Escolar Documentos
Profissional Documentos
Cultura Documentos
MTCNA Online
RouterOS v7
1 - Apresentação geral
3
Importante
✓ MÓDULO 1 - INTRODUÇÃO
✓ MÓDULO 2 - DHCP
✓ MÓDULO 3 - BRIDGING
✓ MÓDULO 4 - ROTEAMENTO
✓ MÓDULO 5 - FIREWALL
✓ MÓDULO 6 - QOS
✓ MÓDULO 7 - TÚNEIS
✓ MÓDULO 8 - WIRELESS
✓ MÓDULO 9 - OUTROS
1 - Apresentação geral
6
Importante
➢Aprendizado: Busque absorver conceitos.
➢Pratique: Faça todos os laboratórios propostos.
Objetivos do curso
➢ Prova em Inglês;
➢ Nota igual ou superior a 75% para passer na primeira etapara para consultor
official.
MÓDULO 1 - INTRODUÇÃO
1 - Apresentação geral
11
MikroTik/RouterBoard/RouterOS
RouterOS
MikroTik
➢Criada em 1996
➢Sediada na capital da Letónia, Riga.
➢Desenvolve software e hardware focado no
mercado de redes de computadores.
1 - Apresentação geral
13
Oque é o RouterOS?
➢ RouterOS é o software desenvolvido pela MikroTik.
Oque é o RouterOS?
➢ O RouterOS possui várias funcionalidades, abaixo segue algumas:
▪ Roteador simples
▪ Controlador de banda
▪ Firewall simples e avançado (camada 2,3 e 7)
▪ Controlador de conteúdo
▪ Access point (wireless) com vários recursos
▪ Hotspot com varias opções
▪ Sniff de rede (Analisador de pacotes e conexões)
▪ Balanceador de links
▪ Failover
▪ Concentrador de VPN
▪ Roteador avançado utilizando protocolos de roteamento dinâmico (OSPF,BGP,RIP e MPLS)
▪ Firewall de IDS (intrusion detection system/Sistema de detecção de intrusão)
▪ QoS (Quality of service/Qualidade de serviço)
▪ Gerenciador de conexões wireless de alto desempenho
▪ Outros
1 - Apresentação geral
16
Roteador Swtich
24 interfaces 1G 24 interfaces 1G
2 interfaces 10G 2 interfaces 10G
0 ou nenhuma wireless
RB 450
5 interfaces ethernet
3 slots p/ wireless
Serie 400
Lógica de nomenclatura
válida somente para
RouterBoards com
3 interfaces ethernet
1 - Apresentação geral
28
Nomenclatura das RouterBoards
Tipo de case Banda
➢ (not used) - main type of enclosure for a product ➢ 5 - 5Ghz
➢ RM - rack-mount enclosure ➢ 2 - 2.4Ghz
➢ IN - indoor enclosure ➢ 52 - dual band 5Ghz and 2.4Ghz
➢ EM - extended memory
➢ LM - light memory Número de chains
➢ BE - black edition case ➢ (not used) - single chain
➢ TC - Tower (vertical) case ➢ D - dual chain
➢ OUT - outdoor enclosure ➢ T - triple chain
Potencia do rádio
➢ (not used) - "Normal" - <23dBm at 6Mbps 802.11a; <24dBm at 6Mbps 802.11g
➢ H - "High" - 23-24dBm at 6Mbps 802.11a; 24-27dBm at 6Mbps 802.11g
➢ HP - "High Power" - 25-26dBm 6Mbps 802.11a; 28-29dBm at 6Mbps 802.11g
➢ SHP - "Super High Power" - 27+dBm at 6Mbps 802.11a; 30+dBm at 6Mbps 802.11g
http://wiki.mikrotik.com/wiki/Manual:Product_Naming
1 - Apresentação geral
29
Primeiro acesso com Winbox
➢ Existem diversas maneira de acessar o RouterOS sendo o Winbox a mais
utilizada.
➢ Winbox pode ser usado para acessar o RouterOS via endereço MAC ou IP.
WAN - Internet
Em resumo!!
Interface 2,3,4 e 5
- Interligadas no mesmo domínio de broadcast através de uma bridge.
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
1 - Apresentação geral
32
Primeiro acesso
ATENÇÃO
➢ Se não for o primeiro acesso Não efetuar o reset se
estiver fazendo o
siga a imagem abaixo para laboratório na plataforma
efetuar o reset. Redes Brasil.
Atenção
Resumo
3. Caso o acesso via MAC ficar caindo, tente se conectar ao roteador via
IPv6 (se disponível) e/ou deixe habilitada somente a interface que se
liga ao roteador (desabilite todas as outras).
