Apostila - MikroTik MTCNA

Treinamento oficial Mikrotik
Modulo MTCNA
(MikroTik Certified Network Associate)
Agenda
Treinamento das 08:30hs s 18:30hs
Coffe break as 16:00hs
Almoo as 12:30hs 1 hora de durao
1- Introduo
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
Evite conversas paralelas.
Deixe habilitado somente a interface ethernet de
seu computador.
1- Introduo
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
1- Introduo
Objetivos do curso
Abordar todos os tpicos necessrios para o
exame de certificao MTCNA.
Prover um viso geral sobre o Mikrotik
RouterOS e as RouterBoards.
Fazer uma abordagem simples e objetiva com
a maioria das ferramentas que o Mikrotik
RouterOS dispe para prover boas solues.
1- Introduo
Onde est a Mikrotik ?
Mikrotik(MK): Empresa
Roterboard(RB):Hardware
RouterOS(ROS): Software
1- Introduo
Oque so Routerboards?
Hardware criado pela Mikrotik.
Atende desde usurios domsticos at grandes empresas.
Hardware relativamente barato se comparado com outros
fabricantes.
1- Introduo
Nomenclatura das routerboards

Serie 400
RB 450
0 ou nenhuma wireless
5 interfaces ethernet
3 slots p/ wireless
Serie 400
RB 433
3 interfaces ethernet
1- Introduo
RouterOS
RouterOS alm de estar disponvel para Routerboards
tambm pode ser instalado em hardware x86.
RouterOS o sistema operacional das Routerboards e que
pode ser configurado como:
Roteador
Controlador de contedo (Web-proxy)
Controlador de banda (Queues)
Controlador de fluxo para QoS(Firewall mangle + Queues)
Firewall (camada 2,3 e 7)
Access Point wireless 802.11a/b/g/n (o hardware deve possuir
wlan)
Outros
1- Introduo
Winbox
Winbox uma utilitrio usado para acessar o
RouterOS via MAC ou IP.
Usurio padro admin e senha vazio.
1- Introduo
10
Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso voc no tenha o utilitrio winbox no seu
computador faa o seguinte:
Altere seu computador para Obter endereo IP
automaticamente.
Abra o navegador e digite 192.168.88.1.
No menu a esquerda clique na ultima opo (logout).
Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.
1- Introduo
11
Resetando seu router

Abra o winbox clique em
Clique no endereo MAC ou IP.
No campo Login coloque admin.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em New Terminal.
Com terminal aberto digite:
system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.
1- Introduo
12
Identificando seu roteador
1- Introduo
13
Diagrama da rede
Lembre-se de seu nmero: XY

1- Introduo
14
Configurao bsica
Configurando endereo de IP
Configurando mascara de sub-rede
Configurando DNS
Conectando seu router a um ponto de acesso
Configurando seu computador
Realizando testes de conectividade
1- Introduo
15
Configurao do roteador
Adicione os IPs nas interfaces
1- Introduo
16
Adicione a rota padro
1- Introduo
17
Adicione o servidor DNS
Quando voc checa a opo Alow remote requests, voc
est habilitando seu router como um servidor de DNS.
1- Introduo
18
Configurao da interface wireless
1- Introduo
19
MNDP
MikroTik Neighbor Discovery protocol
Habilite a interface wlan em Discovery
Interface
1- Introduo
20
Configure seu Notebook
1- Introduo
21
Teste de conectividade
Pingar a partir da Routerboard o seguinte ip:172.25.X.254.
Pingar a partir da Routerboard o seguinte endereo:
www.uol.com 172.25.255.254
Pingar a partir do notebook o seguinte ip:
10.X.Y.1
Pingar a partir do notebook o seguinte endereo:
www.uol.com
Analisar os resultados.
1- Introduo
22
Corrigir o problema de conectividade

Diante do cenrio apresentado quais solues
podemos apresentar?
Adicionar rotas estticas.
Utilizar protocolos de roteamento dinmico.
Utilizar NAT(Network Address Translation).
1- Introduo
23
Utilizao do NAT
O mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhem um mesmo endereo
IP de sada do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui
um endereo IP de origem e destino. Para mascarar o
endereo, o NAT faz a troca do endereo IP de origem.
Quando este pacote retorna ele encaminhando ao
host que o originou.
1- Introduo
24
Adicionando uma regra de source nat

Adicionar uma regra de NAT, mascarando as
requisies que saem pela interface wlan1.
1- Introduo
25
Teste de conectividade
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Aps a confirmao de que tudo est
funcionando, faa o backup da routerboard e
armazene-o no notebook. Ele ser usado ao
longo do curso.
1- Introduo
26
Faa um backup
Clique no menu Files e depois em Backup para salvar
sua configuraes.
Arraste o arquivo que foi gerado para seu computador.
1- Introduo
27
Instalao do RouterOS
Porque importante saber instalar o
RouterOS?
Necessrio quando se deseja utilizar um hardware prprio.
Assim como qualquer S.O. o RouterOS tambm pode
corromper o setor de inicializao (geralmente causado por
picos eltricos).
Necessrio quando se perde o usurio e senha de acesso ao
sistema.
1- Introduo
28
Instalao do RouterOS
Assim como qualquer sistema operacional o RouterOS precisa
ser instalado(em routerboards j vem instalado por padro) ,
as duas principais maneiras de instalar o ROS so:
ISO botvel (imagem)

Via rede utilizando o Netinstall
1- Introduo
29
Download
http://www.mikrotik.com/download
1- Introduo
30
Download
No link acima voc pode fazer o download das imagens ISO ou
do arquivo contendo todos os pacotes.
Sempre ao fazer o download fique atento a arquitetura de
hardware (mipsbe, mipsle,x86).
Obs: Nunca instale verses de teste em roteadores em
produo sempre selecione verses estveis.
1- Introduo
31
Instalando pela ISO

Em caso de voc estar utilizando uma maquina fsica grave a
ISO em um CD e ajuste a sequencia de boot para CD/DVD.
1- Introduo
32
Instalando via netinstall em

routerboards
Para se instalar em uma Routerboard, inicialmente
temos que entrar na routerboard via cabo serial e
alterar a sequencia de inicializao para ethernet
(placa de rede).
Dentro da Routerboad temos um tutorial
completo de como instalar o RouterOS em
Routerboards.
1- Introduo
33
Pacotes do RouterOS
System: Pacote principal contendo os servios bsicos e drivers. A rigor o nico
que obrigatrio.
PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente, Relay e Servidor DHCP.
Advanced-tools: Ferramentas de diagnstico, netwatch e outros utilitrios.
HotSpot: Suporte a HotSpot.
NTP: Servidor de horrio oficial mundial.
IPv6: Suporte a endereamento IPv6
MPLS: Suporte a MPLS
Routing: Suporte a roteamento dinmico.
Security : IPSEC, SSH, Secure WinBox.
No possvel adicionar drivers ou qualquer outro tipo de pacote que no seja criado
diretamente pela Mikrotik.
1- Introduo
34
Gerenciando pacotes
Voc pode habilitar e desabilitar pacotes em:
1- Introduo
35
Primeiro acesso
Por padro o processo de instalao no atribui nenhum
endereo de IP ao router ento o primeiro acesso pode
ser feito por:
Cabo serial (linha de comando)
Teclado e monitor em x86 (linha de comando)
Via mac-telnet (linha de comando)
Winbox via MAC (interface grfica)
1- Introduo
36
Mac-telnet
1- Introduo
37
Outros modos de acesso

Aps configurar um endereo de IP no
RouterOS existem outros modos de acesso.
SSH
FTP
Telnet
Web
1- Introduo
38
SSH e telnet
1- Introduo
39
FTP
Usado para transferir arquivos.
1- Introduo
40
WEB
O acesso via web traz quase todas as funes
existentes no winbox.
1- Introduo
41
Upgrade do RouterOS
Faa download de Upgrade package (.npk).
Arraste para dentro de Files no winbox e
reinicie seu router.
1- Introduo
2
42
Atualizando a RB
Confira a verso atual.
Faa download do pacote .npk.
Envie o pacote para sua Routerboard usando o
winbox ou via FTP.
Reinicie o roteador.
Confira se a nova verso foi instalada.
Novas verses esto disponveis no site.
http://www.mikrotik.com/download
4
1- Introduo
3
43
Atualizando a RB
Certifique se que sua routerboard tem conectivade
com a internet.
Cliquem em System=> Packages=> Check for Updates
1- Introduo
44
Upgrade de firmware
Para fazer upgrade de firmware clique em:
1- Introduo
45
Nveis de licena
O RouterOS trabalha com nveis de licena isso significa que
cada nvel lhe oferece um numero X de recursos.
Quanto a atualizao de verso
L3/4 = verso atual + 1 = pode ser usada
L5/6 = verso atual + 2 = pode ser usada
A chave de licena gerada sobre um software-id fornecido
pelo sistema.
A licena fica vinculada ao HD ou Flash e/ou placa me.
A formatao com outras ferramentas muda o software-id
causa a perda da licena.
1- Introduo
46
Nveis de licena
1- Introduo
47
NTP
As routerboard no tem fonte de alimentao
interna, logo toda vez que reiniciada o
sistema perde a data e a hora, isso vem a ser
um grande problema quando necessrio
analisar os logs.
Para que seu equipamento fique
sempre com a data e hora correta
devemos usar o cliente NTP
(Network time protocol).
1- Introduo
48
Configurando Cliente NTP
1- Introduo
49
Ajustando fuso horrio
1- Introduo
50
Backup
Existem duas maneiras de se realizar backup do
sistema:
Backup comum = Salva todo o contedo do router em
um arquivo criptografado que no pode ser
editado(salva inclusive os usurios e senhas de login
no router).
Backup com comando export = Voc pode exportar
um backup completo ou apenas uma parte. Com esse
tipo de backup o arquivo gerado no criptografado e
pode ser aberto por qualquer editor de texto(no
exporta dados de usurios e senhas de login no
router).
1- Introduo
51
Backup comum
Observe que o arquivo gerado recebe o

identificao do router mais as informaes de
data e hora.
1- Introduo
52
Backup pelo comando export
Para exportar as configuraes para dentro de um

arquivo use opo file e d um nome ao arquivo e
sempre use a opo compact para que seu arquivo
venha apenas com as informaes necessrias(evita
exporta mac-address de um equipamento para outro).
1- Introduo
53
Localizando e editando backup

Aps o comando
export file=bkp_router_XY compact
O arquivo gerado est no menu files.
Aps transferir o arquivo para

sua maquina ele poder ser
editado pelo bloco de notas.
1- Introduo
54
Backup
Faa os dois tipos de backup.
Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado
Agora acesse o link abaixo e faa o upload do
arquivo de backup criptografado.
http://mikrotikpasswordrecovery.com/
1- Introduo
55
Modo seguro
O Mikrotik permite o acesso ao sistema atravs do modo seguro.
Este modo permite desfazer as configuraes modificadas caso a
sesso seja perdida de forma automtica. Para habilitar o modo
seguro pressione CTRL+X ou na parte superior clique em Safe
Mode.
1- Introduo
56
Modo seguro
Se um usurio entra em modo seguro, quando j h
um nesse modo, a seguinte mensagem ser dada:
Hijacking Safe Mode from someone unroll/release/
u: desfaz todas as configuraes anteriores feitas em modo
seguro e pe a presente sesso em modo seguro
d: deixa tudo como est
r: mantm as configuraes no modo seguro e pe a
sesso em modo seguro. O outro usurio receber a
seguinte mensagem:
Safe Mode Released by another user
1- Introduo
57
Dvidas e perguntas ?
1- Introduo
58
Modelo OSI, TCP/IP

e
protocolos
2 - OSI, TCP/IP e protocolos
59
Um pouco de historia
1962 Primeiras comunicaes em rede.
1965 Primeira comunicao WAN.
1969 Desenvolvido o TCP.
1978 Vrios padres de comunicao.
1981 Inicio de discusses sobre padronizaes.
1984 Chegada do modelo OSI
Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
60
Modelo OSI vs TCP/IP

Modelo OSI
Modelo TCP/IP
Modelo usado para estudos
Modelo usado na prtica
61
Um pouco mais sobre o modelo OSI

Os dados so gerados na camada de aplicao, e a partir
de ento sero encapsulados camada por camada at
chegar a camada fsica onde sero transformados em
sinais (eltricos ,luminosos etc...)
Em cada camada so adicionados cabealhos. Veja abaixo
os tipos de informaes que so imputadas em cada
cabealho.
Cabealho possui porta (TCP/UDP) de origem e destino

Cabealho possui IP de origem e destino
Cabealho possui MAC de origem e destino
62
Encapsulamento
Dados
Camada 7 aplicao - Dados
Dados
Camada 4 transporte - Portas
Dados
Camada 3 rede - IP
Dados
Camada 2 enlace - MAC
63
PDU - Protocol data unit

