Mikrotk Online Mtcna

Treinamento MikroTik
MTCNA Online
RouterOS v7
1 - Apresentação geral
3
Importante
➢ O aluno que adquiriu esse treinamento terá direito a prestar o

exame de certificação MTCNA oficial da MikroTik desde que:
➢ Conclua esse treinamento com todas as suas etapas;
➢ Agende previamente com a Redes Brasil a data, hora e local para
aplicação da prova com o instrutor que lecionou esse treinamento ou
algum outro instrutor parceiro desse projeto.
Não compartilhe esse material

Esse material é de uso exclusivo de alunos da Redes Brasil e não deverá ser
compartilhado em hipótese alguma, sob pena de responder legalmente a Lei de direitos
autorais vigente (Lei nº 9.610/98).
4
Certificações da MikroTik
5
Módulos do Treinamento
✓ MÓDULO 1 - INTRODUÇÃO
✓ MÓDULO 2 - DHCP
✓ MÓDULO 3 - BRIDGING
✓ MÓDULO 4 - ROTEAMENTO
✓ MÓDULO 5 - FIREWALL
✓ MÓDULO 6 - QOS
✓ MÓDULO 7 - TÚNEIS
✓ MÓDULO 8 - WIRELESS
✓ MÓDULO 9 - OUTROS
6
Importante
➢Aprendizado: Busque absorver conceitos.
➢Pratique: Faça todos os laboratórios propostos.
➢ Essa pirâmide foi elaborada por meio de estudos da National

Training Laboratories (NTL).
7
Objetivos do curso
➢Tonar o aluno apto prestar o exame de certificação;
➢Tornar o aluno apto a configurar com eficiência os

equipamentos da MikroTik;
8
Prova de certificação
➢ 25 questões;
➢ Prova em Inglês;
➢ 1 hora de duração (média 2,4 minutos por questão);
➢ Nota igual ou superior a 60% para ser aprovado;
➢ Nota igual ou superior a 75% para passer na primeira etapara para consultor
official.
➢ Pode consultar roteador, anotações e sites da MikroTik.
➢ Pode usar tradutor.
➢ Faça o teste de exemplo no site da MikroTik.

https://mikrotik.com/client/testExample
9
Certificado
➢Todos o alunos irão

receber o certificado de
participação por e-mail.
➢ Alunos que fizerem a prova de

certificação e tiverem nota igual
ou maior que 60% receberão o
certificado da MikroTik que será
gerado dentro do próprio site do
fabricante.
MÓDULO 1 - INTRODUÇÃO
10
MÓDULO 1 - INTRODUÇÃO
11
MikroTik/RouterBoard/RouterOS
MikroTik RouterBoard RouterOS
RouterOS
Empresa Hardware Software/ SO

12
MikroTik
➢Criada em 1996
➢Sediada na capital da Letónia, Riga.
➢Desenvolve software e hardware focado no
mercado de redes de computadores.
13
Oque são RouterBoards ?

➢ Hardware criado pela MikroTik desde 2002;
➢ Atende desde usuários domésticos até grandes empresas;
➢ Hardware relativamente barato se comparado com outros
fabricantes;
➢ Possui uma variedade muito grande de Roteadores e
Switchs e CPEs.
14
Oque é o RouterOS?
➢ RouterOS é o software desenvolvido pela MikroTik.
➢ Comumente utilizado em RouterBoards, mas também pode ser

instalado em um servidor 32bits ou até mesmo virtualizado em
sua versão de 64bits (CHR).
➢ É um sistema operacional baseado em Linux que pode facilmente

controlar redes de pequeno, médio e grande porte.
➢ O sistema ganhou destaque muito grande nos últimos anos por

alguns motivos que veremos logo a seguir.
15
Oque é o RouterOS?
➢ O RouterOS possui várias funcionalidades, abaixo segue algumas:
▪ Roteador simples
▪ Controlador de banda
▪ Firewall simples e avançado (camada 2,3 e 7)
▪ Controlador de conteúdo
▪ Access point (wireless) com vários recursos
▪ Hotspot com varias opções
▪ Sniff de rede (Analisador de pacotes e conexões)
▪ Balanceador de links
▪ Failover
▪ Concentrador de VPN
▪ Roteador avançado utilizando protocolos de roteamento dinâmico (OSPF,BGP,RIP e MPLS)
▪ Firewall de IDS (intrusion detection system/Sistema de detecção de intrusão)
▪ QoS (Quality of service/Qualidade de serviço)
▪ Gerenciador de conexões wireless de alto desempenho
▪ Outros
16
Conhecendo o Hardware da MikroTik
RouterBoards CCRs Swtichs
Wireless Wireless Outros

Outdoor Indoor
17
Alguns modelos de RouterBoards?
HAP – RB941 HEX Lite – RB750r2 HEX – RB750Gr3 RB 450Gx4

Residencial - Baixo custo SOHO - Baixo custo Baixo custo Sem case e sem fonte
Com Wi-Fi
RB 2011 CPU 600Mhz RB 1100AHx4 CPU Quad-core 1,4Ghz
RB 3011 CPU Dual-core 1,4Ghz RB 1100AHx4 Dude Edition SSD 60GB
RB 4011 CPU Quad-core 1,4Ghz RB 5009 CPU Quad-core 1,4Ghz

18
CCRs da linha 1000
CCR 1009 CCR 1016

9 núcleos de processamento 16 núcleos de processamento
CCR 1036 CCR 1072

36 núcleos de processamento 72 núcleos de processamento
19
CCRs da linha 2000
CCR 2004 CCR 2116
CCR 2216 CCR2004-1G-2XS-PCIe

20
Roteadores vs Switchs
Roteador Swtich
CCR 1072 CRS 317
8 interfaces de 10G 16 interfaces de 10G

72 CPUs 2 CPUs
Tráfego máximo com pacotes de 64 bytes = 48Gbps Tráfego máximo com pacotes de 64 bytes = 120Gbps
3350,00 dólares 439,00 dólares

21
Swtichs CRS e CSS
CRS 326 CSS 326
Roda RouterOS Roda SwOS
24 interfaces 1G 24 interfaces 1G
2 interfaces 10G 2 interfaces 10G

22
CRS 1xx e 2xx vs CRS 3xx e 5xx
CRS 125 CRS 326
Difícil de configurar Fácil de configurar

Poucos recursos no offload Muitos recursos no offload
24 interfaces ethernets 1G 24 interfaces ethernets 1G

1 interfaces fibra 1G 2 interfaces fibra 10G

23
Resumo
RouterBoard CCR CSS
CRS CRS
1xx e 2xx 3xx e 5xx
Roteador Roteador Switch Switch Switch
RouterOS RouterOS SwOS RouterOS RouterOS
Vários modelos Alto tráfego + baratos + baratos que + caros
CRS 125 complicada

Configuração Configuração simples
CRS 125
Poucos recursos no offload Muitos recursos no offload
CRS 125 CRS 125
24
Alguns modelos de Swtichs CSS
CSS 106 (RB 260) CSS 326
CSS 610 (netPower) CSS 610

25
Alguns modelos de Swtichs CRS 1xx e 2xx
CRS 109 CRS 125
CRS 106 CRS 212

26
Alguns modelos de Swtichs CRS 3xx e 5xx
CRS 305 CRS 317
CRS 354 CRS 518

27
Nomenclatura das RouterBoards
Serie 400
0 ou nenhuma wireless
RB 450
5 interfaces ethernet
3 slots p/ wireless
Serie 400
Lógica de nomenclatura
válida somente para
RouterBoards com
RB 433 modelos especificados

por 3 números.
3 interfaces ethernet
28
Nomenclatura das RouterBoards
Tipo de case Banda
➢ (not used) - main type of enclosure for a product ➢ 5 - 5Ghz
➢ RM - rack-mount enclosure ➢ 2 - 2.4Ghz
➢ IN - indoor enclosure ➢ 52 - dual band 5Ghz and 2.4Ghz
➢ EM - extended memory
➢ LM - light memory Número de chains
➢ BE - black edition case ➢ (not used) - single chain
➢ TC - Tower (vertical) case ➢ D - dual chain
➢ OUT - outdoor enclosure ➢ T - triple chain
Potencia do rádio
➢ (not used) - "Normal" - <23dBm at 6Mbps 802.11a; <24dBm at 6Mbps 802.11g
➢ H - "High" - 23-24dBm at 6Mbps 802.11a; 24-27dBm at 6Mbps 802.11g
➢ HP - "High Power" - 25-26dBm 6Mbps 802.11a; 28-29dBm at 6Mbps 802.11g
➢ SHP - "Super High Power" - 27+dBm at 6Mbps 802.11a; 30+dBm at 6Mbps 802.11g
Protocolo Tipo de conector

