP
• Quando finalizar, desative ou
remova a regra
178
Src NAT
Novo IP de
IP de origem origem é IP
192.168.199.200 do router
192.168.199.200
Servidor Público
181
Connection Tracking
• Gerencia informções sobre todas
as conexões ativas
• Precisa estar habilitado para o NAT
e certas condições e ações (action)
do Filter funcionarem
• Nota: connection state ≠ TCP state
182
Connection Tracking
IP → Firewall → Connections
183
Connections
• New – o pacote está iniciando/abrindo uma
nova conexão
• Established – o pacote pertence a uma
conexão conhecida
• Related – o pacote está iniciando/abrindo
uma nova conexão, mas esta tem relação
com uma outra conexão conhecida
• Invalid – o pacote não pertence a nenhuma
nas conexões conhecidas
184
Connections
Invalid Established
New Related
185
FastTrack
• Um médoto para acelerar o fluxo de
pacotes no router
• Uma conexão 'established' ou 'related'
podem ser marcadas como 'fasttrack
connection'
• Bypassa o firewall, o connection
tracking, simple queue e outros recursos
• Atualmente suporte apenas os
protocolos TCP e UDP
186
FastTrack
Sem Com
360Mbps 890Mbps
Módulo 7
QoS
Quality of Service
• QoS é a performande geral de uma
rede, particularmente a
performance vista pelos usuáros
• O RouterOS implementa diversos
métodos de QoS como limite de
velocidade (shaping), priorização
de tráfego e outros
190
Simple Queue
• Pode ser usada para facilmente
limitar a velocidade de:
• Download (↓) do cliente
• Upload (↑) do cliente
• Velocidade total (↓ + ↑)
191
Simple Queue
Especifique
o cliente
Especifique Max
Limit do cliente
Observe o
tráfego
Tools → Torch
193
LA
Simple Queue
B
• Crie um limite de velocidade para
seu notebook (192.168.XY.254)
• Atribua upload para 128k e
download para 256k
• Abra mikrotik.com/download e
baixe a versão atual (current) do
RouterOS
• Observe a velocidade de download
194
Simple Queue
• Ao invés de limitar o cliente, o
tráfego do servidor pode ser
limitado também
Atribua o Target
para qualquer um
Atribua Dst.
o IP do servidor
195
Queues
LA
Simple Queue
B
• Use o ping para descobrir o IP do
site mikrotik.com
• Modifique a simple queue
existente para limitar o servidor do
site mikrotik.com
• Baixe o MTCNA outline
• Observe a velocidade do download
196
Banda Garantida
• Usado para garantir sempre uma
banda mínima para o cliente
• O tráfego restante será dividido
entre os clientes por demanda
• Controlado pelo parâmetro Limit-at
197
Banda Garantida
Atribua o
Limit At
199
Banda Garantida
Queues
Banda Banda
Garantida Atual
200
Burst
• Usado para permitir velocidade
mais alta por um curto período de
tempo
• Útil para o tráfego WEB
– as páginas carregam mais rápido
• Para download de arquivos e
streaming os valores em Max Limit
ainda prevalecem
201
Burst
Atribua o
burst limit,
threshold
e time
202
Burst
• Burst limit - max valocidade de upload/
download permitida no burst
• Burst time - tempo (seg), no qual a
média da velocidade será calculada
(NÃO é o período de duração do burst).