Protocol data unit ou em portugus Unidade de
dados de protocolo em telecomunicaes
descreve um bloco de dados que transmitido
entre duas instncias da mesma camada.
Camada
PDU
Camada fsica
Bit
Camada de enlace
Quadro ou trama
Camada de rede
Pacote
Camada de transporte
Segmento
64
1 - Camada fsica
A camada fsica define as caractersticas tcnicas
dos dispositivos eltricos.
nesse nvel que so definidas as especificaes
de cabeamento estruturado, fibras pticas, etc...
Banda, frequncia e potencia so grandeza que
podemos alterar diretamente na camada 1.
65
2 - Camada de enlace
Camada responsvel pelo endereamento fsico,
controle de acesso ao meio e correes de erros da
camada I.
Endereamento fsico se faz pelos endereos MAC
(Controle de Acesso ao Meio) que so nicos no
mundo e que so atribudos aos dispositivos de rede.
Switchs, bridges ,ethernets e PPP so exemplos de
dispositivos que trabalham em camada II.
66
Endereo MAC
o nico endereo fsico de um dispositivo de
rede.
usado para comunicao com a rede local.
Exemplo de endereo MAC:
00:0C:42:00:00:00
67
3 - Camada de rede
Responsvel pelo endereamento lgico dos
pacotes.
Determina que rota os pacotes iro seguir para
atingir o destino baseado em fatores tais como
condies de trfego de rede e prioridade.
68
4 - Camada de transporte
Quando no lado do remetente, responsvel por
pegar os dados das camadas superiores e dividir
em pacotes para que sejam transmitidos para a
camada de rede.
No lado do destinatrio, pega os pacotes
recebidos da camada de rede, remonta os dados
originais e os envia para camada superior.
Esto na camada IV: TCP, UDP, RTP
69
Estado das conexes

possvel observar o estado das conexes no Mikrotik no menu Connections
(IP=>Firewall=>Connections).
Essa tabela tambm conhecida como conntrack. Muito utilizada para analises
e debugs rpidos.
70
5 - Camada de sesso
Administra e sincroniza dilogos entre dois
processos de aplicao.
Une duas entidades para um relacionamento
e mais tarde as desune. (ex. de unio:
login/autenticao e desunio: logoff).
Controla troca de dados, delimita e sincroniza
operaes em dados entre duas entidades.
71
6 - Camada de apresentao
A principal funo da camada de apresentao
assegurar que a informao seja transmitida de tal
forma que possa ser entendida e usada pelo
receptor.
Este nvel pode modificar a sintaxe da mensagem,
sempre preservando sua semntica.
O nvel de apresentao tambm responsvel por
outros aspectos da representao dos dados, como
criptografia e compresso de dados.
72
7 - Camada de aplicao
Muito confundem aplicao com aplicativo.
Usurio interagem com o aplicativo e o
aplicativo interage com protocolos da camada
de aplicao( HTTP, SMTP, FTP, SSH, Telnet ...).
HTTP
HTTPS
DNS
73
Protocolos
74
Endereo IP
o endereo lgico de um dispositivo de rede.
usado para comunicao entre redes.
Endereo IPv4 um numero de 32 bits divido
em 4 parte separado por pontos.
Exemplo de endereo IP: 200.200.0.1.
75
Sub Rede
Como o prprio no j diz (sub rede) a uma parte de rede ou seja uma rede que foi
dividida.
O tamanho de uma sub rede determinado por sua mscara de sub rede.
O endereo de IP geralmente acompanhado da mascara de sub rede.
Com esses dois dados (Endereo IP e mascara de sub rede) podemos dimensionar onde
comea e onde termina nossa sub rede.
Exemplo de mascara de sub rede: 255.255.255.0 ou /24.
O endereo de REDE o primeiro IP da sub rede.
O endereo de BROADCAST o ltimo IP da sub rede.
Esses endereos(Rede e broadcast) so reservados e no podem ser usados.
End IP/Mas
10.1.2.3/8
10.1.2.3/16
10.1.2.3/24
End de Rede
10.0.0.0
10.1.0.0
10.1.2.0
End de Broadcast
10.255.255.255
10.1.255.255
10.1.2.255
76
Protocolos - IP
Usado para identificar logicamente um host.
Possui endereos pblicos e privados.
Possui duas verses IPv4 (quase esgotado) e IPv6.
77
Endereamento CIDR
78
Protocolos - ARP
ARP Address resolution protocol ou simplesmente
protocolo de resoluo de endereos.
Como o prprio nome sugere esse protocolo consegue
resolver(encontrar) o endereo MAC atravs do
endereo de IP e aps feito isto o coloca em uma
tabela.
79
Como ARP funciona

Quando o dispositivo H1 precisa enviar dados para H2 que est no
mesmo segmento de rede , o dispositivo H1 precisa descobrir o
endereo MAC de H2.Ento o protocolo ARP envia uma requisio para
todos os diapositivos(MSG-01).
Ento o host que com endereo de IP apropriado(H2) responde com o
dado solicitado (MSG-02).
Ento o dispositivo H1 recebe o endereo MAC e se prepara para o
prximo passo para transmitir dados para H2.
MSG-01
Quero saber o
MAC do host
com IP
10.11.11.2
MSG-02
Sou eu e meu MAC
00:00:00:11:11:02
10.11.11.2/24
00:00:00:11:11:02
10.11.11.1/24
00:00:00:11:11:01
10.11.11.3/24
00:00:00:11:11:03
80
Protocolos - UDP / TCP

UDP
TCP
Servio sem conexo; nenhuma sesso

estabelecida entre os hosts.
Servio orientado por conexo; uma sesso

estabelecida entre os hosts.
O UDP no garante ou confirma a entrega

nem sequencia os dados.
O TCP garante a entrega usando

confirmaes e entrega sequenciada dos
dados.
O UDP rpido, requer baixa sobrecarga e

pode oferecer suporte comunicao
ponto a ponto e de ponto a vrios pontos.
O TCP mais lento, requer maior

sobrecarga e pode oferecer suporte apenas
comunicao ponto a ponto.
81
Protocolos - ICMP
Internet Control Message Protocol ou protocolo de
mensagens de controle da Internet usado para relatar
erros e trocar informaes de status e controle.
Geralmente usamos aplicativos que utilizam o protocolo
ICMP para sabermos se um determinado host esta
alcanvel e/ou qual a rota para aquele host(ping e
tracert).
82
Protocolos - DNS
Domain Name System - Sistema de Nomes de
Domnios utilizado para associar nomes a
nmeros e vice-versa.
83
DHCP
84
Perguntas ?
85
Wireless no Mikrotik
5 - Wireless
86
Conceitos 802.11a/b/g/n
Nas interfaces wireless podemos alterar
alguns campos que iro definir caracterizas
fsicas da transmisso:
Banda
Frequncia
Largura de Canal
5 - Wireless
87
Configuraes Fsicas
Padro IEEE
Frequncia
Largura de
banda mxima
Velocidade mx
802.11b
2.4Ghz
20Mhz
11 Mbps
802.11g
2.4Ghz
20Mhz
54 Mbps
802.11a
5Ghz
20Mhz
54 Mbps
802.11n
2.4Ghz e 5 Ghz
40Mhz
300 Mbps
802.11ac
5 Ghz
80Mhz
866 Mbps
5 - Wireless
88
802.11b - DSSS
2412
2422
2432
2442
2452
2462
2402
2422
2402
2422
+
20Mhz
2402
2422
5 - Wireless
2402
2422
89
Canais no interferentes em
2.4 Ghz - DSSS
5 - Wireless
90
Canalizao 5Mhz e 10Mhz

Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de tx
5 - Wireless
91
Canalizao Modo Turbo

Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
5 - Wireless
92
Padro 802.11n
MIMO
Velocidades do 802.11n
Bonding do canal
Agregao dos frames
Configurao dos cartes
Potncia de TX em cartes N
5 - Wireless
93
MIMO
MIMO: Multiple Input and Multiple Output
5 - Wireless
94
802.11n - Velocidades nominais
5 - Wireless
95
802.11n - Bonding dos canais 2 x

20Mhz
Adiciona mais 20Mhz ao canal existente.
O canal colocado abaixo ou acima da
frequncia principal.
compatvel com os clientes legados de
20Mhz.
Conexo feita no canal principal.
Permite utilizar taxas maiores.

5 - Wireless
96
Configurando no Mikrotik
Quando se utiliza 2 canais ao mesmo tempo, a potncia de transmisso

dobrada.
5 - Wireless
97
Tabela de potncia
1- Introduo
98
Potncias
Quando a opo regulatory domain est habilitada, somente as frequncias

permitidas para o pas selecionado em Country estaro disponveis. Alm disso o
Mikrotik ajustar a potncia do rdio para atender a regulamentao do pas,
levando em conta o valor em dBi informado em Antenna Gain.
Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13.
5 - Wireless
99
RX sensitivity
Refere a capacidade de escuta de cada equipamento.
Quanto menor melhor, pois o equipamento ser capaz enlaar com outro dispositivo
com pouco sinal.
Deve sempre ser observado na hora de fazer escolhas de equipamentos
1- Introduo
100
Data Rates
A velocidade em uma rede wireless definida pela modulao que os dispositivos
conseguem trabalhar.
Supported Rates: So as velocidades de dados entre o AP e os clientes.
Basic Rates: So as velocidades que os dispositivos se comunicam independentemente
do trfego de dados (beacons, sincronismos, etc...)
5 - Wireless
101
Ferramentas de Site Survey - Scan

A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
Escaneia o meio. Obs.: Qualquer operao de site survey causa queda das
conexes estabelecidas.
5 - Wireless
102
Ferramentas de Site Survey Uso de

frequncias
Mostra o uso das frequncias
em todo o espectro para site
survey conforme a banda
selecionada no menu
wireless.
5 - Wireless
103
Interface wireless - Sniffer

Ferramenta para sniffar
o ambiente wireless
captando e decifrando
pacotes.
Muito til para detectar
ataques.
Pode ser arquivado no
prprio Mikrotik ou
passado por streaming
para outro servidor
com protocolo TZSP.
5 - Wireless
104
Interface wireless - Snooper
Com a ferramenta snooper possvel monitorar a

carga de trfego em cada canal por estao e por rede.
Scaneia as frequncias definidas em scan-list da
interface.
5 - Wireless
105
Interface wireless Modo de operao
ap bridge: Modo de ponto de acesso. Repassa os MACs do meio

wireless de forma transparente para a rede cabeada.
bridge: O mesmo que o o modo ap bridge porm aceitando
somente um cliente.
station: Modo cliente de um ap. No pode ser colocado em bridge
com outras interfaces.
5 - Wireless
106
station pseudobridge: Estao que pode ser colocada em modo

bridge, porm sempre passa ao AP seu prprio MAC.
station pseudobridge clone: Modo idntico ao anterior, porm
passa ao AP um MAC pr determinado anteriormente.
station wds: Modo estao que pode ser colocado em bridge com a
interface ethernet e que passa os MACs de forma transparente.
necessrio que o AP esteja em modo wds.
5 - Wireless
107
alignment only: Modo utilizado para efetuar alinhamento de antenas e

monitorar sinal. Neste modo a interface wireless escuta os pacotes que
so mandados a ela por outros dispositivos trabalhando no mesmo canal.
wds slave: Adqua suas configuraes conforme outro AP com mesmo
SSID.
nstreme dual slave: Ser visto no tpico especifico de nstreme.
station bridge: Faz um bridge transparente porm s pode ser usado para
se conectar a um AP Mikrotik.
5 - Wireless
108
NV2
Proprietrio da Mikrotik (no funciona com outros
fabricantes).
Baseado em TDMA (Time Division Multiple Access).
Resolver o problema do n escondido.
Melhora throughput e latncia especialmente em PtMP.
Funcionamento do NV2
Diferente do padro 802.11 onde no existe controle do meio, com a

utilizao de NV2 o AP controla todo o acesso ao meio (em outras palavras o
AP decide quem ir transmitir e quem ir receber).
Em redes NV2 o AP divide o tempo em perodos fixos (Timeslot).
Esses perodos (Timeslot) so alocados para Download e Upload de forma
organizada, sendo que dois clientes no iro transmitir ao mesmo tempo e
logo temos o seguinte:
- Evitamos colises
- Aproveitamos melhor a largura de banda
- Aumento do throughput
Segurana de Acesso em redes sem fio
5 - Wireless
111
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons. Este comportamento
pode ser modificado no Mikrotik
habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes.
Scanners passivos o descobrem facilmente
pelos pacotes de probe request dos
clientes.
5 - Wireless
112
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.
Spoofar um MAC bem simples. Tanto usando
windows, linux ou Mikrotik.
5 - Wireless
113
Interface Wireless Controle de

Acesso
A Access List utilizada pelo AP para restringir associaes de

clientes. Esta lista contem os endereos MAC de clientes e
determina qual ao deve ser tomada quando um cliente tenta
conectar.
A comunicao entre clientes da mesma interface, virtual ou real,
tambm pode ser controlada na Access List.
5 - Wireless
114
Interface Wireless Controle de

Acesso
O processo de associao
ocorre da seguinte forma:
Um cliente tenta se associar a uma interface wlan;
Seu MAC procurado na access list da interface wlan;
Caso encontrado, a ao especifica ser tomada:

Authentication: Define se o cliente poder se associar ou
no;
Fowarding: Define se os clientes podero se comunicar.
5 - Wireless
115
Interface Wireless Access List

MAC Address: Endereo MAC a ser
liberado ou bloqueado.
Interface: Interface real ou virtual onde
ser feito o controle de acesso.
AP Tx Limit: Limite de trfego enviado
para o cliente.
Client Tx Limit: Limite de trfego enviado
do cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
Management Protection Key: Chave usada para evitar ataques de
desautenticao. Somente compatvel com outros Mikrotiks.
5 - Wireless
116
Interface Wireless Connect List

A Connect List tem a finalidade de listar os
APs que o Mikrotik configurado como
cliente pode se conectar.
MAC Address: MAC do AP a se conectar.
SSID: Nome da rede.
Area Prefix: String para conexo com AP
de mesma rea.
Security Profile: Definido nos perfis de
segurana.
Obs.: Essa uma boa opo para evitar que o cliente se associe a um AP
falso.
5 - Wireless
117
Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para
quebrar a chave, como:
Airodump.
Airreplay.
Aircrack.
Hoje com essas ferramentas bem simples quebrar a WEP.
5 - Wireless
118
Evoluo dos padres de segurana
5 - Wireless
119
Chave WPA e WPA2 - PSK

A configurao da chave WPA/WAP2PSK muito simples no Mikrotik.
No menu wireless clique na Security
Profile e adicione um novo perfil
Configure o modo de chave dinmico e
a chave pr combinada para cada tipo
de autenticao.
Em cada Wlan selecione o perfil de
segurana desejado.
Obs.: As chaves so alfanumricas de 8 at
64 caracteres.
5 - Wireless
120
Segurana de WPA / WPA2

Atualmente a nica maneira conhecida para
se quebrar a WPA-PSK somente por ataque
de dicionrio.
A maior fragilidade paras os WISPs que a
chave se encontra em texto plano nos
computadores dos clientes ou no prprio
Mikrotik.
5 - Wireless
121
Mtodo alternativo com Mikrotik

A partir da verso 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave configurada na Access List do AP
e vinculada ao MAC Address do cliente, possibilitando que cada um
tenha sua chave.
Obs.: Cadastrando as PSK na access list,

voltamos ao problema da chave ser
visvel a usurios do Mikrotik.
5 - Wireless
122
Perguntas ?
5 - Wireless
123
Roteamento
6 - Roteamento
124
O que roteamento
Em termos gerais, o
roteamento o
processo de encaminhar
pacotes entre redes
conectadas.
Para redes baseadas em TCP/IP, o roteamento faz

parte do protocolo IP.
Para que o roteamento funcione ele trabalha em
combinao com outros servios de protocolo.
6 - Roteamento
125
Quando o roteamento utilizado?

Sempre que um determinado host precisar se
comunicar como outro host/server que no
esteja na mesma sub-rede ele ir precisar de um
roteador (gateway) para alcanar seu destino.
192.168.1.201/24
192.168.1.1
192.168.20.2/24
192.168.20.1
Exemplo 1
192.168.1.200/24
No necessita de roteamento
Exemplo 2
Necessita de roteamento
Origem
Destino
Origem
Destino
192.168.1.201
192.168.1.200
192.168.1.201
192.168.20.2
6 - Roteamento
126
Funcionamento padro
192.168.1.1
192.168.1.200
187.15.15.134
8.8.8.8
Pacote IP
Origem
Destino
192.168.1.99
8.8.8.8
Tabela de rotas
Quando um pacote chega a

um roteador e consulta sua
tabela de rotas para
encontrar a melhor rota
para o destino solicitado
6 - Roteamento
Tudo que for

destinado a:
(Dst. Address)
Encaminhe para
o roteador:
(Gateway)
0.0.0.0/0
192.168.1.1
10.10.10.0/24
192.168.4.1
10.172.0.0/23
10.172.4.1
8.8.0.0/16
10.172.5.1
127
Na tabela de rotas
Para cada encaminhamento o roteador faz um
leitura completa da tabela de rotas.
Se o roteador encontrar mais de uma rota
para o destino solicitado ele sempre ir utilizar
a rota mais especifica.
Tabela de rotas
A rota defult ser
Dst. Address
Gateway
0.0.0.0/0
192.168.1.1
utilizada sempre que
8.0.0.0/8
10.172.6.1
no houver uma rota
para o determinado
8.8.0.0/16
10.172.5.1
destino.
6 - Roteamento
128
Roteamento - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
172.25.2.0/24
10.10.4.0/30
6 - Roteamento
129
Roteamento
O Mikrotik suporta dois tipos de roteamento:
Roteamento esttico: As rotas so criadas pelo usurio atravs
de inseres pr-definidas em funo da topologia da rede.
Roteamento dinmico: As rotas so geradas automaticamente
atravs de um protocolo de roteamento dinmico ou de algum
agregado de endereo IP.
O Mikrotik tambm suporta ECMP(Equal Cost Multi Path)

que um mecanismo que permite rotear pacotes atravs
de vrios links e permite balancear cargas.
possvel ainda no Mikrotik se estabelecer polticas de
roteamento dando tratamento diferenciado a vrios tipos
de fluxos a critrio do administrador.
6 - Roteamento
130
Polticas de Roteamento
Existem algumas regras que devem ser seguidas
para se estabelecer uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por
classes de endereos IP e portas.
As marcas dos pacotes devem ser adicionadas no
Firewall, no mdulo Mangle com mark-routing.
Aos pacotes marcados ser aplicada uma poltica de
roteamento, dirigindo-os para um determinado
gateway.
possvel utilizar poltica de roteamento quando se
utiliza NAT.
6 - Roteamento
131
Uma aplicao tpica de polticas de roteamento trabalhar com
dois um mais links direcionando o trfego para ambos. Por exemplo
direcionando trfego p2p por um link e trfego web por outro.
impossvel porm reconhecer o trfego p2p a partir do primeiro
pacote, mas to somente aps a conexo estabelecida, o que
impede o funcionamento de programas p2p em casos de NAT de
origem.
A estrtegia nesse caso colocar como gateway default um link
menos nobre, marcar o trfego nobre (http, dns, pop, etc.) e
desvia-lo pelo link nobre. Todas outras aplicaes, incluindo o p2p
iro pelo link menos nobre.
6 - Roteamento
132
Exemplo de poltica de
roteamento.
O roteador nesse caso ter 2
gateways com ECMP e checkgateway. Dessa forma o trfego
ser balanceado e ir garantir o
failover da seguinte forma:
/ip route add dst-address=0.0.0.0/0
gateway=10.111.0.1,10.112.0.1 checkgateway=ping
6 - Roteamento
133
Ex. de Poltica de Roteamento

1. Marcar pacotes da rede 192.168.10.0/24 como lan1 e
pacotes da rede 192.168.20.0/24 como lan2 da seguinte forma:
/ip firewall mangle add src-address=192.168.10.0/24
action=markrouting new-marking-routing=lan1 chain=prerouting
/ip firewall mangle add src-address=192.168.20.0/24
action=markrouting new-marking-routing=lan2 chain=prerouting
2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1 e
os pacotes da rede lan2 para o gateway 10.112.0.1 usando as
correspondentes marcas de pacotes da seguinte forma:
/ip routes add gateway=10.111.0.1 routing-mark=lan1
checkgateway=ping
/ip routes add gateway=10.112.0.1 routing-mark=lan2
checkgateway=ping
/ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway=ping
6 - Roteamento
134
Roteamento Dinmico
6 - Roteamento
135
Roteamento Dinmico
O Mikrotik suporta os seguintes
protocolos:
RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.
O uso de protocolos de roteamento

dinmico permite implementar
redundncia e balanceamento de links
de forma automtica e uma forma de
se fazer uma rede semelhante as redes
conhecidas como Mesh, porm de forma
esttica.
6 - Roteamento
136
Roteamento dinmico - BGP

O protocolo BGP destinado a fazer
comunicao entre AS(Autonomos
System) diferentes, podendo ser
considerado como o corao da
internet.
O BGP mantm uma tabela de
prefixos de rotas contendo
informaes para se encontrar
determinadas redes entre os ASs.
A verso corrente do BGP no Mikrotik
a 4, especificada na RFC 1771.
6 - Roteamento
137
Roteamento Dinmico - OSPF

O protocolo Open Shortest Path First, um protocolo do
tipo link state. Ele usa o algoritmo de Dijkstra para
calcular o caminho mais curto para todos os destinos.
O OSPF distribui informaes de roteamento entre os
roteadores que participem de um mesmo
AS(Autonomous System) e que tenha o protocolo OSPF
habilitado.
Para que isso acontea, todos os roteadores tem de ser
configurados de uma maneira coordenada e devem ter o
mesmo MTU para todas as redes anunciadas pelo
protocolo OSPF.
O protocolo OSPF iniciado depois que adicionado um
registro na lista de redes. As rotas so aprendidas e
instaladas nas tabelas de roteamento dos roteadores.
6 - Roteamento
138
Roteamento Dinmico - OSPF

Tipos de roteadores em OSPF:
Roteadores internos a uma rea.
Roteadores de backbone (rea 0).
Roteadores de borda de rea (ABR).
OS ABRs devem ficar entre dois roteadores e devem
tocar a rea 0.
Roteadores de borda Autonomous System (ASBR).

So roteadores que participam do OSPF mas
fazem comunicao com um AS.
6 - Roteamento
139
OSPF - reas
O protocolo OSPF permite que vrios roteadores sejam agrupados

entre si. Cada grupo formado chamado de rea e cada rea roda
uma cpia do algoritmo bsico, e cada rea tem sua prpria base de
dados do estado de seus roteadores.
A diviso em reas importante pois como a estrutura de uma rea
s visvel para os participantes desta, o trfego sensivelmente
reduzido. Isso tambm previne o recalculo das distncias por
reas que no participam da rea que promoveu alguma mudana
de estado.
aconselhvel utilizar no entre 50 e 60 roteadores em cada rea.
6 - Roteamento
140
OSPF - Redes
Aqui definimos as redes OSPF
com os seguintes parmetros:
Network: Endereo IP/Mascara,
associado. Permite definir uma ou
mais interfaces associadas a uma
rea. Somente redes conectadas
diretamente podem ser adicionadas
aqui.
Area: rea do OSPF associada.
6 - Roteamento
141
OSPF - Opes
Router ID: Geralmente o IP do roteador.
Caso no seja especificado o roteador usar
o maior IP que exista na interface.
Redistribute Default Route:
Never: nunca distribui rota padro.
If installed (as type 1): Envia com mtrica 1
se tiver sido instalada como rota esttica,
dhcp ou PPP.
If installed (as type 2): Envia com mtrica 2
se tiver sido instalada como rota esttica,
dhcp ou PPP.
Always (as type 1): Sempre, com mtrica 1.
Always (as type 2): Sempre, com mtrica 2.
6 - Roteamento
142
OSPF - Opes
Redistribute Connected Routes: Caso
habilitado, o roteador ir distribuir todas
as rotas relativas as redes que estejam
diretamente conectadas a ele.
Redistribute Static Routes: Caso
habilitado, distribui as rotas cadastradas de
forma esttica em /ip routes.
Redistribute RIP Routes: Caso habilitado,
redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado,
redistribui as rotas aprendidas por BGP.
Na aba Metrics possvel modificar as
mtricas que sero exportadas as diversas
rotas.
6 - Roteamento
143
OSPF - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
10.10.4.0/30
6 - Roteamento
172.25.2.0/24
144
OSPF - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
10.10.4.0/30
6 - Roteamento
172.25.2.0/24
145
OSPF - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
10.10.4.0/30
6 - Roteamento
172.25.2.0/24
146
Perguntas ?
6 - Roteamento
147
Firewall no Mikrotik
7 - Firewall
148
Firewall
O firewall normalmente usado como ferramenta de segurana
para prevenir o acesso no autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas
diversas funes importantes como a classificao e marcao
de pacotes para desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em
vrios classificadores como endereos MAC, endereos IP, tipos
de endereos IP, portas, TOS, tamanho do pacotes, etc...
7 - Firewall
149
Firewall - Opes
Filter Rules: Regras para filtro de pacotes.