➢ (not used) - 802.11a/b/g support ➢ (not used) – modelo com somente uma opçãp
➢ n - for cards with 802.11n support ➢ MMCX - MMCX connector type
➢ ac - for cards with 802.11ac support ➢ u.FL - u.FL connector type
http://wiki.mikrotik.com/wiki/Manual:Product_Naming
29
Primeiro acesso com Winbox
➢ Existem diversas maneira de acessar o RouterOS sendo o Winbox a mais
utilizada.
➢ Winbox pode ser usado para acessar o RouterOS via endereço MAC ou IP.
➢ Winbox é um aplicativo para Windows e caso precise usar em Linux ou

MacOS será necessário usar emuladores como Wine ou CrossOver.
30
Configuração de fábrica
Interface 1
- DHCP-Client rodando.
- Regras de firewall bloqueando o acesso.
WAN - Internet
Em resumo!!
RB 750r2 Os roteadores vem com configurações

focadas para uso residencial.
Para uso empresarial é recomendado

sempre limpar essas configurações.
LAN - Rede local
Interface 2,3,4 e 5
- Interligadas no mesmo domínio de broadcast através de uma bridge.
- O endereço 192.168.88.1/24 foi atribuído a essa bridge.
- Um DHCP-Server rodando nessa bridge.

31
Exemplo de configuração de fábrica
➢ Todos os roteadores vem com uma configuração de fábrica.
➢ Na maioria dos casos essa configuração tem a interface

ether1 designada para comunicação WAN e o restantes das
interfaces designadas para rede LAN.
➢ Você pode conferir mais detalhes sobre a configuração de

fabrica de cada equipamento acesso o link abaixo:
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
32
Primeiro acesso
Usando o Winbox você pode se conectar ao

roteador usando MAC,IPv4 ou IPv6.
MAC
IPv4
IPv6
➢ Ligue seu computador ao roteador

➢ Abra o winbox clique na aba Neighbors
➢ Clique no endereço MAC ou IP.
➢ No campo Login coloque “admin”.
➢ No campo Password deixe em branco.
➢ Clique em connect.
33
Resetando seu roteador
➢ Se esse for o primeiro acesso ao roteador a seguinte
imagem irá aparecer.
Mostra o Script com a configuração de fábrica
Mantém a configuração de fábrica
Remove a configuração de fabrica

34
ATENÇÃO
➢ Se não for o primeiro acesso Não efetuar o reset se
estiver fazendo o
siga a imagem abaixo para laboratório na plataforma
efetuar o reset. Redes Brasil.
Marque essa opção para não após o reset

não volte com a configuração de fábrica.
35
➢Se você não possui as

credenciais de acesso ao
roteador o reset deverá ser
feito usando o botão de reset.
Botão de reset
Atenção
Para resetar o equipamento:

1. Desligue o cabo de alimentação do equipamento.
2. Pressione o botão de reset e mantenha pressionado.
3. Ligue o cabo de alimentação;
4. Após ligar o cabo de alimentação conte 5 segundos se solte o botão de reset.
36
Resumo
1. No primeiro acesso nunca use a interface 1 devido aos bloqueios de

acesso que vem de fábrica para essa interface.
2. Sempre limpe as configurações de fábrica antes de iniciar suas

configurações.
3. Caso o acesso via MAC ficar caindo, tente se conectar ao roteador via
IPv6 (se disponível) e/ou deixe habilitada somente a interface que se
liga ao roteador (desabilite todas as outras).
2 - Configurações iniciais
37
Acesso ao LAB
http://lab-mtcna.redesbrasil.com.br
E-mail
6 primeiros
dígitos do
Telefone
38
Diagrama da rede
➢ Ligue o roteador MK-1;

➢ Crie um novo usuário com senha ;
➢ Apague o usuário admin.
39
Acesso ao roteador
Seu X
X
40
Configurando IP na interface de LAN
➢Adicione os IP na interface de LAN
10.1.1.1/24
41
Configurando DHCP Server
ether3 Adicione um servidor de

DHCP utilizando o Setup
10.1.1.0/24
10.1.1.1
10.1.1.2-10.1.1.254
8.8.8.8
Coloque o endereço do
servidor de DNS de sua
preferência.
42
DHCP Cliente
Aguarde seu PC pegar IP do roteador.
Desconecte-se do Winbox via MAC
Acesse o roteador via IP.

43
DHCP Cliente
VPC-3
Comando para
dhcp-client
Comando para
ver IP
44
Identificando seu roteador
INDENFICAÇÃO
45
Renomeando suas interfaces
➢Renomeie suas interface conforme a imagem
abaixo.
47
Configurando IP na interface de WAN
➢Adicione os IP na interface de WAN
150.1.1.X/24
48
Teste de conectividade
1) Pingar a partir da Routerboard o seguinte IP: 150.1.1.254

Internet
49
Configurando rota default
➢Adicione a rota padrão
150.1.1.254
50
2) Pingar a partir da Routerboard o domínio: google.com
Internet
51
Configurando DNS
➢ Adicione o servidor DNS
➢ Teste novamente o ping para: google.com
➢ Quando você checa a opção “Alow remote requests”, você está

habilitando seu router como um servidor de DNS.
52
1) Pingar a partir de seu PC o seguinte IP: 8.8.8.8
2) Pingar a partir de seu PC o domínio: google.com
Internet
53
Regra de mascaramento
➢Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.
55
Atualizando o RouterOS
➢Certifique se que sua routerboard tem
conectivade com a internet.
56
E ai qual versão instalar ?
Versão estável Versão estável Versão de testes.

Contém: Contém: Não usar em
- Correções de bugs - Novas funcionalidade produção
- Correções de bugs
57
Upgrade de firmware
➢Para fazer upgrade de firmware clique em:
3 - Mais do RouterOS
60
Instalando via netinstall em routerboards
➢ A sequencia de inicialização poderá ser alterada segurando o botão

de reset.
➢ O botão de reset tem 4 funções acionadas da seguinte forma.

▪ Desligue a alimentação do equipamento.
▪ Ligue o equipamento com botão de reset pressionado.
▪ Solte o botão de reset observando a tabela abaixo
Função Tempo
Ativar backup RouterBOOT 3 segundos
Reset do equipamento 5 segundos
Ativar modo Caps 10 segundos
Reinstalação via Netinstall 15 ou mais segundos
https://wiki.mikrotik.com/wiki/Manual:Reset_button
61
Adicionando novos pacotes
➢ É possível adicionar pacotes adicionais durante ou após a
instalação do RouterOS.
➢ Para adicionar após a instalação basta fazer o seguinte.