2 - Configurações iniciais
37
Acesso ao LAB
http://lab-mtcna.redesbrasil.com.br
6 primeiros
dígitos do
Telefone
2 - Configurações iniciais
38
Diagrama da rede
X
2 - Configurações iniciais
40
Configurando IP na interface de LAN
10.1.1.1/24
2 - Configurações iniciais
41
Configurando DHCP Server
10.1.1.1
10.1.1.2-10.1.1.254
8.8.8.8
Coloque o endereço do
servidor de DNS de sua
preferência.
2 - Configurações iniciais
42
DHCP Cliente
VPC-3
Comando para
dhcp-client
Comando para
ver IP
2 - Configurações iniciais
44
Identificando seu roteador
INDENFICAÇÃO
2 - Configurações iniciais
45
Renomeando suas interfaces
➢Renomeie suas interface conforme a imagem
abaixo.
2 - Configurações iniciais
47
Configurando IP na interface de WAN
150.1.1.X/24
2 - Configurações iniciais
48
Teste de conectividade
Internet
2 - Configurações iniciais
49
Configurando rota default
150.1.1.254
2 - Configurações iniciais
50
Teste de conectividade
Internet
2 - Configurações iniciais
51
Configurando DNS
➢ Adicione o servidor DNS
Internet
2 - Configurações iniciais
53
Regra de mascaramento
➢Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.
2 - Configurações iniciais
55
Atualizando o RouterOS
➢Certifique se que sua routerboard tem
conectivade com a internet.
2 - Configurações iniciais
56
E ai qual versão instalar ?
Função Tempo
Ativar backup RouterBOOT 3 segundos
Reset do equipamento 5 segundos
Ativar modo Caps 10 segundos
Reinstalação via Netinstall 15 ou mais segundos
https://wiki.mikrotik.com/wiki/Manual:Reset_button
3 - Mais do RouterOS
61
Adicionando novos pacotes
➢ É possível adicionar pacotes adicionais durante ou após a
instalação do RouterOS.
https://mikrotik.com/download
3 - Mais do RouterOS
63
Primeiro acesso ao roteador
➢ Se o seu roteador não possui endereço de IP (v4 ou v6), poderá ser
gerenciado via.
▪ Mac-winbox
▪ Mac-telnet
▪ Cabo console (caso roteador possua porta console)
▪ Teclado e monitor (caso tenha instalado em um PC).
▪ API
▪ SSH
▪ FTP
▪ Telnet
▪ Web
3 - Mais do RouterOS
69
Usuário e grupos
➢ É possível criar novos usuário e grupos de usuários;
Licença
3 - Mais do RouterOS
73
Correspondência de licenças
3 - Mais do RouterOS
74
Diferença entre os dois backups
Revisão de redes
4 - Revisão TCP/IP
81
Um pouco de historia
Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
4 - Revisão TCP/IP
82
Modelos de comunicação
Modelo OSI
Modelo TCP/IP
Aplicação
Apresentação
Sessão Aplicação
Transporte Transporte
Rede Rede
Enlace Enlace
Física Física
5 camadas
7 camadas
4 - Revisão TCP/IP
83
Transporte de dados
➢ Quais são as principais informações usadas para
transporte de dados?
4 Port Port
3 IP / Address IP / Address
MAC
2 MAC
Atenção
Não se esqueça dessas
informações
4 - Revisão TCP/IP
84
Um pouco mais sobre o modelo OSI
Os dados são gerados por aplicativos e repassados para camada de
aplicação, e a partir de então serão encapsulados camada por
camada até chegar a camada física onde serão transformados em
sinais (elétricos ,luminosos etc...)
PC 1
Dados Aplicação
Cabeçalho possui porta (TCP/UDP) de origem e destino
Transporte
Cabeçalho possui IP de origem e destino
Rede Cabeçalho possui MAC de origem e destino
Enlace
011011001010010001
Física
PC 2
4 - Revisão TCP/IP
85
Encapsulamento
Dados Camada 7 | Dados
Aplicação
Camada 4 | Portas
Origem:6423 Destino:80 Transporte
Camada 3 | IP
Rede
Origem:10.1.1.2
Destino:200.10.20.30
Origem:D4:CA:6D:A3:B2:AA
Destino: D4:CA:6D:A3:B2:BB
4 - Revisão TCP/IP
86
Encapsulamento
Origem:6423 Rede
Destino:80 Camada 3 | Rede | IP
Enlace
Origem:10.1.1.2
Destino:200.10.20.30
Camada 2 | Enlace | MAC Física
Origem:D4:CA:6D:A3:B2:AA
Destino: D4:CA:6D:A3:B2:BB
4 - Revisão TCP/IP
87
PDU - Protocol data unit
Camada PDU
4 - Camada de transporte Segmento
3 - Camada de rede Pacote
2 - Camada de enlace Frame (quadro)
1 - Camada física Bit
4 - Revisão TCP/IP
88
Um pouco mais
sobre modelo
OSI e TCP/IP
4 - Revisão TCP/IP
89
1 - Camada física
➢ A camada física define as características técnicas
dos dispositivos elétricos.