NAT: Onde feito a traduo de endereos e portas.
Mangle: Marcao de pacotes, conexo e roteamento.
Service Ports: Onde so localizados os NAT Helpers.
Connections: Onde so localizadas as conexes existentes.
Address List: Lista de endereos ips inseridos de forma dinmica ou esttica e
que podem ser utilizadas em vrias partes do firewall.
Layer 7 Protocols: Filtros de camada 7.
7 - Firewall
150
Estrutura do Firewall
Firewall
Tabela Filter
Tabela NAT
Canal input
Canal SRCNAT
regras
regras
regras
regras
Tabela Mangle
Canal input
regras
Canal Output
regras
Canal Output
Canal DSTNAT
regras
regras
regras
regras
Canal Forward
regras
Canal Prerouting
Canal Forward
regras
regras
Canal Posrouting
regras
regras
7 - Firewall
151
Fluxo do Firewall
Chegada
Canal Prerouting
Canal DSTNAT
Deciso
de
roteamento
Canal Forward
Canal Output
Canal Posrouting
Canal SRCNAT
Canal Input
Deciso
de
roteamento
Sada
Processo local
7 - Firewall
152
Firewall Connection Track

Refere-se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem
e destino, as respectivas portas, estado da conexo, tipo de
protocolos e timeouts. Firewalls que fazem connection track so
chamados de statefull e so mais seguros que os que fazem
processamentos stateless.
7 - Firewall
153

O sistema de connection tracking o corao do
firewall. Ele obtm e mantm informaes sobre todas
conexes ativas.
Quando se desabilita a funo connection tracking so
perdidas as funcionalidades NAT e as marcaes de
pacotes que dependam de conexo. No entanto,
pacotes podem ser marcados de forma direta.
Connection track exigente de recursos de hardware.
Quando o equipamento trabalha somente como bridge
aconselhvel desabilit-la.
7 - Firewall
154
Localizao da Connection Tracking

Chegada
conntrack
Canal Prerouting
Canal DSTNAT
Deciso
de
roteamento
Canal Forward
Canal Output
Canal Posrouting
conntrack
Canal SRCNAT
Deciso
de
roteamento
Sada
Canal Input
Processo local
7 - Firewall
155
Estado das conexes:

established: Significa que o pacote faz parte de uma conexo j
estabelecida anteriormente.
new: Significa que o pacote est iniciando uma nova conexo ou faz
parte de uma conexo que ainda no trafegou pacotes em ambas
direes.
related: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
invalid: Significa que o pacote no pertence a nenhuma conexo
existente e nem est iniciando outra.
7 - Firewall
156
Firewall Princpios gerais
As regras de firewall so sempre processadas por canal, na

ordem que so listadas de cima pra baixo.
As regras de firewall funcionam como expresses lgicas
condicionais, ou seja: se <condio> ento <ao>.
Se um pacote no atende TODAS condies de uma regra,
ele passa para a regra seguinte.
7 - Firewall
157
Processamento das regras

SE combina com os campos ENTO executa a ao.
SE IP de destino=8.8.8.8
ENTO execute Drop
SE proto=TCP e dst-port=80 ENTO executa Accept
7 - Firewall
158
Firewall Princpios gerais

Quando um pacote atende TODAS as condies
da regra, uma ao tomada com ele, no
importando as regras que estejam abaixo nesse
canal, pois elas no sero processadas.
Algumas excees ao critrio acima devem ser
consideradas como as aes de: passthrough,
log e add to address list.
Um pacote que no se enquadre em qualquer
regra do canal, por padro ser aceito.
7 - Firewall
159
Firewall Filter Rules

Forward
Input
Output
As regras so organizadas em canais(chain) e existem 3
canais default de tabela filters.
INPUT: Responsvel pelo trfego que CHEGA no router;
OUTPUT: Responsvel pelo trfego que SAI do router;
FORWARD: Responsvel pelo trfego que PASSA pelo router.
7 - Firewall
160
Firewall Filters Rules

Algumas aes que podem ser tomadas nos filtros de
firewall:
passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de
icmp ou tcp reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas
no aloca recursos.
7 - Firewall
161
Firewall Organizao das regras
As regras de filtro pode ser organizadas e

mostradas da seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por servios.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usurios.
7 - Firewall
162
Filter Rules Canais criados pelo usurio
Alm dos canais criados por padro o administrador pode criar canais
prprios. Esta prtica ajuda na organizao do firewall.
Para utilizar o canal criado devemos desviar o fluxo atravs de uma
ao JUMP.
No exemplo acima podemos ver 3 novos canais criados.
Para criar um novo canal basta adicionar uma nova regra e dar o nome
desejado ao canal.
7 - Firewall
163
Firewall Filters Rules

Aes relativas a canais
criados pelo usurio:
jump: Salta para um canal
definido em jump-target.
jump target: Nome do
canal para onde se deve
saltar.
return: Retorna para o
canal que chamou o jump.
7 - Firewall
164
Como funciona o canal criado pelo

usurio
7 - Firewall
165
Como funciona o canal criado pelo

usurio
7 - Firewall
166
Firewall Address List
A address list contm uma lista de endereos IP

que pode ser utilizada em vrias partes do firewall.
Pode-se adicionar entradas de forma dinmica
usando o filtro ou mangle conforme abaixo:
Action:
add dst to address list: Adiciona o IP de destino lista.
add src to address list: Adiciona o IP de origem lista.
Address List: Nome da lista de endereos.
Timeout: Por quanto tempo a entrada permanecer na lista.
7 - Firewall
167
Firewall
Protegendo o roteador
7 - Firewall
168
Princpios bsicos de proteo

Proteo do prprio roteador :
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao
roteador.
Proteo da rede interna :

Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Prevenir e controlar ataques e acesso no autorizado em
clientes.
7 - Firewall
169
Firewall Proteo bsica
Regras do canal input

Descarta conexes invlidas.
Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede interna.
Descartar o restante.
7 - Firewall
170
Firewall Proteo bsica
Regras do canal input

Permitir acesso externo ao winbox.
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
7 - Firewall
171
Firewal Port Scan

Port Scan:

Consiste no escaneamento de portas TCP e/ou UDP.

A deteco de ataques somente possvel para o protocolo TCP.
Portas baixas (0 1023)
Portas altas (1024 65535)
7 - Firewall
172
Firewall Tcnica do knock knock
7 - Firewall
173
Firewall Tcnica do knock knock

A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter seu
endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que estejam
na lista libera_winbox:
/ip firewall filter
add chain=input protocol=tcp dst-port=2771 action=add-src-to-address
list address-list=knock address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add
src-to-address-list address-list=libera_winbox address-list-timeout=15m
comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox
action=accept disabled=no
add chain=input protocol=tcp dst-port=8291 action=drop disbled=no
7 - Firewall
174
Firewall Ping flood

Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatrias.
Para evitar o Ping flood, podemos bloquear todo trfego de
ICMP.
Ao bloquear todo trafego de ICMP podemos ter problemas com
algumas aplicaes (monitoramento e outros protocolos).
Por isso aconselhvel colocarmos uma exceo permitindo um
pelo menos 30 mensagens de ICMP por segundo.
7 - Firewall
175
Firewal Evitando ping flood
/ip firewall filter

add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp
add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp
7 - Firewall
176
Firewal Ataques do tipo DoS

Ataques DoS:
O principal objetivo do ataque de DoS o consumo de recursos
de CPU ou banda.
Usualmente o roteador inundado com requisies de
conexes TCP/SYN causando resposta de TCP/SYN-ACK e a
espera do pacote TCP/ACK.
O ataque pode ser intencional ou causado por vrus
em clientes.
Todos os IPs com mais de 15 conexes com o roteador
podem ser considerados atacantes.
7 - Firewall
177
Firewal Ataques do tipo DoS

Se simplesmente descartamos as conexes,
permitiremos que o atacante crie uma nova conexo.
Para que isso no ocorra, podemos implementar a
proteo em dois estgios:
Deteco Criar uma lista de atacantes DoS com base em
connection limit.
Supresso Aplicando restries aos que forem detectados.
7 - Firewall
178
Firewal Detectando um ataque DoS

Criar a lista de atacantes
para posteriormente
aplicarmos a supresso
adequada.
7 - Firewall
179
Firewal Suprimindo um ataque DoS

Com a ao tarpit
aceitamos a conexo
e a fechamos, no
deixando no entanto
o atacante trafegar.
Essa regra deve ser
colocada antes da
regra de deteco ou
ento a address list ir
reescrev-la todo
tempo.
7 - Firewall
180
Firewal DDoS
Ataque DDoS:
Ataque de DDoS so bastante
parecidos com os de
DoS,porm partem de um
grande nmero de hosts
infectados.
A nica medida que podemos
tomar habilitar a opo TCP
SynCookie no Connection
Tracking do firewall.
7 - Firewall
181
Firewall - NAT
Traduo de endereos e portas
7 - Firewall
182
Firewall - NAT
NAT Network Address Translation uma tcnica que permite que
vrios hosts em uma LAN usem um conjunto de endereos IPs para
comunicao interna e outro para comunicao externa.
Existem dois tipos de NAT :
SRC NAT: O roteador faz alteraes de IP ou porta de origem.
DST NAT: O roteador faz alteraes de IP ou porta de destino.
7 - Firewall
183
Firewall - NAT
As regras de NAT so organizadas em canais:
dstnat: Processa o trfego enviado PARA o
roteador e ATRAVS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.
srcnat: Processa o trfego enviado A PARTIR do
roteador e ATRAVS do roteador, depois que ele
sai de OUTPUT e/ou FORWARD.
7 - Firewall
184
Firewall NAT Fluxo de pacotes
7 - Firewall
185
Firewall - SRCNAT
Source NAT: A ao mascarade troca o endereo IP
de origem de uma determinada rede pelo endereo IP
da interface de sada. Portanto se temos, por exemplo,
a interface ether5 com endereo IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trs da ether1,
podemos fazer o seguinte:
Desta forma, todos os endereos IPs da rede local

vo obter acesso a internet utilizando o endereo
IP 185.185.185.185
7 - Firewall
186
Firewall - DSTNAT
Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a servios que rodem na rede interna.
Dessa forma podemos dar acesso a servios de
clientes sem utilizao de endereo IP pblico.
Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.
7 - Firewall
187
Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional a
um determinado endereo IP. Dessa forma, um
endereo IP de rede local pode ser acessado
atravs de um IP pblico e vice-versa.
7 - Firewall
188
Firewall - NAT
NAT (1:1) com netmap: Com o netmap
podemos criar o mesmo acesso bi-birecional
de rede para rede. Com isso podemos mapear,
por exemplo, a rede 187.15.15.0/24 para a
rede 192.168.1.0/24 assim:
7 - Firewall
189
Firewall NAT Helpers
Hosts atrs de uma rede nateada no possuem conectividade

fim-afim verdadeira. Por isso alguns protocolos podem no
funcionar corretamente neste cenrio. Servios que requerem
iniciao de conexes TCP fora da rede, bem como protocolos
stateless como UDP, podem no funcionar. Para resolver este
problema, a implementao de NAT no Mikrotik prev alguns
NAT Helpers que tm a funo de auxiliar nesses servios.
7 - Firewall
190
Firewall Mangle
O mangle no Mikrotik uma facilidade que permite a
introduo de marcas em pacotes IP ou em conexes,
com base em um determinado comportamento
especifico.
As marcas introduzidas pelo mangle so utilizadas em
processamento futuro e delas fazem uso o controle de
banda, QoS, NAT, etc... Elas existem somente no
roteador e portanto no so passadas para fora.
Com o mangle tambm possvel manipular o
determinados campos do cabealho IP como o ToS,
TTL, etc...
7 - Firewall
191
Firewall Mangle
As regras de mangle so organizadas em canais e
obedecem as mesma regras gerais das regras de
filtro quanto a sintaxe.
Tambm possvel criar canais pelo prprio
usurio.
Existem 5 canais padro:
prerouting: Marca antes da fila Global-in;
postrouting: Marca antes da fila Global-out;
input: Marca antes do filtro input;
output: Marca antes do filtro output;
forward: Marca antes do filtro forward;
7 - Firewall
192
Firewall Diagrama do Mangle
7 - Firewall
193
Firewall Mangle
As opes de marcaes incluem:
mark-connection: Marca apenas o primeiro
pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para poltica de
roteamento.
Obs.: Cada pacote pode conter os 3 tipos de

marcas ao mesmo tempo. Porm no pode
conter 2 marcas do mesmo tipo.
7 - Firewall
194
Firewall Mangle
Marcando rotas:
As marcas de roteamento so aproveitadas para
determinar polticas de roteamento.
A utilizao dessas marcas ser abordada no
tpico do roteamento.
7 - Firewall
195
Firewall Mangle
Marcando conexes:
Use mark-connection para identificar uma ou
um grupo de conexes com uma marca especifica
de conexo.
Marcas de conexo so armazenadas na contrack.
S pode haver uma marca de conexo para cada
conexo.
O uso da contrack facilita na associao de cada
pacote a uma conexo especfica.
7 - Firewall
196
Firewall Mangle
Marcando pacotes:
Use mark-packet para identificar um fluxo
continuo de pacotes.
Marcas de pacotes so utilizadas para controle de
trfego e estabelecimento de polticas de QoS.
7 - Firewall
197
Firewall Mangle
Marcando pacotes:
Indiretamente: Usando a facilidade da connection
tracking, com base em marcas de conexo
previamente criadas. Esta a forma mais rpida e
eficiente.
Diretamente: Sem o uso da connection tracking
no necessrio marcas de conexes anteriores e
o roteador ir comparar cada pacote com
determinadas condies.
7 - Firewall
198
Firewall - Mangle
Um bom exemplo da utilizao do mangle
marcando pacotes para elaborao de QoS.
Aps marcar a conexo, agora

Precisamos marcar os pacotes
provenientes desta conexo.
7 - Firewall
199
Firewall - Mangle
Obs.: A marcao de P2P
disponibilizada no Mikrotik no
inclui os programas
que usam criptografia.
Com base na conexo j

Marcada anteriormente,
podemos fazer as
marcaes dos pacotes.
7 - Firewall
200
Perguntas ?
7 - Firewall
201
Failover
8 - Balance e Failover
202
Simulando um segundo link

Adicione uma VLAN
Adicione um IP para a VLAN
203
Adicionando uma segunda rota
No esquecer de criar uma nova regra de NAT.