• Burst threshold – quando a média da
velocidade atinge ou baixa do
threshold o burst é desligado ou ligado
203
LA
Burst
B
• Modifique a queue criada no LAB anterior
• Atribua o burst limit de 512k para upload
e download
• Atribua o burst threshold de 256k para
upload e download
• Atribua o burst time de 16s para upload e
download
B
• Abra mikrotik.com, observe a
velocidade da abertura da página
• Baixe a versão mais nova do
RouterOS em MikroTik download
• Observe a velocidade do download
com a ferramenta torch (/tool torch)
205
Per Connection
Queuing
• É um tipo de enfileiramento (queue type)
para otimizar a implantação de QoS em
massa através do uso de sub-filas (sub-
stream)
• Substitue múltiplas queue por uma só
• Diversos classificadores podem ser usados:
• Endereço IP de origem/destino
• Porta de origem/destino
206
Per Connection
Queuing
• Rate – velocidade máxima
disponível para cada sub-fila
• Limit – tamanho da fila de cada
sub-fila (KiB)
• Total Limit – volume total de dados
enfileirados em todas as sub-filas
(KiB)
207
Exemplo de PCQ
• Objetivo: limitar todos os clientes a
1Mbps de download e 1Mbps de
upload
• Crie 2 novos tipos de fila
• 1 para Dst Address (download)
• 1 para Src Address (upload)
• Atribua as queues para as
interfaces LAN e WAN
208
Exemplo de PCQ
Interface
WAN
Interface
LAN
Tools → Torch
211
LA
Exemplo de PCQ
B
• O instrutor irá criar 2 novas
queues pcq e limitar todos os
clientes (routers dos alunos) a
512Kbps de upload e download
• Tente baixar a nova versão do
RouterOS version em mikrotik.com
e observe a velocidade de
download com a ferramenta torch
212
Módulo 7
Resumo
Certified Network Associate
(MTCNA)
Módulo 8
Túneis
Protocolo de
Ponto-a-Ponto
• Point-to-Point Protocol (PPP) é
usado para estabelecer um túnel
(conexão direta) entre dois nós
• O PPP pode prover autenticação,
criptografia e compressão
• O RouterOS suporta vários túneis
PPP como PPPoE, SSTP, PPTP
dentre outros
215
IP Pool
• Define uma faixa de endereços IP
para uso em serviços do RouterOS
• Usado pelo DHCP, PPP e HotSpot
• Os endereços dos clientes são
tomados automaticamente do pool
216
IP Pool
Atribua nome e
faixa de
endereço ao
pool
217
PPPoE
• Point-to-Point over Ethernet é um
protocolo de camada 2 usado para
controlar o acesso à rede
• Provê autenticação, criptografia e
compressão
• O PPPoE pode ser usada para
gerenciar a entrega de IPs para os
clientes
218
PPPoE
• A maioria dos sistemas
operacionais desktop tem o cliente
PPPoE instalado por padrão
• O RouterOS suporta ambos o
cliente PPPoE e o servidor PPPoE
(concentrador de acesso)
219
PPP Profile
• O profile define regras usadas
pelos servidores PPP e seus
clientes
• Método de atribuir a mesma
configuração a múltiplos clientes
220
PPP Profile
Atribua o
endereço
local e
remoto ao
túnel
É sugerido usar a
criptografia
Atribua usuário,
senha e perfil.
Especifique o
'service' se
necessário
Atribua o
service name,
interface,
profile e os
protocolos de
autenticação
225
PPP Status
• Informações
sobre sessão em
questão
226
PPPoE Client
Atribua a
interface,
service,
usuário,
senha
227
PPPoE Client
• Caso existam mais de um servidor
PPPoE em um domínio de
broadcast, o 'service name'
pode/deve também ser especificado
• Pois o cliente tentará se conectar ao
primeiro servidor que lhe responder
228
LA
PPPoE Client
B
• O instrutor irá criar um PPPoE
server em seu router
• Desabilite o DHCP client em seu
router
• Configure um PPPoE client na
interface WAN do seu router
• Atribua usuário e senha 'mtcna' e
use-peer-dns=yes
229
LA
PPPoE Client
B
• Verifique o status do PPPoE client
• Verifique se a conexão à Internet
está disponível, corrija o necessário
• Teste sua conectividade com os
vizinhos
230
Endereçamento
Point-to-Point
• Quando a conexão é estabelecida entre
cliente e servidor PPP, endereços /32
são atribuídos
• Para o cliente, o endereço de rede
(network) é o endereço do gateway
(router) e vice-versa
231
Endereçamento
Point-to-Point
• A máscara de subrede não é
relevante ao usar endereçamento PPP
• O endereçamento PPP economiza 2
endereços IP
• Se o endereçamento PPP não for
suportado pelo outro dispositivo, uma
subrede /30 deve ser utilizada
232
PPP Tunnel
Tunnel
233
PPTP
• O PPTP (protocolo de tunelamento
ponto-a-ponto) provê túneis
criptografados sobre o IP
• Pode ser usado para criar conexões
“seguras” entre redes através da
Internet
• O RouterOS suporta ambos o PPTP
cliente PPTP server
234
PPTP
• Usa porta tcp/1723 e o protocolo IP
de número 47 - GRE (Generic
Routing Encapsulation)
• NAT helpers são usados para
garantir o suporte ao PPTP em
redes com NAT
235
PPTP Server
• O RouterOS provê um setup
simples para PPTP server
• Use QuickSet para habilitar o
acesso à VPN
Habilite a
VPN e atribua
o password
236
PPTP Client
Atribua
name, IP do
servidor
PPTP,
username,
password
240
SSTP Client
Atribua o
name,
endereço IP
do servidor
SSTP,
usuário,
senha
241
SSTP Client
• Use 'Add Default Route' para
enviar todo tráfego através do
túnel SSTP
• Use rotas estáticas para enviar
tráfegos específicos através do
túnel SSTP
242
SSTP Client
• Não é necesário usar certificados para
conectar dois dispositivos RouterOS
• Para conectar pelo Windows, é
necessário um certificado válido
• Pode ser emitido por uma entidade
certificadora – certificate authority (CA)
243
LA
SSTP
B
• Junte-se com seu vizinho
• O router A cria o servidor VPN e um
‘secret’. Router B cria o cliente VPN.
• Utilizem ‘secrets’ com local-address e
remote-address diferentes de qualquer
outro IP existente nos routers.
244
LA
SSTP
B
• Verifique as regras de firewall.
Lembre que o SSTP usa porta tcp/443
• Ping o notebook do seu vizinho a
partir do seu notebook (não pinga)
• POR QUE? (resposta a seguir)
245
LA
SSTP
B
• Não há rotas para a rede interna do
seu vizinho
• Ambos devem criar rotas estaticas
para a rede 192.168.XY.0/24 do outro
• Testem a comunicação entre
notebooks usando ping e traceroute
(deve funcionar)
246
PPP
• PPPoE, PPTP, SSTP e outros
protocolos de túneis são abordados
com mais detalhes em
implementação cliente e servidor nos
cursos de certificação MikroTik
MTCRE, MTCINE e MTCUME.
• Para mais informação:
http://mikrotik.com/training
247
Módulo 8
Resumo
Certified Network Associate
(MTCNA)
Módulo 9
Diversos
RouterOS Tools
• O RouterOS provê
diversas ferramentos
que ajudam a
administrar e
monitorar o router
com mais eficiência
250
E-mail
• Permite enviar e-mails
a partir do router
• Exemplo para enviar
backup do router Tools → Email
/export file=export
/tool e-mail send to=you@gmail.com\
subject="$[/system identity get name] export"\
body="$[/system clock get date]\
configuration file" file=export.rsc
Script para gerar arquivo export e enviá-lo por e-mail
251
O
pc
LA
i
on
E-mail
al
B
• Configure seu servidor SMTP no router
• Exporte a configuração do seu router
• Envie o arquivo gerado para seu e-
mail a partir do RouterOS
252
Netwatch
• Monitora o status de
hosts na rede
• Envia ICMP echo
request (ping)
• Pode executar scripts
quando o host parar
de responder e
quando voltar a
responder Tools → Netwatch
253
Ping
• Usado para testar a
alcansabilidade de um
host numa rede IP
• Usado para medir a
latência (round trip
time) entre os hosts de
origem e destino
• Envia pacotes ICMP Tools → Ping
echo request
254
LA
Ping
B
• Ping o IP do seu notebook a partir
do router
• Clique em ‘New Window’ e ping
mikrotik.com a partir do router
• Observe a diferença na latência
255
Traceroute
• Ferramenta para
diagnóstico de rede
que exibe a rota
(caminho) de
pacotes através de
uma rede IP
• Pode usar protocolo
icmp ou udp
Tools → Traceroute
256
LA
Traceroute
B
• Escolha um site hospedado no Brasil
e faça um traceroute para ele
• Clique em ‘New Window’ e faça um
traceroute para mikrotik.com
• Observe a diferença entre as rotas
257
Profile
• Exibe o uso de CPU em
tempo real para cada
processo rodando no
RouterOS
• idle - CPU ociosa
Tools → Profile
• Mais info na
página wiki do Profiler
258
Interface Traffic
Monitor
• Status em tempo real
do tráfego na
interface
• Disponível na aba
“Traffic” de cada
interface
• Acessível também via
WegFig ou terminal
259
Interfaces → wlan1 → Traffic
Torch
• Monitoramento em tempo real
• Usada para monitorar o fluxo de
dados através da interface
• Pode classificar o tráfego
monitorado por nome do protocolo
IP, endereços de origem/destino
(IPv4/IPv6), número da porta etc.