➢ Fazer o download dos pacotes respeitando a arquitetura do processador e a versão atual do
RouterOS.
➢ Arrastar os arquivos para raiz de Files
➢ Efetuar o reboot do roteador.
62
Adicionando novos pacotes
Pacotes Pacote de User Após reboot o

Pacotes baixados
instalados no Manager enviado pacote foi
e extraídos no PC.
roteador. para o roteador. instalado.
https://mikrotik.com/download
63
Primeiro acesso ao roteador
➢ Se o seu roteador não possui endereço de IP (v4 ou v6), poderá ser
gerenciado via.
▪ Mac-winbox
▪ Mac-telnet
▪ Cabo console (caso roteador possua porta console)
▪ Teclado e monitor (caso tenha instalado em um PC).
➢ Se o seu roteador está com pacote de IPv6 habilitado ele poderá

ser gerenciado também a partir do endereço de link-local que é
gerado de forma automática.
64
MAC-Telnet
65
Acesso via MAC
➢ O acesso via MAC address é possível porque o RouterOS possui um
MAC server.
➢ Esse função vem habitada por padrão e pode ser desabilitada.
66
MNDP
➢MikroTik Neighbor Discovery protocol

➢Protocolo para descoberta de vizinhos.
67
MNDP
➢Winbox utiliza o MNDP para encontrar os
dispositivos da MikroTik na descoberta de
vizinhos.
68
Outros modos de acesso
➢Após configurar um endereço de IP no
RouterOS existem outros modos de acesso.
▪ API
▪ SSH
▪ FTP
▪ Telnet
▪ Web
69
Usuário e grupos
➢ É possível criar novos usuário e grupos de usuários;
➢ Por padrão o RouterOS vem com usuário admin e sem senha;
➢ Por padrão existem 3 grupos:

▪ full = Tem acesso completo no roteador para ler, escrever e gerenciar
usuários.
▪ read = Tem acesso somente de leitura (não consegue criar nem alterar nada).
▪ write = Tem acesso a ler, criar e alterar configurações dentro do roteador,
porém não tem permissão de criar/alterar outros usuários (também não
possui acesso FTP e DUDE).
➢ Utilizando grupos personalizados podemos restringir acesso a

alguns serviços.
➢ Via acesso web (webfig) podemos desenhar um Skin e liberar

acesso somente partes especificas dentro do roteador.
71
Níveis de licença para RouterBoards e x86
72
Níveis de licença para o CHR
Licença
73
Correspondência de licenças
74
Diferença entre os dois backups
Backup comum Comando export

Criptografado X
Permite colocar senha X
Carrega usuários de acesso ao router X
Carrega usuários PPP, hotspot e outros X X
Possível editar X
Compatível com hardware diferente X
Possibilidade de exportar e importar por partes X
75
Backup comum
➢ Observe que o arquivo gerado recebe o

identificação do router mais as informações de
data e hora.
76
Localizando e editando backup
➢ Após o comando “export

file=bkp_router_XY ” será
gerado um arquivos no
menu files.
➢ Após transferir o arquivo

para sua maquina ele
poderá ser editado pelo
bloco de notas.
77
Backup
➢Faça os dois tipos de backup.

➢Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado
78
Modo seguro
➢ O MikroTik permite o acesso ao sistema através do “modo seguro”.
Este modo permite desfazer as configurações modificadas caso a
sessão seja perdida de forma automática. Para habilitar o modo
seguro pressione “CTRL+X” ou na parte superior clique em Safe
Mode.
79
Modo seguro
➢ Se um usuário entra em modo seguro, quando já há

um nesse modo, a seguinte mensagem será dada:
“Hijacking Safe Mode from someone – unroll/release/
▪ u: desfaz todas as configurações anteriores feitas em modo
seguro e põe a presente sessão em modo seguro
▪ d: deixa tudo como está
▪ r: mantém as configurações no modo seguro e põe a
sessão em modo seguro. O outro usuário receberá a
seguinte mensagem:
“Safe Mode Released by another user”
4 - Revisão TCP/IP
80
Revisão de redes
4 - Revisão TCP/IP
81
Um pouco de historia
➢1962 – Primeiras comunicações em rede.

➢1965 – Primeira comunicação WAN.
➢1969 – Desenvolvido o TCP.
➢1978 – Vários padrões de comunicação.
➢1981 – Inicio de discussões sobre padronizações.
➢1984 – Chegada do modelo OSI
Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
4 - Revisão TCP/IP
82
Modelos de comunicação
Modelo OSI
Modelo TCP/IP
Aplicação
Apresentação
Sessão Aplicação
Transporte Transporte
Rede Rede
Enlace Enlace
Física Física
5 camadas
7 camadas
4 - Revisão TCP/IP
83
Transporte de dados
➢ Quais são as principais informações usadas para
transporte de dados?
Origem = Source = SRC Destino = Destination = DST
4 Port Port
3 IP / Address IP / Address
MAC
2 MAC
Atenção
Não se esqueça dessas
informações
4 - Revisão TCP/IP
84
Um pouco mais sobre o modelo OSI
Os dados são gerados por aplicativos e repassados para camada de
aplicação, e a partir de então serão encapsulados camada por
camada até chegar a camada física onde serão transformados em
sinais (elétricos ,luminosos etc...)
PC 1
Dados Aplicação
Cabeçalho possui porta (TCP/UDP) de origem e destino
Transporte
Cabeçalho possui IP de origem e destino
Rede Cabeçalho possui MAC de origem e destino
Enlace
011011001010010001
Física
PC 2
4 - Revisão TCP/IP
85
Encapsulamento
Dados Camada 7 | Dados
Aplicação
Camada 4 | Portas
Origem:6423 Destino:80 Transporte
Camada 3 | IP
Rede
Origem:10.1.1.2
Destino:200.10.20.30
Camada 2 | MAC Enlace
Origem:D4:CA:6D:A3:B2:AA
Destino: D4:CA:6D:A3:B2:BB
4 - Revisão TCP/IP
86
Encapsulamento
Camada 7 | Aplicação | Dados

Aplicação
Dados Camada 4 | Transporte | Portas Transporte
Origem:6423 Rede
Destino:80 Camada 3 | Rede | IP
Enlace
Origem:10.1.1.2
Destino:200.10.20.30
Camada 2 | Enlace | MAC Física
Origem:D4:CA:6D:A3:B2:AA
Destino: D4:CA:6D:A3:B2:BB
4 - Revisão TCP/IP
87
PDU - Protocol data unit
➢Protocol data unit ou em português Unidade de

dados de protocolo em telecomunicações
descreve um bloco de dados que é transmitido
entre duas instâncias da mesma camada.
Camada PDU
4 - Camada de transporte Segmento
3 - Camada de rede Pacote
2 - Camada de enlace Frame (quadro)
1 - Camada física Bit
4 - Revisão TCP/IP
88
Um pouco mais
sobre modelo
OSI e TCP/IP
4 - Revisão TCP/IP
89
1 - Camada física
➢ A camada física define as características técnicas
dos dispositivos elétricos.
➢ É nesse nível que são definidas as especificações

de cabeamento estruturado, fibras ópticas, etc...
➢ Banda, frequência e potencia são grandeza que

podemos alterar diretamente na camada 1.
4 - Revisão TCP/IP
90
2 - Camada de enlace
➢ Camada responsável pelo endereçamento físico, controle de acesso ao meio e
correções de erros da camada I.
➢ Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio)

que são únicos no mundo e que são atribuídos aos dispositivos de rede.
➢ Switchs, bridges trabalham em camada II.
➢ Interfaces ethernets e PPP também trabalham em camada II.
➢ NÃO separa os domínios de broadcast.
➢ PPPoE, DHCP, ARP e outros protocolos se propagam pelo domínio de broadcast.
SRC DST
PORT PORT
ADDRESS ADDRESS
MAC MAC
4 - Revisão TCP/IP
91
Cenários onde se aplicam bridge e switches
Cenário 1 Cenário 2
Internet
Internet
Roteador
192.168.1.1/24
Bridge
Roteador
10.1.1.1/24
Switch
Bridge
192.168.1.2/24
10.1.1.2/24 10.1.1.4/24
10.1.1.3/24
4 - Revisão TCP/IP
92
Criando uma bridge
Podemos resumir uma bridge
como um switch virtual.
Roteador
Bridge1
1 2 3 4 5 wlan1
4 - Revisão TCP/IP
93
Adicionando interfaces na bridge
Roteador
Atenção
Bridge1
Sempre que uma interface for
adicionada em uma bridge,
toda configuração deverá ser
feita para a bridge e não mais
para a interface.
1 2 3 4 5 wlan1
4 - Revisão TCP/IP
94
3 - Camada de rede
➢ Responsável pelo endereçamento lógico dos pacotes.
➢ Determina que rota os pacotes irão seguir para atingir o destino baseado em
fatores tais como condições de tráfego de rede e prioridade.
➢ Separa domínios de broadcast.
➢ PPPoE, DHCP, ARP e outros protocolos NÃO se propagam em domínio de

broadcast diferentes.
SRC DST
PORT PORT
ADDRESS ADDRESS
MAC MAC
4 - Revisão TCP/IP
95
Cenários onde se aplicam roteadores
Internet
Internet
10.1.1.0/24
10.1.2.0/24
Roteador
10.1.4.0/24
10.1.3.0/24
10.1.1.2/24
192.168.1/24 10.1.5.0/24
172.16.1.1/24
4 - Revisão TCP/IP
96
4 - Camada de transporte
➢ Quando no lado do remetente, é responsável por pegar os
dados das camadas superiores e dividir em pacotes para que
sejam transmitidos para a camada de rede.
➢ No lado do destinatário, pega os pacotes recebidos da

camada de rede, remonta os dados originais e os envia para à
camada superior.
➢ Estão na camada IV: TCP, UDP, RTP
SRC DST
PORT PORT
ADDRESS ADDRESS
MAC MAC
4 - Revisão TCP/IP
97
Estado das conexões