204
Definindo principal e backup

Quando o router tem duas rotas com o endereo de
destino iguais o campo distace ir determinar qual rota
ser usado para o encaminhamento de pacotes.
205
Monitorando um host remoto

Para que possamos saber se um link realmente est
fora devemos monitorar um host qualquer na internet.
Devemos fazer com que o teste de monitoramento seja
encaminhado sempre por um nico link, pois caso isso
no acontea podemos ter um falso positivo.
Como fazer com que um determinado host seja
acessado por um nico link?
206
Criando o script
207
Balanceamento de Carga com PCC
208

O PCC uma forma de balancear o trfego de acordo
com um critrio de classificao pr-determinado das
conexo. Os parmetros de configurao so:
Obs.: O PCC s est disponvel no Mikrotik a partir da verso 3.24.
209
A partir do classificador selecionado ser

gerado um numerador que ser divido pelo
denominador e o resto ser levado em conta
para dizer se o pacote combina ou no com a
regra do firewall.
210
Funcionamento do PCC
Classificador
Denominador
Contador
Regra que classifica para link 1

Regra que classifica para link 2
Exemplo 1 - Pacote IP
Origem
Destino
192.168.1.99
8.8.8.8
Exemplo 1 - Pacote IP
Origem
Destino
192.168.1.10
8.8.8.8

Nmero gerado pelo classificador => 192+168+1+99=460

Dividindo o nmero gerado pelo denominador => 460/2 = 230 resto=0
Resto da diviso igual o numero do contador da regra 1 ento o pacote classificado na regra 1.
Nmero gerado pelo classificador => 192+168+1+10=371

Dividindo o nmero gerado pelo denominador => 371/2 = 135 resto=1
Resto da diviso igual o numero do contador da regra 2 ento o pacote classificado na regra 2.
211

Primeiro precisamos fazer marcas rota para que possamos
direcionar os pacotes por mais de um gateway.
Poderamos simplesmente marca as rotas , porm isso pode
consumir muito recurso de processamento do roteador.
Para evitar o consumo excessivo de CPU primeiro marcamos a
conexo e depois marcamos a rota com base na conexo que j foi
marcada.
Todas as marcaes so feitas no mangle do firewall
212

Exemplo de PCC com 2 links
Primeiro vamos marcar as conexes. Atente para a redes dos clientes , o denominador
(links) e o contador que inicia em zero.
213

214

Agora vamos marcar as rotas com base nas

marcaes de conexes j feitas
anteriormente. Atente agora para desmarcar
a opo passthrough.
215

216

Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar que os 2
gateways internet so: 10.10.10.1, 20.20.20.1
217
Tneis e VPN
9 - Tuneis e VPN
218
VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que
fornecem confidencialidade, autenticao e integridade necessrias
para garantir a privacidade das comunicaes requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.
9 - Tuneis e VPN
219
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurana definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.
9 - Tuneis e VPN
220
Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
Tneis GRE
9 - Tuneis e VPN
221
Site-to-site
9 - Tuneis e VPN
222
Conexo remota
9 - Tuneis e VPN
223
Endereamento ponto a ponto /32

Geralmente usado em tneis
Pode ser usado para economia de IPs.
Router 1
Router 2
9 - Tuneis e VPN
224
PPP Definies Comuns para os

servios
MTU/MRU: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentao.
Keepalive Timeout: Define o perodo de tempo em segundos aps o qual
o roteador comea a mandar pacotes de keepalive por segundo. Se
nenhuma reposta recebida pelo perodo de 2 vezes o definido em
keepalive timeout o cliente considerado desconectado.
Authentication: As formas de autenticao permitidas so:

Pap: Usurio e senha em texto plano sem criptografica.
Chap: Usurio e senha com criptografia.
Mschap1: Verso chap da Microsoft conf. RFC 2433
Mschap2: Verso chap da Microsoft conf. RFC 2759
9 - Tuneis e VPN
225

servios
PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento
ser necessrio que haja algum mecanismo para avisar que esta estao
dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequao dos
pacotes posteriores chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade est presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.
MRRU: Tamanho mximo do pacote, em bytes, que poder ser recebido
pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes
menores, permitindo o melhor dimensionamento do tnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
9 - Tuneis e VPN
226

servios
Change MSS: Maximun Segment Size, tamanho mximo do segmento de
dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o
tnel est estabelecido deve ser fragmentado antes de envi-lo. Em alguns
caso o PMTUD est quebrado ou os roteadores no conseguem trocar
informaes de maneira eficiente e causam uma srie de problemas com
transferncia HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona
ferramentas onde possvel interferir e configurar uma diminuio do MSS
dos prximos pacotes atravs do tnel visando resolver o problema.
9 - Tuneis e VPN
227
PPPoE Cliente e Servidor

PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui
informaes sobre o remetente e o destinatrio, desperdiando mais banda.
Cerca de 2% a mais.
Muito usado para autenticao de clientes com base em Login e Senha. O
PPPoE estabelece sesso e realiza autenticao com o provedor de acesso a
internet.
O cliente no tem IP configurado, o qual atribudo pelo Servidor
PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik no obrigatrio o uso de Radius pois o mesmo
permite criao e gerenciamento de usurios e senhas em uma tabela local.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado
desde que o cliente suporte este mtodo.
9 - Tuneis e VPN
228
PPPoE Cliente e Servidor

O cliente descobre o servidor
atravs do protocolo pppoe
discovery que tem o nome do
servio a ser utilizado.
Precisa estar no mesmo
barramento fsico ou os
dispositivos passarem pra
frente as requisies PPPoE
usando pppoe relay.
No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar
bem na maioria dos casos. Se configurarmos pra zero, o servidor
no desconectar os
clientes at que os mesmos solicitem ou o servidor for reiniciado.
9 - Tuneis e VPN
229
Configurao do Servidor PPPoE

1. Primeiro crie um pool de IPs para o PPPoE.
/ip pool add name=pool-pppoe
ranges=172.16.0.2-172.16.0.254
2. Adicione um perfil para o PPPoE onde:

Local Address = Endereo IP do concentrado.
Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1
name=perfilpppoe remote-address=pool-pppoe
9 - Tuneis e VPN
230

3. Adicione um usurio e senha
/ppp secret add name=usuario password=123456
service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address,
adicione em Caller ID. Esta opo no
obrigatria, mas um parametro a mais para
segurana.
9 - Tuneis e VPN
231

4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vo
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.
/interface pppoe-server server add
authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=
1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename="
Servidor PPPoE"
9 - Tuneis e VPN
232
Mais sobre perfis
Bridge: Bridge para associar ao perfil
Incoming/Outgoing Filter: Nome do canal do

firewall para pacotes entrando/saindo.
Address List: Lista de endereos IP para

associar ao perfil.
DNS Server: Configurao dos servidores DNS a

atribuir aos clientes.
Use Compression/Encryption/Change TCP MSS:
caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.
9 - Tuneis e VPN
233
Mais sobre perfis
Session Timeout: Durao mxima de uma

sesso PPPoE.
Idle Timeout: Perodo de ociosidade na

transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.
Rate Limit: Limitao da velocidade na forma

rx-rate/tx-rate. Pode ser usado tambm na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
Only One: Permite apenas uma sesso para o

mesmo usurio.
9 - Tuneis e VPN
234
Mais sobre o database
Service: Especifica o servio disponvel para este

cliente em particular.
Caller ID: MAC Address do cliente.
Local/Remote Address: Endereo IP Local (servidor)

e remote(cliente) que podero ser atribudos a um
cliente em particular.
Limits Bytes IN/Out: Quantidade em bytes que o

cliente pode trafegar por sesso PPPoE.
Routes: Rotas que so criadas do lado do servidor

para esse cliente especifico. Vrias rotas podem ser
adicionadas separadas por vrgula.
9 - Tuneis e VPN
235
Mais sobre o PPoE Server

O concentrador PPPoE do Mikrotik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rdio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. At o momento no possumos nenhuma maneira de alterar a MTU da
interface sem fio de clientes MS Windows. A opo One Session Per Host permite
somente uma sesso por host(MAC Address). Por fim, Max Sessions define o nmero
mximo de sesses que o concentrador suportar.
9 - Tuneis e VPN
236
Configurando o PPPoE Client
AC Name: Nome do concentrador. Deixando em branco conecta

em qualquer um.
Service: Nome do servio designado no servidor PPPoE.
Dial On Demand: Disca sempre que gerado trfego de sada.
Add Default Route: Adiciona um rota padro(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
9 - Tuneis e VPN
237
PPTP e L2TP
L2TP Layer 2 Tunnel Protocol: Protocolo de tunelamento em
camada 2 um protocolo de tunelamento seguro para transportar
trfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de
forma criptografada ou no e permite enlaces entre dispositivos de
redes diferentes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para
pacote de dados. A porta UDP 1701 utilizada para o
estabelecimento do link e o trfego em si utiliza qualquer porta
UDP disponvel, o que significa que o L2TP pode ser usado com a
maioria dos Firewalls e Routers, funcionando tambm atravs de
NAT.
L2TP e PPTP possuem as mesma funcionalidades.
9 - Tuneis e VPN
238
Configurao do Servidor PPTP e L2TP
Configure um pool, um perfil para o PPTP, adicione um usurio em secrets

e habilite o servidor PPTP conforme as figuras.
9 - Tuneis e VPN
239

Configure os servidores
PPTP e L2TP.
Atente para utilizar o
perfil correto.
Configure nos hosts
locais um cliente PPTP e
realize conexo com um
servidor da outra rede.
Ex.: Hosts do Setor1
conectam em servidores do
Setor2 e vice-versa.
9 - Tuneis e VPN
240
As configuraes para o cliente PPTP e L2TP so

bem simples, conforme observamos nas imagens.
9 - Tuneis e VPN
241
Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio
protocolo IP baseado na RFC 2003. um protocolo simples que
pode ser usado pra interligar duas intranets atravs da internet
usando 2 roteadores.
A interface do tnel IPIP aparece na lista de interfaces como se
fosse uma interface real.
Vrios roteadores comerciais, incluindo CISCO e roteadores
baseados em Linux suportam esse protocolo.
Um exemplo prtico de uso do IPIP seria a necessidade de
monitorar hosts atravs de um NAT, onde o tnel IPIP colocaria a
rede privada disponvel para o host que realiza o monitoramento,
sem a necessidade de criar usurio e senha como nas VPNs.
9 - Tuneis e VPN
242
Tneis IPIP
Supondo que temos que unir as redes que

esto por trs dos roteadores 10.0.0.1 e
22.63.11.6. Para tanto basta criemos as
interfaces IPIP em ambos, da seguinte forma:
9 - Tuneis e VPN
243
Tneis IPIP
Agora precisamos atribuir os IPs as interfaces
criadas.
Aps criado o tnel IPIP as redes fazem parte

do mesmo domnio de broadcast.
9 - Tuneis e VPN
244
Tneis EoIP
EoIP(Ethernet over IP) um protocolo

proprietrio Mikrotik para encapsula mento
de todo tipo de trfego sobre o protocolo IP.
Quando habilitada a funo de Bridge dos roteadores que esto interligados

atravs de um tnel EoIP, todo o trfego passado de uma lado para o outro de
forma transparente mesmo roteado pela internet e por vrios protocolos.
O protocolo EoIP possibilita:

- Interligao em bridge de LANs remotas atravs da internet.
- Interligao em bridge de LANs atravs de tneis criptografados.
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet atravs do protocolo GRE.
9 - Tuneis e VPN
245
Tneis EoIP
Criando um tnel EoIP entre as
redes por trs dos roteadores
10.0.0.1 e 22.63.11.6.
Os MACs devem ser diferentes
e estar entre o rage: 00-00-5E80-00-00 e 00-00-5E-FF-FF-FF,
pois so endereos reservados
para essa aplicao.
O MTU deve ser deixado em
1500 para evitar fragmentao.
O tnel ID deve ser igual para
ambos.
9 - Tuneis e VPN
246
Tneis EoIP
Adicione a interface EoIP a bridge,

juntamente com a interface que far
parte do mesmo domnio de broadcast.
9 - Tuneis e VPN
247
Perguntas ?
9 - Tuneis e VPN
248
QoS e Controle de banda
10 - QoS
249
Conceitos bsicos de Largura e Limite

de banda
Largura de banda: Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada
de dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est ligado
largura da banda em hertz. O termo banda larga denota conexes com uma largura em hertz
relativamente alta, em contraste com a velocidade padro em linhas analgicas convencionais (56
kbps), na chamada conexo discada.
Limite de banda: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda de
1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou tambm
chamado de Taxa ou Velocidade de Transferncia ou (throughput), que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
voc conseguir taxas de transferencia de no mximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, voc conseguir uma Taxa de Transferncia de aproximadamente entre 25kbps a
30,7kbps
10 - QoS
250
Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao
do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o
uso da largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores,
capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de
determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
10 - QoS
251
Qualidade de Servio
No campo das telecomunicaes e redes de computadores, o termo Qualidade de
Servio (QoS) pode tender para duas interpretaes relacionadas, mas distintas.
Em redes de comutao de circuitos, refere-se probabilidade de sucesso em estabelecer

uma ligao a um destino. Em redes de comutao de pacotes refere-se garantia de largura de banda
ou, como em muitos casos, utilizada informalmente para referir a probabilidade de um pacote
circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura

oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de segurana
substancial. simples e eficaz, mas na prtica assumido como dispendioso, e tende a ser ineficaz se o
valor de pico aumentar alm do previsto: reservar recursos gasta tempo. O segundo mtodo o de
obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routers conseguirem
servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetrio associado!
10 - QoS
252
Qualidade de Servio
Os mecanismos para prover QoS no Mikrotik so:
Limitar banda para certos IPs, subredes, protocolos,
servios e outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch
10 - QoS
253
Qualidade de Servio
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc): Disciplina de enfileiramento. um algoritmo
que mantm e controla uma fila de pacotes. Ela especifica a ordem dos
pacotes que saem, podendo inclusive reorden-los, e determina quais
pacotes sero descartados.
Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. a
garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information Rate): Taxa mxima de dados que
ser fornecida. Ou seja, limite a partir do qual os pacotes sero descartados.
Priority: a ordem de importncia que o trfego processado.
Pode-se determinar qual tipo de trfego ser processado
primeiro.
10 - QoS
254
Filas - Queues
Para ordenar e controlar o fluxo de dados, aplicada uma
poltica de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: As filas so aplicadas na
interface onde o fluxo est saindo.
A limitao de banda feita mediante o descarte de
pacotes.
No caso do protocolo TCP, os pacotes descartados sero
reenviados, de forma que no h com que se preocupar com
relao a perda de dados. O mesmo no vale para o UDP.
10 - QoS
255
Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados
por uma disciplina de filas(queue types). Por padro as disciplinas
de filas so colocadas sob queue interface para cada interface
fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro
da interface, definida em queue interface, no ser mantida. Isso
significa que quando um pacote no encontra qualquer filtro, ele
enviado atravs da interface com prioridade mxima.
10 - QoS
256
Tipos de filas
As disciplinas de filas so utilizadas para (re)enfileirar e
(re)organizar pacotes na medida em que os mesmos chegam na
interface. As disciplinas de filas so classificadas pela sua influncia
no fluxo de pacotes da seguinte forma:
Schedulers: (Re) ordenam pacotes de acordo com um
determinado algoritmo e descartam aqueles que se enquadram
a disciplina. As disciplinas schedulers so: PFIFO, BFIFO, SFQ,
PCQ e RED.
Shapers: Tambm fazem limitao. Esses so: PCQ e HTB.
10 - QoS
257
Controle de trfego
10 - QoS
258
Controle de trfego
O controle de trfego implementado atravs
de dois mecanismos:
Pacotes so policiados na entrada:
Pacotes indesejveis so descartados.
Pacotes so enfileirados na interface de
sada:
Pacotes podem ser atrasados, descartados
ou priorizados.
10 - QoS
259
Controle de trfego
O controle de trfego implementado internamente por 4
tipos de componentes:
- Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
- Classes:
Representam entidades de classificao de pacotes.
Cada classe pode estar associada a um qdisc.
- Filters:
Utilizados para classificar os pacotes e atribu-los as classes.
- Policers: Utilizados para evitar que o trfego associado a cada
filtro ultrapasse limites pr-definidos.
10 - QoS
260
Controle de trfego Tipos de fila

PFIFO e BFIFO: Estas disciplinas de filas so baseadas no
algoritmo FIFO(First-in
First-out), ou seja, o primeiro que entra o primeiro que sai. A
diferena entre
PFIFO e BFIFO que, um medido em pacotes e o outro em
bytes. Existe apenas
um parmetro chamado Queue Size que determina a
quantidade de dados em
uma fila FIFO pode conter. Todo pacote que no puder ser
enfileirado (se fila
estiver cheia) ser descartado. Tamanhos grandes de fila
podero aumentar a latncia. Em compensao prov melhor
utilizao do canal.
10 - QoS
261

RED: Random Early Detection Deteco Aleatria Antecipada um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho
mdio da fila. Quando o tamanho mdio da fila atinge o valor configurado em min
threshould, o RED escolhe um pacote para descartar. A probabilidade do nmero de
pacotes que sero descartados cresce na medida em que a mdia do tamanho da fila
cresce. Se o tamanho mdio da fila atinge o max threshould, os pacotes so
descartados com a probabilidade mxima. Entretanto existem casos que o tamanho
real da fila muito maior que o max threshould ento todos os pacotes que
excederem o min threshould sero descartados.
RED indicado em links congestionados com altas taxas de dados. Como muito
rpido funciona bem com TCP.
10 - QoS
262

SFQ: Stochastic Fairness Queuing Enfileiramento Estocstico com justia
uma disciplina que tem justia assegurada por algoritmos de hashing e round
roubin. O fluxo de pacotes pode ser identificado exclusivamente por 4 opes:
src-address
dst-address
src-port
dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritmo
round roubin distribui a banda disponvel para estas sub-filas, a cada rodada
configurada no parmetro allot(bytes).
No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses TCP e
streaming UDP) quando o link(interface) est completamente cheio. Se o link no
est cheio, ento no haver fila e, portanto, qualquer efeito, a no ser quando
combinado com outras disciplinas (qdisc).
10 - QoS
263

SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e
h 1024 sub-filas disponveis.
recomendado o uso de SFQ em links congestionados
para garantir que as conexes no degradem. SFQ
especialmente recomendado em conexes wireless.
10 - QoS
264

PCQ: Per Connection Queuing Enfileiramento por conexo foi
criado para resolver algumas imperfeies do SFQ. o nico
enfileiramento de baixo nvel que pode fazer limitao sendo uma
melhoria do SFQ, sem a natureza estocstica. PCQ tambm cria
sub-filas considerando o parmetro pcq-classifier. Cada sub-fila tem
uma taxa de transmisso estabelecida em rate e o tamanho
mximo igual a limit. O tamanho total de uma fila PCQ fica limitado
ao configurado em total limit. No exemplo abaixo vemos o uso do
PCQ com pacotes classificados pelo endereo de origem.
10 - QoS
265

PCQ: Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes
com diferentes endereos sero organizados em sub-filas diferentes. Nesse caso
possvel fazer a limitao ou equalizao para cada sub-fila com o parmetro Rate.
Neste ponto o mais importante decidir qual interface utilizar esse tipo de disciplina.
Se utilizarmos na interface local, todo o trfego da interface pblica ser agrupado
pelo endereo de origem.O que no interessante. Mas se for empregado na
interface pblica todo o trfego dos clientes ser agrupado pelo endereo de origem,
o que torna mais fcil equalizar o upload dos clientes. O mesmo controle pode ser
feito para o download, mas nesse caso o classificador ser o dst. Address e
configurado na interface local.
10 - QoS
266
QoS - HTB
Hierarchical Token Bucket uma disciplina de enfileiramento hierrquico que
usual para aplicar diferentes polticas para diferentes tipos de trfego. O HTB
simula vrios links em um nico meio fsico, permitindo o envio de diferentes tipos
de trfego em diferentes links virtuais. Em outras palavras, o HTB muito til para
limitar download e upload de usurios em uma rede. Desta forma no existe
saturamento da largura de banda disponvel no link fsico. Alm disso, no Mikrotik,
utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou mais

filhas. As que no tem filhas so colocadas no
level 0, onde as filas so mantidas e chamadas de
leafs class. Cada classe na hierarquia pode priorizar e
dar forma ao trfego.
10 - QoS
267
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Exemplo de HTB
Queue03 ir receber 6Mbps

Obs.: Neste exemplo o HTB foi configurado de modo que,
satisfazendo todas as garantias, a fila pai no possuir
nenhuma capacidade para distribuir mais banda caso seja
solicitado por uma filha.
10 - QoS
268
QoS - HTB
Exemplo de HTB

Exemplo de HTB
228
Obs.: Aps satisfazer todas garantias, o HTB disponibilizar
mais banda, at o mximo permitido para a fila com maior
prioridade. Mas, neste caso, permitir-se uma reserva de
8M para as filas Queue04 e Queue05, as quais, a que
possuir maior prioridade receber primeiro o adicional de
banda, pois a fila Queue2 possui garantia de banda
atribuda.
10 - QoS
269
QoS - HTB
Termos do HTB:
Filter: Um processo que classifica pacotes. Os filtros so responsveis pela
classificao dos pacotes para que eles sejam colocados nas correspondentes
qdisc. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente
nas qdiscs, sem atravessar a rvore HTB. Se um pacote no est classificado
em nenhuma das qdiscs, enviado a interface diretamente, por isso nenhuma
regra HTB aplicada aos pacotes.
Level: Posio de uma classe na hierarquia.
Class: Algoritmo de limitao no fluxo de trfego para uma determinada taxa.
Ela no guarda quaisquer pacotes. Uma classe pode conter uma ou mais
subclasses(inner class) ou apenas uma e um qdisc(leaf classe).
10 - QoS
270
QoS - HTB
Estados das classes HTB:
Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que est
consumindo:
Verde: de 0% a 50% da banda disponvel est em
uso.
Amarelo: de 51% a 75% da banda disponvel est
em uso.
Vermelho: de 76% a 100% da banda disponvel
est em uso. Neste ponto comeam os descartes
de pacotes que se ultrapassam o max-limit.
10 - QoS
271
QoS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
Interfaces:
Global-in: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas Global-in recebem todo trfego entrante no roteador,
antes da filtragem de pacotes.
Global-out: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas Global-out recebem todo trfego que sai do roteador.
Global-total: Representa uma interface virtual atravs do qual se passa todo
fluxo de dados. Quando se associa uma politca de filas Global-total, a
limitao feita em ambas direes. Por exemplo se configurarmos um
totalmaxlimit de 300kbps, teremos um total de download+upload de 300kbps,
podendo haver assimetria.
Interface X: Representa uma interface particular. Somente o trfego que
configurado para sair atravs desta interface passar atravs da fila HTB.
10 - QoS
272
Interfaces virtuais e o Mangle
10 - QoS
273
Filas simples
As principais propriedades configurveis de uma fila simples so:

Limite por direo de IP de origem ou destino
Interface do cliente
Tipo de fila
Limit-at, max-limit, priority e burst para download e upload
Horrio.
10 - QoS
274
Filas simples - Burst

Bursts so usados para
permitir altas taxas de
transferncia por um perodo
curto de tempo.
Os parmetros que controlam o burst so:
- burst-limit: Limite mximo que o burst alcanar.
- burst-time: Tempo que durar o burst.
- burst-threshold: Patamar para comear a limitar.
- max-limit: MIR
10 - QoS
275
Como funciona o Burst

max-limit=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
Inicialmente dado ao cliente a banda burst-limit=512kbps. O algoritmo

calcula a taxa mdia de consumo de banda durante o burst-time de 8
segundos.
Com 1 segundo a taxa mdia de 64kbps. Abaixo do threshold.
Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do
threshold.
Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde
acaba o burst.
A partir deste momento a taxa mxima do cliente passa a ser o max-limit.
10 - QoS
276
Utilizao do PCQ
PCQ utilizado para equalizar cada usurio ou
conexo em particular.
Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento kind=pcq.

Devem ainda ser escolhidos os seguintes
parmetros:
pcq-classifier
pcq-rate
10 - QoS
277
Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as subqueues
no so limitadas, ou seja, elas podero usar a largura mxima
de banda disponvel em max-limit.
Caso 2: Se configurarmos um rate para a PCQ as subqueues
sero limitadas nesse rate, at o total de max-limit.
10 - QoS
278
Utilizao do PCQ
Nesse caso, com o rate da fila

128k, no existe limit-at e tem um
max-limit de 512k, os clientes
recebero a banda da seguinte
forma:
10 - QoS
279
Utilizao do PCQ
Nesse caso, com o rate da fila 0,

no existe limit-at e tem um maxlimit de 512k, os clientes recebero
a banda da seguinte forma:
10 - QoS
280
rvores de Fila
Trabalhar com rvores de fila uma maneira mais elaborada de
administrar o trfego. Com elas possvel construir sob medida uma
hierarquia de classes, onde poderemos configurar as garantias e
prioridades de cada fluxo em relao outros, determinando assim uma
poltica de QoS para cada fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especifica. Os
filtros so apenas marcas que o firewall faz no fluxo de pacotes na opo
mangle. Os filtros enxergam os pacotes na ordem em que eles chegam no
roteador.
A rvore de fila tambm a nica maneira para adicionar uma fila em
uma interface separada.
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o
trfego globalin e/ou global-out, limitao por cliente na interface de
sada. Se configurado filas simples e rvores de filas no mesmo roteador,
as filas simples recebero o trfego primeiro e em seguida o classificaro.
10 - QoS
281
rvores de Fila
As rvores de fila so
configuradas em queue tree.
Dentre as propriedades
configurveis podemos destacar:
Escolher uma marca de trfego
feita no firewall mangle;
parente-class ou interface de
sada;
Tipo de fila;
Configuraes de limit-at,
max-limit,priority e burst.
10 - QoS
282
rvores de Fila
Obs.: O roteador no conseguir garantir banda para Q1 o tempo todo.

10 - QoS
283
rvores de Fila
Filas com parent (hierarquia).
10 - QoS
284
rvores de Fila
C1 possui maior prioridade, portanto
consegue atingir o max-limit. O restante da
banda dividida entre as outras leaf-queue.
10 - QoS
285
Perguntas ?
10 - QoS
286
HotSpot no Mikrotik
3 - Hotspot
287
Estrutura do Hotspot
Servidor de hotspot (Servers)
Um server por interface.
Perfis do hotspot (Server Profiles)
Defini como os usurio podero logar.

Usar Radius ou no.
Definir o diretrio que contm as pginas de
login.
Perfis de usurio (User Profile)
Defini velocidade de cada perfil (planos).

Defini popups.
Defini scripts.
Usurios (Users)
Defini usurio e senha

Defini a qual plano o usurio esta
associado.
3 - Hotspot
288
HotSpot
Geralmente usado em rea pblica como hotis,
aeroportos, shoppings, universidades, etc...
Acesso controlado a uma rede qualquer, com ou sem
fio,
Autenticao baseada em nome de usurio e senha.
Com HotSpot, um usurio que tente navegao pela
WEB arremetido para uma pgina do HotSpot que
pede suas credencias, normalmente usurio e senha.
3 - Hotspot
289
HotSpot
3 - Hotspot
290
HotSpot
Apesar de ter sido bem simples a criao do
Hotspot o RouterOS criou algumas regras
necessrias para o funcionamento.
3 - Hotspot
291
HotSpot Detalhes do Servidor

Idle Timeout: Usado para detectar
clientes que esto logados e no
esto trafegando.
Keepalive Timeout: Usado para
detectar clientes que esto logados
porm no esto mais acessveis.
Address Per MAC: Nmero de IPs
permitidos para um determinado
MAC.
3 - Hotspot
292
HotSpot Perfil do Servidor

HTML Directory: Diretrio onde so
colocadas as pginas desse hotspot.
HTTP Proxy/Port: Endereo e porta do
servidor de web proxy.
SMTP Server: Endereo do servidor SMTP.
Rate Limit: Usado para criar uma fila simples
para todo o hotspot. Esta fila vai aps as filas
dinmicas dos usurios.
3 - Hotspot
293

Login by:
MAC: Usa o MAC dos clientes primeiro como nome do usurio. Se
existir na tabela de usurios local ou em um Radius, o cliente
liberado sem usurio/senha.
HTTP CHAP: Usa o mtodo criptografado.
HTTP PAP: Usa autenticao em texto plano.
Cookie: Usa HTTP cookies para autenticar sem pedir credenciais. Se
o cliente no tiver mais o cookie ou se tiver expirado ele de usar
outro mtodo.
HTTPS: Usa tnel SSL criptogrfado. Para que este mtodo funcione,
um certificado vlido deve ser importado para o roteador.
Trial: No requer autenticao por um determinado tempo.

Split User Domain: Corta o domnio do usurio no caso de
usuario@hotspot.com
HTTP Cookie Lifetime: Tempo de vida dos cookies.
MAC Cookie: Nova funcionalidade usada para facilitar a
acessibilidade para smartphones.
3 - Hotspot
294
Hotspot - Radius
Remote Authentication Dial In User Service (RADIUS) um
protocolo de rede que prov de forma centralizada
autenticao, autorizao e contabilizao(Accounting em
ingls).
Autenticao
Roteador de borda
Internet
Roteadores buscando
autenticao no Radius
Servidor Radius 172.31.31.2
3 - Hotspot
295
Hotspot - Configurando Radius
3 - Hotspot
296

Use Radius: Utiliza servidor Radius para
autenticao dos usurios do hotspot.
Location ID e Location Name: Podem ser atribudos
aqui e no Radius. Normalmente deixado em branco.
Accounting: Usado para registrar o histrico de logins,
trfego, desconexes, etc...
Interim Update: Frequncia do envio de informaes
de accounting. 0 significa assim que ocorre o evento.
Nas Port Type: Wireless, ethernet ou cabo.
Informao meramente para referncia.
3 - Hotspot
297
HotSpot Perfil de Usurios

O User Profile serve para dar tratamento diferenciado a
grupos de usurios, como suporte, comercial, diretoria,
etc...
Session Timeout: Tempo mximo
permitido.
Idle Timeout/Keepalive: Mesma
explicao anterior, no entanto agora
somente para este perfil de usurios.
Status Autorefresh: Tempo de
refresh da pgina de Status do
HotSpot.
Shared Users: Nmero mximo de
clientes com o mesmo username.
3 - Hotspot
298

Os perfis de usurio podem conter os limites de
velocidade de forma completa.
Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx
burst-limit] [rxburstthreshold/tx-burst-threshold]
[rx-burst-time/tx-bursttime][priority]
[rx-limit-at/tx-limit-at]
Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
128k de upload / 256k de download
256k de upload burst / 512k de download burst
96k threshould de upload / 192k threshloud de
download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de
download
3 - Hotspot
299

Incoming Filter: Nome do firewall chain aplicado aos
pacotes que chegam do usurio deste perfil.
Outgoing Filter: Nome do firewall chain aplicado aos
pacotes vo para o usurio deste perfil.
Incoming Packet Mark: Marca colocada
automaticamente em pacotes oriundos de usurios
deste perfil.
Outgoing Packet Mark: Marca colocada
automaticamente em pacotes que vo para usurios
deste perfil.
Open Status Page: Mostra a pgina de status.
- http-login: para usurios que logam pela WEB.
- always: para todos usurios inclusive por MAC.
Tranparent Proxy: Se deve usar proxy transparente.
3 - Hotspot
300

Com a opo Advertise possvel enviar de
tempos em tempos popups para os usurios do
HotSpot.
Advertise URL: Lista de pginas que sero
anunciadas. A lista cclica, ou seja, quando a ltima mostrada,
comea-se novamente pela primeira.
Advertise Interval: Intervalo de tempo de exibio de popups.
Depois da sequncia terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar
para o anncio ser mostrado, antes de bloquear o
acesso a rede.
- Pode ser configurado um tempo.
- Nunca bloquear.
- Bloquear imediatamente.
3 - Hotspot
301

O Mikrotik possui uma linguagem interna de scripts que podem ser
adicionados para serem executados em alguma situao especifica.
No HotSpot possvel criar scripts que executem comandos a
medida que um usurio desse perfil conecta ou desconecta do
HotSpot.
Os parmetros que controlam essa execuo so:
On Login: Quando o cliente conecta ao HotSpot.
On Logout: Quando o cliente desconecta do
HotSpot.
Os scripts so adicionados no menu:
/system script
3 - Hotspot
302
HotSpot Usurios
3 - Hotspot
303
HotSpot Usurios
Server: all para todos hotspots ou para um especfico.
Name: Nome do usurio. Se o modo Trial estiver ativado
o hotspot colocar automaticamente o nome TMAC_
Address. No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereo IP caso queira vincular esse usurio
a um endereo fixo.
MAC Address: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile: Perfil onde o usurio herda as propriedades.
Routes: Rotas que sero adicionadas ao cliente quando
se conectar. Sintaxe: Endereo destino gateway
mtrica. Vrias rotas separadas por vrgula podem ser
adicionadas.
3 - Hotspot
304
HotSpot Usurios
Limit Uptime: Limite mximo de
tempo de conexo para o usurio.
Limit Bytes In: Limite mximo de
upload para o usurio.
Limit Bytes Out: Limite mximo de
download para o usurio.
Limit Bytes Total: Limite mximo
considerando o download + upload.
Na aba das estatsticas possvel
acompanhar a utilizao desses
limites.
3 - Hotspot
305
HotSpot Active
Mostra dados gerais e estatsticas de cada usurio conectado.
3 - Hotspot
306
HotSpot Liberaes especiais

Para liberar acesso a internet para um
determinado host utilize sem necessidade de
autenticao IP Binding.
Para liberar acesso a um determinado site sem
necessidade de autenticao utilize Walled
Garden.
Para liberar acesso a um determinado IP ou porta
sem necessidade de autenticao utilize o
Walled Garden IP List.
3 - Hotspot
307
HotSpot IP Bindings
O Mikrotik por default tem habilitado o universal client que
uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.
possvel tambm fazer tradues NAT estticas com base no
IP original, ou IP da rede ou MAC do cliente. possvel
tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede
inicialmente.
Tambm possvel fazer bloqueio de endereos.
3 - Hotspot
308
HotSpot IP Bindings
MAC Address: mac original do cliente.
Address: Endereo IP do cliente.
To Address: Endereo IP o qual o original deve ser
traduzido.
Server: Servidor hotspot o qual a regra ser aplicada.
Type: Tipo do Binding.
- Regular: faz traduo regular 1:1
- Bypassed: faz traduo mas
dispensa o cliente de logar no
hotspot.
- Blocked: a traduo no ser feita e
todos os pacotes sero bloqueados.
3 - Hotspot
309
HotSpot Walled Garden

Configurando um walled garden possvel oferecer ao usurio o
acesso a determinados servios sem necessidade de autenticao.
Por exemplo em um aeroporto poderia se disponibilizar
informaes sobre o tempo ou at mesmo disponibilizar os sites
dos principais prestadores de servio para que o cliente possa
escolher qual plano quer comprar.
Quando um usurio no logado no hotspot requisita um servio do
walled garden o gateway no intercepta e, no caso do http,
redireciona a requisio para o destino ou um proxy.
Para implementar o walled garden para requisies http, existe um
web proxy embarcado no Mikrotik, de forma que todas requisies
de usurios no autorizados passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik no tem a funo de
cache, pelo menos por hora. Notar tambm que esse proxy faz
parte do pacote system e no requer o pacote web-proxy.
3 - Hotspot
310

importante salientar que o
walled garden no se destina
somente a servio WEB, mas
qualquer servio que se queira
configurar. Para tanto existem 2
menus distintos conforme do
figuras ao lado. Sendo o menu
de cima para HTTP e HTTPS e o
de baixo para outros servios e
protocolos.
3 - Hotspot
311

Action: Permite ou nega.
Server: Hotspot para o qual o walled garden
vale.
Src.Address: Endereo IP do usurio
requisitante.
Dst. Address: Endereo IP do web server.
Method: Mtodo http ou https.
Dst. Host: Nome do domnio do servidor de
destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisio.
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado
coringas. Tambm possvel utilizar expresses regulares devendo essas ser
iniciadas com (:)
3 - Hotspot
312

Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden
vale.
Src. Address: Endereo IP do usurio
requisitante.
Dst. Address: Endereo IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que ser
requisitada.
Dst. Host: Nome do domnio do servidor de
destino.
3 - Hotspot
313
HotSpot Cookies
Quando configurado o login por cookies, estes
ficam armazenados no hotspot com nome do
usurio, MAC e tempo de validade.
Enquanto estiverem vlidos o usurio no precisa
efetuar o procedimento de login e senha.
Podem ser deletados (-) forando assim o usurio
a fazer o login novamente.
3 - Hotspot
314
HotSpot Ports
A facilidade NAT do hotspot causa problemas
com alguns protocolos incompatveis com NAT.
Para que esses protocolos funcionem de forma
consistente, devem ser usados os mdulos
helpers.
No caso do NAT 1:1 o nico problema com

relao ao mdulo de FTP que deve ser
configurado para usar as portas 20 e 21.
3 - Hotspot
315
Personalizando o HotSpot
As pginas do hotspot so completamente configurveis e alm
disso possvel criar conjuntos completamente diferentes das
pginas do hotspot para vrios perfis de usurios especificando
diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:
redirect.html redireciona o usurio a uma pgina
especifica.
login.html pgina de login que pede usurio e senha ao
cliente.
Esta pgina tem os seguintes parmetros:
Username/password.
Dst URL original que o usurio requisitou antes do redirecionamento e que
ser aberta aps a autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com
sucesso.
3 - Hotspot
316
HotSpot com HTTPS

Para utilizar o hotspot com HTTPS
necessrio que se crie um certificado, assinlo corretamente e em seguida import-lo
atravs do menu /system certificates.
3 - Hotspot
317
Perguntas ?
3 - Hotspot
318
Web Proxy
4 - Web proxy
319
Web Proxy
Com o servio de web proxy podemos fazer
cache de objetos da internet e com isso
economizar banda.
Tambm possvel utilizar o web proxy como
filtro de contedo sem a necessidade de fazer
cache.
4 - Web proxy
320
Web Proxy Como usar

Basicamente podemos usar o proxy de duas
maneiras
No transparente: necessrio configurar o
endereo e porta do proxy nos computadores
Transparente: No necessrio alterar nenhum
configurao nos computadores(no tratar
conexes HTTPS).
4 - Web proxy
321
Habilitando nosso Web Proxy
4 - Web proxy
322
Web Proxy No transparente

Precisamos configurar manualmente o endereo e
porta do servidor de Proxy em nosso navegador.
4 - Web proxy
323
Web Proxy - Access

A lista de acesso permite
controlar contedo que ser
permitido ou negado.
As regras adicionadas nesta
lista so processadas de
forma semelhante que as
regras do firewall. Neste caso
as regras iro processar as
conexes e caso alguma
conexo receba um match
ela no ser mais processada
pelas demais regras.
4 - Web proxy
324
Web Proxy - Access

Src. Address: Endereo ip de origem.

Dst. Address: Endereo ip de destino.
Dst. Port: Porta ou lista de portas destino.
Local Port: Porta correspondente do proxy.
Dst. Host: Endereo IP ou nome de
destino.
Path: Nome da pgina dentro do servidor.
Method: Mtodo HTTP usado nas
requisies.
Action: Permite ou nega a regra.
Redirect To: URL ao qual o usurio ser
redirecionado caso a regra seja de
negao.
Hits: Quantidade de vezes que a regra
sofreu macth.
4 - Web proxy
325
Web Proxy Criando regras

Crie algumas regras de acesso que permitam e
neguem acesso a alguns sites.
Dica: Para bloquear
sites que contm
uma palavra especifica
utilize : antes da palavra.
4 - Web proxy
326
Web Proxy Dst. Host e Path

Dst. Host = Nome DNS ou IP utilizado para
acessar um determinado site (de vermelho).
Path = Caminho de uma pgina ou documento
dentro de um determinado site (de verde).
Exemplos:
http://wiki.mikrotik.com/wiki/Manual:IP/Proxy
http://www.mikrotik.com/thedude
4 - Web proxy
327
Web Proxy Transparente

Redirecionando o fluxo HTTP para proxy
paralelo.
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=dst-nat
to-addresses=10.10.10.254 to-ports=8080
4 - Web proxy
328
Web Proxy Transparente

Redirecionando o fluxo HTTP para proxy local.
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect toports=8080
4 - Web proxy
329
Web Proxy Redirecionamento
4 - Web proxy
330
Web Proxy - Parmetros

Src. Address: Endereo IP do servidor proxy
caso voc possua vrios ips no mesmo
roteador.
Port: Porta onde o servidor ir escuta.
Parent Proxy: Servidor proxy pai usado em
um sistema de hierarquia de proxy.
Parent Proxy Port: Porta do proxy pai.
Cache Administrator: Identificao do
administrador do proxy(geralmente o email).
Max Cache Size: Tamanho mximo do cache
em KiBytes.
Cache On Disk: Indica se o cache ser em
Disco ou em RAM.
4 - Web proxy
331

Max Client Connections: Nmero mximo
de conexes simultneas ao proxy.
Max Server Connections: Nmero
mximo de conexes que o proxy far a
um outro servidor proxy.
Max Fresh Time: Tempo mximo que os
objetos que no possuem tempo padro
definidos, sero considerados atuais.
Serialize Connections: Habilita mltiplas
conexes entre o servidor e os clientes.
Always From Cache: Ignore requisies de
atualizao dos clientes caso o
objeto(contedo) for considerado atual.
4 - Web proxy
332

Cache Hit DSCP (TOS): Adiciona
marca DSCP com o valor
configurado a pacotes que deram
hit no proxy.
Cache Drive: Exibe o disco que o
proxy est usando para
armazenamento dos objetos.
Esses discos podem ser acessados
no menu: /system stores.
4 - Web proxy
333
Web Proxy - Status

Uptime: Tempo que o proxy est rodando.
Requests: Total de requisies ao proxy.
Hits: Nmero de pedidos que foram
atendidos pelo cache do proxy.
Cache Used: Espao usado em disco ou RAM
usado pelo cache do proxy.
Total RAM Used: Total de RAM usada pelo
proxy.
Received From Servers: Total de dados em Kibytes recebidos de servidores

externos.
Sent To Clients: Total de dados em Kibytes enviados ao clientes.
Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos
clientes.
4 - Web proxy
334
Web Proxy - Conexes

Aqui podemos a lista de conexes ativas no proxys
Src. Address: Endereo IP das
conexes remotas.
Dst. Address: Endereo destino
que est sendo requisitado.
Protocol: Protocolo utilizado
pelo navegador.
State: Status da conexo.
Tx Bytes: Total de bytes
enviados.
Rx Bytes: Total de bytes
recebidos remotamente.
4 - Web proxy
335
Web Proxy - Cache

A lista de cache define como as requisies
sero armazenadas ou no no cache do proxy.
Esta lista manipulada da mesma forma que a
lista de acesso.
Os parmetros de configurao das regras so
idnticas as regras da lista de acesso.
4 - Web proxy
336
Web Proxy - Direct

A lista de acesso direto utilizada quando um
Parent Proxy est configurado. Desta forma
possvel passar a requisio ao mesmo ou tentar
encaminhar a requisio diretamente ao servidor
de destino.
Esta lista manipulada da mesma forma que a
lista de acesso.
Os parmetros de configurao das regras so
idnticas as regras da lista de acesso.
4 - Web proxy
337
Web Proxy Segurana

Quando habilitamos um servidor de Proxy, ele
pode ser usado por qualquer usurio, estando
este na sua rede interna ou externa.
Precisamos garantir que somente os clientes da
rede local tero acesso ao Proxy.
/ip firewall filter
add action=drop chain=input in-interface=interface-wan
4 - Web proxy
338
Web Proxy Regras de Firewall

Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocol=tcp dstport=80 action=redirect to-ports=8080
Protegendo o proxy contra acessos externos

no autorizados
/ip firewall filter add chain=input protocol=tcp dstport=8080 ininterface= wan action=drop
4 - Web proxy
339
Perguntas ?
4 - Web proxy
340
The Dude O cara
11 - The Dude
341
The Dude O cara

The Dude uma ferramenta de monitoramento que:
Fornece informaes acerca de quedas e
restabelecimentos de redes, servios, assim como uso de
recursos de equipamentos.
Permite mapeamento da rede com grficos da topologia e
relacionamentos lgicos entre os dispositivos.
Notificaes via udio/video/email acerca de eventos.
Grfico de servios mostrando latncia, tempos de
respostas de DNS, utilizao de banda, informaes fsicas
de links, etc...
Monitoramento de qualquer dispositivo que suporte o
protocolo SNMP.
11 - The Dude
342
The Dude O cara

Possibilidade de utilizar ferramentas para acesso
direto a dispositivos da rede a partir do diagrama
da mesma.
Acesso direto a dispositivos Mikrotik atravs do
winbox.
Armazenamento de histrico de eventos(logs) de
toda a rede, com momentos de queda,
restabelecimentos, etc...
Possibilidade de utilizar SNMP tambm para
tomada de decises atravs do SNMP Set.
11 - The Dude
343
Instalando o The Dude

No Windows:
Fazer o download, clicar no executvel e responder
sim para todas as perguntas.
No Linux:
Instalar o wine e a partir da proceder como no
windows.
Em Routerboard ou PC com Mikrotik:

Baixar o pacote referente a arquitetura especifica,
enviar para o Mikrotik via FTP ou Winbox e rebootar o
roteador.
11 - The Dude
344
The Dude em Routerboards

O espao em disco consumido pela The Dude considervel, entre
outras coisas, devido aos grficos e logs a serem armazenados.
Assim, no caso de instalao em Routerboards aconselhvel o uso
daquelas que possuam armazenamento adicional como:

RB 433UAH Aceita HD externo via USB

RB 450G Aceita MicroSD
RB 600 Aceita SD
RB 800 Aceita MicroSD
RB 1100 Aceita MicroSD
No aconselhvel a instalao em outras Routerboards por

problemas de perdas de dados devido a impossibilidade de efetuar
backups. Problemas de processamento tambm devem ser
considerados.
11 - The Dude
345
The Dude - Comeando

A instalao do The Dude sempre instala o
cliente e o servidor e no primeiro uso ele
sempre ir tentar usar o Servidor
Local(localhost). Caso queira se conectar em
outro servidor clique no raio.
11 - The Dude
346
The Dude - Comeando

O auto discovery permite que o servidor The Dude
localize os dispositivos de seu segmento de rede,
atravs de provas de ping, arp, snmp, etc... E por
servios tambm.
Os outros segmentos de rede que tenham Mikrotiks
podem ser mapeados por seus vizinhos (neighbours).
Apesar de ser uma facilidade, no aconselhvel
utilizar este recurso.
11 - The Dude
347
The Dude Adicionando dispositivos

O The Dude tem um wizard para criao de
dispositivos. Informe o IP e, se o dispositivo
for Mikrotik, marque a opo Router OS.
11 - The Dude
348

Em seguida descubra os servios que esto
rodando nesse equipamento. Aps isso o
dispositivo estar criado.
11 - The Dude
349

Clique no dispositivo criado para ajustar vrios
parmetros. Dentre esses os principais:
Nome de exibio.
Tipo do dispositivo.
11 - The Dude
350

O The Dude possui vrios dispositivos prdefinidos, mas pode-se criar novos dispositivos
personalizados para que o desenho realmente
reflita a realidade prtica.
Por razes de produtividade aconselhvel que
todos os dispositivos existentes na rede sejam
criados com suas propriedades especificas antes
do desenho da rede, mas nada impede que isso
seja feito depois.
11 - The Dude
351

Quando a rede possui elementos no
configurveis por IP como switchs L2,
necessrio criar dispositivos estticos para
fazer as ligaes. Com isso possvel concluir
o diagrama da rede de forma mais realista e
parecida com a real.
11 - The Dude
352
The Dude Criando links

Para criar links entre os dispositivos basta clicar no mapa com o
boto direito, selecionar Add Link e ligar os dois dispositivos
informando:
Device: Dispositivo que ir fornece as informaes do link.
Mastering type: Informa como as informaes sero obtidas.
Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS,
escolha a interface que deseja monitorar a velocidade e estado do
link.
Speed: Informando a velocidade do link, ativado a sinalizao do
estado do mesmo baseando-se em cores.
Type: Tipo de conexo fsica entre os dispositivos.
11 - The Dude
353
The Dude Notificaes

Efetue um duplo clique no dispositivo e v na
guia Notifications. Nela voc pode informar
o tipo de notificao que deseja receber.
11 - The Dude
354
The Dude Servios indesejveis

Com o The Dude podemos monitorar servios
que no desejamos que estejam ativos.
11 - The Dude
355
The Dude grficos

Podemos manipular a forma como os grficos
iro ser apresentados para identificar servios,
estado dos links etc...
11 - The Dude
356
The Dude Efetuando Backups

As configuraes so salvas automaticamente
na medida em que so feitas. Para se ter um
backup externo use o export para gerar um
arquivo .xml com todas as configuraes que
podero ser importadas sempre que
necessrio.
11 - The Dude
357
Perguntas ?
11 - The Dude
358

Apostila - MikroTik MTCNA

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Apostila - MikroTik MTCNA

Transféré par

Droits d'auteur :

Formats disponibles

Treinamento oficial Mikrotik

Onde est a Mikrotik ?

Nomenclatura das routerboards

Resetando seu router

Identificando seu roteador

Lembre-se de seu nmero: XY

Configure seu Notebook

Corrigir o problema de conectividade

Adicionando uma regra de source nat

ISO botvel (imagem)

Instalando pela ISO

Instalando via netinstall em

Outros modos de acesso

Configurando Cliente NTP

Ajustando fuso horrio

Observe que o arquivo gerado recebe o

Backup pelo comando export

Para exportar as configuraes para dentro de um

Localizando e editando backup

Aps transferir o arquivo para

Safe Mode Released by another user

Modelo OSI, TCP/IP

Modelo OSI vs TCP/IP

Modelo usado para estudos

Modelo usado na prtica

2 - OSI, TCP/IP e protocolos

Um pouco mais sobre o modelo OSI

Cabealho possui porta (TCP/UDP) de origem e destino

2 - OSI, TCP/IP e protocolos

Camada 7 aplicao - Dados

Camada 4 transporte - Portas

Camada 2 enlace - MAC

2 - OSI, TCP/IP e protocolos

PDU - Protocol data unit

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

Estado das conexes

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

Como ARP funciona

2 - OSI, TCP/IP e protocolos

Protocolos - UDP / TCP

Servio sem conexo; nenhuma sesso

Servio orientado por conexo; uma sesso

O UDP no garante ou confirma a entrega

O TCP garante a entrega usando

O UDP rpido, requer baixa sobrecarga e

O TCP mais lento, requer maior

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

2 - OSI, TCP/IP e protocolos

Canalizao 5Mhz e 10Mhz