Aulão de

MikroTik:
10 Erros Comuns
O último erro pode te fazer economizar
muita grana!!!
 Leve isso para a vida:

Não basta configurar do jeito certo, você precisa

realmente entender o que está fazendo!!!

2
 Você já conhece o
Packet Sniffer?
É uma ferramenta para capturar pacotes.

3
Se é tão bom assim...

Por que é o erro número 1?

4
O packet sniffer pode ser:

5
 Resumo do Erro 1:

• O packet sniffer é uma ótima ferramenta porém precisa tomar cuidado

com capturas muito genéricas e também esquecer ele ligado, pois isso
vai consumir a memória RAM e a CPU até o roteador travar, causando por
exemplo:

• Aumento de latência
• Perda de pacotes
• Travamento de vídeos
• Travamento de jogos
e o roteador pode até mesmo reiniciar!!!

6
Número 2: ECMP
Equal Cost Multi Path

ETHER1

R1 ETHER2 R2

7
Mais uma vez...
Se é tão bom assim...

8
 Número 2: ECMP
INTERNET INTERNET
LINK 1 LINK 2

IP WAN IP WAN
199.54.72.19 47.70.55.230

R1

9
 Resumo do Erro 2:

ECMP foi feito para balanceamento entre roteadores

internos e não para acessar a internet.

Existem outras formas de balanceamento (loadbalance)

possíveis no RouterOS, como por exemplo baseado na
rede de origem ou baseados em marcação de
pacotes/conexões.

10
 Resumo do Erro 2:

ECMP foi feito para balanceamento entre roteadores

internos e não para acessar a internet.

Existem outras formas de balanceamento (loadbalance)

possíveis no RouterOS, como por exemplo baseado na
rede de origem ou baseados em marcação de
pacotes/conexões.

11
 CRS 106
Switch fibra de baixo custo

12
300Mbps e deu ruim?

13
Vamos entender o que
aconteceu?

14
CPU x Switch-Chip
Hardware
Offload!

15
 Resumo do Erro 3:

Existe mais de uma forma de configurar uma VLAN no

RouterOS, cada forma é para um tipo/série de
equipamento.
Algumas configurações desativam o Hardware Offload,
isso depende de cada modelo de equipamento.
O ideal é pesquisar antes a configuração correta e
também o que exatamente é o equipamento
(switch ou router).

16
 Erro 4:
Serviços abertos no roteador
Exemplo:
IP > Services;
IP > Neighbors;

17
 Resumo do Erro 4:

Qualquer serviço aberto no roteador, sendo utilizado ou não, se

torna uma vulnerabilidade que pode ser explorada.

O ideal é desabilitar o serviços que não estão sendo usados. Os

serviços que estão ativos é recomendado trocar a porta padrão
e/ou fazer um
firewall de proteção.
Lembre-se: não desative as Service Ports no IP > Firewall!
Esses são os NAT HELPERS!

18
 Erro 5:
Não usar o drop geral!!!
O firewall do MikroTik é que nem corno: aceita tudo!

19
E o que isso pode me
causar?
Port Scan;
Tentativa de acesso (brute force);
Amplificador de ataque DDOS (ex: DNS);

20
 E como resolver?

Para isso vamos primeiro entender os

canais do Firewall Filter:

INPUT INPUT INTERNET

FORWARD 8.8.8.8
PC OUTPUT OUTPUT
10.1.1.5

21
 Resumo do Erro 5:

O firewall do MikroTik RouterOS por padrão aceita

tudo, o que acaba deixando as portas e serviços
vulneráveis a tentativas de ataque e/ou port scanners.

O ideal é fazer uma regra de drop geral no canal

input, porém, vamos ver o ERRO 6...

22
 Erro 6:
Usar o DROP GERAL!

23
 E se você bloquear tudo?

O seu acesso é destinado ao roteador...

INTERNET
INPUT INPUT 8.8.8.8
PC
10.1.1.5

24
Perdi o acesso e o roteador
está o longe...

25
 Só não tem jeito pra morte...

Acesse via MAC-TELNET, MAC-WINBOX, ROMON ou IPV6 e

faça as exceções/liberações...

Exemplo:
TCP 8291 (padrão winbox);

Estabelecidas e relacionadas;

Qualquer outro serviço que você precise...

26
 Resumo do Erro 6:

O padrão drop geral vai te fazer perder acesso ao

roteador, além de parar funcionalidades essenciais do
mesmo, como ping para outro host e consultas de
DNS, porém, com as devidas liberações antes do
drop geral essa se torna a forma mais efetiva de
proteger o roteador!

27
 Erro 7:
Fazer redirecionamento de
portas (DSTNAT)

INTERNET
10.1.1.5:80 187.219.15.24:80 8.8.8.8
PC
10.1.1.5

28
 Ou seja: o problema é fazer
regras muito genéricas!!!
Isso também vale para o
SRCNAT/MASQUERADE!!!

29
 Resumo do Erro 7:

Regras de Firewall muito genéricas podem ter efeitos

colaterais indesejados, então o ideal é sempre
especificar ao máximo, como por exemplo definindo a
interface de entrada dos pacotes, o endereço de destino
e/ou addres-type local.
Você pode e deve usar todos esses exemplos juntos!
Quanto mais específica for a regra menor a chance de
combinar com o que não deve!