2 - Camada de enlace
➢ Camada responsável pelo endereçamento físico, controle de acesso ao meio e
correções de erros da camada I.
SRC DST
PORT PORT
ADDRESS ADDRESS
MAC MAC
4 - Revisão TCP/IP
91
Cenários onde se aplicam bridge e switches
Cenário 1 Cenário 2
Internet
Internet
Roteador
192.168.1.1/24
Bridge
Roteador
10.1.1.1/24
Switch
Bridge
192.168.1.2/24
10.1.1.2/24 10.1.1.4/24
10.1.1.3/24
4 - Revisão TCP/IP
92
Criando uma bridge
Podemos resumir uma bridge
como um switch virtual.
Roteador
Bridge1
1 2 3 4 5 wlan1
4 - Revisão TCP/IP
93
Adicionando interfaces na bridge
Roteador
Atenção
Bridge1
Sempre que uma interface for
adicionada em uma bridge,
toda configuração deverá ser
feita para a bridge e não mais
para a interface.
1 2 3 4 5 wlan1
4 - Revisão TCP/IP
94
3 - Camada de rede
➢ Responsável pelo endereçamento lógico dos pacotes.
➢ Determina que rota os pacotes irão seguir para atingir o destino baseado em
fatores tais como condições de tráfego de rede e prioridade.
SRC DST
PORT PORT
ADDRESS ADDRESS
MAC MAC
4 - Revisão TCP/IP
95
Cenários onde se aplicam roteadores
Cenário 1 Cenário 2
Internet
Internet
10.1.1.0/24
10.1.2.0/24
Roteador
10.1.4.0/24
10.1.3.0/24
10.1.1.2/24
192.168.1/24 10.1.5.0/24
172.16.1.1/24
4 - Revisão TCP/IP
96
4 - Camada de transporte
➢ Quando no lado do remetente, é responsável por pegar os
dados das camadas superiores e dividir em pacotes para que
sejam transmitidos para a camada de rede.
SRC DST
PORT PORT
ADDRESS ADDRESS
MAC MAC
4 - Revisão TCP/IP
97
10.1.1.0/24
10.1.2.0/24
Roteador
10.1.4.0/24
10.1.3.0/24
10.1.1.2/24
192.168.1/24 10.1.5.0/24
172.16.12/24
4 - Revisão TCP/IP
99
7 - Camada de aplicação
➢ Muitos confundem aplicação com aplicativo.
Protocolos da camada
Aplicativos de aplicação
HTTP
HTTPS
DNS
SMTP
4 - Revisão TCP/IP
100
O datagrama
Camada 7| Dados PC +
Firewall
Aplicação
Camada 4 | Portas
Transporte
Camada 3 | IP
Roteador
Rede
Camada 2 | MAC
Enlace Switch
SRC DST
PORT PORT
Física ADDRESS
MAC
ADDRESS
MAC
4 - Revisão TCP/IP
101
Perguntas
4 - Revisão TCP/IP
102
Protocolos
4 - Revisão TCP/IP
103
Endereço IP
UDP TCP
Serviço sem conexão; nenhuma sessão é Serviço orientado por conexão; uma sessão
estabelecida entre os hosts. é estabelecida entre os hosts.
O UDP não garante ou confirma a entrega O TCP garante a entrega usando
nem sequencia os dados. confirmações e entrega sequenciada dos
dados.
O UDP é rápido, requer baixa sobrecarga e O TCP é mais lento, requer maior
pode oferecer suporte à comunicação sobrecarga e pode oferecer suporte apenas
ponto a ponto e de ponto a vários pontos. à comunicação ponto a ponto.
4 - Revisão TCP/IP
112
Protocolos - ICMP
➢ Internet Control Message Protocol ou protocolo de mensagens de controle da
Internet é usado para relatar erros e trocar informações de status e controle.