➢ É possível observar o estado das conexões no MikroTik no menu
Connections (IP=>Firewall=>Connections).
➢ Essa tabela também é conhecida como conntrack. Muito utilizada para

análises e debugs rápidos.
4 - Revisão TCP/IP
98
Cenários onde se aplicam firewalls
Internet
Internet
10.1.1.0/24
10.1.2.0/24
Roteador
10.1.4.0/24
10.1.3.0/24
10.1.1.2/24
192.168.1/24 10.1.5.0/24
172.16.12/24
4 - Revisão TCP/IP
99
7 - Camada de aplicação
➢ Muitos confundem aplicação com aplicativo.
➢ Usuário interagem com o aplicativo e o aplicativo interage com

protocolos da camada de aplicação( HTTP, SMTP, FTP, SSH, Telnet ...).
Protocolos da camada
Aplicativos de aplicação
HTTP
HTTPS
DNS
SMTP
4 - Revisão TCP/IP
100
O datagrama
Camada 7| Dados PC +
Firewall
Aplicação
Camada 4 | Portas
Transporte
Camada 3 | IP
Roteador
Rede
Camada 2 | MAC
Enlace Switch
SRC DST
PORT PORT
Física ADDRESS
MAC
ADDRESS
MAC
4 - Revisão TCP/IP
101
Perguntas
4 - Revisão TCP/IP
102
Protocolos
4 - Revisão TCP/IP
103
Endereço IP
➢É o endereço lógico de um dispositivo de rede.
➢É usado para comunicação entre redes.
➢Endereço IPv4 é um numero de 32 bits divido

em 4 parte separado por pontos.
➢Exemplo de endereço IP: 200.200.0.1

4 - Revisão TCP/IP
104
Sub Rede
➢ Como o próprio no já diz (sub rede)é a uma parte de rede ou seja uma rede que foi
dividida.
➢ O tamanho de uma sub rede é determinado por sua máscara de sub rede.
➢ O endereço de IP geralmente é acompanhado da mascara de sub rede.
➢ Com esses dois dados (Endereço IP e mascara de sub rede) podemos dimensionar onde
começa e onde termina nossa sub rede.
➢ Exemplo de mascara de sub rede: 255.255.255.0 ou /24.
➢ O endereço de REDE é o primeiro IP da sub rede.
➢ O endereço de BROADCAST é o último IP da sub rede.
➢ Esses endereços(Rede e broadcast) são reservados e não podem ser usados.
End IP/Mas 10.1.2.3/8 10.1.2.3/16 10.1.2.3/24

End de Rede 10.0.0.0 10.1.0.0 10.1.2.0
End de Broadcast 10.255.255.255 10.1.255.255 10.1.2.255
4 - Revisão TCP/IP
105
Protocolos - IP
➢ Usado para identificar logicamente um host.
➢ Possui endereços públicos e privados.
➢ Possui duas versões IPv4 (quase esgotado) e IPv6.
4 - Revisão TCP/IP
111
Protocolos - UDP / TCP
UDP TCP
Serviço sem conexão; nenhuma sessão é Serviço orientado por conexão; uma sessão
estabelecida entre os hosts. é estabelecida entre os hosts.
O UDP não garante ou confirma a entrega O TCP garante a entrega usando
nem sequencia os dados. confirmações e entrega sequenciada dos
dados.
O UDP é rápido, requer baixa sobrecarga e O TCP é mais lento, requer maior
pode oferecer suporte à comunicação sobrecarga e pode oferecer suporte apenas
ponto a ponto e de ponto a vários pontos. à comunicação ponto a ponto.
4 - Revisão TCP/IP
112
Protocolos - ICMP
➢ Internet Control Message Protocol ou protocolo de mensagens de controle da
Internet é usado para relatar erros e trocar informações de status e controle.
➢ Geralmente usamos aplicativos que utilizam o protocolo ICMP para sabermos se

um determinado host esta alcançável e/ou qual é a rota para aquele host(ping e
tracert).
4 - Revisão TCP/IP
113
DHCP
4 - Revisão TCP/IP
114
Perguntas ?
8 - Roteamento
115
Roteamento
8 - Roteamento
116
O que é roteamento
➢ Em termos gerais, o
roteamento é o
processo de encaminhar
pacotes entre redes
conectadas.
➢Para redes baseadas em TCP/IP, o roteamento faz

parte do protocolo IP.
➢Para que o roteamento funcione ele trabalha em
combinação com outros serviços de protocolo.
8 - Roteamento
117
Quando o processo roteamento é utilizado?
Comunicação direta Comunicação roteada
Não precisa de rotas Precisa de rotas
192.168.1.1/24
Roteador
Roteador
10.1.1.1/24 10.1.1.3/24
10.1.1.2/24
10.1.1.1/24
➢ O processo de roteamento é utilizado quando host

em sub-redes diferentes precisam se comunicar.
8 - Roteamento
118
Tipos de rotas
/ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
8 - Roteamento
119
Funcionamento padrão
10.1.1.1 8.8.8.8
192.168.1.1 172.16.1.1
8.8.4.4
10.5.5.5
8 - Roteamento
120
Na tabela de rotas
➢ Para cada encaminhamento o roteador faz um leitura

completa da tabela de rotas.
➢ Se o roteador encontrar mais de uma rota para o destino

solicitado ele sempre irá utilizar a rota mais especifica.
Tabela de rotas
➢ A rota defult será utilizada Dst. Address Gateway
sempre que não houver uma 0.0.0.0/0 192.168.1.1
rota mais especifica para o 8.0.0.0/8 10.172.6.1

determinado destino. 8.8.0.0/16 10.172.5.1
8 - Roteamento
121
Diagrama simples para roteamento
1.1.1.1/30 1.1.1.2/30
R1 R2
10.1.1.1/24 10.2.2.1/24
Rede 1 Rede 2
10.2.2.0/24
10.1.1.0/24
10.2.2.2/24
10.1.1.2/24
Roteamento
8 - Roteamento
122
Criando as rotas
Rota em R1 Rota em R2
para alcançar a rede 2 para alcançar a rede 1
8 - Roteamento
123
Check-gateway
➢A funcionalidade Check-gateway irá verificar se o

gateway é alcançável através de ICMP ou ARP.
➢A checagem ocorre a cada 10 segundos.
➢Se após duas tentativas seguidas o gateway não

responder, ele é considerado inalcançável.
➢Após receber uma resposta o gateway novamente é

considerado alcançável.
8 - Roteamento
124
Perguntas ?
6 - Firewall
125
Firewall
Pacote
6 - Firewall
126
Firewall - Opções
➢ Filter Rules: Regras para filtro de pacotes.
➢ NAT: Onde é feito a tradução de endereços e portas.
➢ Mangle: Marcação de pacotes, conexão e roteamento.
➢ RAW: Usada para saltar a conntrack para um determinado fluxo de dados e até mesmo para ganhar desempenho
na contenção de ataques de DoS e DDoS.
➢ Service Ports: Onde são localizados os NAT Helpers.
➢ Connections: Onde são localizadas as conexões existentes.
➢ Address List: Lista de endereços IPS inseridos de forma dinâmica ou estática e que podem ser utilizadas em várias
partes do firewall.
➢ Layer 7 Protocols: Filtros de camada 7.

