Treinamento oficial

Treinamento MTCNA
Mikrotik Certified Network Associate

Slides Versão 2019.18

2
Sobre o Instrutor

Leonardo Vieira
“leomikrotik”

• 27 Anos experiência com redes e TI.

• Em 2009 iniciei com MikroTik
Facebook.com/Leonardo.mikrotik
• Contract TI / Contract Cloud / Redes Brasil linkedin.com/in/albuquerqueleonardo/
• Palestrante MUM – Brasil
• Treinamentos Oficiais MikroTik

@Contract_ti youtube.com/leomikrotik facebook.com/contractti/

 Importante
• Curso oficial: Proibido ser filmado ou gravado.
• Celular: Desligado ou em modo silencioso.
• Perguntas: Sempre bem vindas.
• Internet: Evite usar para você não se destrair.

• Evite conversas durante as explicações.

4
Apresente-se a turma

• Diga seu nome;

• Empresa;
• Qual seu conhecimento sobre RouterOS?
• Qual seu conhecimento em redes?
• O que você espera do curso?

• Lembre-se de seu número: Y

5
Objetivos do Curso

• Promover uma visão geral sobre Mikrotik RouterOS

e dos produtos RouterBoard
• Treinamento prático em configurações MikroTik
RouterOS, manutenção e resolução de problemas
básicos.

6
Aprendizado Esperado

O aluno irá:
• Se habilitar a configurar, gerenciar e solucionar problemas básicos
em dispositivos Mikrotik RouterOS.
• Se habilitar a prover serviços básicos a clientes
• Ter uma base sólida e ferramentas valiosas para gerenciar uma rede.

7
Cursos de Certificação MikroTik

Mais informações em: https://training.mikrotik.com 8

 Agenda

• Treinamento das 9:00 as 18:00hs

• Coffe break as 16:00hs
• Intervalo para almoço as 12:00 com 1:30h de duração.
• Prova de certificação: No último dia.
Ao final do treinamento, participação requerida.

9
Conta no site MikroTik https://mikrotik.com/

10
MTCNA Outline

• Módulo 1 – Introdução • Módulo 6 – Firewall

• Módulo 2 – DHCP • Módulo 7 – QoS

• Módulo 3 – Bridges • Módulo 8 – Túneis e VPNs

• Módulo 4 – Roteamento estático • Módulo 9 – Diversos Tools

• Módulo 5 – Wireless • LAB prático

https://mikrotik.com/pdf/MTCNA_Outline.pdf
11
Certified Network Associate
(MTCNA)
Módulo 1
Introdução
12
Sobre a MikroTik

Localizada em Latvia – Riga

São mais de 280 funcionários
mikrotik.com
routerboard.com
Mikrotik(MK): Empresa
Routerboard(RB): Hardware
RouterOS(ROS): Software

13
Sobre a MikroTik

• 1996 Iniciou as atividades

• 1997 RouterOS Software para x86 (PC)
• 2002 Primeira RouterBOARD
• 2006 Primeiro MUM – MikroTik User Meeting (Prague, Czech Republic)
• 2017 MUM Indonesia, mais de 3.000 pessoas

14
RouterOS

• RouterOS vem instalado nas Routerboards.

• Licença compatível com o hardware.

• É possível comprar uma licença e trocar no equipamento. “ex: SXT AP”

• Não esqueça das limitações do hardware x licença.

• Ele pode ser instalado em x86 Pcs.

15
RouterOS

• Os níveis de licença são para determinar o número de recursos.

• A chave é gerada sobre um software-id fornecido pelo sistema
• A licença fica vinculada ao HD, Flash e ou placa mãe.
• A formatação com outros aplicativos pode alterar algumas destas
informações e gerar a perda da licença.

16
RouterOS – Level license

*BGP Level3 só para RB https://wiki.mikrotik.com/wiki/Manual:License 17

Level3 não pode rodar em PCs, só CPE
RouterOS – Level license

System → License

18
RouterOS

• RouterOS é um SO independente baseado em Kernel Linux que

pode ser configurado como:
• Roteador
• Web-proxy – Controle de conteúdo
• QOS – Controle de Banda
• Firewall ( camada 2, 3 e 7)
• Acces Point (veja placas compatíveis)
• e muito mais, veja em wiki.mikrotik.com

19
RouterOS CHR

CHR – Cloud Hosted Router

é uma versão destinada a ser executada em maquina virtual x86 64-Bit

Compatível com VMWare, Hyper-V, XenServer, VirtualBox, KVM e outros.

AWS Amazon e a Microsoft Azure tem suporte ao CHR

20
RouterOS CHR – Requisitos

CPU de 64 Bits com suporte a virtualização

128 MB ou mais de RAM

128 MB de espaço em disco e no máximo 16 GB

21
RouterOS CHR - Licensing

License Speed limit Price

Free 1 Mbit FREE
P1 1 Gbit $45
P10 10 Gbit $95
P-Unlimited Unlimited $250

Teste de 60 dias: Você pode pelo site da MikroTik obter uma licença de teste por 60 dias.

22
RouterOS CHR - Licensing

System → License

23
RouterOS CHR - Licensing

System → License

24
RouterOS CHR - Licensing

25
RouterOS - CHR

26
MikroTik RouterBOARD

• Uma família de soluções de hardware criadas pela MikroTik

• Variando de pequenos roteadores domésticos a concentradores
de acesso de classe de provedores.
• Milhões de RouterBOARDS estão em operação “roteando o mundo”

27
Routerboards

https://mikrotik.com/product/ 28
Nomenclatura

Exemplo: RB912UAG-5HPnD
RB (RouterBOARD)
912 – 9 série 1 ethernet interface e 2 wireless interfaces
UAG – USB Porta, A mais memória e G Gigabit ethernet
5HPnD – 5 Ghz de Alta Potencia com cartão dual Chain e suporte 802.11n

Board Features
H – CPU mais potente
U – USB
G – Gigabit Porta
P – Alimentação por PoE
x<n> - N é o numero de núcleos da CPU ex: x2, x16, x36
I – Saída única com Energia
R – Slot MiniPCI ou MiniPCIe
A – Mais memória

https://wiki.mikrotik.com/wiki/Manual:Product_Naming 29
Nomenclatura - CCR

Exemplo: CCR1072-1G-8S+

CCR (CloudCoreRouter)
1º Dígito – Série
2º Dígito – Reservado
3º e 4º Dígito – Total de núcleo
<n> G - número de portas Gigabit Ethernet
<n> número C de portas combo Ethernet / SFP
<n> S - número de portas SFP ( não suporta 10G )
<n> S + - número de portas SFP + ( suporta 10G )
30
CRS – Cloud Router Switch

Exemplo: CRS328-4C-20S-4S+RM
CRS (CloudRouterSwitch)
1º Dígito – Série
2º e 3º Dígito – Total de Portas (Ethernet, SFP, SFP+)
- <n> número G de portas Ethernet 1G
- <n> número P de portas Ethernet 1G com saída PoE
- <n> número C de portas Ethernet / SFP de combinação 1G
- <n> número S de portas 1G SFP
- <n> número G + de portas Ethernet 2.5G
- <n> número P + de portas Ethernet 2.5G com saída PoE
- <n> número C + de portas 10G Ethernet / SFP de combinação
- <n> S + número de portas 10G SFP +
... Outras opções veja na wiki. 31
CSS – Cloud Smart Switch

Exemplo: CSS326-24G-2S+RM

• Vem com o SwOS projetado pela MikroTik que a configuração é pelo navegador.
• SwOS não tem suporte a recursos de Layer3 como Rota etc.

32
Qual equipamento devo usar?

Depende!

https://mikrotik.com/product/
33
Acessos ao RouterOS

• Cabo console
• Ethernet
Cabo Console Cabo Rede
• WiFi
WiFi

34
Cabo Console

35
Acessos ao RouterOS

• Winbox - mikrotik.com/download/winbox.exe
• WebFig
• SSH
• Telnet “não é seguro”
• Emulador de terminal, em caso de conexão por porta serial
• TikAPP

36
Aplicativo para Celular

• APP oficial da MikroTik para você realizar o acesso

ao seu router e realizar configurações;
• Para usar pela internet recomendo usar VPN.

https://mikrotik.com/mobile_app 37
Winbox

• Winbox é um utilitário para facilitar a configuração do RouterOS tendo o acesso

por endereço MAC e ou IP.
• Funciona no Linux e MacOS usando o Wine.
• O acesso por endereço IP é feita pela porta 8291/TCP (Altere a porta padrão)
• O acesso por endereço MAC é pela porta 20561 /UDP
• Suporte a acesso por IPv6, neste caso usa-se colchetes [fe80 :: 4e5e: cff: fef6: c0ab% 3]

Usuário padrão é admin e sem senha.

38
Winbox

39
MAC WinBox

• Observe a barra de título

• Acesso por endereço MAC

40
Quick Set

• Realiza as configurações básicas do roteador em uma única janela

• É possível ter acesso tanto pelo Winbox quanto pela Webfig
• Mais detalhes é visto em um curso “Introdução ao MikroTik
RouterOS e RouterBOARDs”

41
Quick Set

Ideal para usuários domésticos realizarem configurações de forma simples.

42
Quick Set - CPE

A RB se conectará a um AP pela interface Wireless.

43
Quick Set – PTP Bridge AP

PTP para interligar dois pontos de forma transparente.

44
Quick Set – PTP Bridge CPE

Lado “cliente” do ponto a ponto transparente.

45
Quick Set – WISP AP

Semelhante ao HomeAP mas com algumas opções avançadas.

46
Configurações Iniciais
172.25.1.254 /24

172.25.1.X /24

192.168.100.1/24

192.168.100.2/24
47
 Resetando o router

• Ligar o PC na Ether4
• Abra o winbox – Neighbors
• Clique no endereço MAC ou IP
• Usuário: admin
• Senha: vazio
• Clique em connect

48
Identificando o Router

49
Renomeando suas interfaces

Altere o nome das interfaces deixando como o exemplo abaixo.

50
Conectando a RB na Wireless

51
IP Privado
A Autoridade para Atribuição de Números na Internet (IANA) reservou a
seguindo três blocos do espaço de endereço IP para internets privados:

https://tools.ietf.org/html/rfc1918
52
Configurando IP na WLAN1

53
Teste de conectividade da RB

Ping o endereço IP 172.25.1.254

Ping o IP da WAN de outro aluno

Ping o IP 8.8.8.8

54
Rota Default

IP → Routes → +
55
Teste de conectividade da RB

• Ping o endereço IP de WAN de outro aluno

• Ping o endereço IP 8.8.8.8

• Ping o site uol.com.br

56
DNS

• O RouterOS suporta entradas estáticas de DNS

• Por padrão existe uma entrada estática do tipo A nomeada “router”
a qual aponta para o IP 192.168.88.1
• Isso significa que você pode acessar o router usando este nome.

57
DNS Settings

IP → DNS
• Allow Remote Request – Torna sua RB um servidor cache DNS
• Router em produção é necessário proteger o uso indevido.
58
Configurando a interface LAN

Lembre-se o IP na porta LAN será um bloco

diferente da porta WAN.

IP → Addresses → +
59
Configurando seu notebook

60
Teste de conectividade do seu notebook

• Ping do seu notebook o IP 192.168.100.1

• Ping do seu notebook o IP 8.8.8.8

• Ping o site uol.com.br

61
NAT - Masquerade

62
Teste de conectividade do seu notebook

• Ping do seu notebook o IP 8.8.8.8

• Ping o site uol.com.br

• Se para você não funcionou vamos analisar!

63
SNTP Client

• Por não ter uma bateria dentro da RouterBOARD, toda vez

que desliga o router da energia ele perde data e hora.
• Isso é um problema para analisar log e versionamento de backup
• Para que seu router fique sempre com a data e hora correta
usaremos o NTP Client (Network time protocol).
• Porta 123/UDP
64
SNTP Client

200.160.0.8
200.189.40.8

IPv6 a.ntp.br
2001:12ff::8

System → SNTP Client 65

SNTP Client

System → Clock

Autodetect irá tentar identificar pelo IP público o Time Zone 66

Backup das configurações

Existe três tipos de backup das configurações

Cloud
.Backup .RSC 6.44beta61

67
Backup das Configurações
v.6.43

Files -> Backup

• Arquivo Backup (.backup) usado para restaurar em equipamentos iguais.

• É possível colocar senha no backup – criptografia
• Salva os usuários e senhas do RouterOS

• Não é possível ler e ou editar o arquivo do backup.

68
Criptografia
v.6.43

Files -> Backup

• SHA-256 são funções hash criptográficas desenvolvido pela NSA

(Agencia de Segurança Nacional dos EUA) 256 é a função de dispersão é
praticamente impossível inverter para obter os dados criptografados.
• RC4 – É o algoritmo simétrico de criptografia de fluxo usado por alguns
protocolos como o SSL
69
Backup com Export

• Arquivo Export (.rsc) que pode ser editável / lido

• É editável
• Não irá salvar os usuários de acesso ao RouterOS
• Compatível com hardware diferente
• Possibilidade de importar e exportar por partes.
70
Backup – .backup

Copie o backup para o seu PC

71
Backup – Script – Editável

Faça download do Backup!

72
WebFig

No seu navegador digite http://192.168.100.1

73
Command Line Interface

• SSH
• Telnet
• New Terminal
(winbox e webfig)

74
Command Line Interface

• <tab> completa o comando

• Duplo <tab> mostra os comandos
• ? Exibe o help
• Seta para cima e para baixo verá os
últimos comandos executados

75
Comandos Control

• Control-C keyboard interrupt.

• Control-D log out (se a linha estiver vazia)
• Control-K Limpar o cursor até o fim da linha
• Control-V hotlock mode ( Preenche os commandos automáticamente)
• Control L ou F5 – Limpa o new terminal completo

76
Safe Mode

• Control-X safe mode - para sair do safe mode sem salvar use Control + D

[admin @ MikroTik]>
Sequestrar o Modo de Segurança de alguém [u / r / d]:
[u] - desfaz todas as alterações do modo de segurança e coloca a sessão atual no modo de segurança.
[r] - mantém todas as alterações do modo de segurança e coloca a sessão atual em um modo de
segurança. O proprietário anterior do modo de segurança é notificado sobre isso:
[d] sair

77
RouterOS Releases
• Bugfix –> LongTerm – Correções, sem novos recursos
• Current –> Stable - mesmas correções + novos recursos
• Release Candidate –> Testing -Uma versão “teste”

78
Atualizando o RouterOS

• Não use “testing” em ambiente de produção

79
Atualizando o RouterOS

• Página para Donwload de atualização

www.mikrotik.com/download
• Verifique a arquitetura do seu router CPU
• Salve o arquivo em Files, use Winbox ou WebFig, FTP, sFTP
• Reboot a router

80
Atualizando o RouterOS

81
Procedimento Downgrade

• Faça o Download no site da MikroTik - upload em “Files”

82
Package Management

• Pacotes do RouterOS (enable/disable)

83
RouterOS Packages
Pacote Funcionalidade
advanced-tools Netwatch, wake-on-LAN, SMS, Advanced Ping
dhcp DHCP client e server
hotspot HotSpot captive portal server
ipv6 IPv6 support
ppp PPP, PPTP, L2TP, PPPoE clients e servers
routing Dynamic routing: RIP, BGP, OSPF
security Secure WinBox, SSH, Ipsec
system Basico: static routing, firewall, bridging, etc.
wireless-cm2 802.11 a/b/g/n/ac support, CAPsMAN v2 84
Pacotes Extra
• Habilita recursos extras
• Envie o pacote para file do Router e reboot

Pacote Funcionalidade
gps GPS device support
ntp Network Time Protocol server
ups APC UPS management support
user-manager MikroTik User Manager for managing HotSpot users

Não é possível adicionar drivers ou qualquer outro tipo de pacote que não seja criado pela MikroTik.
85
Package Management

• Desabilite o pacote routing

• /system package disable routing

• Reboot o Router

• Observe o menu
• Ative o pacote routing
• Reboot o router

86
RouterBOOT
• Firmware responsável por inicializar o RouterOS em RouterBOARD
• Possui um Principal e um Backup

87
Botão Reset da RouterBOARD
• O botão reset tem 4 funções acionadas da seguinte forma.
• Desliga a fonte do equipamento
• Ligue o equipamento com o botão reset pressionado.
• Solte o botão de reset no tempo X
• 3 segundos Ativa backup RouterBOOT
• 5 seg Reset do equipamento
• 10 Seg Ativar modo Caps
• 15 Seg ou mais Reinstalação via Netinstall
88
Botão Reset da RouterBOARD

89
RouterOS Users

• Usuário padrão admin faz parte do grupo full

• Tem outros dois grupos default (read e write)
• É possível criar mais usuários e grupos fornecendo
permissões diferentes.

90
RouterOS Users

System → Users
91
RouterOS Users

• Local: Concede direitos a efetuar login localmente via console

• SSH: Concede direito a efetuar login via ssh
• Reboot: Se permite relizar o reboot do router.
• Write: Permite gravar configurações exceto ler e alterar usuários
• Policy: Concede gerenciar usuários e deve ser usado junto com Write e requer a politica test
• Sensitive: Permite/Oculta senhas como SMS, radius, snmp community, hotspot user e ppp secret
• Winbox, api, Dude, explicamos cada um a sua função.

92
RouterOS Users

• Crie um novo usuário com acesso full

• Crie um novo usuário com acesso restrito “suporte L1”
• Crie um usuário com acesso read
• Ao realizar logon observe o que mudou

93
Personalize o acesso Webfig

• Salve o novo Template

• Associe o template ao Grupo “Suporte L1”
• Faça login pelo webfig com este usuário personalizado.

94
RouterOS Services

• Diferentes formas de acesso ao RouterOS

• API – Application Programming Interface
• FTP – upload e download de arquivos no RouterOS

/IP SERVICES

95
RouterOS Services

• Acesse o RouterOS pelo navegador web

• Disabilite o serviço www
• Atualize a página do RouterOS

96
/IP Cloud

• Dynamic DNS - Suporte a Ipv4 e Ipv6 a partir da v6.43

• UDP / 15252 que será resolvida no cloud.mikrotik.com
• Para CHR exige uma licença

97
Netinstall

• Aplicativo para reinstalar o RouterOS

• Ele formata apagando configurações e arquivos
• Não apaga a licença existente na RB
• Tem que usar conexão de rede direta
• O cabo deve estar na porta Ether1
(exceto CCR e RB1xxx – última porta)
• Funciona no Windows
98
Netinstall

99
Netinstall

100
Netinstall

101
Modulo I – Dúvidas ?

102
Certified Network Associate
(MTCNA)
Módulo 2
DHCP 103
DHCP

• Dynamic Host Configuration Protocol

• Usado para distribuir automaticamente endereços IP
em uma rede local.
• Use DHCP apenas em redes confiáveis
• Funciona dentro de um domínio de broadcast
• O RouterOS suporta ambos DHCP(cliente e Servidor)

104
DHCP Client

• Usado para aquisição automática de endereço IP,

máscara de sub-rede, gateway, servidor DNS e
configurações adicionais.
• Os roteadores MikroTik SOHO por padrão vem com
o DHCP Cliente ativado na porta ether1. WAN (conf Default)

105
DHCP Client

IP -> DHCP Client

106
Use Peer DNS

• Por padrão o DHCP client busca

pelo endereço IP do servidor DNS.
• Pode também ser configurado
manualmente.

IP -> DNS

107
DHCP Server

• Atribui endereço IP automaticamente para hosts solicitantes.

• Um endereço IP deve ser configurado na mesma interface
do DHCP Server
• Para habilitar use o “DHCP Setup”

108
DHCP Server

109
DHCP Server

110
DHCP Server

1 2

4
3

5 6
111
DHCP - Server

• Anote as configurações
da sua placa de rede antes de alterar.
• Selecione Obter para obter IP
• Selecione Obter DNS

112
DHCP - Server

• O DHCP Setup criou o Pool e

se necessário você pode alterar.

• IP -> Pool

113
DHCP – Server - Leases

• Fixar IP x MAC
• O servidor DHCP pode até
ser usado sem pool de IP dinâmico
e atribuir somente Ips pré-configurados

• IP -> DHCP Server -> Leases

114
DHCP – Server - Leases

• Fixar o IP para seu PC

• Altera o endereço IP em Leases
• Renovar endereço IP no PC

• IP -> DHCP Server -> Leases

115
ARP

• Address Resolution Protocol

• O ARP une o IP (L3) do cliente com o endereço MAC (L2)
• O ARP opera dinamicamente
• Pode também ser configurado manualmente

116
ARP

• Provê informação sobre endereço

IP, endereço MAC e a interface na
qual o dispositivo está conectado.

IP -> ARP

117
ARP estático

• Da um pouco mais de “segurança”

• A interface pode ser configurada
para “reply-only” e apenas entradas
ARP conhecidas terá resposta.

118
ARP estático

119
ARP estático

Interfaces -> ether?

120
Endereço MAC

• Formado por um conjunto de 6 bytes

• É o único endereço físico de um dispositivo de rede.
• É usado para comunicação com a rede local
• Exemplo de endereço MAC
00:19:B9:FB:E2:58 - Obs: 0 a 9 - A a F

121
ARP

122
DHCP - ARP

• O DHCP Server pode adicionar entradas ARP automaticamente.

• Usando concessões de IP Leases e replyonly ARP
pode aumentar a segurança da rede mantendo a facilidade de
uso para os usuários.

Interfaces -> ether?

123
DHCP - ARP

IP -> DHCP Server

124
DHCP – ARP - FLAG

IP -> ARP
125
Protocolos – UDP / TCP

126
Protocolos – ICMP
• Internet Control Message Protocol
• Na RB usamos por exemplo em duas ferramentas que são:
• Traceroute e Ping

127
Modulo 2 – Dúvidas ?

128
Certified Network Associate
(MTCNA)
Módulo 3
Bridge 129
Bridge

• Bridges são dispositivos de camada 2 OSI

• São dispositivos transparentes
• Tradicionalmente usado para unir dois segmentos de rede
• Uma bridge separa o domínio de colisão em duas partes
• Um switch de rede é uma bridge com múltiplas portas.

130
Bridge

• Todos os hosts comunicam uns com os outros.

• Todos compartilham o mesmo domínio de colisão.
• Estão no mesmo domínio de broadcast.

131
Bridge

• Todos os hosts comunicam entre si

• Neste exemplo abaixo tem 2 domínios de colisão.

132
Bridge
• Interfaces ethernet, wireless, SFP, PPTP, EoIP e outros
túneis podem ser adicionados na bridge.
• A configuração padrão em AP Router
• Antes da v6.41
Ethers 2-5 são combinadas em um switch, sendo a ehter2 master
e da 3 a 5 são slave. É diferente para cada arquitetura de RB.
• “Da v6.41 em diante deixou de existir a opção Master/Slave”

133
Bridge

• É possível remover a config do “switch chip” e usar a bridge

• Sem o uso do “switch chip” há um aumento de uso CPU
• Mais controle – podendo usar IP firewall para as portas
da bridge.

134
135
Bridge

• Devido a limitação do padrão 802.11, clientes wireless

mode station não suporta bridge.
• O RouterOS implementa diversos outros modos para
superar esta limitação.

136
Wireless Bridge

• Station bridge – RouterOS com RouterOS

• Station pseudobridge – RouterOS com outros fabricantes.
• Station wds – (Wireless Distribution System)
RouterOS com RouterOS

137
Wireless Bridge

• Para usar o station bridge,

“Bridge Mode” tem que habilitar
conforme imagem abaixo.

138
Bridge

• Coloque a ether3 e ether2 em uma bridge.

• O IP e o DHCP Server tem que estar na Bridge
• Seu Notebook e o notebook do seu vizinho ficará na mesma faixa.

139
Bridge Firewall

• As interfaces em bridge no RouterOS suportam firewall.

• O tráfego que fluem através da bridge pode ser processada
pelo firewall.
• Para habilitar: Bridge -> Settings -> Use IP Firewall

140
Bridge Firewall

141
Bridge

• Restaure a configuração do seu router através do backup inicial

142
Modulo 3 – Bridge – Dúvidas ?

143
Certified Network Associate
(MTCNA)
Módulo 4
Roteamento 144
Roteamento

• Opera na camada de rede, L3 do modelo OSI

• O roteamento define para onde os pacotes devem ir.

145
Roteamento

• Dst. Address: redes que podem ser alcançadas

• Gateway: endereço IP do próximo router para chegar ao destino.

IP → Routes
146
Roteamento

IP → Routes → +
147
Roteamento

• Check gateway – a cada 10 seg envia um ICMP echo request(ping)

ou um ARP request.
• Se várias rotas usam o mesmo gateway e existe uma rota
que tem a opção check-gateway habilitada, então todas as
rotas estarão sujeitas ao comportamento do check-gateway.

148
Roteamento

• O roteador faz uma leitura de todas as rotas existentes

• Se existirem duas ou mais rotas direcionando para o mesmo endereço,
a mais específica será usada.
• Dst: 192.168.90.0/24 gateway 1.1.1.1
• Dst: 192.168.90.128/25, gateway 2.2.2.2
• Se um pacote precisa ser enviado para 192.168.90.135
qual gateway será usado?

149
Roteamento

• Quero enviar um pacote para 8.8.4.4, qual gateway será utilizado?

• 0.0.0.0/0 Gateway 1.1.1.1
• 8.8.0.0/16 Gateway 2.2.2.2
• 8.0.0.0/8 Gateway 3.3.3.3

150
Default Gateway

• Default gateway: um router (next hop) para qual todo tráfego

que não tiver destino definido será enviado
• É reconhecido pela rede de destino 0.0.0.0/0

151
Default Gateway

• Desative a rota default

• Teste o ping para 8.8.8.8
• Adicione uma rota estática para 8.8.8.8
• Teste o ping para 8.8.8.8
• Teste o ping para mikrotik.com

152
Default Gateway

• Adicione a rota default manualmente

gateway (router instrutor)
• Teste sua conectividade com a internet

153
Rotas Dinâmicas

• Rotas com as flags DAC são adicionadas automaticamente

• Uma rota DAC se origina da configuração do endereço IP - Address

154
Route Flags

• A – active
• C – connected
• D – dynamic
• S – static
• o – ospf
IP → Routes
• b – BGP

https://wiki.mikrotik.com/wiki/Manual:IP/Route#Route_flags

155
Roteamento Estático

• A rota estática define como alcançar uma rede de destino

específica.
• A rota padrão também é uma rota estática. Ela direciona
todo o tráfego para o gateway.

156
Roteamento Estático

10.10.1.1/30 10.10.1.2/30
10.10.1.5/30 10.10.1.6/30

192.168.0.1/24 192.168.1.1/24 172.16.10.1/24

192.168.0.13/24 192.168.1.13/24 172.16.10.10/24

157
Roteamento Estático

• Fácil de configurar em redes pequenas

• Não é escalável
• É necessária configuração manual para cada nova subrede
que precisa ser alcançada.

158
Modulo 4 – Routing – Dúvidas ?

159
Certified Network Associate
(MTCNA)
Módulo 5
Wireless 160
Wireless

• O MikroTik RouterOS provê suporte completo aos padrões

de rede wireless IEEE 802.11a/n/ac (5Ghz) e
802.11b/g/n (2.4Ghz)
• 802.11ad (60 Ghz) Wireless Wire
• CSMA/CA Carrier sense multiple access with collision avoidance
Acesso múltiplo com verificação de portadora com anulação/prevenção de colisão.

161
Wireless

Station/Client

AP
Bridge

Bridge

Station
Ponto a Ponto Ponto Multi Ponto

162
Wireless – Padrões
Padrão IEEE Frequência Velocidade

802.11a 5GHz 54Mbps

802.11b 2.4GHz 11Mbps
802.11g 2.4GHz 54Mbps
802.11n 2.4 e 5GHz Até 450 Mbps*

802.11ac 5GHz Até 1300

Mbps*

802.11ad 60GHz 2 Gbps

Dependendo do modelo de
RouterBOARD 163
Canais 2.4 Ghz
Velocidade

• 13x canais de 22 Mhz (na maior parte do mundo)

• 3 canais não sobrepostos (1, 6 e 11)
• 3 APs podem ocupar a mesma área sem sobreposição

164
Canais 5 Ghz
Velocidade

• O RouterOS suporta todas as faixas de frequências em 5Ghz

• 5180-5320 Mhz (canais 36-64)
• 5500-5720 Mhz (canais 100-144)
• 5745-5825 Mhz (canais 149-165)
• Varia de acordo com a regulamentação dos países

165
Canais 5 Ghz no Brasil
Velocidade

• 5150 – 5350 para uso indoor,

• 5.470-5.725 para uso indoor ou outdoor, com restrições de
proteção a interferência de Radar
(controle automático de potência e seleção dinâmica de frequência)
• 5.725-5.850 MHz para uso outdoor.
• Na faixa 5Ghz permite cerca de 24 canais sem sobreposição.

166
Canais 5 Ghz
Padrão IEEE Channel Width

802.11a 20MHz

20MHz
802.11n
40MHz

20MHz

40MHz
802.11ac
80MHz

160MHz
167
Largura de Canal

• 80 Mhz
• Maior troughput
• 40 Mhz – 300 Mbs
• Menor numero de canais
• 20 Mhz – 150 Mbs
• Mais vulnerável a interferências
• 10 Mhz – 75 Mbs
• Diminui a potencia de Tx automático
• 5 Mhz - +ou- 30 Mbs
168
Wireless Mode

• Ap bridge - Torna a RB Access Point, repassar os MAC transparente

para as interfaces cabeadas.
• Bridge Utilizado para PTP e aceita apenas uma conexão
• Station cliente para se conectar a um AP, não permite
colocar a interface na Bridge.
• Station Bridge – Cliente para se conectar a um AP MikroTik
tornando então uma Bridge transparente.
169
Regulamentação

• Clicando em Advanced Mode selecione

regulatory-domain -> Brazil 170
Seleção Dinâmica de Frequência

• Dynamic Frequency Selection (DFS) é um recurso

projetado para identificar qual a melhor frequência a usar.
• Alguns canais só podem ser utilizados com o uso do DFS Radar
Detect
(Brasil: 5250-5350 e 5470-5725)*

• Maiores informações regulamentos Anatel

http://www.anatel.gov.br/legislacao/resolucoes/2004/520-resolucao-365 171
Regulamentação

• O modo DFS “radar detect” irá selecionar um canal

com o menor número de redes para uso caso
nenhum radar seja detectado por 60s neste canal.
• Na versão 6.37 do RouterOS em diante foi retirado a
opção de configuração manual deste item.

• Fonte: https://mikrotik.com/download/changelogs/

172
Wireless – Radio Name

• Um “nome” para a interface wireless

• Visível apenas entre RouterOS

173
Wireless Chains

• O 802.11n implementou o conceito de MIMO

( Multiple In and Multiple Out )
• Envia e recebe dados usando múltiplos rádios em paralelo
• O 802.11n com uma chain (SISO) pode alcançar apenas
72.2 Mbps ( em cartões antigos,
• 65 Mbps)

174
Dual Chain

RB2011UiAS-2HnD-IN
D – Dual Chain

175
TX Power
• Usado para ajustar a potência de transmissão
do cartão wireless

• Default: Não altera a potência original do cartão

• Card Rates: Fixa potência mas respeita as taxas para cada velocidade.
• All rates fixed: Fixa o mesmo valor para todas velocidades
• Manual: Permite definir potência diferente para cada velocidade.
176
TX Power

177
Tx Power

• Alterar a potencia do cartão e analisar resultados.

• Na prática o que vai limitar o tamanho da célula é a estação.

178
Perda no espaço livre FSPL

• A atenuação no espaço livre, faz com que o sinal wireless tenha

uma grande perda na sua intensidade.
• Ex: Potência de transmissão de +23dBm – 1 metro “40dB” = -37dBm
• Sinais em torno de -50dBm são excelentes
• Sinais em torno de -75dBm são considerados fracos

179
Sensibilidade de Rx

• A sensibilidade de recepção é o menor nível

de potência no qual a interface consegue detectar um sinal.
• A depender do uso planejado, esse valor deve ser levado
em consideração ao comparar RouterBOARDS
• Limites menores significa melhor detecção de sinal.

180
Sensibilidade de Rx

181
Estações Wireless (Station)

• Estação wireless é o lado cliente como

notebook, celular, router, etc.
• No RouterOS, conf modo wireless “station”

182
Estações Wireless

• As configurações básicas são

• Interface mode = station
• Seleciona a banda
• Especificar SSID
• Scan-list (faixa de busca)
• Frequência não é importante
para a estação.

183
Segurança

• Apenas WPA (WiFi Protected Access) ou

WPA2 devem ser usadas
• WPA-PSK ou WPA2-PSK com criptografia AES

184
Segurança

• Ambas as chaves WPA e WPA2

podem ser especificadas para
permitir conexões de dispositivos
que não suportam WPA2
• Escolha uma chave “forte”

Wireless -> Security Profiles 185

AP MK x Station MK

• AP, depois Station e com o uso de senhas WPA2-AES

• Inverter – Quem era AP agora conf Station

186
AP x Celular e Notebook

• Configuração do AP, celular e Notebook conectar.

187
Access List

• Usado pelo AP para permitir / gerenciar conexões das estações.

• Diversos critérios de identificação como MAC, força do sinal
• Pode determinar autenticação e encaminhamento (forward)
• Condições podem respeitar horários e dias definidos.

188
Access List

• A Acces List usa

esta sequencia de
0 -> para autenticar

189
LAB Access List

• Configuração Access List.

190
Default Authenticate

191
Connect List

• Lista com as especificações de

qual e ou quais APs a estação deve usar.

Wireless -> Connect List 192

Default Authenticate

193
Default Forward

• Permitir/Proibir
comunicação entre
as estações

194
Access Point

• Mode: ap bridge
• Selecione a banda
• Atribua a frequência
• Atribua o SSID
• Atribua o security
Profile

195
WPS

• WiFi Protected Setup (WPS) é um recurso para acessar a

rede WiFi de forma conveniente, sem a necessidade
de atribuir a chave de autenticação (passphrase)
• O RouterOS suporta ambos os modos, WPS accept (AP)
e WPS client (station).
• RouterOS a partir da v. 6.35

196
WPS Accept

• Para permitir acesso a visitantes em seu AP, você pode

usar o botão WPS accept.
• Ao pressioná-lo, ira garantir acesso à conexão com o AP
por 2min ou até que um dispositivo cliente se conecte.
• O botão WPS accept precisa ser pressionado toda vez
que um novo dispositivo precisar se conectar.

197
WPS Accept

• Para cada dispositivo isso

precisa ser feito apenas 1x
• Todo dispositivo RouterOS
com interface WiFi tem um
botão virtual WPS.
• Alguns tem o botão físico.

198
SCAN

• A opção Background se marcado não derruba quem está conectado.

• Connect – Conecta a Station no AP que você selecionou.

199
SCAN

200
Snooper

• Obtenha uma visão geral as rede wireless na banda selecionada

• A interface wireless é desconectada durante o scaneamento.
• Pode ser usado para escolha do melhor canal.

201
Snooper

Wireless -> Snooper 202

Spectral History

203
Freq. Usage

204
Modulo 5 – Wireless – Dúvidas ?

205
Certified Network Associate
(MTCNA)
Módulo 6
Firewall 206
Firewall

• É um sistema com uma política de segurança, a junção de software

e hardware é chamado de appliance.
• Basea-se em regras que são analisadas em sequencia.

207
Firewall Rules

• Se for igual a ... , então faça “action”

• Ordenado em cadeias (chains)
• Existem chains pre-definidas.
• O admin pode criar novas chains

208
Firewall Filter

• Exitem 3 chains padrão

• Input – Destinado ao router
• Output – A partir do router
• Foward – Passando pelo router

209
Firewall Actions

IP → Firewall → Nova regra de Firewall (+) → Action

210
Action Jump

INPUT OU FOWARD Nova Chain

RETURN

JUMP

211
Firewall

IP → Firewall As regras são lidas na sequencia! # 212

Firewall Chain: input

• Você cria regras para proteger o próprio router

• Tanto de ataque vindo da internet e ou da rede LAN

213
Firewall Chain: input

• Adicione uma regra de accept – protocolo TCP Porta 8291

• Vamos realizar mais exemplos.
• Accept SSH vindo pela LAN
• Drop SSH vindo da Internet

214
Firewall Chain: input

• Acesso ao DNS cache – Mikrotik 53/udp-tcp

• Drop vindo da internet
• Accept rede local

215
Firewall Chain: forward

• Contém regras que controlam pacotes que passam pelo router.

• Controla o tráfego entre computador e Internet
• Controla o tráfego entre computadores da rede.

216
Firewall Chain: forward

• Por padrão, o tráfego interno entre os clientes

conectados ao roteador são permitidos.
• Tráfego entre os clientes e a internet pode ser restrito.

217
Firewall Chain: forward

• Adicione uma regra de drop para

http porta 80/tcp e https 443/tcp
• Ao especificar portas, deve-se especificar o protocolo também!

218
Firewall Chain: forward

• Tente abrir www.mikrotik.com (não é possível)

• Tente abrir o WebFig ( funciona porque ? )
• A página do WebFig é um tráfego de Input
e não forward como setado na regra.

219
Portas usadas com frequência

https://pt.wikipedia.org/wiki/Lista_de_portas_dos_protocolos_TCP_e_UDP

220
Address List

• Address list (lista de IP) permite criar uma regra para

vários Ips de uma vez.
• É possível adicionar automaticamente
• Os Ips podem ficar na lista por tempo indeterminado ou determinado
• O address list pode ter:
• IP único, Faixa de IPs ou subrede inteira.

221
Address List

IP → Firewall → Address Lists → Nova Address List (+)

222
Firewall Log

• Pode-se criar regra para gerar LOG do Firewall

• Um prefixo pode ser adicionado ao log
• Este LOG pode ser enviado para um arquivo ou servidor externo.
• Uma regra de ação LOG não impede que o pacote seja lido pelas demais
regras abaixo no firewall.

223
Firewall Log

IP → Firewall → Edite a regra → Action

224
Connections

• New – o pacote está iniciando/abrindo uma nova conexão

• Established – o pacote pertence a uma conexão conhecida
• Related – o pacote está iniciando/abrindo uma nova
conexão, mas tem relação com uma outra conexão conhecida.
• Invalid – o pacote não pertence a nenhuma nas conexões conhecidas.

225
Connections

226
Firewall Connection State

• INPUT – Conn Invalidas – DROP

• INPUT – Conn Estabelecidas e Relacionadas – ACCEPT

227
Firewall Log

• No seu router faça uma regra LOG acesso TCP 8291

• Vamos dar outros exemplos de LOG.

228
Firewall NAT

• Network Address Translation (NAT) é o método de modificar a

origem ou destino de um pacote IP
• Existem dois tipos de NAT – Source e Destination

229
Firewall NAT

• NAT é usualmente utilizado para prover acesso a internet

para uma rede local que usa IPs privados (src-nat)
• Também para acesso remoto a algum recurso da LAN
ex: Servidor web, DVR CFTV, etc. Redirecionamento de porta
(dst-nat)

230
Firewall NAT

231
Firewall NAT

232
Firewall NAT

• Chains - srcnat e dstnat

• Similar às regras em Filter, seguem o princípio SE – ENTÃo
• As regras são analisadas sequencialmente até encontrar uma
regra que atenda a condição e não irá ler as regras abaixo.

233
Firewall NAT

234
Dst NAT “Abrir porta”

IP → Firewall → NAT → Nova Regra (+)

235
Redirect

• Tipo especial do dstnat

• Esta ação redireciona os pacotes para o próprio router
• Pode ser usada para criar serviços de proxy transparente.
• Exemplo de aplicação (DNS, HTTP)

236
Redirect

237
Redirect

• Crie uma regra de dstnat, protocolo TCP, porta 80,

ação redirect para porta 80 “próprio router”
• Tente abrir um site http://contractcloud.com.br

238
Src NAT / Masquerade

Masquerade é um tipo especial do srcnat

Seja mais específico ao fazer a regra masquerade!
239
Interface List

Use Interface List se tiver mais de um link! Veremos por que

240
Src NAT

• A ação (action) src-nat tem o propósito de reescrever o endereço

e ou porta do IP de origem.
• Exemplo: A empresa tem um bloco de IP e deseja que um
computador específico saia para a internet com um IP publico
diferente dos demais.

241
/IP Firewall Mangle

• Mangle é uma forma de fazer marcações; Rota, Conexões, QOS

• Estas marcas não passam para o roteador a frente.
• Também podemos usar para alterar o TTL

242
/IP Firewall RAW

• Permite descartar ou desviar pacotes antes da Connection Tracking

• É uma forma de mitigar ataques DOS

• Um ataque de negação de serviço (também conhecido como DoS Attack,

um acrônimo em inglês para Denial of Service), é uma tentativa
de tornar os recursos de um sistema indisponíveis

243
NAT Helpers

• Alguns protocolos requerem os chamados NAT helpers para

o funcionamento correto em uma rede que usa NAT.

IP → Firewall → Service Ports

244
Connection Tracking

• Gerencia informações sobre todas as conexões ativas.

• Precisa estar habilitado para o NAT e certas condições e
ações “action” do Filter funcionarem.
• Connection state TCP state

245
Connection Tracking

IP → Firewall → Connections
246
FastTrack

• Um método para acelerar o fluxo de pacotes no router

• Uma conexão “established” ou “related” podem ser marcardas
como “fasttrack connection”
• Bypass o firewall, o connection tracking, simple queue e outros.
• Atualmente suporta apenas protocolos TCP e UDP

247
FastTrack

248
Firewall / Proteção do Roteador

249
Análise de Softwares x Portas - IPs

• Netstat –nb

250
Firewall Acesso Winbox e WebFig

• Boa pratica, trocar o numero da porta do Winbox

• Liberar o acesso via Winbox apenas vindo da rede interna.
• Se você usar Webfig fazer o mesmo; ou desativa o serviço www

251
Firewall Port Scan

• O atacante normalmente tenta primeiro o acesso a porta padrão;

se não funciona ele faz um scan.

add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list

address-list="port scanners" address-list-timeout=2w
comment=“Identifica Port scanners envia para lista" disabled=no

add chain=input src-address-list="port scanners" action=drop

comment="dropping port scanners" disabled=no

252
Firewall Port Knocking

253
Firewall Port Knocking

/ip firewall filter

add action=add-src-to-address-list address-list=Porta1 address-list-timeout=3s chain=input
comment=Porta-1 dst-port=3553 protocol=tcp

add action=add-src-to-address-list address-list=Porta2 address-list-timeout=3s chain=input

comment=Porta-2 dst-port=2018 protocol=tcp src-address-list=Porta1

add action=add-src-to-address-list address-list=Liberado address-list-timeout=10m chain=input

comment=Porta-3 dst-port=99 protocol=tcp src-address-list=Porta2

add action=drop chain=input comment=“WinBox FECHADO - EXCETO LIBERADOS" dst-port=8291

protocol=tcp \
src-address-list=!Liberado

254
Modulo 6 – Firewall – Dúvidas ?

255
Certified Network Associate
(MTCNA)
Módulo 7
QOS 256
Quality of Service

• QoS é a performance geral de uma rede, particularmente

na visão do usuário.
• O RouterOS implementa diversos métodos de QoS como limite
de velocidade (shaping), priorização de tráfego e outros.
• Para usar QOS na Bridge tem que ativar o uso de firewall em:
/interface bridge settings set use-ip-firewall=yes

257
Simple Queue

• Pode ser usada para facilmente limitar a velocidade de:

• Download do cliente
• Upload do cliente
• Velocidade Total (UP + Down)

258
Simple Queue

• A regra de FastTrack no Firewall devem estar desativadas para

o Simple Queue funcionar.

259
Torch

Tools → Torch 260

DHCP / QOS

• Pelo DHCP podemos criar

uma simple QUEUE

261
Simple Queue

• Crie um limite de velocidade para seu notebook

• Atribua upload para 128k e download 256k
• Abra o site da mikrotik.com/download e baixe a versão x86 ISO
• Observe a velocidade pelo Torch

262
Simple Queue

• Podemos também limitar a velocidade do servidor destino ou bloco

do IP inteiro.
263
Simple Queue

• Vamos descobrir o bloco de IP da mikrotik.com

• Modifique a simple queue existente para limitar o servidor da MK
• Baixe uma outra ISO
• Observe a velocidade de download

264
Banda Garantida

• Usado para garantir uma velocidade mínima a um cliente

• O tráfego restante será dividido entre os demais
• Controlado pelo parâmetro Limit-at

265
Conf. Garantia de Banda
• O cliente terá a banda garantida em 1 Mb de UP e Down
• Prioridade 8 - Prioridade 1 (Diferenças)

Queues → Simple Queue → Edit → Advanced

266
Cores status

•0% - 50% de uso - Verde

•51% - 75% de uso - Amarelo
•76% - 100% de uso - vermelho 267
Burst

• Usado para permitir velocidade mais alta por um curto período de tempo
• Útil para o tráfego HTTP melhorando o carregamento das paginas
• Para Download de arquivos streaming os valores em
Max Limit ainda prevalecem.

268
Burst

Queues → Simple Queue → Edit

269
Burst

• Burst limit – max velocidade de upload/download permitida no burst.

• Burst time – tempo (seg), no qual a média da velocidade será calculada
(NÃO é o período de duração do burst).
• Burst thereshold – quando a média da velocidade superar ou abaixar o
threshold o burst ligado ou desligado.

270
Burst

271
Burst

272
Burst

• Abra www.mikrotik.com e observe a velocidade da abertura da página.

• Baixe a versão mais nova do RouterOS em download
• Observe a velocidade do download com a ferramenta torch

273
Per Connection Queuing (PCQ)

• É um tipo de enfileiramento (queue type)

• Substitui múltiplas queue por uma só
• Diversos classificadores podem ser usados:
• Endereço IP de origem / destino
• Porta de origem / destino

274
Per Connection Queuing (PCQ)

• Rate – velocidade máxima disponível para cada sub-fila

• Limit – tamanho da fila de cada sub-fila (KiB)
• Total Limit – volume total de dados enfileirados em
todas as sub-filas (KiB)

275
Per Connection Queuing (PCQ)

se os dois limites (pcq-rate e max-limit) não forem especificados, o comportamento da fila poderá ser impreciso

276
Exemplo de PCQ

• Objetivo: limitar todos os clientes a 1 Mbps de download

e 1 Mbps de upload
• Crie 2 novos tipos de fila
• 1 para Dst Address (download)
• 1 para Src Address (upload)
• Crie a SimpleQueue com o bloco IP, MaxLimit a banda disponível
em advanced relacione na
277
Exemplo de PCQ

Queues → Queue Type → Novo Queue Type (+) 278

Exemplo de PCQ
Todos os clientes conectados na interface LAN terão 1 Mbps de upload e download.

Tools → Torch
279
Exemplo de PCQ

• Irei criar 2 novas queues pcq e limitar todos os clientes “alunos”

routers a 512 Kbps de upload e download
• Tente baixar uma nova versão do RouterOS em mikrotik.com
observe a velocidade de download com a ferramenta torch.

280
Modulo 7 – QOS – Dúvidas ?

281
Certified Network Associate
(MTCNA)
Módulo 8
Túneis
282
Endereçamento Point-to-Point

• Quando a conexão é estabelecida entre

cliente e servidor PPP, endereços /32
são atribuídos

• Para o cliente, o endereço de rede

(network) é o endereço do gateway
(router) e vice-versa
Endereçamento Point-to-Point

• A máscara de subrede não é

relevante ao usar endereçamento PPP
• O endereçamento PPP economiza 2
endereços IP
• Se o endereçamento PPP não for
suportado pelo outro dispositivo, uma
subrede /30 deve ser utilizada
Endereçamento Point-to-Point

192.168.50.10
192.168.250.1
Protocolo de Ponto-a-Ponto (PPP)

• Point-toPoint Protocol (PPP) é usado para estabelecer

um túnel (conexão direta) entre dois nós.
• O PPP pode prover autenticação, criptografia e compressão
• O RouterOS suporta vários túneis PPP como PPPoE, SSTP,
PPTP dentre outros.

286
PPPoE

• Point-to-Point over Ethernet é um protocolo de camada 2

usado para controlar o acesso à rede.
• Provê autenticação, criptografia e compressão
• O PPPoE pode ser usado para gerenciar a entrega de IPs
para os clientes.

287
PPPoE

• A maioria dos sistemas operacionais desktop tem o cliente

PPPoE instalado por padrão.
• O RouterOS suporta ambos o cliente PPPoE e o servidor PPPoE
(concentrador de acesso)

288
IP Pool

• Define uma faixa de endereços IP para uso em serviços

do RouterOS
• Usado pelo DHCP, PPP e HotSpot
• Os endereços dos clientes são tomados automaticamente do pool

289
IP Pool

IP → Pool → Novo IP Pool (+)

290
PPP Profile

PPP → Profiles → Novo PPP Profile (+)

291
PPP Profile

PPP → Profiles → Novo PPP Profile (+)

292
PPP Secret

• Banco de dados local dos usuários PPP

• Pode-se configurar o usuário, senha e outras configurações específicas
• O restante das configurações são aplicadas pelo PPP profile
• A configuração do PPP Secret tem preferência às mesmas
correspondentes no PPP profile.

293
PPP Secret

Atribua usuário,
senha e perfil.
Especifique o
“service” se
necessário.

PPP → Secrets → Novo PPP Secret (+) 294

PPPoE Server

• O PPPoE server roda em uma interface

• Não pode ser configurado em uma interface que faz parte de uma Bridge
• Ou remova a interface da bridge ou atribua o PPPoE server na bridge
• Por questões de segurança você não deve usar um endereço IP
na mesma interface do PPPoE server

295
PPPoE Server

Service Name: Nome do serviço

Keepalive: Checar se o cliente

responde ou não.

One Session: Não permite MAC

duplicado.

PADO Delay tempo de espera para

responder o cliente. Não vai deixar MAC duplicado

PAP nunca usar pois passa usuário

e senha com texto plano.

229
PPP Status

Informações sobre os
usuários PPP ativos.

PPP → Active Connections

230
PPPoE Client

PPP → Novo PPPoE Client (+)

299
PPPoE Client

• Caso existam mais de um servidor PPPoE em um domínio

de broadcast, o “service name” pode/deve também ser
especificado.
• Pois o cliente tentará se conectar ao primeiro servidor
que lhe responder.

300
PPPoE Client

• Irei criar um PPPoE server

• Configure um PPPoE client na interface WAN do seu router
• Atribua usuário e senha ‘mtcna’ e use-peer-dns=yes

301
PPPoE Client

• Verifique o status do PPPoE client

• Verifique que a conexão à Internet está disponível
• Quando terminar, desabilite o PPPoE client

302
PPTP

236
PPTP

• O PPTP (protocolo de tunelamento

ponto-a-ponto) provê túneis
criptografados sobre o IP
• Pode ser usado para criar conexões
“seguras” entre redes através da
Internet
• O RouterOS suporta ambos o PPTP
cliente PPTP server

233
PPTP

• Usa porta tcp/1723 e o protocolo IP

de número 47 - GRE (Generic
Routing Encapsulation)
• NAT helpers são usados para
garantir o suporte ao PPTP em
redes NATeadas

234
PPTP - Server

234
PPP- PPTP - Secret

234
PPTP Client

Atribua
name, IP do
servidor
PPTP,
username,
password

236 PPP → New PPTP Client(+)

PPTP Client

• Use a opção Add Default Route para

enviar todo tráfego do router
através do túnel PPTP
• Use rotas estáticas para enviar
tráfegos específicos através do
túnel PPTP
• Note! PPTP não é considerado
seguro - use com cuidado!
• Ao invés, use SSTP, OpenVPN etc.
237
PPTP Server

• O RouterOS provê um setup

simples para PPTP server
• Use QuickSet para habilitar o
acesso à VPN
Habilite a
VPN e atribua
o password

238
PPTP Server / Client

• Verifique as regras de firewall.

Lembre que o PPTP server usa a
porta tcp/1723 e o protocolo GRE.

• Ping a LAN do seu vizinho a

partir do seu notebook (não pinga)

245
SSTP

239
SSTP

• Secure Socket Tunnelling Protocol

(SSTP) provê túnel criptografado
sobre IP
• Usa porta tcp/443 (a mesma que
HTTPS) é possivel mudar a porta padrão.
• O RouterOS suporta ambos SSTP
client e server
• O SSTP client está disponível no
Windows Vista SP1 e posterior
239
SSTP

• Para Linux existem

implementações Open Source
tanto para cliente e servidor
• Como o tráfego é idêntico ao
HTTPS, usualmente o túnel SSTP
pode atravessar facilmente os
firewalls sem configuração
adicional

240
SSTP Server

241
SSTP - Secrets

Local Address: IP Tunnel Lado Server

Remote Address: IP Tunnel Lado Remoto

241
SSTP Client

Atribua o
name,
endereço IP
do servidor
SSTP,
usuário,
senha

v.6.43.8

241
SSTP Client

• Use 'Add Default Route' para

enviar todo tráfego através do
túnel SSTP
• Use rotas estáticas para enviar
tráfegos específicos através do
túnel SSTP

242
SSTP Client

• Não é necessário usar certificados SSL para

conectar dois dispositivos RouterOS
• Para conectar pelo Windows, é
necessário um certificado válido
• Pode ser emitido por uma entidade
certificadora - certificate authority (CA)

243
SSTP

• Ativar o SSTP Server e o vizinho criar o Client

depois inverter; quem era server torna-se client.

244
SSTP

• Objetivo: Fechar um SSTP entre você e o vizinho.

Não esqueça das rotas!