260
Torch
Tools → Torch
263
Gráficos
• O RouterOS pode gerar gráficos que
exibem quanto tráfego passou por
uma interface ou queue
• Pode exibir o uso de CPU, memória e
disco
• Para cada medição existem 4
gráficos – daily (diário), weekly
(semanal), monthly (mensal) e
yearly (anual)
264
Gráficos
Atribua uma
interface em
específico ou
deixe “all” para
todas, atribua as
origens IP que
terão acesso aos
gráficos
Tools → Graphing
265
Gráficos
• Disponível no router:
http://ip_do_router/graphs
266
Gráficos
267
O
pc
LA
i
on
Gráficos
al
B
• Habilite os gráficos para interface,
queue e resource em seu router
• Observe os gráficos
• Faça download de um arquivo
grande na Internet
• Observe os gráficos
268
SNMP
• Simple Network Management Protocol
(SNMP)
• Usado para monitorar e gerenciar
dispositivos
• O RouterOS suporta SNMP v1, v2 e v3
• O suporte à escrita no SNMP é
disponível apenas para algumas
configurações
269
SNMP
IP → SNMP
270
The Dude
• Aplicação da MikroTik que pode
otimizar dramaticamente a maneira
como você gerencia seu ambiente
de rede
• Automaticamente descobre e
desenha o mapa de dispositivos
• Monitoramento de serviços e alertas
• Gratuito
271
The Dude
• Suporta monitoramento SNMP, ICMP,
DNS e TCP
• Dude Server roda no RouterOS (TILE,
ARM, MMIPS, CHR ou x86)
• Dude Client no Windows (funciona
no Linux e OSX usando Wine)
• Mais info ver na wiki The Dude
272
The Dude
273
O
pc
LA
i
on
The Dude
al
B
• Faça o download do cliente Dude
para Windows em
mikrotik.com/download
• Instale e conecte-se ao servidor
demo: dude.mt.lv
• Observe o Dude
274
O
pc
LA
i
on
The Dude
al
B
275
Contatando
o Suporte
• Para que o suporte da MikroTik ajude
melhor, alguns passos devem ser
seguidos antes de contatar o
suporte
• Crie o arquivo
de saída para
suporte
(supout.rif)
276
Contatando
o Suporte
• Um arquivo chamado autosupout.rif pode
ser criado automaticamente em caso se
falha de hardware ou malfuncionamento
• Gerenciado pelo processo Watchdog
• Antes de enviá-lo à MikroTik, o conteúdo dos
arquivos (.rif) podem ser visualizados em
sua conta mikrotik.com
• Mais info em Support Output File e Watchdog
277
Contatando o Suporte
• Antes de entrar em contato
support@mikrotik.com verifique os
seguintes recursos
• wiki.mikrotik.com - Documentação e
exemplos do RouterOS
• forum.mikrotik.com - Fórum para
comunicação entre usuários do RouterOS
• mum.mikrotik.com - Página do MikroTik
User Meeting – vídeos das apresentações
278
Contatando o Suporte
• Sugerimos adicionar comentários
significativos às suas regras e itens
• Descreva de forma detalhada para
que a MikroTik possa ajudar melhor
• Inclua o diagrama da rede
• Mais info na página do support
279
Módulo 9
Resumo
MTCNA
Resumo
Exame de Certificação
• Se necessário, resete seu router e
restaure um backup
• Certifique-se que tem acesso ao portal
de treinamento em mikrotik.com
• Faça login na sua conta
• Entre em “my training sessions”
• Boa sorte!
282
CONTATOS
Leonardo Rosa
leonardo@brauser.com.br
(19) 3090 3600 | WB
283