6 - Firewall
127
Estrutura do Firewall
Firewall
Tabela Filter Tabela NAT Tabela Mangle Tabela RAW
Canal Input Canal input

Canal SRCNAT Canal Prerouting
regras regras
regras regras
regras regras Canal Output regras
regras
Canal Output Canal DSTNAT Canal Output
regras Canal Forward
regras regras
regras regras
regras regras
Canal Prerouting
Canal Forward
regras
regras
Canal Postrouting
regras
regras
6 - Firewall
128
Fluxo do Firewall simplificado
Chegada
Firewall
Decisão
Prerouting DSTNAT de Forward Postrouting SRCNAT
roteamento
Saída
Output
Input
Decisão
de
roteamento
Destinado Originado
Processo local
ao roteador no roteador
6 - Firewall
129
Princípios gerais
O firewall da MikroTik é do tipo “Default Accept”

ou seja, por padrão aceita todos os pacotes.
Podemos mudar essa política através de regras.
6 - Firewall
130
Princípios gerais
As regras de Firewall são sempre processadas

canal por canal, na ordem que são listadas, ou
seja de cima para baixo.
6 - Firewall
131
Processamento das regras

As regras de Firewall funcionam como
“estruturas condicionais simples”.
_________________________________________
Se combina com as condições especificadas
Então executa uma ação.
SE <condição> ENTÃO <ação>
6 - Firewall
132
➢ Se um pacote não atende TODAS as condições de uma regra
ele passa para a regra seguinte. Não havendo mais nenhuma
regra a ser lida por padrão o pacote é aceito.
Regra 0 – COMBINA?
Regra 1 –SIM
COMBINA?
– Executa a ação especificada e não faz a leitura das regras de baixo.
Regra 2 – COMBINA?
SIM––Vai
NÃO Executa a ação especificada
para próxima regra e não faz a leitura das regras de baixo.
SIM – Executa a ação especificada e não faz a leitura das regras de baixo.
NÃO – Vai para próxima regra
NÃO – Pacote aceito
6 - Firewall
133
TCP
ICMP
UDP
Firewall - Filters
DNS
DMZ
Rede
local
6 - Firewall
134
Firewall – Filter Rules
Firewall
FORWARD
INPUT OUTPUT
Internet
INPUT
PC OUTPUT
FORWARD
Resumo
INPUT - Trata tráfego que é destinado ao roteador.

OUTPUT - Trata tráfego que é originado no roteador.
FORWARD - Trata tráfego que passa pelo roteador.
6 - Firewall
135
Testando os canais da tabela filters

Rede 1
10.1.1.0/24 Internet
Objetivo
Apague todas as regras do firewall filters antes de começar esse laboratório.
1. Liberar o ping a partir da rede 1 para o 8.8.8.8.

2. Dropar o ping a partir da rede 1 para o 8.8.4.4.
3. Dropar o ping a partir do roteador para o 8.8.8.8.
4. Liberar o ping a partir do roteador para o 8.8.4.4.
6 - Firewall
136

6 - Firewall
137
Poderíamos atingir o objetivo

proposto criando somente duas
regras.
6 - Firewall
LAB 2 138
Conclusão do LAB 2
1. Com esse simples laboratório conseguimos testar dois

canais (forward e output).
2.Lembrando que:
➢ O canal output trata tráfego que é originado no roteador.
➢ O canal forward trata tráfego que passa pelo roteador.
6 - Firewall
139

Internet
Objetivo
1. Acesse o site meuip.com a partir do navegador.
2. Crie uma regra para bloquear o acesso a todos sites HTTP a partir da sua rede.
3. Tente acessar o site meuip.com novamente (não pode abrir).
4. Habilite o acesso via web em IP => Service;

5. Acesse seu roteador pelo navegador através do endereço 10.1.1.1;
6. Crie uma regra no firewall para bloquear o acesso ao roteador via HTTP.
7. Abra o menu system => packages e verifique se a atualizações disponíveis.

8. Faça um regra de firewall bloqueando o acesso as atualizações (atualizações do
RouterOS usam HTTP).
6 - Firewall
140
Ações da tabela filter
Ações nos filtros de firewall:
➢ accept: Aceita o pacote.
➢ add to address list: Adiociona o end. de IP para uma lista de endereços.
➢ drop: Descarta o pacote silenciosamente.
➢ reject: Descarta o pacote e responde com uma mensagem de icmp ou tcp reset.
➢ frastrack connection: Coloca uma determinada conexão em um “caminho rápido”.
➢ jump: Faz um pacote ser desviado para outra chain.
➢ log: Gera um log para cada pacote que combinar com a regra.
➢ passthrough: Contabiliza o pacote.
➢ return: Volta o pacote para chain original em casos onde ele foi desviado por uma ação de jump.
➢ tarpit: Responde mensagens de SYN sem alocar recursos no roteador.
6 - Firewall
141
Organização das regras
➢ As regras da tabela filter podem ser organizadas e

mostradas da seguinte forma:
➢all: Mostra todas as regras.
➢dynamic: Regras criadas dinamicamente por serviços.
➢forward, input output: Regras referente a cada canal.
➢static: Regras criadas estaticamente pelos usuários.
6 - Firewall
142
Address List
➢ A address list contém uma lista de endereços IP

que pode ser utilizada em várias partes do firewall.
➢ Pode-se adicionar entradas de forma dinâmica
usando o filtro ou mangle conforme abaixo:
➢Action:
➢add dst to address list: Adiciona o IP de destino à lista.
➢add src to address list: Adiciona o IP de origem à lista.
➢Address List: Nome da lista de endereços.
➢Timeout: Por quanto tempo a entrada permanecerá na lista.
6 - Firewall
143
Interface list
➢ Com o uso de interface list podemos agrupar um

conjunto de interfaces e evitar a criação de varias
regras de firewall para atingir um objetivo.
6 - Firewall
144
Protegendo seu roteador
Internet
Rede local
6 - Firewall
145
Default drop
➢ Implementando regras de firewall usando default drop
Default Drop
Drop geral
Tipos de conexão
Rede de suporte
Port knocking
ICMP Flood
6 - Firewall
146
Proteção básica
➢ Regras do canal input

➢ Descarta conexões inválidas.
➢ Aceitar conexões estabelecidas e relacionadas
➢ Aceitar todas conexões da rede de suporte.
➢ Dropar o restante.
6 - Firewall
147
Estado das conexões
O firewall do MikroTik é capaz de analisar os estados de conexões que

podem ser os seguintes:
➢new: Significa que o pacote está iniciando uma nova conexão ou faz parte de uma
conexão que ainda não trafegou pacotes em ambas direções.
➢established: Significa que o pacote faz parte de uma conexão já estabelecida
anteriormente.
➢related: Significa que o pacote inicia uma nova conexão, porém está associada a uma
conexão existente.
➢invalid: Significa que o pacote não pertence a nenhuma conexão existente e nem está
iniciando outra.
➢untracked: Pacotes que foram setados na tabela RAW para fazer um bypass da
connection tracking.
6 - Firewall
148
Port knocking
➢ A técnica do “Port knocking” consegue implementar um passo a mais para segurança
de seu roteador e até mesmo da sua rede local. TCP / 7788
➢ O roteador ou sua rede local não ficará com portas de serviço expostas.
TCP / 4455
➢ Para ter acesso as portas de serviços o usuário deverá saber uma sequencia pré-
determinada de portas chave. Acesso FULL
➢ Em nosso exemplo iremos usar como portas chave a sequencia de portas TCP 7788 e
4455.
Comandos
/ip firewall filter

add action=add-src-to-address-list address-list=pre-rede-suporte address-list-timeout=3s chain=input comment="Adiciona IP de origem na lista pre-rede-suporte" dst-port=\
7788 protocol=tcp
add action=add-src-to-address-list address-list=rede-suporte address-list-timeout=5h chain=input comment="Adiciona o IP de origem na lista rede-suporte" dst-port=4455 \
protocol=tcp src-address-list=pre-rede-suporte
6 - Firewall
149
Firewall – Ping flood
➢ Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatórias.
➢ Para evitar o Ping flood, podemos bloquear todo tráfego de

ICMP.
➢ Ao bloquear todo trafego de ICMP podemos ter problemas com

algumas aplicações (monitoramento e outros protocolos).
➢ Por isso é aconselhável colocarmos uma exceção permitindo um

pelo menos 30 mensagens de ICMP por segundo.
6 - Firewall
150
Firewal – Evitando ping flood
Comandos
/ip firewall filter
add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp
add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp
6 - Firewall
151
Firewall - NAT
Tradução de endereços e portas