245
PPP

• PPPoE, PPTP, SSTP e outros

protocolos de túneis são abordados
com mais detalhes em
implementação cliente e servidor nos
cursos de certificação MikroTik
MTCRE e MTCINE

247
Modulo 8 – Túneis – Dúvidas ?

323
Certified Network Associate
(MTCNA)
Módulo 9
Diversos 324
Mode Button

/system script add name=test-script source={:log info message=("1234567890");}

/system routerboard mode-button set on-event=test-script
/system routerboard mode-button set enabled=yes

250
RouterOS Tools

• O RouterOS provê
diversas ferramentos
que ajudam a
administrar e
monitorar o router
com mais eficiência

250
RoMON

• RoMON significa Router Management Overlay

network.
• Opera independente da configuração de L2 ou L3
• Cada router tem um ID com base no MAC mas pode
ser configurado pelo administrador de rede.
• Não fornece criptografia, mas o aplicativo winbox
criptografa “secure winbox”

250
RoMON

• Senha por porta ou geral

• Ping por ID

Tools → RoMON

250
RoMON

• Ativar RoMON
• Acesso mesmo sem IP, Rota
• Setar senha de segurança por Interface.

252
Profile

• Mostra o uso da CPU para

cada processo em execução no
RouterOS.

Tools → Profile

251
Scheduler

Agendamento - Executa script em

uma data e hora especifica/interval
de tempo.

System → Scheduler
251
E-mail

• Permite enviar e-mails

a partir do router
• Exemplo para enviar
backup do router Tools → Email
/export file=export
/tool e-mail send to=you@gmail.com\
subject="$[/system identity get name] export"\
body="$[/system clock get date]\
configuration file" file=export.rsc
Script para gerar arquivo export e enviá-lo por e-mail

251
E-mail

• Configure seu servidor SMTP no

router
• Exporte a configuração do seu
router
• Envie o arquivo gerado para seu
e-mail a partir do RouterOS

252
Netwatch

A partir da v 6.42 Só pode ler, escrever e reboot mas não permite politica de segurança

253
Netwatch

• Monitora o status de
hosts na rede
• Envia ICMP echo
request (ping)
• Pode executar scripts
quando o host parar
de responder e
quando voltar a
responder
Tools → Netwatch
253
Ping

• Usado para testar a

alcansabilidade de um
host numa rede IP
• Usado para medir a
latência (round trip
time) entre os hosts
de origem e destino
• Envia pacotes ICMP Tools → Ping
echo request
254
Ping

• Ping o IP do seu notebook a partir

do router
• Clique em ‘New Window’ e ping
www.mikrotik.com a partir do router
• Observe a diferença na latência

255
 Traceroute
• Ferramenta para
diagnóstico de rede
que exibe a rota
(caminho) de
pacotes através de
uma rede IP
• Pode usar protocolo
icmp ou udp

256
Tools → Traceroute
 Traceroute
• Escolha um site hospedado no
Brasil e faça um traceroute para
ele
• Clique em ‘New Window’ e faça um
traceroute para www.mikrotik.com
• Observe a diferença entre as rotas

257
 Interface Traffic
Monitor
• Status em tempo real
do tráfego na
interface
• Disponível na aba
“Traffic” de cada
interface
• Acessível também via
WegFig ou terminal

259 Interfaces → ether1 → Traffic

 Torch
• Monitoramento em tempo real
• Usada para monitorar o fluxo de
dados através da interface
• Pode classificar o tráfego
monitorado por nome do protocolo
IP, endereços de origem/destino
(IPv4/IPv6), número da porta etc.

260
Torch

• Use filtros, Collect para

personalizar sua visualização.

Tools → Torch
261
 Gráficos
• O RouterOS pode gerar gráficos que exibem quanto de tráfego passou
por uma interface ou queue.
• Pode exibir o uso de CPU, memória e disco
• Gráficos daily (diário), weekly (semanal), monthly (mensal) e
yearly (anual)

262
 Gráficos
Atribua uma
interface em
específico ou
deixe “all” para
todas, atribua
endereço/máscara
IP que terá acesso
aos gráficos

Tools → Graphing

263
 Gráficos

Realize o acesso pelo navegador http://ip_do_router/graphs

264
Gráficos

265
Gráficos

• Habilite os gráficos para interface, queue e resource em seu router.

• Observe os gráficos
• Faça download de um arquivo na internet
• Observe os gráficos da interface etc.

266
SNMP

• Simple Network Management Protocol (SNMP)

• Usado para monitorar e gerenciar dispositivos
• O RouterOS suporta SNMP v1, v2 e v3
• O suporte à escrita no SNMP é disponível apenas para algumas
configurações

267
SNMP

IP → SNMP

268
The Dude

271
The Dude

• Aplicação da MikroTik que pode otimizar dramaticamente a maneira

como você gerencia seu ambiente de rede.
• Automaticamente descobre e desenha o mapa de dispositivos
• Monitoramento de serviços e alertas
• Gratuito

269
The Dude

• Suporta monitoramento SNMP, ICMP, DNS e TCP

• Dude Server roda no RouterOS ( CCR, CHR ou x86)
• Dude Client no Windows (funciona no Linux e OSx usando Wine)
• Mais informações https://wiki.mikrotik.com/wiki/Manual:The_Dude

270
The Dude

• Faça o download do cliente Dude

para Windows em
mikrotik.com/download
• Instale e conecte-se ao servidor
demo: dude.mt.lv
• Observe o Dude

272
The Dude

273
Arquivo .rif - Suporte

• Para que o suporte da MikroTik ajude melhor, alguns passos devem

ser seguidos antes de contatar o suporte.
• Crie o arquivo de saída para suporte
(supout.rif)

274
Arquivo .rif - Suporte

• Um arquivo chamado autosuport.rif pode ser criado automaticamente

em caso de falaha de hardware ou malfuncionamento
• Gerenciado pelo processo Watchdog
• Antes de enviá-lo à MikroTik, o conteúdo dos arquivos (.rif) podem
ser visualizados em sua conta MikroTik – mikrotik.com

275
System Logs

• Por padrão o RouterOS faz logs

de informações sobre o router
• Armazenados em memória
• Podem ser armazenado em disk
System → Logging
• Ou enviados a um servidor de syslog

276
System Logs

• Para habilitar
logs detalhados
(debug), crie
uma nova regra
• Adicione o System → Logging → Nova
tópico debug Regra de Log

277
Suporte MikroTik

• Antes de entrar em contato support@mikrotik.com verifique os

seguintes recursos.
• wiki.mikrotik.com – Documentação e exemplos de Conf do RouterOS.
• forum.mikrotik.com – Fórum Oficial
• mum.mikrotik.com – Página do MikroTik User Meeting (Vídeos e Slides)

278
Suporte MikroTik

• Sugerimos adicionar comentários significativos às regras e itens.

• Descreve de forma detalhada para que a MikroTik possa ajudar
• Inclua o diagrama da rede e o arquivo Supout.rif
• Mais informações na página do suporte
• https://mikrotik.com/support

279
Pesquisa de Satisfação

• Com o objetivo de melhora contínua de nossos treinamentos,

por favor preencha nossa pesquisa de Satisfação!

279
Dúvidas ?

362
 Ultimo LAB

/System Reset Configuration

Obrigado!

363
 Exame de
Certificação
• Entre no site mikrotik.com – Use o Google Chrome
• Faça login com sua conta MikroTik
• Observe se seu nome no cadastro está correto, pois é desta forma
que sairá no certificado.
• Entre em “my training sessions”

282
 Exame de
Certificação
• Não é permitido perguntar ao colega nem comentar
• Use apenas a Wiki da MikroTik e os slides.
• Não tente copiar a prova a aplicação de proteção pode detectar
anular sua prova e nós não poderemos devolver o dinheiro pago.
• Quando passar não bata na mesa, desligue seus equipamentos
com cuidado pra não desligar o PC do colega.
282
Boa prova!

282