Roteador
Roteador
10.1.1.1/24 10.1.1.3/24
10.1.1.2/24
10.1.1.1/24
10.1.1.1 8.8.8.8
192.168.1.1 172.16.1.1
8.8.4.4
10.5.5.5
8 - Roteamento
120
Na tabela de rotas
1.1.1.1/30 1.1.1.2/30
R1 R2
10.1.1.1/24 10.2.2.1/24
Rede 1 Rede 2
10.2.2.0/24
10.1.1.0/24
10.2.2.2/24
10.1.1.2/24
Roteamento
8 - Roteamento
122
Criando as rotas
Rota em R1 Rota em R2
para alcançar a rede 2 para alcançar a rede 1
8 - Roteamento
123
Check-gateway
Firewall
Pacote
6 - Firewall
126
Firewall - Opções
➢ RAW: Usada para saltar a conntrack para um determinado fluxo de dados e até mesmo para ganhar desempenho
na contenção de ataques de DoS e DDoS.
➢ Address List: Lista de endereços IPS inseridos de forma dinâmica ou estática e que podem ser utilizadas em várias
partes do firewall.
Chegada
Firewall
Decisão
Prerouting DSTNAT de Forward Postrouting SRCNAT
roteamento
Saída
Output
Input
Decisão
de
roteamento
Destinado Originado
Processo local
ao roteador no roteador
6 - Firewall
129
Princípios gerais
Regra 0 – COMBINA?
Regra 1 –SIM
COMBINA?
– Executa a ação especificada e não faz a leitura das regras de baixo.
Regra 2 – COMBINA?
SIM––Vai
NÃO Executa a ação especificada
para próxima regra e não faz a leitura das regras de baixo.
SIM – Executa a ação especificada e não faz a leitura das regras de baixo.
NÃO – Vai para próxima regra
NÃO – Pacote aceito
6 - Firewall
133
TCP
ICMP
UDP
Firewall - Filters
DNS
DMZ
Rede
local
6 - Firewall
134
Firewall – Filter Rules
Firewall
FORWARD
INPUT OUTPUT
Internet
INPUT
PC OUTPUT
FORWARD
Resumo
Objetivo
Apague todas as regras do firewall filters antes de começar esse laboratório.
Conclusão do LAB 2
Objetivo
1. Acesse o site meuip.com a partir do navegador.
2. Crie uma regra para bloquear o acesso a todos sites HTTP a partir da sua rede.
3. Tente acessar o site meuip.com novamente (não pode abrir).
Internet
Rede local
6 - Firewall
145
Default drop
➢ Implementando regras de firewall usando default drop
Default Drop
Drop geral
Tipos de conexão
Rede de suporte
Port knocking
ICMP Flood
6 - Firewall
146
Proteção básica
➢ O roteador ou sua rede local não ficará com portas de serviço expostas.
TCP / 4455
➢ Para ter acesso as portas de serviços o usuário deverá saber uma sequencia pré-
determinada de portas chave. Acesso FULL
➢ Em nosso exemplo iremos usar como portas chave a sequencia de portas TCP 7788 e
4455.
Comandos
Comandos
/ip firewall filter
add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp
add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp
6 - Firewall
151
Firewall - NAT
Firewall
Decisão
Chegada DSTNAT de Forward SRCNAT Saída
roteamento
Output
Input
Decisão
de
roteamento
Processo local
6 - Firewall
154
SRC-NAT
SEM NAT
WAN
187.32.81.27
8.8.8.8
PC
192.168.1.254/24
DST SRC
192.168.1.254 8.8.8.8
6 - Firewall
155
SRC-NAT
SRC NAT
WAN
187.32.81.27
8.8.8.8
PC
192.168.1.254/24
Firewall
Chegada
Decisão
Conntrack DSTNAT de Forward SRCNAT Saída
roteamento
Output
Input
Conntrack
Decisão
de
roteamento
Processo local
6 - Firewall
157
Connection Track
➢ Refere-se a habilidade do roteador em manter o estado da
informação relativa as conexões, tais como endereços IP de origem
e destino, as respectivas portas, estado da conexão, tipo de
protocolos e timeouts. Firewalls que fazem connection track são
chamados de “statefull” e são mais seguros que os que fazem
processamentos “stateless”.
6 - Firewall
158
Connection Track
➢ O sistema de connection tracking é o coração do
firewall. Ele obtém e mantém informações sobre todas
conexões ativas.