6 - Firewall
152
Entendo os canais do NAT
➢ NAT – Network Address Translation é uma técnica que permite que vários hosts em uma LAN usem um
conjunto de endereços IP’s para comunicação interna e outro para comunicação externa.
➢ Existem dois tipos de NAT :
➢ SRC NAT: O roteador faz alterações de IP ou porta de origem.
SRC DST SRC DST

Regra
Port Port
SYN Nova porta Port
SRC-NAT
Address (IP) Address (IP) Novo IP Address (IP)
➢ DST NAT: O roteador faz alterações de IP ou porta de destino.
SRC DST SRC DST

Regra
Port Port
SYN Port Nova porta
DST-NAT
Address (IP) Address (IP) Address (IP) Novo IP
6 - Firewall
153
Localização DST-NAT e SRC-NAT
Firewall
Decisão
Chegada DSTNAT de Forward SRCNAT Saída
roteamento
Output
Input
Decisão
de
roteamento
Processo local
6 - Firewall
154
SRC-NAT
SRC DST SRC DST

192.168.1.254 8.8.8.8 192.168.1.254 8.8.8.8
SEM NAT
WAN
187.32.81.27
8.8.8.8
PC
192.168.1.254/24
DST SRC
192.168.1.254 8.8.8.8
6 - Firewall
155
SRC-NAT
SRC DST SRC DST

192.168.1.254 8.8.8.8 187.32.81.27 8.8.8.8
SRC NAT
WAN
187.32.81.27
8.8.8.8
PC
192.168.1.254/24
DST SRC DST SRC

192.168.1.254 8.8.8.8 187.32.81.27 8.8.8.8
6 - Firewall
156
Localização da Connection Tracking
Firewall
Chegada
Decisão
Conntrack DSTNAT de Forward SRCNAT Saída
roteamento
Output
Input
Conntrack
Decisão
de
roteamento
Processo local
6 - Firewall
157
Connection Track
➢ Refere-se a habilidade do roteador em manter o estado da
informação relativa as conexões, tais como endereços IP de origem
e destino, as respectivas portas, estado da conexão, tipo de
protocolos e timeouts. Firewalls que fazem connection track são
chamados de “statefull” e são mais seguros que os que fazem
processamentos “stateless”.
6 - Firewall
158
Connection Track
➢ O sistema de connection tracking é o coração do
firewall. Ele obtém e mantém informações sobre todas
conexões ativas.
➢ Quando se desabilita a função “connection tracking” são

perdidas as funcionalidades NAT e as marcações de
pacotes que dependam de conexão. No entanto,
pacotes podem ser marcados de forma direta.
➢ Connection track é exigente de recursos de hardware.

Quando o equipamento trabalha somente como bridge
é aconselhável desabilitá-la.
6 - Firewall
159
Ações mais utilizadas no SRC-NAT
➢Masquerade: Altera o endereço de IP de

origem usando o IP da interface de saída.
➢SRC-NAT: Altera o endereço de IP e/ou porta
de origem por um IP e/ou porta de sua
escolha.
6 - Firewall
160
Usando a ação masquerade
➢ Source NAT: A ação “Masquerade” troca o endereço IP
de origem de uma determinada rede pelo endereço IP
da interface de saída. Portanto se temos, por exemplo,
a interface ether5 com endereço IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trás da ether1,
podemos fazer o seguinte:
➢ Desta forma, todos os endereços IPs da rede local

vão obter acesso a internet utilizando o endereço
IP 185.185.185.185
6 - Firewall
161
Usando a ação src-nat
Internet
10.1.1.0/24 => 200.1.1.2/29
➢Forçado um IP público 10.2.2.0/24 => 200.1.1.1/29
para cada sub-rede

Rede 1 Rede 2
10.1.1.1 10.1.1.2 10.2.2.1 10.2.2.2
Comandos
/ip firewall nat
add action=src-nat chain=srcnat comment="For\E7ando mascaramento da rede local 10.1.1.0/24 para o end. 200.1.1.1" dst-address-list=!rede-local dst-address-type=\
!multicast src-address=10.1.1.0/24 to-addresses=200.1.1.1
add action=src-nat chain=srcnat comment="For\E7ando mascaramento da rede local 10.2.2.0/24 para o end. 200.1.1.2" dst-address-list=!rede-local dst-address-type=\
!multicast src-address=10.2.2.0/24 to-addresses=200.1.1.2
6 - Firewall
162
DSTNAT
SRC DST SRC DST

200.1.1.1 187.32.81.27 200.1.1.1 192.168.3.252
DST NAT
WAN
187.32.81.27
Internet
PC R1
200.1.1.1/24 192.168.3.1
R2
Rede local 192.168.3.252
6 - Firewall
163
Usando a ação dst-nat

➢ Redirecionando de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a serviços que rodem na rede interna.
Dessa forma podemos dar acesso a serviços de
clientes sem utilização de endereço IP público.
➢ Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.
6 - Firewall
164
Usando a ação redirect
➢Utilizando a ação redirect podemos

redirecionar tráfego para o roteador, abaixo
temos alguns exemplos que podem ser
utilizados com a ação redirect.
➢Proxy HTTP;
➢Proxy DNS;
➢ICMP.
7 - Controle de banda
165
QoS e controle da banda
166
Uso de QoS
➢Usar QoS é utilizado quando precisamos
aplicar qualidade para algum serviço de rede.
➢Podemos limitar, garantir e priorizar tráfego e

com isso aplicar politicas de uso de banda.
167
Simple queue
➢ É uma das maneiras mais fáceis de se controlar banda
dentro do RouterOS.
➢ É utilizada para controle de banda de túneis PPP

(PPPoE,PPTP ...), HotSpot e DHCP.
➢ Podemos controlar banda de:

▪ Um IP
▪ Uma rede
▪ Uma interface
➢ Podemos controlar banda de download, upload e da soma

dos dois (download + upload = total).
168
Simple queue
10.1.1.200
➢Fasttrack não pode estar ativo para o tráfego que

se deseja controlar banda.
169
Simple queue aba total
170
Qualidade de Serviço
Os principais termos utilizados em QoS são:
➢ Max Limit ou MIR (Maximal Information Rate): Taxa máxima de

dados que será fornecida. Ou seja, limite a partir do qual os
pacotes serão descartados.
➢ Limit At ou CIR (Commited Information Rate): Taxa de dados

garantida. É a garantia de banda fornecida a um circuito ou link.
➢ Priority: É a ordem de importância que o tráfego é processado.

171
Tá certo isso ai cidadão ?
Passa lá no RH!!
172
Controle de banda
➢É possível controlar banda para um destino

especifico.
173
Garantia e prioridade
➢ Para garantir banda use o campo Limit-at;
➢ Também é possível dar prioridade para um tráfego em

especifico utilizando o campo priority.
174
PCQ
➢PCQ pode usado para:
▪ Equalizar a banda para que um host não use mais
banda que outro?
▪ Implementar um controle de banda idêntico para vários
hosts sem a necessidade de criar varias regras.
175
Equalizando a banda
176
Equalizando a banda
177
Burst
➢ Bursts são usados

para permitir altas
taxas de transferência
por um período curto
de tempo.
➢ Os parâmetros que controlam o burst são:

▪ burst-limit: Limite máximo que o burst alcançará.
▪ burst-time: Tempo para cálculo da média de velocidade.
▪ burst-threshold: Patamar para começar a limitar.
▪ max-limit: MIR
178
Como funciona o Burst
➢ max-limit=256kbps
➢ burst-limit=512kbps
➢ burst-threshold=192kbps
➢ burst-time=8s
➢ Inicialmente é dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula a taxa

média de consumo de banda durante o burst-time de 8 segundos.
▪ Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold.
▪ Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do threshold.
▪ Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde acaba o burst.
▪ A partir deste momento a taxa máxima do cliente passa a ser o max-limit.
➢ Parâmetro para passar via PPPoE ou Hotspot

▪ 256k/256k 512k/512k 192k/192k 8/8
▪ rx/tx-rate rx/tx-burst-rate rx/tx-burst-threshold rx/tx-burst-time
9 - Túneis e VPNs
179
Túneis e VPN
9 - Túneis e VPNs
180
VPN
➢ Uma Rede Privada Virtual é uma rede de

comunicações privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituições, construídas em
cima de uma rede pública. O tráfego de
dados é levado pela rede pública utilizando
protocolos padrão, não necessariamente
seguros.
➢ VPNs seguras usam protocolos de criptografia por tunelamento que

fornecem confidencialidade, autenticação e integridade necessárias
para garantir a privacidade das comunicações requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicações seguras através de redes inseguras.
9 - Túneis e VPNs
181
VPN
➢ As principais características da VPN são:
– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.
– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...
– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurança definidos.
– A base da formação das VPNs é o tunelamento entre dois
pontos, porém tunelamento não é sinônimo de VPN.
9 - Túneis e VPNs
182
Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois
hosts por onde trafegam dados.
• O MikroTik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)
– PPPoE (Point to Point Protocol over Ethernet)
– PPTP (Point to Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– OVPN (Open Virtual Private Network)
– IPSec (IP Security)
– Túneis IPIP
– Túneis EoIP
– Túneis VPLS
– Túneis TE
– Túneis GRE
9 - Túneis e VPNs
183
Site-to-site
9 - Túneis e VPNs
184
Conexão remota
9 - Túneis e VPNs
185
Endereçamento ponto a ponto /32
➢Geralmente usado em túneis

➢Pode ser usado para economia de IPs.
Router 1 Router 2
9 - Túneis e VPNs
186
Diagrama de VPN
Internet IP público
200.1.1.XX
IP da VPN
IP da VPN 2.2.2.2
172.25.1.X
1.1.1.1
Rede LAN Rede LAN

10.1.1.0/24 10.2.2.0/24
DST GW DST GW
10.2.2.0/24 2.2.2.2 10.1.1.0/24 1.1.1.1
9 - Túneis e VPNs
187
Ativando PPTP server
9 - Túneis e VPNs
188
Criando o usuário para o PPTP Client
Usuário e senha que será

utilizado para autenticação.
IP que será atribuído localmente quando o usuário “teste” se conectar
IP que será atribuído para o host remoto quanto o usuário “teste” se conectar
9 - Túneis e VPNs
189
Criando o PPTP Client
200.1.1.XX
9 - Túneis e VPNs
190
Acompanhando o Status
Status no servidor Status no client

9 - Túneis e VPNs
191
Criando as rotas
Rota no servidor Rota no client
Status no client
Status no servidor
9 - Túneis e VPNs
192
Campos PPPoE
• MTU/MRU: Unidade máximas de transmissão/ recepção em
bytes. Normalmente o padrão ethernet permite 1500 bytes.
Em serviços PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentação.
• Keepalive Timeout: Define o período de tempo em segundos após o qual

o roteador começa a mandar pacotes de keepalive por segundo. Se
nenhuma reposta é recebida pelo período de 2 vezes o definido em
keepalive timeout o cliente é considerado desconectado.
• Authentication: As formas de autenticação permitidas são:

– Pap: Usuário e senha em texto plano sem criptografica.
– Chap: Usuário e senha com criptografia.
– Mschap1: Versão chap da Microsoft conf. RFC 2433
– Mschap2: Versão chap da Microsoft conf. RFC 2759
9 - Túneis e VPNs
193
PPPoE – Cliente e Servidor
• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui
informações sobre o remetente e o destinatário, desperdiçando mais banda.
Cerca de 2% a mais.
• Muito usado para autenticação de clientes com base em Login e Senha. O

PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a
internet.
• O cliente não tem IP configurado, o qual é atribuído pelo Servidor

PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No MikroTik não é obrigatório o uso de Radius pois o mesmo
permite criação e gerenciamento de usuários e senhas em uma tabela local.
• PPPoE por padrão não é criptografado. O método MPPE pode ser usado
desde que o cliente suporte este método.
9 - Túneis e VPNs
194
PPPoE – Cliente e Servidor
• O cliente descobre o servidor
através do protocolo pppoe
discovery que tem o nome do
serviço a ser utilizado.
• Precisa estar no mesmo
barramento físico ou os
dispositivos passarem pra
frente as requisições PPPoE
usando pppoe relay.
• No MikroTik o valor padrão do Keepalive Timeout é 10, e

funcionará bem na maioria dos casos. Se configurarmos pra zero, o
servidor não desconectará os
clientes até que os mesmos solicitem ou o servidor for reiniciado.
9 - Túneis e VPNs
195
Passos para criar o PPPoE server
1) Criar o Pool
2) Criar o servidor de PPPoE
3) Criar um novo perfil
4) Criar usuários
9 - Túneis e VPNs
196
Criando um Pool
• Esses são os endereços que serão entregues ao clientes que se conectarem no servidor de PPPoE.
• Para fins de organização iremos reservar o primeiro IP utilizável para usarmos em nosso roteador (no nosso
caso o 10.1.1.1).
• Tambem iremos fazer uma reserva de endereço para cliente que por ventura precisarem de IP fixo (no nosso
caso do 10.1.1.241 até o 10.1.1.254)
9 - Túneis e VPNs
197
Criando o PPPoE server
Service Name = Nome que os clientes vão procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai escutar.
9 - Túneis e VPNs
198
Criando um novo perfil
• Name = Nome de identificação do perfil
• Local Address = Endereço que será utilizado no servidor de PPPoE
• Remote Address = Endereços que serão entregues ao clientes que se

conectarem(nesse caso selecionamos o pool previamente criado).
9 - Túneis e VPNs
199
Criando um usuário
• Adicione um usuário e senha
• Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID.

Esta opção não é obrigatória, mas é um parâmetro a mais para
segurança.
9 - Túneis e VPNs
200
Mais sobre perfis
• Bridge: Bridge para associar ao perfil
• Incoming/Outgoing Filter: Nome do canal do

firewall para pacotes entrando/saindo.
• Address List: Lista de endereços IP para

associar ao perfil.
• DNS Server: Configuração dos servidores DNS a

atribuir aos clientes.
• Use Compression/Encryption/Change TCP MSS:

caso estejam em default, vão associar ao valor que
está configurado no perfil default-profile.
9 - Túneis e VPNs
201
Mais sobre perfis
• Session Timeout: Duração máxima de uma
sessão PPPoE.
• Idle Timeout: Período de ociosidade na

transmissão de uma sessão. Se não houver
tráfego IP dentro do período configurado, a
sessão é terminada.
• Rate Limit: Limitação da velocidade na forma

rx-rate/tx-rate. Pode ser usado também na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
• Only One: Permite apenas uma sessão para o

mesmo usuário.
9 - Túneis e VPNs
202
Mais sobre o database
• Service: Especifica o serviço disponível para este
cliente em particular.
• Caller ID: MAC Address do cliente.
• Local/Remote Address: Endereço IP Local (servidor)

e remote(cliente) que poderão ser atribuídos a um
cliente em particular.
• Limits Bytes IN/Out: Quantidade em bytes que o

cliente pode trafegar por sessão PPPoE.
• Routes: Rotas que são criadas do lado do servidor

para esse cliente especifico. Várias rotas podem ser
adicionadas separadas por vírgula.
9 - Túneis e VPNs
203
Mais sobre o PPoE Server
O concentrador PPPoE do MikroTik suporta múltiplos servidores
para cada interface com diferentes nomes de serviço. Além do
nome do serviço, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes MikroTik, a interface de rádio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que
1500 bytes. A opção One Session Per Host permite somente uma sessão por host(MAC
Address). Por fim, Max Sessions define o número máximo de sessões que o
concentrador suportará.
9 - Túneis e VPNs
204
Configurando o PPPoE Client
• AC Name: Nome do concentrador. Deixando em branco conecta

em qualquer um.
• Service: Nome do serviço designado no servidor PPPoE.
• Dial On Demand: Disca sempre que é gerado tráfego de saída.
• Add Default Route: Adiciona um rota padrão(default).
• User Peer DNS: Usa o DNS do servidor PPPoE.
9 - Túneis e VPNs
205
Perguntas ?
206
Diversos
5 - Wireless
207
Wireless no Mikrotik
5 - Wireless
208
Configurações Físicas
Padrão IEEE Frequência Largura de Velocidade máx
banda máxima
802.11b 2.4Ghz 20Mhz 11 Mbps
802.11g 2.4Ghz 20Mhz 54 Mbps
802.11a 5Ghz 20Mhz 54 Mbps
802.11n 2.4Ghz e 5 Ghz 40Mhz 300 Mbps
802.11ac 5 Ghz 160Mhz 1.6 Gbps

5 - Wireless
209
Tipos de enlaces
Ponto a ponto
bridge Station
Ponto multi-ponto
Station
AP 60 ° Station
Station
5 - Wireless
210
Modo de operação
➢ ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma

transparente para a rede cabeada.
➢ bridge: O mesmo que o o modo “ap bridge” porém aceitando somente um cliente.
➢ station: Modo cliente de um ap. Não pode ser colocado em bridge com outras
interfaces.
➢ station bridge: Faz um bridge transparente porém só pode ser usado para se
conectar a um AP Mikrotik.
5 - Wireless
211
Station vs station-bridge
Internet Internet
Roteador
AP
172.25.1.254/24 192.168.1.1/24
Bridge
172.25.1.20/24
Station
Station-bridge
10.1.1.1/24
192.168.1.2/24
10.1.1.200/24
5 - Wireless
212
Espalhamento espectral
Usando 1 3 5 7 9 11
20Mhz 2412 2422 2432 2442 2452 2462
2402 2412 2422 2432 2442 2452 2462 2472

5 - Wireless
213
Ferramentas de Site Survey - Scan
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
➢ Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das
conexões estabelecidas.
5 - Wireless
214
Ferramentas de Site Survey – Uso de frequências
➢ Mostra o uso das frequências

em todo o espectro para site
survey conforme a banda
selecionada no menu
wireless.
5 - Wireless
215
Interface wireless - Sniffer
➢ Ferramenta para sniffar

o ambiente wireless
captando e decifrando
pacotes.
➢ Muito útil para detectar

ataques.
➢ Pode ser arquivado no

próprio MikroTik ou
passado por streaming
para outro servidor
com protocolo TZSP.
5 - Wireless
216
Interface wireless - Snooper
➢ Com a ferramenta snooper é possível monitorar a carga de

tráfego em cada canal por estação e por rede.
➢ Scaneia as frequências definidas em scan-list da interface.

5 - Wireless
217
Segurança de Acesso em redes sem fio
5 - Wireless
218
Falsa segurança
➢ Nome da rede escondido:

➢ Pontos de acesso sem fio por padrão fazem
o broadcast de seu SSID nos pacotes
chamados “beacons”. Este comportamento
pode ser modificado no MikroTik
habilitando a opção “Hide SSID”.
➢ Pontos negativos:
➢ SSID deve ser conhecido pelos clientes.
➢ Scanners passivos o descobrem facilmente
pelos pacotes de “probe request” dos
clientes.
5 - Wireless
219
Falsa segurança
➢Controle de MACs:
➢Descobrir MACs que trafegam no ar é muito

simples com ferramentas apropriadas e inclusive o
MikroTik como sniffer.
➢Spoofar um MAC é bem simples. Tanto usando

windows, linux ou Mikrotik.
5 - Wireless
220
Controle de Acesso
➢ A Access List é utilizada pelo AP para restringir associações de

clientes. Esta lista contem os endereços MAC de clientes e
determina qual ação deve ser tomada quando um cliente tenta
conectar.
➢ A comunicação entre clientes da mesma interface, virtual ou real,

também pode ser controlada na Access List.
5 - Wireless
221
Controle de Acesso
➢O processo de associação
ocorre da seguinte forma:
➢ Um cliente tenta se associar a uma interface wlan;
➢ Seu MAC é procurado na access list da interface wlan;
➢ Caso encontrado, a ação especifica será tomada:

➢ Authentication: Define se o cliente poderá se associar ou
não;
➢ Fowarding: Define se os clientes poderão se comunicar.
5 - Wireless
222
Access List
➢ MAC Address: Endereço MAC a ser

liberado ou bloqueado.
➢ Interface: Interface real ou virtual onde
será feito o controle de acesso.
➢ AP Tx Limit: Limite de tráfego enviado
para o cliente.
➢ Client Tx Limit: Limite de tráfego enviado
do cliente para o AP.
➢ Private Key: Chave wep criptografada.
➢ Private Pre Shared Key: Chave WPA.
➢ Management Protection Key: Chave usada para evitar ataques de

desautenticação. Somente compatível com outros Mikrotiks.
5 - Wireless
223
Chave WPA e WPA2 - PSK
➢ A configuração da chave WPA/WAP2-

PSK é muito simples no Mikrotik.
➢ No menu wireless clique na Security

Profile e adicione um novo perfil
➢ Configure o modo de chave dinâmico e

a chave pré combinada para cada tipo
de autenticação.
➢ Em cada Wlan selecione o perfil de

segurança desejado.
Obs.: As chaves são alfanuméricas de 8 até

64 caracteres.
5 - Wireless
224
Perguntas ?

Mikrotk Online Mtcna

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Mikrotk Online Mtcna

Enviado por

Direitos autorais:

Formatos disponíveis

Treinamento MikroTik

➢ O aluno que adquiriu esse treinamento terá direito a prestar o

Não compartilhe esse material

➢ Essa pirâmide foi elaborada por meio de estudos da National

➢Tonar o aluno apto prestar o exame de certificação;

➢Tornar o aluno apto a configurar com eficiência os

➢ 1 hora de duração (média 2,4 minutos por questão);

➢ Nota igual ou superior a 60% para ser aprovado;

➢ Pode consultar roteador, anotações e sites da MikroTik.

➢ Pode usar tradutor.

➢ Faça o teste de exemplo no site da MikroTik.

➢Todos o alunos irão

➢ Alunos que fizerem a prova de

MikroTik RouterBoard RouterOS

Empresa Hardware Software/ SO

Oque são RouterBoards ?

➢ Comumente utilizado em RouterBoards, mas também pode ser

➢ É um sistema operacional baseado em Linux que pode facilmente

➢ O sistema ganhou destaque muito grande nos últimos anos por

Conhecendo o Hardware da MikroTik

RouterBoards CCRs Swtichs

Wireless Wireless Outros

HAP – RB941 HEX Lite – RB750r2 HEX – RB750Gr3 RB 450Gx4

RB 2011 CPU 600Mhz RB 1100AHx4 CPU Quad-core 1,4Ghz

RB 3011 CPU Dual-core 1,4Ghz RB 1100AHx4 Dude Edition SSD 60GB

RB 4011 CPU Quad-core 1,4Ghz RB 5009 CPU Quad-core 1,4Ghz

CCR 1009 CCR 1016

CCR 1036 CCR 1072

CCR 2004 CCR 2116

CCR 2216 CCR2004-1G-2XS-PCIe

CCR 1072 CRS 317

8 interfaces de 10G 16 interfaces de 10G

3350,00 dólares 439,00 dólares

CRS 326 CSS 326

Roda RouterOS Roda SwOS

209,00 dólares 159,00 dólares

CRS 125 CRS 326

Difícil de configurar Fácil de configurar

24 interfaces ethernets 1G 24 interfaces ethernets 1G

189,00 dólares 199,00 dólares

Roteador Roteador Switch Switch Switch

RouterOS RouterOS SwOS RouterOS RouterOS

Vários modelos Alto tráfego + baratos + baratos que + caros

CRS 125 complicada

CSS 106 (RB 260) CSS 326

CSS 610 (netPower) CSS 610

CRS 109 CRS 125

CRS 106 CRS 212

CRS 305 CRS 317

CRS 354 CRS 518

RB 433 modelos especificados

Protocolo Tipo de conector

➢ Winbox é um aplicativo para Windows e caso precise usar em Linux ou

RB 750r2 Os roteadores vem com configurações

Para uso empresarial é recomendado

LAN - Rede local

- O endereço 192.168.88.1/24 foi atribuído a essa bridge.

- Um DHCP-Server rodando nessa bridge.

➢ Todos os roteadores vem com uma configuração de fábrica.

➢ Na maioria dos casos essa configuração tem a interface

➢ Você pode conferir mais detalhes sobre a configuração de

Usando o Winbox você pode se conectar ao

➢ Ligue seu computador ao roteador

Mostra o Script com a configuração de fábrica