30
 Erro 8:
LAYER7 protocol
Como posso
bloquear sites
com conteúdo
adulto?
XXX

31
 Entendendo o
Layer7 Protocol
Faz verificações nos pacotes baseado em
Expressões Regulares...
Exemplo:
.*(porn|xxx|xvid|redtu|sexo)+.*

32
E qual o problema?

Processamento vai nas alturas...

33
 E como resolver?

Você precisa mesmo de Layer7 Procol?

Existem outras formas de bloquear sites no RouterOS,
por exemplo:
CONTENT;
TLS HOST;
DNS;
Address-list + firewall forward...

34
 Resumo do Erro 8:

Layer7 Protocol é uma ferramenta muito interessante

porém normalmente o uso de CPU é muito alto,
muitas vezes inviabilizando sua aplicação.
Tentar formas alternativas de bloqueio é a melhor
opção, mas lembre-se: nenhuma forma é 100%
efetiva e muitas vezes a combinação de mais de uma
opção será a melhor escolha.

35
 Erro 9:
Connection tracking

36
O que é a conntrack?

É o coração do firewall.
Armazena o registro das conexões.
É essencial para o NAT
e algumas outras funções do firewall...

37
 E o erro?

Vamos primeiro entender como ela vem por padrão...

38
 E o erro?

Agora que sabemos disso, vamos imaginar um

provedor de acesso a internet com muitos clientes
conectados...
E fazendo NAT no concentrador de acesso pppoe...

39
 Resumo do Erro 9:

A connection tracking é o coração do firewall e é

essencial para muitas funções, porém o ideal é alterar o
timeout de conexões TCP estabelecidas para evitar que
uma conexão que não está mais em uso fique por muito
tempo na conntrack e principalmente não usar NAT e a
conntrack habilitada em um concentrador PPPOE.
Falando nisso, vamos ver qual a relação disso com o
ERRO 10???

40
 Erro 10:
Comprar roteador com mais
processamento para crescer a rede

41
Deixe-me explicar...
QUEUES
A culpa é do
equipamento!!!
PPPOE

NAT

FIREWALL

ROTEAMENTO

42
Deixe-me explicar...
Vou comprar
QUEUES uma CCR 1009...
Deve aguentar
PPPOE tudo isso...

NAT

FIREWALL

ROTEAMENTO

43
E o custo?

44
 E a minha solução?
Dividir os serviços!!!

NAT QUEUES

FIREWALL PPPOE

ROTEAMENTO ROTA DEFAULT

45
Economia de 10x

46
 Eu te disse...

Não basta configurar do jeito certo, você precisa

realmente entender o que está fazendo!!!

Com isso você consegue propor soluções melhores e

resolver problemas mais rápido!!!

47
Vou te contar minha história:
Eu já sofri com MikroTik RouterOS...
Demorei 3 meses para aprender a configurar o básico sozinho.
Mesmo já com experiência, eu não sentia que entendia o que
estava fazendo...
Mas hoje, 10 anos depois, eu posso dizer que realmente
entendo o que estou fazendo, tanto que sou
Instrutor e Consultor Oficial da MikroTik...

48
 E eu resolvi compartilhar
esses 10 anos de experiência
com vocês...

49
 O que vai ter na
Imersão Descomplicando MikroTik?
1 Introdução: aprendendo redes com MikroTik 12 - Descomplicando o roteamento
2 - Como funciona a internet? O que são redes LAN, 13 - Descomplicando o Firewall
MAN, WAN
14 - Firewall Filter
3 - Vamos começar com o básico?
15 - Firewall NAT
4 - Apresentação do Modelo OSI e TCP/IP
16 - Conhecendo o Firewall MANGLE e QOS.
5 - Camada Física L1
17 - Tipos de VPN: Server e Client
6 - Camada de Enlace L2
18 - Modelo TCP/IP usado como base para
7 - Camada de Rede L3 troubleshooting de redes.
8 - Um pouco mais sobre L3
9 - Camada 4 e Firewall, um pouco sobre camada 7
10 - Um pouco mais sobre bridges, switches e
roteamento Calma que tem
11 - Configuração básica e eficiente
mais!!!
50
 Bônus
30 dias de lab
1 aula de dúvidas online ao vivo
1 licença level 4 (valor estimado em 45 dólares)

51
Tudo isso por apenas
Valor da Imersão:
R$ 497,00 .
Somente hoje dia 10/10/2023 até as 23:59
Além do desconto R$200,00 ainda tem um
sorteio muito especial!

Por R$ 297,00 .
Cartão de crédito 12x R$29,89
52
 Não é pelo dinheiro!
Pois só os bônus já somam mais que o valor do treinamento!
30 dias de lab -> R$ 79,90
1 aula de dúvidas MikroTik - Online (4 horas) -> R$ 600,00
1 licença level 4 (valor estimado em 45 dólares) -> R$227,97

R$ 907,87
53
 Ou seja...
2 dias de Imersão Descomplicando MikroTik
30 dias de lab
1 aula de dúvidas online ao vivo
1 licença level 4 (valor estimado em 45 dólares)

54
 Quer configurar
da maneira correta e
entender o que está
fazendo?
https://redesbrasil.net/descomplicando-mk

55