Internet
Comandos
/ip firewall nat
add action=src-nat chain=srcnat comment="For\E7ando mascaramento da rede local 10.1.1.0/24 para o end. 200.1.1.1" dst-address-list=!rede-local dst-address-type=\
!multicast src-address=10.1.1.0/24 to-addresses=200.1.1.1
add action=src-nat chain=srcnat comment="For\E7ando mascaramento da rede local 10.2.2.0/24 para o end. 200.1.1.2" dst-address-list=!rede-local dst-address-type=\
!multicast src-address=10.2.2.0/24 to-addresses=200.1.1.2
6 - Firewall
162
DSTNAT
DST NAT
WAN
187.32.81.27
Internet
PC R1
200.1.1.1/24 192.168.3.1
R2
Rede local 192.168.3.252
6 - Firewall
163
➢ Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.
6 - Firewall
164
➢Proxy HTTP;
➢Proxy DNS;
➢ICMP.
7 - Controle de banda
165
QoS e controle da banda
7 - Controle de banda
166
Uso de QoS
➢Usar QoS é utilizado quando precisamos
aplicar qualidade para algum serviço de rede.
10.1.1.200
➢ max-limit=256kbps
➢ burst-limit=512kbps
➢ burst-threshold=192kbps
➢ burst-time=8s
Router 1 Router 2
9 - Túneis e VPNs
186
Diagrama de VPN
Internet IP público
200.1.1.XX
IP da VPN
IP da VPN 2.2.2.2
172.25.1.X
1.1.1.1
DST GW DST GW
10.2.2.0/24 2.2.2.2 10.1.1.0/24 1.1.1.1
9 - Túneis e VPNs
187
Ativando PPTP server
9 - Túneis e VPNs
188
Criando o usuário para o PPTP Client
IP que será atribuído para o host remoto quanto o usuário “teste” se conectar
9 - Túneis e VPNs
189
Criando o PPTP Client
200.1.1.XX
9 - Túneis e VPNs
190
Acompanhando o Status
Status no client
Status no servidor
9 - Túneis e VPNs
192
Campos PPPoE
• MTU/MRU: Unidade máximas de transmissão/ recepção em
bytes. Normalmente o padrão ethernet permite 1500 bytes.
Em serviços PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentação.
• PPPoE por padrão não é criptografado. O método MPPE pode ser usado
desde que o cliente suporte este método.
9 - Túneis e VPNs
194
PPPoE – Cliente e Servidor
• O cliente descobre o servidor
através do protocolo pppoe
discovery que tem o nome do
serviço a ser utilizado.
• Precisa estar no mesmo
barramento físico ou os
dispositivos passarem pra
frente as requisições PPPoE
usando pppoe relay.
1) Criar o Pool
4) Criar usuários
9 - Túneis e VPNs
196
Criando um Pool
• Esses são os endereços que serão entregues ao clientes que se conectarem no servidor de PPPoE.
• Para fins de organização iremos reservar o primeiro IP utilizável para usarmos em nosso roteador (no nosso
caso o 10.1.1.1).
• Tambem iremos fazer uma reserva de endereço para cliente que por ventura precisarem de IP fixo (no nosso
caso do 10.1.1.241 até o 10.1.1.254)
9 - Túneis e VPNs
197
Criando o PPPoE server
Service Name = Nome que os clientes vão procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai escutar.
9 - Túneis e VPNs
198
Criando um novo perfil
• Name = Nome de identificação do perfil
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que
1500 bytes. A opção One Session Per Host permite somente uma sessão por host(MAC
Address). Por fim, Max Sessions define o número máximo de sessões que o
concentrador suportará.
9 - Túneis e VPNs
204
Configurando o PPPoE Client
Ponto multi-ponto
Station
AP 60 ° Station
Station
5 - Wireless
210
Modo de operação
➢ bridge: O mesmo que o o modo “ap bridge” porém aceitando somente um cliente.
➢ station: Modo cliente de um ap. Não pode ser colocado em bridge com outras
interfaces.
➢ station bridge: Faz um bridge transparente porém só pode ser usado para se
conectar a um AP Mikrotik.
5 - Wireless
211
Station vs station-bridge
Cenário 1 Cenário 2
Internet Internet
Roteador
AP
172.25.1.254/24 192.168.1.1/24
Bridge
172.25.1.20/24
Station
Station-bridge
10.1.1.1/24
192.168.1.2/24
10.1.1.200/24
5 - Wireless
212
Espalhamento espectral
Usando 1 3 5 7 9 11
20Mhz 2412 2422 2432 2442 2452 2462
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
➢ Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das
conexões estabelecidas.
5 - Wireless
214
Ferramentas de Site Survey – Uso de frequências
➢ Pontos negativos:
➢ SSID deve ser conhecido pelos clientes.
➢ Scanners passivos o descobrem facilmente
pelos pacotes de “probe request” dos
clientes.
5 - Wireless
219
Falsa segurança
➢Controle de MACs:
➢O processo de associação
ocorre da seguinte forma: