Treinamento Mikrotik

TREINAMENTO MIKROTIK
CERTIFICAO MTCNA
Produzido por: MKT Solutions
www.mktsolutions.net.br
Instrutor: Guilherme Ramires
AGENDA
Treinamento dirio das 09:00hs

09:00 s 17:00hs
Coffe break as 10:30hs e as 15:00hs
15:00
Almoo as 13:00hs 1 hora de durao
Algumas regras importantes

Por ser um curso oficial, o mesmo no poder ser filmado
ou gravado
Procure deixar seu aparelho celular desligado ou em modo
silencioso
Durante as explanaes evite as conversas paralelas. Elas
sero mais apropriadas nos laboratrios
Desabilite qualquer interface wireless ou dispositivo 3G
em seu laptop
3
Algumas regras importantes
Perguntas so sempre bem vindas. Muitas vezes a sua

dvida a dvida de todos.
O acesso a internet ser disponibilizado para efeito
didtico dos laboratrios. Portanto evite o uso
inapropriado.
O certificado de participao somente ser concedido a
quem obtiver presena igual ou superior a 75%.
4
Apresente-se
se a turma
Diga seu nome;

Sua empresa;
Seu conhecimento sobre o RouterOS;
Seu conhecimento com redes;
O que voc espera do curso;
Lembre-se
se de seu nmero: XY
5
Objetivos do curso
Prover um viso geral sobre o Mikrotik RouterOS e

as RouterBoards.
Mostrar de um modo geral todas ferramentas que o
Mikrotik RouterOS dispe para prover boas
solues.
Onde est a Mikrotik ?
RouterBoards
So hardwares criados pela Mikrotik;

Atualmente existe uma grande variedade de
RouterBoards.
Mikrotik RouterOS
RouterOS o sistema operacional das

RouterBoards e que pode ser configurado como:
Um roteador dedicado
Controlador de banda
Firewall
Gerenciador de usurios
Dispositivo QoS personalizado
Qualquer dispositivo wirless 802.11a/b/g/n
Alm das RouterBoards ele tambm pode ser instalado em

PCs.
9
Instalao do RouterOS
O Mikrotik RouterOS pode ser instalado a partir de:
CD ISO bootvel imagem
Via rede com utilitrio Netinstall
10
Onde obter o Mikrotik RouterOS

Para obter os ltimos pacotes do Mikrotik RouterOS
basta acessar:
http://www.mikrotik.com/download.html
L voc poder baixar as imagens .iso
.
Os pacotes combinados
E os pacotes individuais
11
Instalando pelo CD
Inicie o PC com o modo boot pelo CD
12
Pacotes do RouterOS
System: Pacote principal contendo os servios bsiscos e drivers. A rigor o nico que obrigatrio
PPP: Suporte a servios PPP como PPPoE,, L2TP, PPTP, etc..
DHCP: Cliente e Servidor DHCP
Advanced-tools: Ferramentas de diagnstico, netwatch e outros ultilitrios
Arlan: Suporte a uma antiga placa Aironet antiga arlan
Calea:: Pacote para vigilncia de conexes (Exigido somente nos EUA)
GPS: Suporte a GPS ( tempo e posio )
HotSpot: Suporte a HotSpot
ISDN: Suporte as antigas conexes ISDN
LCD: Suporte a display LCD
NTP: Servidor de horrio oficial mundial

13
Pacotes do RouterOS
Radiolan: Suporte a placa RadioLan
RouterBoard: Utilitrio para RouterBoards
Routing:: Suporte a roteamento dinmico tipo RIP, OSPF, BGP
RSTP-BRIGE-TEST: Protocolo RSTP
Security: Suporte a ssh, IPSec e conexo segura do winbox
Synchronous: suporte a placas sncronas Moxa,, Cyclades PC300, etc...
Telephony: Pacote de suporte a telefnia protocolo h.323
UPS: Suporte as no-breaks APC
User-Manager: Servio de autenticao User-Manager

Manager
Web-Proxy: Servio Web-Proxy
Wireless: Suporte a placas Atheros e PrismII
Wireless-legacy: Suporte as placas antigas Atheros,, PrismII e Aironet

14
Instalando pelo CD
Pode-se
se selecionar os pacotes desejados usando a barra de espaos ou a para
todos. Em seguida pressione i para instalar os pacotes selecionados. Caso haja
configuraes pode-se mant-las
las pressionando y.
15
Instalao com Netinstall
Pode ser instalado em PC que boota via rede(configurar

na BIOS)
Pode ser baixado tambm em:

O netinstall um excelente recurso para reinstalar em

routerboards quando o sistema foi danificado ou quando
se perde a senha do equipamento.
16

Para se instalar em uma RouterBoard,
RouterBoard
inicialmente temos que entrar via serial, com
cabo null modem e os seguintes parmetros:
Velocidade: 115.200 bps
Bits de dados: 8
Bits de parada: 1
Controle de fluxo: hardware
17

Atribuir um IP para o Net
Booting na mesma faixa
da placa de rede da
mquina
Coloque na mquina os
pacotes a serem
instalados
Bootar e selecionar os
pacotes a serem
instalados
18
Primeiro acesso
O processo de instalao no configura IP no

Mikrotik. Portanto o primeiro acesso pode ser feito
das seguintes maneiras:
Direto no console (em pcs)

Via terminal
Via telnet de MAC, atravs de outro
Mikrotik ou sistema que suporte
telnet de MAC e esteja no mesmo
barramento fsico de rede
Via Winbox
19
Console no Mikrotik
Atravs do console do Mikrotik possvel acessar todas
configuraes do sistema de forma hierrquica
conforme os exemplos abaixo:
Acessando o menu interface
[admin@MikroTik] > interface
[admin@MikroTik] interface > ethernet
Para retornar ao nvel anterior basta digitar ..
[admin@MikroTik] interface ethernet> ..
[admin@MikroTik] interface >
Para voltar ao raiz digite /
[admin@MikroTik] interface ethernet> /
[admin@MikroTik] >
20
Console no Mikrotik
? Mostra um help para o diretrio em que se esteja
? Aps um comando incompleto mostra as opes
disponveis para o comando
Comandos podem ser completados com a tecla TAB
Havendo mais de uma opo para o j digitado,
pressione TAB 2 vezes para mostrar as opes
disponveis
21
Console no Mikrotik
Comando PRINT mostra informaes de configurao:
[admin@MikroTik] > interface ethernet> print
Flags: X - disabled, R - running, S - slave
# NAME
MTU MAC-ADDRESS
ARP
0 R ether1
1500 00:0C:42:34:F7:02 enabled
MASTER-PORT
SWITCH
[admin@MikroTik] > interface ethernet> print detail

0 R name="ether1" mtu=1500 l2mtu=1526 mac-address=00:0C:42:34:F7:02
mac
arp=enabled
auto-negotiation=yes full-duplex=yes
duplex=yes speed=100Mbps
22
Console no Mikrotik
possvel monitorar o status das interfaces com o seguinte comando:
[guilherme@MKT] > interface wireless monitor wlan1

status: running-ap
band: 5ghz
frequency: 5765MHz
noise-floor: -112dBm
overall-tx-ccq: 93%
registered-clients: 8
authenticated-clients: 8
current-ack-timeout: 33
nstreme: no
current-tx-powers:: 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21)
24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
23
Console no Mikrotik
Comandos para manipular regras
add,, set, remove: adiciona, muda e remove regras;
disabled: desabilita regra sem deletar;
move: move a regra cuja a ordem influncia.
Comando Export
Exporta todas as configuraes do diretoria acima;
Pode ser copiado e colado em um editor de textos;
Pode ser exportado para arquivo.
Comando Import
Importa um arquivo de configurao criado pelo comando export.
24
WINBOX
Winbox o utilitrio para administrao do Mikrotik em modo grfico.
Funciona em Windows. Para funcionar no Linux necessrio a instalao
do emulador Wine.. A comunicao feita pela porta TCP 8291 e caso voc
habilite a opo Secure Mode a comunicao ser criptografada.
Para baixar o winbox acesse o link:
25
Acessando pelo WINBOX

possvel acessar o Mikrotik inicialmente sem endereo IP, atravs
do MAC da interface do dispositivo que est no mesmo barramento
fsico que o usurio. Para isso basta clicar nos 3 pontos e selecione o
MAC que aparecer.
26
Configurao em Modo Seguro

O Mikrotik permite o acesso ao sistema atravs do modo seguro. Este
modo permite desfazer as configuraes modificadas caso a sesso seja
perdida de forma automtica. Para habilitar o modo seguro pressione
CTRL+X.
27

Se um usurio entra em modo seguro, quando j h um nesse
modo, a seguinte mensagem ser dada:
Hijacking Safe Mode from someone unroll/release/
/release/dont take it [u/r/d]
u desfaz todas as configuraes anteriores feitas em modo

seguro e pe a presente sesso em modo seguro
d deixa tudo como est
r mantm as configuraes no modo seguro e pe a sesso
em modo seguro. O outro usurio receber a seguinte
mensagem:
Safe Mode Released by another user
28

Todas configuraes so desfeitas caso voc perca comunicao com o
roteador, o terminal seja fechado clicando no x ou pressionando
CTRL+D.
Configuraes realizadas em modo seguro so marcadas com uma Flag
F, at que sejam aplicadas
possvel visualizar o histrico de modificaes atravs do menu:
/system history print
Obs.: O nmero mximo de registros em modo seguro de 100.
29
Manuteno do Mikrotik
Atualizao
Gerenciando pacotes
Backup
Informaes sobre licenciamento
30
Atualizaes
As atualizaes podem ser feitas a
partir de um conjunto de pacotes
combinados ou individuais.
Os arquivo tem extenso .npk e para
atualizar a verso basta fazer o
upload para o diretrio raiz e efetuar
um reboot.
O upload pode ser feito por FTP ou
copiando e colando pelo Winbox.
31
Pacotes
Adicionar novas funcionalidades podem ser feitas
atravs de alguns pacotes que no fazem parte do
conjunto padro de pacotes combinado.
Esses arquivos tambm possuem extenso .npk
.
e
para instal-los
los basta fazer o upload para o
Mikrotik e efetuar um reboot do sistema.
Alguns pacotes como User
User Manager e
Multicast so exemplos de pacotes adicionais
que no fazem parte do pacote padro.
32
Pacotes
Alguns pacotes podem ser habilitados e desabilitados
conforme sua necessidade.
Pacote desabilitado
Pacote marcado para ser
desabilitado
Pacote marcado para ser
habilitado
33
Backup
Para efetuar o backup
basta ir em Files e clicar no
boto Backup.
Para restaurar o backup
basta selecionar o arquivo
e clicar em Restore.
Este tipo de backup pode causar problemas de MAC caso
seja restaurado em outro hardware. Para efetuar um
backup por partes use o comando export.
34
Licenciamento
A chave gerada sobre
um software-id fornecido
pelo sistema.
A licena fica vinculada ao
HD ou Flash e/ou placa
me.
A formatao com outras
ferramentas muda o
software-id causa a perda
da licena.
35
Dvidas ???
36
Nivelamento de conhecimentos TCP/IP
37
Modelo OSI
(Open System Interconnection)
Interconnection
CAMADA 7 Aplicao: Comunicao com os programas. SNMP e TELNET.
CAMADA 6 Apresentao: Camada de traduo. Compresso e criptografia
CAMADA 5 Sesso: Estabelecimento das sesses TCP.
CAMADA 4 Transporte: Controle de fluxo, ordenao dos pacotes e correo de erros
CAMADA 3 Rede: Associa endereo fsico ao endereo lgico
CAMADA 2 Enlace: Endereamento fsico. Detecta e corrige erros da camada 1
CAMADA 1 Fsica: Bits de dados
38
Camada I Camada Fsica

A camada fsica define as caractersticas
tcnicas dos dispositivos eltricos.
nesse nvel que so definidas as
especificaes de cabeamento estruturado,
fibras pticas, etc... No caso da wireless a
camada I que define as modulaes,
frequncias e largura de banda das portadores.
39
Camada II - Enlace
Camada responsvel pelo endereamento fsico,
controle de acesso ao meio e correes de erros da
camada I.
Endereamento fsico se faz pelos endereos MAC
(Controle de Acesso ao Meio) que so nicos no mundo
e que so atribudos aos dispositivos de rede.
Ethernets e PPP so exemplos de dispositivos que
trabalham em camada II.
40
Endereo MAC
o nico endereo fsico de um dispositivo de rede
usado para comunicao com a rede local
Exemplo de endereo MAC: 00:0C:42:00:00:00
41
Camada III - Rede

Responsvel pelo endereamento lgico dos
pacotes.
Transforma endereos lgicos(endereos IPs) em
endereos fsicos de rede.
Determina que rota os pacotes iro seguir para
atingir o destino baseado em fatores tais como
condies de trfego de rede e prioridade.
42
Endereo IP
o endereo lgico de um dispositivo de rede
usado para comunicao entre redes
Exemplo de endereo ip:: 200.200.0.1
43
Sub Rede
uma faixa de endereos IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereo de REDE o primeiro IP da sub rede
O endereo de BROADCAST o ltimo IP da sub rede
Esses endereos so reservados e no podem ser usados
End. IP/Mscara
End. de Rede
End. Broadcast
192.168.0.1/24
192.168.0.0
192.168.0.255
192.168.0.1/25
192.168.0.0
192.168.0.127
192.168.0.1/26
192.168.0.0
192.168.0.63
192.168.0.200/26
192.168.0.192
192.168.0.255
44
Endereamento CIDR
45
Protocolo ARP Address Resolution Protocol

Utilizado para associar IPs com endereos fsicos.
Faz a intermediao entre a camada II e a camada III da
seguinte forma:
1. O solicitante de ARP manda um pacote de broadcast com
informao do IP de destino, IP de origem e seu MAC,
perguntando sobre o MAC de destino.
2. O host que tem o IP de destino responde fornecendo seu MAC.
3. Para minimizar o broadcast, o S.O mantm um tabela ARP
constando o par (IP MAC).
46
Camada IV - Transporte
Quando no lado do remetente responsvel por
pegar os dados das camadas superiores e dividir em
pacotes para que sejam transmitidos para a camada
de rede.
No lado do destinatrio pega pega os pacotes
recebidos da camada de rede, remonta os dados
originais e os envia para camada superior.
Esto na camada IV: TCP, UDP, RTP
47
Camada IV - Transporte
Protocolo TCP:
O
O TCP um protocolo de transporte que executa
importantes funes para garantir que os dados sejam
entregues de forma confivel, ou seja, sem que os
dados sejam corrompidos ou alterados.
Protocolo UDP:
O
O UDP um protocolo no orientado a conexo e
portanto mais rpido que o TCP. Entretanto no
garante a entrega dos dados.
48
Caractersticas do protocolo TCP

Garante a entrega de data gramas IP.
Executa a segmentao e reagrupamento de grande blocos de dados enviados
pelos programas e garante o seqenciamento adequado e a entrega ordenada de
dados segmentados.
Verifica a integridade dos dados transmitidos usando clculos de soma de
verificao.
Envia mensagens positivas dependendo do recebimento bem-sucedido
bem
dos dados.
Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas
para os dados que no foram recebidos.
Oferece um mtodo preferencial de transporte de programas que devem usar
transmisso confivel de dados baseados em sesses, como banco de dados
cliente/servidor por exemplo.
49
Portas TCP
Protocolo
TCP
FTP
SSH
Telnet
WEB
Porta 21
Porta 22
Porta 23
Porta 80
O uso de portas, permite o funcionamento de vrios servios, ao

mesmo tempo, no mesmo computador, trocando informaes com um
ou mais servios/servidores.
Portas abaixo de 1024 so registradas para servios especiais.
50
Diferenas bsicas entre TCP e UDP

TCP
UDP
Servio orientado por conexo.
Servio sem conexo. No estabelecida

conexo entre os hosts.
Garante a entrega atravs do uso de

confirmao e entrega seqenciada dos
dados.
No garante ou no confirma entrega

dos dados.
Programas que usam TCP tem garantia

de transporte confivel de dados.
Programas que usam UDP so

responsveis pela confiabilidade dos
dados.
Mais lento, usa mais recursos e somente

d suporte a ponto a ponto.
Rpido, exige poucos recursos e oferece

comunicao ponto a ponto e
multiponto.
51
Estado das conexes

possvel observar o estado das conexes no MikroTik no menu Connections.
52
Dvidas ????
53
DIAGRAMA INICIAL
54
Configurao do Router
Adicione os ips as interfaces
Obs.: Atente para selecionar as interfaces corretas.

55
Adicione a rota padro
3
1
4
56
Adicione o servidor DNS
1
3
2
4
57
Configurao da interface wireless
58
Teste de conectividade
Pingar a partir da RouterBoard o seguinte ip:
192.168.X.254
Pingar a partir da RouterBoard o seguinte endereo:
www.mikrotik.com;
Pingar a partir do notebook o seguinte ip:
192.168.X.254
Pingar a partir do notebook o seguinte endereo:
www.mikrotik.com;
Analisar os resultados
59
Corrigir o problema de conectividade

Diante do cenrio apresentado quais solues
podemos apresentar?
Adicionar rotas estticas;
Utilizar protocolos de roteamento dinmico;
Utilizar NAT(Network Address Translation).
60
Utilizao do NAT
O mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhem um mesmo endereo
IP de sada do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui
um endereo IP de origem e destino. Para mascarar o
endereo, o NAT faz a troca do endereo IP de origem.
Quando este pacote retorna ele encaminhando ao
host que o originou.
61
Adicionar uma regra de NAT, mascarando as

requisies que saem pela interface wlan1.
3
1
4
62
Teste de conectividade
Efetuar os testes de ping a partir do notebook;
Analisar os resultados;
Efetuar os eventuais reparos.
Aps a confirmao de que tudo est funcionando, faa
o backup da routerboard e armazene-o
armazene no notebook.
Ele ser usado ao longo do curso.
63
Gerenciando usurios
O acesso ao roteador pode ser controlado;
Pode-se
se criar usurios e/ou grupos diferentes;
1
64
Gerenciamento de usurios
Adicione um novo usurio com seu nome e d a ele
acesso Full
Mude a permisso do usurio admin
para Read
Faa login com seu novo usurio.

65
Atualizando a RouterBoard
Faa o download dos pacotes no seguinte endereo:
ftp://172.31.255.2
Faa o upload dos pacotes para sua RouterBoard
Reinicie a RouterBoard para que os pacotes novos
sejam instalados
Confira se os novos pacotes foram instalados com
sucesso.
66
Wireless no Mikrotik
67
Configuraes Fsicas
Padro IEEE
Frequncia
Tecnologia
Velocidades
802.11b
2.4 Ghz
DSSS
1, 2, 5.5 e 11 Mbps
802.11g
2.4 Ghz
OFDM
6, 9, 12, 18, 24, 36, 48 e 54 Mbps
802.11a
5 Ghz
OFDM
6, 9, 12, 18, 24, 36, 48 e 54 Mbps
802.11n
2.4 Ghz e 5 Ghz
BQSP, QPSQ e QAM
De 6.5Mbps at 600 Mbps
68
802.11b - DSSS
69
Canais no interferentes em
2.4 Ghz - DSSS
Canal 1
2.412 GHz
Canal 6
2.437 GHz
Canal 11
2.462 GHz
70
Configuraes Fsicas 2.4Ghz

2.4Ghz-B: Modo 802.11b,
que permite velocidades de
1 11 Mbps e utiliza
espalhamento espectral.
2.4Ghz-only-G: Modo
802.11g, que permite
velocidades de 6 54 Mbps
e utiliza OFDM.
2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado para ser

usado somente em processo de migrao.
71
Canais do espectro de 5Ghz
Em termos regulatrios a frequncia de 5Ghz dividida em 3 faixas:

Faixa baixa: 5150 a 5350 Mhz
Faixa mdia: 5470 a 5725 Mhz
Faixa alta:
5725 a 5850 Mhz

72
Aspectos legais do espectro de 5Ghz

Faixa Baixa
Freqncias
Faixa Mdia
Faixa Alta
5150-5250
5250-5350
5350
5470-5725
5725-5850
Largura
100 Mhz
100 Mhz
255 Mhz
125 Mhz
Canais
4 canais
4 canais
11 canais
5 canais
Deteco de
radar
obrigatria
Deteco de
radar
obrigatria
73
Configuraes Fsicas 5 Ghz

5Ghz: Modo 802.11a
opera nas trs faixas
permitidas com
velocidades que vo de
6Mbps a 54 Mbps.
O modo 5Ghz permite ainda as variaes de uso em 10Mhz e 5Mhz de

largura de banda que permite selecionar freqncias mais especificas,
porm reduzindo a velocidade nominal.
Permite ainda a seleo do modo turbo ou a/n dependendo do

modelo do carto.
74
Canalizao em 802.11a Modos 5Mhz e 10Mhz
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de tx
75
Canalizao em 802.11a Modo Turbo
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
76
Padro 802.11n
INDICE:
MIMO
Velocidades do 802.11n
Bonding do canal
Agregao dos frames
Configurao dos cartes
Potncia de TX em cartes N
Bridge transparente para links N utilizando MPLS/VPLS
77
MIMO
MIMO: Multiple Input and Multiple Output
SDM: Spatial Division Multiplexing
Streams espaciais mltiplas atravs de mltiplas antenas.
Configuraes de antenas mltiplas para receber e

transmitir:
1x1, 1x2, 1x3;
2x2, 2x3;
3x3
78
802.11n - Velocidades nominais
79
802.11n - Bonding dos canais 2 x 20Mhz

Adiciona mais 20Mhz ao canal existente
O canal colocado abaixo ou acima da frequncia
principal
compatvel com os clientes legados de 20Mhz
Conexo
Conexo feito no canal principal
Permite utilizar taxas maiores

80
802.11n Agregao dos frames

Combina mltiplos frames de dados em um simples frame. O
que diminui o overhead
Agregao de unidade de dados protocolo MAC (AMPDU)
Aggregated MAC Protocol Data Units
Usa Acknowledgement em bloco
Pode aumentar a latncia. Por padro habilitado somente para
trfego de melhor esforo
Agregao de unidade de dados de servios MAC (AMSDU)

Enviando e recebendo AMSDUs causa aumento de
processamento, pois este processado a nvel de software.
81
Configurando no Mikrotik
HT Tx Chains / HT Rx Chains:
No caso dos cartes n a
configurao da antena ignorada.
HT AMSDU Limit: Mximo AMSDU
que o dispositivo pode preparar.
HT AMSDU Threshold: Mximo
tamanho de frame que permitido
incluir em AMSDU.
82
HT Guard Interval: Intervalo de guarda.

Any: Longo ou curto, dependendo
da velocidade de transmisso.
Longo: Intervalo longo.
HT Extension Channel: Define se ser

usado a extenso adicional de 20Mhz.
Below: Abaixo do canal principal
Above: Acima do canal principal
HT AMPDU Priorities: Prioridades do

frame para qual o AMPDU deve ser
negociado e utilizado.
83
Quando se utiliza 2 canais ao mesmo tempo, a potncia de transmisso

84
dobrada.
Bridge transparente em enlaces N

WDS no suporta agregao de frames e portanto
no prov a velocidade total da tecnologia n
EoIP incremente overhead
Para fazer bridge transparente com velocidades
maiores com menos overhead em enlaces n
devemos utilizar MPLS/VPLS.
85

Para se configurar a bridge transparente em enlaces n, devemos
estabelecer um link AP <-> Station e configure uma rede ponto a
ponto /30.
Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)
192.168.X.Y/30(
Habilitar o LDP (Label Distribution Protocol)
Protocol em ambos lados.
Adicionar a wlan1 a interface MPLS
86
Configurar o tnel VPLS em ambos os lados

Crie uma bridge entre a interface VPLS e a ethernet conectada
Confira o status do LDP e do tnel VPLS
87
Bridges VPLS - Consideraes

O tnel VPLS incrementa o pacote. Se este pacote
excede o MPLS MTU da interface de saida, este ser
fragmentado.
Se a interface ethernet suportar MPLS MTU de 1522
ou superior, a fragmentao pode ser evitada
alterando o MTU da interface MPLS.
Uma lista completa sobre as MTU das RouterBoards
pode ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards
Maximum_Transmission_Unit_on_RouterBoards
88
Setup Outdoor para enlaces n

Recomendaes segundo a Mikrotik:
Teste de canal separadamente antes de us-los
us
ao
mesmo tempo.
Para operao em 2 canais, usar polarizaes
diferentes
Quando utilizar antenas de polarizao dupla, a
isolao mnima recomendada da antena de 25dB.
89
Enlaces n
Estabelea um link N com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS

90
Configuraes de camada fsica - Potncias
default:: No altera a potncia original do carto

cards rates:: Fixa mas respeita as variaes das taxas para cada velocidade
all rates fixed:: Fixa um valor para todas velocidades
manual:: permite ajustar potncias diferentes para cada velocidade
91
Configuraes de camada fsica - Potncias
Quando a opo regulatory domain est habilitada, somente as frequncias

permitidas para o pas selecionado em Country estaro disponveis. Alm disso o
Mikrotik ajustar a potncia do rdio para atender a regulamentao do pas,
levando em conta o valor em dBi informado em Antenna
Gain.
Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13
92
Configuraes da camada fsica Seleo de antena

Em cartes que tem duas saidas
para antenas, possvel escolher:
antena a:
a utiliza antena a(main) para tx e rx
antena b:
b utiliza antena b(aux) para tx e rx
rx-a/tx--b: recepo em a e transmisso em b
tx-a/rx--b: transmisso em b e recepo em a
93
Configuraes da camada fsica DFS

no radar detect: escaneia o meio e
escolhe o canal em que for encontrado
o menor nmero de redes
radar detect:
detect escaneia o meio e espera
1 minuto para entrar em operao no
canal escolhido se no for detectada a
ocupao do canal
Obs.:: O modo DFS obrigatrio no
Brasil para as faixas de 5250-5250
5250
e
5350-5725
5725
94
Configuraes da camada fsica Prop. Extensions e WMM

Proprietary Extensions: Opo com a nica
finalidade de dar compatibilidade com chipsets
Centrino.
WMM Support:
Support QoS no meio fsico(802.11e)
enabled:: permite que o outro dispositivo use wmm
required:: requer que o outro dispositivo use wmm
disabled:: desabilita a funo wmm
95
Configuraes da camada fsica AP e

Client tx rate / Compression
Defaul AP TX Rate:: Taxa mxima que o AP pode
transmitir para cada um de seus clientes.
Funciona para qualquer cliente.
Default Client TX Rate:: Taxa mxima que o
cliente pode transmitir para o AP. S funciona
para clientes Mikrotik.
Compression:: Recurso de compresso em Hardware disponvel

em chipsets Atheros.. Melhora o desempenho se o cliente possuir
este recurso e no afeta clientes que no possuam o recurso.
Porm este recurso incompatvel com criptografia.
96
Configuraes da camada fsica Data Rates

A velocidade em uma rede wireless
definida pela modulao que os
dispositivos conseguem trabalhar.
Supported Rates:: So as velocidades de
dados entre o AP e os clientes.
Basic Rates:: So as velocidades que os
dispositivos se comunicam
independentemente do trfego de dados
(beacons, sincronismos, etc...)
97
Configuraes da camada fsica ACK

Dispositivo
A
Dados
ACK
Dispositivo
B
O ACK timeout o tempo que um dispositivo wireless

espera pelo pacote Ack que deve ser transmitido para
confirmar toda transmisso wireless.
Dynamic:: O Mikrotik calcula dinamicamente o Ack de cada
cliente mandando de tempos em tempos sucessivos pacotes
com Ack timeouts diferentes e analisando as respostas.
indoors:: Valor constante para redes indoors.
Pode-se
se tambm fixar valores manualmente.
98
Configuraes da camada fsica ACK

Tabela de valores referenciais para ACK Timeout
Obs.: Utilize a tabela somente para referncia inicial.
99
Ferramentas de Site Survey - Scan

A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme
Escaneia o meio.
Obs.: Qualquer operao de site survey causa queda das
conexes estabelecidas.
100
Ferramentas de Site Survey Uso de frequncias

Mostra o uso das frequncias
em todo o espectro para site
survey conforme a banda
selecionada no menu
wireless.
101
Interface wireless - Alinhamento
Ferramenta de alinhamento com sinal sonoro

Colocar o MAC do AP remoto no campo Filter MAC Address
e Audio Monitor.
Rx Quality: Potncia em dBm do ltimo pacote recebido

Avg. Rx Quality:: Potncia mdia dos pacotes recebidos
Last Rx:: Tempo em segundos do ltimo pacote recebido
Tx Quality:: Potncia do ltimo pacote transmitido
Last TX:: Tempo em segundos do ltimo pacote transmitido
Correct: Nmero de pacotes recebidos sem erro
102
Interface wireless - Sniffer
Ferramenta para sniffar o

ambiente wireless
captando e decifrando
pacotes.
Muito til para detectar

ataques do tipo deauth e
monkey jack.
Pode ser arquivado no

prprio Mikrotik ou
passado por streaming
para outro servidor com
protocolo TZSP.
103
Interface wireless - Snooper
Com a ferramenta snooper possvel monitorar a carga de trfego

em cada canal por estao e por rede.
Scaneia as frequncias definidas em scan-list
scan
da interface
104
Interface wireless - Geral

Comportamento do protocolo ARP
enable: Aceita e responde requisies ARP.
disable:: No responde a requisies ARP. Clientes
devem acessar atravs de tabelas estticas.
proxy-arp: Passa seu prprio MAC quando h
uma requisio para algum host interno ao
roteador.
reply-only: Somente responde as requisies.
Endereos vizinhos so resolvidos estaticamente.
105
Interface wireless Modo de operao
ap bridge:: Modo de ponto de acesso. Repassa os MACs do meio

wireless de forma transparente para a rede cabeada.
bridge: O mesmo que o o modo ap
ap bridge porm aceitando
somente um cliente.
station:: Modo cliente de um ap. No pode ser colocado em
bridge com outras interfaces.
106
station pseudobridge:: Estao que pode ser colocada em modo

bridge,, porm sempre passa ao AP seu prprio MAC.
station pseudobridge clone:: Modo idntico ao anterior, porm
passa ao AP um MAC pr determinado anteriormente.
station wds:: Modo estao que pode ser colocado em bridge
com a interface ethernet e que passa os MACs de forma
transparente. necessrio que o AP esteja em modo wds.
107
alignment only:: Modo utilizado para efetuar alinhamento de

antenas e monitorar sinal. Neste modo a interface wireless
escuta os pacotes que so mandados a ela por outros
dispositivos trabalhando no mesmo canal.
wds slave:: Adqua suas configuraes conforme outro AP com
mesmo SSID.
nstreme dual slave:: Ser visto no tpico especifico de nstreme.
108
Interface wireless AP Virtual
Com as interfaces virtuais podemos montar

vrias redes dando perfis de servio diferentes.
Name: Nome da rede virtual
MTU: Unidade mxima de transferncia(bytes)
MAC: Endereo MAC do novo AP
ARP: Modo de operao do protocolo ARP
Obs.: As demais configuraes so idnticas as de
um AP.
109
Camada Fsica - Wireless

Como trabalha o CSMA?
Redes ethernet
tradicionais utilizam o
mtodo CSMA/CD
(Colision Detection).
Redes wireless 802.11

utilizam o mtodo
CSMA/CA (Colision
Avoidance).
110
Protocolo Nstreme - Configurao
Framer Policy
Dynamic size: O Mikrotik determina.
Best fit: Agrupa at o valor em Frame

Limit sem fragmentar.
Exact Size: Agrupa at o valor em Frame

Limit fragmentando se necessrio.
Enable Nstreme: Habilita o nstreme.

Enable Polling:: Habilita o mecanismo de polling. Recomendado.
Disable CSMA: Desabilita o Carrier Sense.
Sense Recomendado.
Framer Limit:: Tamanho mximo do pacote em bytes.
111
Protocolo Nstreme Dual - Configurao
1 Colocar a interface em modo

nstreme dual slave.
2 Adicionar uma interface Nstreme
Dual e definir quem ser TX e quem
ser RX.
Obs.: Utilize sempre canais distantes.
112
Protocolo Nstreme Dual - Configurao

3 Verifique o MAC escolhido pela
interface Nstreme e informe no lado
oposto.
4 Criar uma bridge e adicionar as
interfaces ethernet e a interface
Nstreme Dual
Prticas de RF recomendadas:
Use antenas de qualidade, Polarizaes diferentes, canais distantes e
mantenha uma boa distncia entre as antenas.
113
WDS & WDS MESH
114
WDS WIRELESS DISTRIBUTION SYSTEM
WDS a melhor forma garantir uma grande rea de

cobertura wireless utilizando vrios APs e prover
mobilidade sem a necessidade de re-conexo
re
dos usurios.
Para tanto, todos os APs devem ter o mesmo SSID e mesmo
canal.
115
WDS e o protocolo STP
A mgica do wds s possvel por conta do protocolo STP. Para evitar o

looping na rede necessrio habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante porm o RSTP mais rpido.
O RSTP inicialmente elege uma root bridge e utiliza o algoritmo breadth-first

search que quando encontra um MAC pela primeira vez, torna o link ativo. Se
encontra outra vez, torna o link desabilitado.
Normalmente habilitar o RSTP j suficiente para atingir os resultados. No

entanto possvel interferir no comportamento padro, modificando custos,
prioridades e etc...
116

Quanto menor a prioridade, maior a
chance de ser eleita como bridge root.
Quando os custos so iguais eleita a

porta com prioridade mais baixa.
O custo da porta permite um caminho
ser eleito em lugar do outro.
117
A Bridge usa o endereo MAC da porta ativa com menor nmero de porta.
A porta wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fiquem variando, possvel atribuir um MAC
manualmente.
118
WDS / WDS MESH
WDS Default Bridge: A bridge padro para as

interfaces wds.
WDS Default Cost: Custo da porta bridge do

link wds.
WDS Cost Range: Margem de custo que pode

ser ajustada com base no troughtput do link.
WDS Mode
dynamic:: As interfaces wds so adicionada dinamicamente quando um

dispositivo wds encontra outro compatvel.
static:: As interfaces wds devem ser adicionadas manualmente apontando o

MAC da outra ponta.
(mesh): WDS com um algoritmo proprietrio para melhoria do link. S possui

compatibilidade com outros dispositivos Mikrotik.
119
WDS / MESH
Altere o modo de operao
da wireless para: ap-bridge
WDS: Selecione o modo wds
dynamic-mesh.
WDS Default Bridge: Selecione
a bridge criada.
Obs:. Certifique-se que todos
esto no canal 5180 e SSID:
wds-lab.
120
Interface Wireless Controle de Acesso
A Access List utilizada pelo AP para restringir

associaes de clientes. Esta lista contem os endereos
MAC de clientes e determina qual ao deve ser tomada
quando um cliente tenta conectar.
A comunicao entre clientes da mesma interface, virtual
ou real, tambm controlada na Access List.
121
Interface Wireless Controle de Acesso

O processo de associao ocorre
da seguinte forma:
1. Um cliente tenta se associar a uma interface wlan;

2. Seu MAC procurado na access list da interface wlan;
3. Caso encontrado, a ao especifica ser tomada:
Authentication: Define se o cliente poder se associar ou
no;
Fowarding:: Define se os clientes podero se comunicar. 122
Interface Wireless Access List

MAC Address:: Endereo MAC a ser liberado
ou bloqueado.
Interface:: Interface real ou virtual onde ser
feito o controle de acesso.
AP Tx Limit:: Limite de trfego enviado para o
cliente.
Client Tx Limit:: Limite de trfego enviado do
cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
Management Protection Key:: Chave usada para evitar ataques de
desautenticao.. Somente compatvel com outros Mikrotiks.
123
Interface Wireless Connect List

A Connect List tem a finalidade de listar
os APs que o Mikrotik configurado como
cliente pode se conectar.
MAC Address: MAC do AP a se conectar
SSID: Nome da rede
Area Prefix:: String para conexo com AP de mesma rea
Security Profile:: Definido nos perfis de segurana.
Obs.:: Essa uma boa opo para evitar que o cliente se associe a um AP
falso.
124
Segurana de Acesso em redes sem fio
125
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons.
. Este comportamento
pode ser modificado no Mikrotik
habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes
Scanners passivos o descobrem facilmente
pelos pacotes de probe request
request dos
clientes.
126
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.
Spoofar um MAC bem simples. Tanto usando
windows, linux ou Mikrotik.
127
Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para quebrar
a chave, como:
Airodump
Airreplay
Aircrack
Hoje com essas ferramentas bem simples quebrar a WEP.

128
Evoluo dos padres de segurana
129
Fundamentos de Segurana
Privacidade
As informaes no podem ser legveis para terceiros.
Integridade
As informaes no podem ser alteradas quando em transito.
Autenticao
AP
Cliente: O AP tem que garantir que o cliente quem diz
ser.
Cliente
AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado
ataque do homem do meio.
130
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidos
por tcnicas de criptografia.
O algoritmo de criptografia de dados em WPA o RC4,
porm implementado de uma forma bem mais segura
que na WEP. E na WPA2 utiliza-se
utiliza o AES.
Para a integridade dos dados WPA usa TKIP(Algoritmo
de Hashing Michael) e WPA2 usa CCMP(Cipher
CCMP(
Chaining Message Authentication Check CBC MAC)
131
Chave WPA e WPA2 - PSK

A configurao da chave
WPA/WAP2-PSK muito simples
no Mikrotik.
Configure o modo de chave
dinmico e a chave pr-combinada
combinada
para cada tipo de autenticao.
Obs.: As chaves so alfanumricas de
8 at 64 caracteres.
132
Segurana de WPA / WPA2

Atualmente a nica maneira conhecida para se quebrar a
WPA-PSK
PSK somente por ataque de dicionrio.
Como a chave mestra PMK combina uma contra-senha
contra
com o SSID, escolhendo palavras fortes torna o sucesso de
fora bruta praticamente impossvel.
A maior fragilidade paras os WISPs que a chave se
encontra em texto plano nos computadores dos clientes
ou no prprio Mikrotik.
133
Configurando EAP-TLS Sem Certificados

Crie o perfil EAP-TLS e associe a
interface Wireless cliente.
134
Segurana de EAP-TLS
TLS sem certificados
O resultado da negociao annima resulta em uma
chave PMK que de conhecimento exclusivo das duas
partes. Depois disso toda a comunicao
criptografada por AES(WPA2) e o RC4(WPA).
Seria um mtodo muito seguro se no houvesse a
possibilidade de um atacante colocar um Mikrotik com
a mesma configurao e negociar a chave normalmente
como se fosse um cliente.
Uma idia para utilizar essa configurao de forma
segura criando um tnel criptografado PPtP ou L2TP
entre os equipamentos depois de fechado o enlace.
135
Trabalhando com certificados

Certificado digital um arquivo que identifica de
forma inequvoca o seu proprietrio.
Certificados so criados por instituies emissoras
chamadas de CA (Certificate
Certificate Authorities).
Os certificados podem ser:
Assinados por uma instituio acreditada (Verisign,
(
Thawte, etc...)
Certificados auto-assinados.
assinados.
136
Passos para implementao de EAP-TLS

EAP
com certificados auto Assinados
1. Crie a entidade certificadora(CA)
2. Crie as requisies de Certificados
3. Assinar as requisies na CA
4. Importar os certificados assinados para os Mikrotiks
5. Se necessrio, criar os certificados para mquinas
windows
137
EAP-TLS sem Radius em ambos lados

O mtodo EAP-TLS
EAP
tambm pode ser
usado com
certificados.
138
EAP-TLS sem Radius em ambos lados

Metodos TLS
dont verify certificate:: Requer um
certificado, porm no verifica.
no certificates:: Certificados so
negociados dinamicamente com o
algoritmo de Diffie Hellman.
verify certificate: Requer um
certificado e verifica se foi assinado
por uma CA.
139
WPAx com radius
140
EAP-TLS
TLS com certificado
EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS
TLS tanto como cliente como AP e
ainda repassa esse mtodo para um Servidor Radius.
Prover maior nvel de segurana e necessita de certificados em
ambos lados(cliente e servidor).
O passo a passo completo para configurar um servidor Radius
pode ser encontrado em:
http://under-linux.org/wiki/Tutoriais/Wireless/freeradius
linux.org/wiki/Tutoriais/Wireless/freeradiusmikrotik
141
EAP-TLS com Radius em ambos lados

A configurao da parte do
cliente bem simples.
Selecione o mtodo EAP-TLS
TLS
Certifique-se que os
certificados esto instalados
e assinados pela CA.
Associe o novo perfil de
segurana a interface
wireless correspondente.
142
EAP-TLS com Radius em ambos lados

No lado do AP selecione o
mtodo EAP passthrough.
.
Selecione o certificado
correspondente.
Obs.: Verifique sempre se o sistema est com o cliente NTP habilitado. Caso
a data do sistema no esteja correta, poder causar falha no uso de
certificados devido a data validade dos mesmos.
143
Segurana de EAP-TLS
TLS com Radius
Sem dvida este o mtodo mais seguro que podemos
obter. Entretanto existe um ponto que podemos levantar
como possvel fragilidade:
Ponto de fragilidade
Se um atacante tem acesso fsico ao link entre o AP e o Radius

ele pode tentar um ataque de fora bruta para descobrir a
PMK.
Uma forma de proteger este trecho usando um tnel L2TP.
144
Resumo dos metodos de

implantao e seus problemas.
WPA-PSK
Chaves
Chaves presentes nos clientes e acessveis aos operadores.
Mtodo sem certificados

Passvel
Passvel de invaso por equipamento que tambm opere
nesse modo.
Problemas
Problemas com processador.
Mikrotik com Mikrotik com EAP-TLS

EAP
Mtodo
Mtodo seguro porm invivel economicamente e de
implantao praticamente impossvel em redes existentes.
145
Resumo dos mtodos de

implantao e seus problemas.
Mikrotik com Radius
EAP-TLS e EAP-PEAP:
Sujeito
Sujeito ao ataque do homem do meio e pouco disponvel
em equipamentos atuais.
EPA-TLS
Mtodo
Mtodo seguro, porm tambm no disponvel na
maioria dos equipamentos. Em placas PCI possvel
implement-lo.
146
Mtodo alternativo com Mikrotik

A partir da verso 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave configurada na Access List do AP
e vinculada ao MAC Address do cliente, possibilitando que cada um tenha
sua chave.
Obs.: Cadastrando as PSK na access list,

voltamos ao problema da chave ser visvel a
usurios do Mikrotik.
147

Por outro lado, o Mikrotik permite que essas
chaves sejam distribudas por Radius, o que torna
esse mtodo muito interessante.
Para isso necessrio:
Criar um perfil WPA2 qualquer;
Habilitar a autenticao via MAC no AP;
Ter a mesma chave configurada tanto no cliente como
no Radius.
148

Configurando o perfil:
149
Configurando o Radius
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC
#
Cleartext-Password
Password:=MAC
Mikrotik-Wireless
Wireless-Psk = Chave_Psk
000C42000001
Cleartext-Password
Password:=000C42000001
Mikrotik-Wireless
Wireless-Psk = 12341234
000C42000002
Cleartext-Password
Password:=000C43000002
Mikrotik-Wireless
Wireless-Psk = 2020202020ABC
150
Corrigindo o dicionrio de atributos

(/usr/share/freeradius/dictionary
dictionary.mikrotik)
VENDOR
Mikrotik
14988
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
Mikrotik-Recv-Limit
1
Mikrotik-Xmit-Limit
Mikrotik-Group
Mikrotik-Wireless-Forward
Mikrotik-Wireless-Skip-Dot1x
Mikrotik-Wireless-Enc-Algo
Mikrotik-Wireless-Enc-Key
Mikrotik-Rate-Limit
Mikrotik-Realm
Mikrotik-Host-IP
Mikrotik-Mark-Id
Mikrotik-Advertise-URL
Mikrotik-Advertise-Interval
Mikrotik-Recv-Limit-Gigawords 14
Mikrotik-Xmit-Limit-Gigawords
integer
2
3
4
5
6
7
8
9
10
11
12
13
integer
15
ATTRIBUTE
Mikrotik-Wireless-Psk
16
integer
string
integer
integer
integer
string
string
string
ipaddr
string
string
integer
integer
string
151
Firewall no Mikrotik
152
Firewall
O firewall normalmente usado como ferramenta de segurana para
prevenir o acesso no autorizado a rede interna e/ou acesso ao roteador
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de
entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas diversas
funes importantes como a classificao e marcao de pacotes para
desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em vrios
classificadores como endereos MAC, endereos IP, tipos de endereos IP,
portas, TOS, tamanho do pacotes, etc...
153
Firewall - Opes
Filter Rules:: Regras para filtro de pacotes.

NAT:: Onde feito a traduo de endereos e portas.
Mangle:: Marcao de pacotes, conexo e roteamento.
Service Ports:: Onde so localizados os NAT Helpers.
Connections:: Onde so localizadas as conexes existentes.
Address List: Lista de endereos ips inseridos de forma dinmica ou esttica e
que podem ser utilizadas em vrias partes do firewall.
Layer 7 Protocols: Filtros de camada 7.
154
Firewall Canais default

O Firewall opera por meio de regras. Uma regra uma
expresso lgica que diz ao roteador o que fazer com
um tipo particular de pacote.
Regras so organizadas em canais(chain)
canais(
e existem 3
canais default.
INPUT:: Responsvel pelo trfego que CHEGA no router;
OUTPUT:: Responsvel pelo trfego que SAI do router;
FORWARD:: Responsvel pelo trfego que PASSA pelo router.
155
Firewall Fluxo de pacotes

Interface de
Entrada
Deciso de
Roteamento
Interface de
Saida
Processo Local IN
Processo Local
OUT
Filtro Input
Filtro Output
Deciso de
Roteamento
Filtro Forward
Para maiores informaes acesse:
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Packet_Flow
156
Firewall Princpios gerais
1. As regras de firewall so sempre processadas por canal,

na ordem que so listadas de cima pra baixo.
2. As regras de firewall funcionam como expresses lgicas
condicionais, ou seja: se <condio> ento <ao>.
3. Se um pacote no atende TODAS condies de uma regra,
ele passa para a regra seguinte.
157
Firewall Princpios gerais

4. Quando um pacote atende TODAS as condies da
regra, uma ao tomada com ele no importando
as regras que estejam abaixo nesse canal, pois elas
no sero processadas.
5. Algumas excees ao critrio acima devem ser
consideradas como as aes de: passthrough,
log e
add to address list.
6. Um pacote que no se enquadre em qualquer regra
do canal, por padro ser aceito.
158
Firewall Filters Rules
As regras de filtro pode ser organizadas e

mostradas da seguinte forma:
all: Mostra todas as regras.

dynamic:: Regras criadas dinamicamente por servios.
forward, input output:: Regras referente a cada canal.
static:: Regras criadas estaticamente pelos usurios.
159

Algumas aes que podem ser tomadas nos filtros de firewall:
passthrough:: Contabiliza e passa adiante.
drop:: Descarta o pacote silenciosamente.
reject:: Descarta o pacote e responde com uma mensagem de icmp ou
tcp reset.
tarpit:: Responde com SYN/ACK ao pacote TCP SYN entrante, mas no
aloca recursos.
160
Filter Rules Canais criados pelo usurio
Alm dos canais padro o administrador pode criar canais

prprios. Esta prtica ajuda na organizao do firewall.
Para utilizar o canal criado devemos desviar o fluxo
atravs de uma ao JUMP.
No exemplo acima podemos ver 3 novos canais criados.
Para criar um novo canal basta adicionar uma nova regra e
dar o nome desejado ao canal.
161

Aes relativas a canais criados
pelo usurio:
jump:: Salta para um canal
definido em jump-target
jump target:: Nome do canal para
onde se deve saltar
return:: Retorna para o canal que
chamou o jump
162
Como funciona o canal criado pelo usurio

Canal criado
pelo usurio
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
163
Como funciona o canal criado pelo usurio

REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
RETURN
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
Caso exista alguma

regra de RETURN, o
retorno feito de
forma antecipada e
as regras abaixo
sero ignoradas.
164
Firewall Address List
A address list contm uma lista de endereos IP que pode ser utilizada em
vrias partes do firewall.
Pode-se
se adicionar entradas de forma dinmica usando o filtro ou mangle
conforme abaixo:
Aes:
add dst to address list:: Adiciona o IP de destino lista.
add src to address list:: Adiciona o IP de origem lista.
Address List:: Nome da lista de endereos.

Timeout:: Porque quanto tempo a entrada permanecer na lista.
165
Firewall Tcnica do knock
knock
166
Firewall Tcnica do knock
knock
A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter
seu endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que
estejam na lista libera_winbox
/ip firewall filter

add chain=input protocol=tcp dst-port=2771 action=add
add-src-to-address-list address-list=knock \
address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address
address-list=knock action= add-src-to-address-list \
address-list=libera_winbox address-list-timeout=15m comment=""
comment
disabled=no
add chain=input protocol=tcp dst-port=8291 src-address
address-list=libera_winbox action=accept disabled=no
add chain=input protocol=tcp dst-port=8291 action=drop
drop disbled=no
167
Firewall Connection Track

Refere-se
se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem e
destino, as respectivas portas, estado da conexo, tipo de protocolos
e timeouts. Firewalls que fazem connection track so chamados de
statefull e so mais seguros que os que fazem processamentos
stateless.
168

O sistema de connection track o corao do
firewall. Ele obtm e mantm informaes sobre
todas conexes ativas.
Quando se desabilita a funo connection tracking
so perdidas as funcionalidades NAT e as marcaes
de pacotes que dependam de conexo. No entanto,
pacotes podem ser marcados de forma direta.
Connection track exigente de recursos de
hardware. Quando o equipamento trabalha somente
como bridge aconselhvel desabilit-la.
desabilit
169
Localizao da Connection Tracking

Interface de
Entrada
Processo Local IN
Conntrack
Deciso de
Roteamento
Processo Local
OUT
Interface de
Saida
Conntrack
Filtro Input
Filtro Output
Deciso de
Roteamento
Filtro Forward
170
Estado das conexes:

established:: Significa que o pacote faz parte de uma conexo j
estabelecida anteriormente.
new:: Significa que o pacote est iniciando uma nova conexo ou faz
parte de uma conexo que ainda no trafegou pacotes em ambas
direes.
related:: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
invalid:: Significa que o pacote no pertence a nenhuma conexo
existente e nem est iniciando outra.
171
Firewall
Protegendo o Roteador e os Clientes
172
Princpios bsicos de proteo

Proteo do prprio roteador
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao roteador.
Proteo da rede interna

Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente os servios necessrios nos clientes.
Prevenir e controlar ataques e acesso no autorizado em clientes.
173
Firewall Tratamento de conexes
Regras do canal input
Descarta conexes invlidas.

Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede interna.
Descartar o restante.
174
Firewall Controle de servios
Regras do canal input
Permitir acesso externo ao winbox.

winbox
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
175
Firewall Filtrando trfego

prejudicial/intil
Bloquear portas mais comuns utilizadas por vrus.
Baixar lista com portas e protocolos utilizados por vrus.
ftp://172.31.255.1/arquivos/virus.rsc
Importar o arquivo virus.rsc e criar um jump para que
as regras funcionem.
176
Firewall Filtrando trfego indesejvel e

possveis ataques.
Controle de ICMP
Internet Control Message Protocol basicamente uma
ferramenta para diagnstico da rede e alguns tipos de
ICMP devem ser liberados obrigatoriamente.
Um roteador usa tipicamente apenas 5 tipos de
ICMP(type:code), que so:
Ping Mensagens (0:0) e (8:0)
Traceroute Mensagens (11:0) e (3:3)
PMTUD Mensagens (3:4)
Os outros tipos de ICMP podem ser bloqueados.

177
Firewall Filtrando trfego indesejvel

IPs Bogons:
Existem mais de 4 milhes de endereos IPV4.
Existem muitas ranges de IP restritos em rede pblicas.
Existem vrias ranges reservadas para propsitos especficos.
Uma lista atualizada de IPs bogons pode ser encontrada em:
http://www.team-cymru.org/Services/Bogons/bogon
cymru.org/Services/Bogons/bogon-dd.html
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a
IPs privados e uma boa prtica filtr-los.
filtr
178
Firewal Proteo bsica

Ping Flood:
Ping Flood consiste no envio
de grandes volumes de
mensagens ICMP aleatrias.
possvel detectar essa
condio no Mikrotik criando
uma regra em firewall filter e
podemos associ-la a uma
regra de log para monitorar a
origem do ataque.
179

Port Scan:
Consiste no scaneamento de portas TCP e/ou UDP.
A deteco de ataques somente possvel para o protocolo
TCP.
Portas baixas (0 1023)
Portas altas (1024 65535)
180

Ataques DoS:
O principal objetivo do ataque de DoS o consumo de
recursos de CPU ou banda.
Usualmente o roteador inundado com requisies de
conexes TCP/SYN causando resposta de TCP/SYN-ACK
TCP/SYN
e
a espera do pacote TCP/ACK.
Normalmente no intencional ou causada por vrus
em clientes.
Todos os IPs com mais de 15 conexes com o roteador
podem ser considerados atacantes.
181

Ataques DoS:
Se simplesmente descartamos as conexes,
permitiremos que o atacante crie uma nova conexo.
Para que isso no ocorra, podemos implementar a
proteo em dois estgios:
Deteco Criar uma lista de atacantes DoS com base em
connection limit.
Supresso Aplicando restries aos que forem detectados.
182
Firewal Proteo para ataques DoS

Criar a lista de atacantes
para posteriormente
aplicarmos a supresso
adequada.
183
Firewal Proteo para ataques DoS

Com a ao tarpit
aceitamos a conexo e a
fechamos, no deixando
no entanto o atacante
trafegar.
Essa regra deve ser
colocada antes da regra de
deteco ou ento a
address list ir reescrev-la
todo tempo.
184
184

Ataque dDoS:
Ataque de dDoS so bastante
parecidos com os de DoS,
porm partem de um grande
nmero de hosts infectados.
A nica medida que podemos
tomar habilitar a opo TCP
SynCookie no Connection
Track do firewall.
185
Firewall - NAT
NAT Network Address Translation uma tcnica que permite que
vrios hosts em uma LAN usem um conjunto de endereos IPs para
comunicao interna e outro para comunicao externa.
Existem dois tipos de NAT.

Src NAT: Quando o roteador reescreve o IP ou porta de origem.
SRC
DST
SRC NAT
Novo SRC
DST
Dst NAT: Quando o roteador reescreve o IP ou porta de destino.

SRC
DST
DST NAT
SRC
Novo DST
186
Firewall - NAT
As
As regras de NAT so organizadas em canais:
dstnat:: Processa o trfego enviado PARA o roteador e
ATRAVS do roteador, antes que ele seja dividido em
INPUT e/ou FORWARD.
srcnat:: Processa o trfego enviado A PARTIR do
roteador e ATRAVS do roteador, depois que ele sai
de OUTPUT e/ou FORWARD.
187
Firewall NAT Fluxo de pacotes

Interface de
Entrada
Interface de
Saida
Processo Local IN
Conntrack
dstnat
Deciso de
Roteamento
Filtro Input
Processo Local
OUT
Conntrack
srcnat
Filtro Output
Deciso de
Roteamento
Filtro Forward
188
Firewall - NAT
Source NAT: A ao mascarade troca o endereo IP de origem de uma
determinada rede pelo endereo IP da interface de sada. Portanto se temos,
por exemplo, a interface ether2 com endereo IP 185.185.185.185 e uma
rede local 192.168.0.0/16 por trs da ether1, podemos fazer o seguinte:
Desta forma, todos os endereos IPs da rede local

vo obter acesso a internet utilizando o endereo
IP 185.185.185.185
189
Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional
direcional a um determinado
endereo IP. Dessa forma, um endereo IP de rede local pode ser
acessado atravs de um IP pblico e vice-versa.
vice
190
Firewall - NAT
Redirecionamento de portas:: O NAT nos possibilita redirecionar portas
para permitir acesso a servios que rodem na rede interna. Dessa forma
podemos dar acesso a servios de clientes sem utilizao de endereo IP
pblico.
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.10 pela
porta 6380.
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.20 pela
porta 6480.
191
Firewall - NAT
NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso
bi-direcional
direcional de rede para rede. Com isso podemos mapear, por
exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
192
Firewall NAT Helpers
Hosts atrs de uma rede nateada no possuem conectividade fim-afim verdadeira. Por isso alguns protocolos podem no funcionar
corretamente neste cenrio. Servios que requerem iniciao de
conexes TCP fora da rede, bem como protocolos stateless
como
UDP, podem no funcionar. Para resolver este problema, a
implementao de NAT no Mikrotik prev alguns NAT Helpers que
tm a funo de auxiliar nesses servios.
193
Firewall Mangle
O mangle no Mikrotik uma facilidade que permite a introduo de
marcas em pacotes IP ou em conexes, com base em um determinado
comportamento especifico.
As marcas introduzidas pelo mangle so utilizadas em processamento
futuro e delas fazem uso o controle de banda, QoS, NAT, etc... Elas
existem somente no roteador e portanto no so passadas para fora.
Com o mangle tambm possvel manipular o determinados campos
do cabealho IP como o ToS,
, TTL, etc...
194
Firewall Mangle
As regras de mangle so organizadas em canais e
obedecem as mesma regras gerais das regras de filtro
quanto a sintaxe.
Tambm possvel criar canais pelo prprio usurio.
Existem 5 canais padro:
prerouting:: Marca antes da fila Global-in;

Global
postrouting:: Marca antes da fila Global-out;
input:: Marca antes do filtro input;

output:: Marca antes do filtro output;
forward:: Marca antes do filtro forward;
195
Firewall Diagrama do Mangle

Interface de
Entrada
Mangle
Prerouting
Processo Local IN
Processo Local
OUT
Mangle Input
Mangle Output
Deciso de
Roteamento
Deciso de
Roteamento
Interface de
Saida
Mangle
Postrouting
Mangle
Forward
196
Firewall Mangle
As
As opes de marcaes incluem:
mark-connection:: Marca apenas o primeiro pacote.
mark-packet:: Marca todos os pacotes.
mark-routing:: Marca pacotes para poltica de roteamento.
Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo
tempo. Porm no pode conter 2 marcas iguais.
197
Firewall Mangle
Marcando conexes:
Use mark-connection para identificar uma ou um grupo
de conexes com uma marca especifica de conexo.
Marcas de conexo so armazenadas na contrack.
S pode haver uma marca de conexo para cada conexo.
O uso da contrack facilita na associao de cada pacote a
uma conexo especfica.
198
Firewall Mangle
Marcando rotas:
As marcas de roteamento so aproveitadas para
determinar polticas de roteamento.
A utilizao dessas marcas ser abordada no tpico
do roteamento.
199
Firewall Mangle
Marcando pacotes:
Use mark-packet para identificar um fluxo continuo
de pacotes.
Marcas de pacotes so utilizadas para controle de
trfego e estabelecimento de polticas de QoS.
200
Firewall Mangle
Marcando pacotes:
Indiretamente:: Usando a facilidade da connection
tracking,, com base em marcas de conexo previamente
criadas. Esta a forma mais rpida e eficiente.
Diretamente:: Sem o uso da connection tracking no
necessrio marcas de conexes anteriores e o roteador ir
comparar cada pacote com determinadas condies.
201
Firewall Estrutura
202
Firewall Fluxo de pacotes
203
Firewall - Mangle
Um bom exemplo da utilizao do mangle
marcando pacotes de conexes P2P.
Aps marcar a conexo, agora

precisamos marcar os pacotes
provenientes desta conexo.
204
Firewall - Mangle
Com base na conexo j

marcada anteriormente,
podemos fazer as marcaes
dos pacotes.
Obs.: A marcao de P2P disponibilizada no Mikrotik no inclui os programas

que usam criptografia.
205
Firewall - Mangle
possvel disponibilizar um modelo simples de QoS
utilizando o mangle. Para isso precisamos marcar os
seguintes fluxos:
Navegao http e https;

FTP
Email
MSN
ICMP
P2P
Demais servios
206
Dvidas ???
207
QoS e Controle de banda
208
Conceitos bsicos de Largura e Limite

de banda
Largura de banda:: Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada de

dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est ligado
largura da banda em hertz. O termo banda larga denota conexes com uma largura em hertz
relativamente alta, em contraste com a velocidade padro em linhas analgicas convencionais (56
kbps), na chamada conexo discada.
Limite de banda:: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda de
1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou tambm
chamado de Taxa ou Velocidade de Transferncia ou (throughput),
(
que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
voc conseguir taxas de transferencia de no mximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, voc conseguir uma Taxa de Transferncia de aproximadamente entre 25kbps a
30,7kbps
209
Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao
do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o
uso da largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de
tecnologias "voz sobre ip" (VoIP),
), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores,
capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de
determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
210
Qualidade de Servio
No campo das telecomunicaes e redes de computadores,

computadores o termo Qualidade de
Servio (QoS)) pode tender para duas interpretaes relacionadas, mas distintas.
Em redes de comutao de circuitos,, refere-se

refere probabilidade de sucesso em
estabelecer uma ligao a um destino. Em redes de comutao de pacotes refere-se
garantia de largura de banda ou, como em muitos casos, utilizada informalmente
para referir a probabilidade de um pacote circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura

oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de
segurana substancial. simples e eficaz, mas na prtica assumido como
dispendioso, e tende a ser ineficaz se o valor de pico aumentar alm do previsto:
reservar recursos gasta tempo. O segundo mtodo o de obrigar os provedores a
reservar os recursos, e apenas aceitar as reservas se os routers conseguirem

servi-las
las com confiabilidade. Naturalmente, as reservas podem ter um custo
monetrio associado!
211
Qualidade de Servio
Os mecanismos para prover QoS no Mikrotik so:
Limitar banda para certos IPs,
IPs subredes, protocolos,
servios e outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch
212
Qualidade de Servio
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc):: Disciplina de enfileiramento. um
algoritmo que mantm e controla uma fila de pacotes. Ela
especifica a ordem dos pacotes que saem, podendo inclusive
reorden-los,
los, e determina quais pacotes sero descartados.
Limit At ou CIR(Commited Information Rate): Taxa de dados
garantida. a garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information Rate): Taxa mxima de
dados que ser fornecida. Ou seja, limite a partir do qual os
pacotes sero descartados.
Priority:: a ordem de importncia que o trfego processado.
Pode-se
se determinar qual tipo de trfego ser processado
primeiro.
213
Filas - Queues
Para ordenar e controlar o fluxo de dados, aplicada uma

poltica de enfileiramento aos pacotes que estejam deixando o
roteador. Ou seja: As filas so aplicadas na interface onde o
fluxo est saindo.
A limitao de banda feita mediante o descarte de pacotes.
No caso do protocolo TCP, os pacotes descartados sero
reenviados, de forma que no h com que se preocupar com
relao a perda de dados. O mesmo no vale para o UDP.
214
Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados por uma
disciplina de filas(queue types).
). Por padro as disciplinas de filas so
colocadas sob queue interface para cada interface fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro da
interface, definida em queue interface, no ser mantida. Isso significa que
quando um pacote no encontra qualquer filtro, ele enviado atravs da
interface com prioridade mxima.
215
Tipos de filas
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:
Schedulers:: (Re) ordenam pacotes de acordo com um determinado algoritmo e
descartam aqueles que se enquadram na disciplina. As disciplinas schedulers
so: PFIFO, BFIFO, SFQ, PCQ e RED.

Shapers:: Tambm fazem limitao. Esses so: PCQ e HTB.
216
Controle de trfego
217
Controle de trfego
O controle de trfego implementado atravs de
dois mecanismos:
Pacotes so policiados na entrada:
entrada
Pacotes indesejveis so descartados.
Pacotes so enfileirados na interface de sada:

sada
Pacotes podem ser atrasados, descartados ou priorizados.
218
Controle de trfego
O controle de trfego implementado internamente por 4
tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
Classes:
Representam entidades de classificao de pacotes.
Cada classe pode estar associada a um qdisc.
Filters:
Utilizados para classificar os pacotes e atribu-los
atribu
as classes.
Policers:
Utilizados para evitar que o trfego associado a cada filtro
ultrapasse limites pr-definidos.
219
Controle de trfego Tipos de fila
PFIFO e BFIFO:: Estas disciplinas de filas so baseadas no algoritmo FIFO(First-in

FIFO(
First-out),
), ou seja, o primeiro que entra o primeiro que sai. A diferena entre
PFIFO e BFIFO que, um medido em pacotes e o outro em bytes. Existe apenas
um parmetro chamado Queue Size que determina a quantidade de dados em
uma fila FIFO pode conter. Todo pacote que no puder ser enfileirado (se fila
estiver cheia) ser descartado. Tamanhos grandes de fila podero aumentar a
latncia. Em compensao prov melhor utilizao do canal.
220
RED: Random Early Detection Deteco Aleatria Antecipada um mecanismo de

enfileiramento que tenta evitar o congestionamento do link controlando o tamanho
mdio da fila. Quando o tamanho mdio da fila atinge o valor configurado em min
threshould,, o RED escolhe um pacote para descartar. A probabilidade do nmero de
pacotes que sero descartados cresce na medida em que a mdia do tamanho da fila
cresce. Se o tamanho mdio da fila atinge o max threshould, os pacotes so
descartados com a probabilidade mxima. Entretanto existem casos que o tamanho
real da fila muito maior que o max threshould ento todos os pacotes que
excederem o min threshould sero descartados.
RED indicado em links congestionados com altas taxas de dados. Como muito
rpido funciona bem com TCP.
221
SFQ: Stochastic Fairness Queuing Enfileiramento Estocstico com justia

uma disciplina que tem justia assegurada por algoritmos de hashing e round
roubin.. O fluxo de pacotes pode ser identificado exclusivamente por 4 opes:
src-address
dst-address
src-port
dst-port
Os pacotes podem ser classificados em 1024 sub-filas,

sub
e em seguida o algoritmo
round roubin distribui a banda disponvel para estas sub-filas,
sub
a cada rodada
configurada no parmetro allot(bytes).
No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses TCP e
streaming UDP) quando o link(interface) est completamente cheio. Se o link no
est cheio, ento no haver fila e, portanto, qualquer efeito, a no ser quando
combinado com outras disciplinas (qdisc).
222

SFQ:: A fila que utiliza SFQ, pode conter 128 pacotes e h 1024 sub-filas
sub
disponveis.
recomendado o uso de SFQ em links congestionados para garantir que
as conexes no degradem. SFQ especialmente recomendado em
conexes wireless.
223
PCQ: Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico enfileiramento de baixo nvel que pode fazer
limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm
cria sub-filas considerando o parmetro pcq-classifier.
pcq
Cada sub-fila tem uma taxa de
transmisso estabelecida em rate e o tamanho mximo igual a limit. O tamanho total
de uma fila PCQ fica limitado ao configurado em total limit. No exemplo abaixo
vemos o uso do PCQ com pacotes classificados pelo endereo de origem.
224
PCQ:: Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero organizados em sub-filas
sub
diferentes. Nesse caso possvel fazer
a limitao ou equalizao para cada sub-fila
fila com o parmetro Rate. Neste ponto o mais
importante decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo o trfego da interface pblica ser agrupado pelo endereo de origem.
O que no interessante. Mas se for empregado na interface pblica todo o trfego dos
clientes ser agrupado pelo endereo de origem, o que torna mais fcil equalizar o upload
dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o
classificador ser o dst. Address e configurado na interface local.
225
QoS - HTB
Hierarchical Token Bucket uma disciplina de enfileiramento hierrquico que

usual para aplicar diferentes polticas para diferentes tipos de trfego. O HTB
simula vrios links em um nico meio fsico, permitindo o envio de diferentes tipos
de trfego em diferentes links virtuais. Em outras palavras, o HTB muito til para
limitar download e upload de usurios em uma rede. Desta forma no existe
saturamento da largura de banda disponvel no link fsico. Alm disso, no Mikrotik,
utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou mais

filhas. As que no tem filhas so colocadas no
level 0, onde as filas so mantidas e chamadas de
leafs class.
Cada classe na hierarquia pode priorizar e dar
forma ao trfego.
226
QoS - HTB
Exemplo de HTB
Queue01 limit-at=0Mbps max-limit=10Mbps

Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue03 ir receber 6Mbps
Obs.: Neste exemplo o HTB foi configurado de modo que,
satisfazendo todas as garantias, a fila pai no possuir
nenhuma capacidade para distribuir mais banda caso seja
solicitado por uma filha.
227
QoS - HTB
Exemplo de HTB

Obs.: Aps satisfazer todas garantias, o HTB disponibilizar
mais banda, at o mximo permitido para a fila com maior
prioridade. Mas, neste caso, permitir-se uma reserva de
8M para as filas Queue04 e Queue05, as quais, a que
possuir maior prioridade receber primeiro o adicional de
banda, pois a fila Queue2 possui garantia de banda
atribuida.
228
QoS - HTB
Termos do HTB:
Filter:: Um processo que classifica pacotes. Os filtros so responsveis pela
classificao dos pacotes para que eles sejam colocados nas correspondentes
qdisc.. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente
nas qdiscs,, sem atravessar a rvore HTB. Se um pacote no est classificado
em nenhuma das qdiscs,, enviado a interface diretamente, por isso nenhuma
regra HTB aplicada aos pacotes.
Level:: Posio de uma classe na hierarquia.
Class:: Algoritmo de limitao no fluxo de trfego para uma determinada taxa.
Ela no guarda quaisquer pacotes. Uma classe pode conter uma ou mais subsub
classes(inner class)) ou apenas uma e um qdisc(leaf classe).
229
QoS - HTB
Estados das classes HTB:
Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que est
consumindo:
Verde:: de 0% a 50% da banda disponvel est em
uso.
Amarelo:: de 51% a 75% da banda disponvel est
em uso.
Vermelho:: de 76% a 100% da banda disponvel
est em uso. Neste ponto comeam os descartes
de pacotes que se ultrapassam o max-limit.
230
QoS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
Interfaces:
Global-in:: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas Global--in recebem todo trfego entrante no
roteador, antes da filtragem de pacotes.
Global-out:: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas Global-out recebem todo trfego que sai do roteador.
Global-total:: Representa uma interface virtual atravs do qual se passa todo
fluxo de dados. Quando se associa uma politca de filas Global-total, a
limitao feita em ambas direes. Por exemplo se configurarmos um totalmax-limit de 300kbps, teremos um total de download+upload
download+
de 300kbps,
podendo haver assimetria.
Interface X:: Representa uma interface particular. Somente o trfego que
configurado para sair atravs desta interface passar atravs da fila HTB.
231
Interfaces virtuais e o Mangle

Interface de
Entrada
Mangle
Prerouting
Global-in
Processo Local IN
Processo Local
OUT
Mangle Input
Mangle Output
Deciso de
Roteamento
Deciso de
Roteamento
Interface de
Saida
Global-out
Mangle
Prerouting
Mangle
Forward
232
Filas simples
As principais propriedades configurveis de uma fila simples so:
Limite por direo de IP de origem ou destino

Interface do cliente
Tipo de fila
Limit-at, max-limit, priority e burst para download e upload
Horrio.
233
Filas simples - Burst

Bursts so usados para
permitir altas taxas de
transferncia por um perodo
curto de tempo.
Os parmetros que controlam o burst so:

burst-limit: Limite mximo que o burst alcanar.
burst-time: Tempo que durar o burst.
burst
burst-threshold:: Patamar para comear a limitar.
max-limit: MIR
234
Como funciona o Burst
max-limite=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
Inicialmente dado ao cliente a banda burst-limit=512kbps.

burst
O algoritmo calcula a
taxa mdia de consumo de banda durante o burst-time de 8 segundos.
Com 1 segundo a taxa mdia de 64kbps. Abaixo do threshold.
Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do threshold.
Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde acaba o burst.
A partir deste momento a taxa mxima do cliente passa a ser o max-limit.

235
Utilizao do PCQ
PCQ utilizado para equalizar cada usurio ou
conexo em particular.
Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento kind=pcq.
Devem ainda ser escolhidos os seguintes
parmetros:
pcq-classifier
pcq-rate
236
Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as
subqueues no so limitadas, ou seja, elas podero
usar a largura mxima de banda disponvel em maxlimit.
Caso 2:: Se configurarmos um rate para a PCQ as
Caso 1
Caso 2
subqueues sero limitadas nesse rate, at o total de
max-limit.
237
Utilizao do PCQ
Nesse caso, com o rate da fila 128k, no

existe limit-at e tem um max-limit de 512k,
os clientes recebero a banda da seguinte
forma:
238
Utilizao do PCQ
Nesse caso, com o rate da fila 0, no existe

limit-at e tem um max-limit de 512k, os
clientes recebero a banda da seguinte
forma:
239
Arvores de Fila
Trabalhar com rvores de fila uma maneira mais elaborada de administrar o trfego.
Com elas possvel construir sob medida uma hierarquia de classes, onde poderemos
configurar as garantias e prioridades de cada fluxo em relao outros, determinando
assim uma poltica de QoS para cada fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especifica. Os filtros so apenas
marcas que o firewall faz no fluxo de pacotes na opo mangle. Os filtros enxergam os
pacotes na ordem em que eles chegam no roteador.
A rvore de fila tambm a nica maneira para adicionar uma fila em uma interface
separada.
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego global-in
e/ou global-out,, limitao por cliente na interface de sada. Se configurado filas
simples e rvores de filas no mesmo roteador, as filas simples recebero o trfego
primeiro e em seguida o classficaro.
240
Arvores de Fila
As rvores de fila so configuradas em

queue tree.
Dentre as propriedades configurveis

podemos destacar:
Escolher uma marca de trfego feita no
firewall mangle;
parente-class ou interface de sada;
Tipo de fila;
Configuraes de limit-at, max-limit,
priority e burst.
241
Arvores de Fila
QUEUE
MARCA
LIMITLIMIT-AT
MAX-LIMIT
PRIORITY
Q1
C1
10M
30M
Q2
C2
1M
30M
Q3
C3
1M
30M
Q4
C4
1M
30M
Q5
C5
1M
30M
Obs.: O roteador no conseguir garantir banda para Q1 o tempo todo.
242
Arvores de Fila
Filas com parent (hierarquia).
243
Arvores de Fila
C1 possui maior prioridade, portanto consegue

atingir o max-limit. O restante da banda
dividida entre as outras leaf-queue.
leaf
244
Dvidas???
245
Tneis e VPN
246
VPN
Uma Rede Privada Virtual uma rede de

comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que fornecem

confidencialidade, autenticao e integridade necessrias para garantir a
privacidade das comunicaes requeridas. Quando adequadamente
implementados, estes protocolos podem assegurar comunicaes seguras
atravs de redes inseguras.
247
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte
da rede corporativa remota recebendo IPs desta e
perfis de segurana definidos.
248
A base da formao das VPNs o tunelamento entre
Tunelamento
A definio de tunelamento a capacidade de criar
tneis entre dois hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de
tunelamento, podendo ser tanto servidor como
cliente desses protocolos:
PPP (Point to Point Protocol)

PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
Protocol
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
249
PPP Definies Comuns para os

servios
MTU/MRU:: Unidade mximas de transmisso/ recepo em

bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, devedeve
se definir valores menores para evitar fragmentao.
Keepalive Timeout:: Define o perodo de tempo em segundos aps o qual o
roteador comea a mandar pacotes de keepalive por segundo. Se nenhuma
reposta recebida pelo perodo de 2 vezes o definido em keepalive timeout o
cliente considerado desconectado.
Authentication: As formas de autenticao permitidas so:
Pap:: Usurio e senha em texto plano sem criptografica.
Chap: Usurio e senha com criptografia.
Mschap1: Verso chap da Microsoft conf. RFC 2433
Mschap2: Verso chap da Microsoft conf. RFC 2759
250

servios
PMTUD:: Se durante uma comunicao alguma estao enviar pacotes IP

maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento
ser necessrio que haja algum mecanismo para avisar que esta estao
dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequao dos
pacotes posteriores chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade est presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.
MRRU:: Tamanho mximo do pacote, em bytes, que poder ser recebido

pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes
menores, permitindo o melhor dimensionamento do tnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
251

servios
Change MSS: Maximun Segment Size,, tamanho mximo do segmento de dados. Um

pacote MSS que ultrapasse o MSS dos roteadores por onde o tnel est estabelecido
deve ser fragmentado antes de envi-lo.
lo. Em alguns caso o PMTUD est quebrado ou os
roteadores no conseguem trocar informaes de maneira eficiente e causam uma
srie de problemas com transferncia HTTP, FTP, POP, etc... Neste caso Mikrotik
proporciona ferramentas onde possvel interferir e configurar uma diminuio do
MSS dos prximos pacotes atravs do tnel visando resolver o problema.
252
PPPoE Cliente e Servidor
PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato da rede
ethernet no ser ponto a ponto, o cabealho PPPoE inclui informaes sobre o
remetente e o destinatrio, desperdiando mais banda. Cerca de 2% a mais.
Muito usado para autenticao de clientes com base em Login e Senha. O PPPoE
estabelece sesso e realiza autenticao com o provedor de acesso a internet.
O cliente no tem IP configurado, o qual atribuido pelo Servidor

PPPoE(concentrador)
(concentrador) normalmente operando em conjunto com um servidor Radius.
No Mikrotik no obrigatrio o uso de Radius pois o mesmo permite criao e
gerenciamento de usurios e senhas em uma tabela local.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado desde que o
cliente suporte este mtodo.
253
PPPoE Cliente e Servidor
O cliente descobre o servidor atravs do protocolo

pppoe discovery que tem o nome do servio a ser
utilizado.
Precisa estar no mesmo barramento fsico ou os

dispositivos passarem pra frente as requisies
PPPoE usando pppoe relay.
No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar bem na

maioria dos casos. Se configurarmos pra zero, o servidor no desconectar os
clientes at que os mesmos solicitem ou o servidor for reiniciado.
254
Configurao do Servidor PPPoE

1.
Primeiro crie um pool de IPs para o

PPPoE
PPPoE.
/ip pool add name=pool-pppoe

name=pool
ranges=172.16.0.2
ranges=172.16.0.2-172.16.0.254
2.
Adicione um perfil para o PPPoE onde:
Local Address = Endereo IP do concentrado.

Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1 name=perfilpppoe remote-address=pool-pppoe
255

3. Adicione um usurio e senha
/ppp secret add name=usuario password=123456
service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address,, adicione em
Caller ID. Esta opo no obrigatria, mas um
parametro a mais para segurana.
256

4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vo
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.
/interface pppoe-server server add
authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename="Servidor PPPoE"
257
Mais sobre perfis

Bridge: Bridge para associar ao perfil
Incoming/Outgoing
Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
Address List:
List Lista de endereos IP para associar ao
perfil.
DNS Server: Configurao dos servidores DNS a
atribuir aos clientes.
Use Compression/Encryption/Change
Compression
TCP MSS:
caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.
258
Mais sobre perfis

Session Timeout: Durao mxima de uma
sesso PPPoE.
Idle Timeout: Perodo de ociosidade na
transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.
Rate Limit:
Limit Limitao da velocidade na forma
rx-rate//tx-rate. Pode ser usado tambm na
forma rx-rate/tx-rate
rx
rx-burst-rate/tx-burstrate rx--burst-threshould/tx-burst-threshould
burst-time
time priority rx-rate-min/tx-rate-min.
Only One:
One Permite apenas uma sesso para o
mesmo usurio.
259
Mais sobre o database

Service: Especifica o servio disponvel para este
cliente em particular.
Caller ID: MAC Address do cliente.
Local/Remote
Remote Address: Endereo IP Local (servidor)
e remote(cliente)
(cliente) que podero ser atribudos a um
cliente em particular.
Limits Bytes IN/Out: Quantidade em bytes que o
cliente pode trafegar por sesso PPPoE.
Routes:: Rotas que so criadas do lado do servidor
para esse cliente especifico. Vrias rotas podem ser
adicionadas separadas por vrgula.
260
Mais sobre o PPoE Server

O concentrador PPPoE do Mikrotik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rdio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que 1500 bytes.
At o momento no possumos nenhuma maneira de alterar a MTU da interface sem fio de
clientes MS Windows. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o concentrador
suportar.
261
Segurana no PPPoE
Para assegurar um servidor PPPoE podese utilizar Filtros de Bridge, configurando

a entrada ou repasse dos protocolos
pppoe-discovery e pppoe-session e
descartando os demais.
Mesmo que haja somente uma interface,

ainda sim possvel utilizar os Filtros de
Bridge, bastando para tal, criar uma
Bridge e associar em Ports apenas esta
interface. Em seguida alterar no PPPoE
Server a interface de esculta.
262
Configurando o PPPoE Client
AC Name:: Nome do concentrador. Deixando em branco conecta em qualquer um.

Service:: Nome do servio designado no servidor PPPoE.
Dial On Demand:: Disca sempre que gerado trfego de sada.
Add Default Route:: Adiciona um rota padro(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
263
PPTP e L2TP
L2TP Layer 2 Tunnel Protocol:: Protocolo de tunelamento em camada 2 um

protocolo de tunelamento seguro para transportar trfego IP utilizando PPP. O
protocolo L2TP trabalha na camada 2 de forma criptografada ou no e permite
enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacote de
dados. A porta UDP 1701 utilizada para o estabelecimento do link e o trfego
em si utiliza qualquer porta UDP disponvel, o que significa que o L2TP pode ser
usado com a maioria dos Firewalls e Routers,
Routers funcionando tambm atravs de
NAT.
L2TP e PPTP possuem as mesma funcionalidades.

264
Configurao do Servidor PPTP e L2TP
Configure um pool, um perfil para o PPTP, adicione um usurio em secrets
265
e habilite o servidor PPTP conforme as figuras.
Configurao do Servidor PPTP e L2TP
Configure os servidores
PPTP e L2TP.
Atente para utilizar o perfil
correto.
Configure nos hosts locais
um cliente PPTP e realize
conexo com um servidor
da outra rede.
Ex.: Hosts do Setor1 conectam

em Servidores do Setor2 e viceversa.
266
Configurao do Cliente PPTP e

L2TP
As configuraes para o cliente PPTP e L2TP so

bem simples, conforme observamos nas imagens.
267
Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio protocolo IP

baseado na RFC 2003. um protocolo simples que pode ser usado pra
interligar duas intranets atravs da internet usando 2 roteadores.
A interface do tnel IPIP aparece na lista de interfaces como se fosse uma
interface real.
Vrios roteadores comerciais, incluindo CISCO e roteadores baseados em
Linux suportam esse protocolo.
Um exemplo prtico de uso do IPIP seria a necessidade de monitorar hosts
atravs de um NAT, onde o tnel IPIP colocaria a rede privada disponvel para
o host que realiza o monitoramento, sem a necessidade de criar usurio e
senha como nas VPNs.
268
Tneis IPIP
Supondo que temos que unir as redes que esto
por trs dos roteadores 10.0.0.1 e 22.63.11.6.
Para tanto basta criemos as interfaces IPIP em
ambos, da seguinte forma:
269
Tneis IPIP
Agora precisamos atribuir os IPs as interfaces
criadas.
270
Aps criado o tnel IPIP as redes fazem parte
Tneis EoIP
EoIP(Ethernet over IP) um protocolo

proprietrio Mikrotik para encapsula mento de
todo tipo de trfego sobre o protocolo IP.
Quando habilitada a funo de Bridge dos roteadores que esto interligados atravs de
um tnel EoIP,, todo o trfego passado de uma lado para o outro de forma
transparente mesmo roteado pela internet e por vrios protocolos.
O protocolo EoIP possibilita:
Interligao em bridge de LANs remotas atravs da internet.
Interligao em bridge de LANs atravs de tneis criptografados.
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet atravs do protocolo GRE.
271
Tneis EoIP
Criando um tnel EoIP entre as redes por

trs dos roteadores 10.0.0.1 e
22.63.11.6.
Os MACs devem ser diferentes e estar
entre o rage: 00-00-5E-80-00-00 e 00-005E-FF-FF-FF, pois so endereos
reservados para essa aplicao.
O MTU deve ser deixado em 1500 para
evitar fragmentao.
O tnel ID deve ser igual para ambos.
272
Tneis EoIP
Adicione a interface EoIP a bridge,

juntamente com a interface que far
parte do mesmo dominio de broadcast.
273
Dvidas ????
274
HotSpot no Mikrotik
275
HotSpot
HotSpot um termo utilizado para se referir a uma rea pblica

onde est disponvel um servio de acesso a internet,
normalmente atravs de uma rede sem fio wi-fi. Aplicaes
tpicas incluem o acesso em Hotis, Aeroportos, Shoppings,
Universidades, etc...
O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a
uma rede qualquer, com ou sem fio, atravs de autenticao baseada em nome
de usurio e senha.
Quando em uma rea de cobertura de um HotSpot, um usurio que tente

navegao pela WEB arremetido para uma pgina do HotSpot que pede suas
credencias, normalmente usurio e senha. Ao fornec-las
fornec
e sendo um cliente
autorizado pelo HotSpot o usurio ganha acesso internet podendo sua
atividade ser controlada e bilhetada.
276
HotSpot
Setup do HotSpot:
1.
Escolha a interface que vai ouvir

o hotspot.
2.
Escolha o IP em que vai rodar o

hotspot e indique se a rede ser
mascarada.
3.
D um pool de endereos que

sero distribudos para os usurios
do hotspot.
4.
Selecione um certificado, caso

queira usar.
277
HotSpot
5.
6.
7.
8.
Setup do HotSpot(cont.):
Indique o endereo IP do seu
servidor smtp, caso queira.
D o endereo IP dos
servidores DNS que iro
resolver os nomes para os
usurios do hotspot.
D o nome do DNS que ir
responder aos clientes ao invs
do IP.
Adicione um usurio padro.
Feito. O HotSpot j est pronto para

ser usado.
278
HotSpot
Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de

fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila
especifica para o HotSpot.
279
HotSpot Detalhes do Servidor
Address Per MAC: Nmero de IPs permitidos para um

determinado MAC.
Idle Timeout: Mximo perodo de tempo de inatividade

para clientes autorizados. utilizado para detectar os
clientes que esto
to conectados mas no esto trafegando
dados. Atingindo o tempo configurado, o cliente
retirado da lista dos hosts autorizados. O tempo
contabilizado levando em considerao o momento da
desconexo menos o tempo configurado.
Keepalive Timeout:: Utilizado para detectar se o computador do cliente est ativo e

respondendo. Caso nesse perodo de tempo o teste falhe, o usurio tirado da tabela de
hosts e o endereo IP que ele estava usando liberado. O tempo contabilizado levando
em considerao o momento da desconexo menos o tempo configurado.
280
HotSpot Perfil do Servidor

HTML Directory:: Diretrio onde so colocadas as
pginas desse hotspot.
HTTP Proxy/Port:: Endereo e porta do servidor de
web proxy.
SMTP Server: Endereo do servidor SMTP.
Rate Limit:: Usado para criar uma fila simples para
todo o hotspot.. Esta fila vai aps as filas dinmicas dos
usurios.
281
Login by:
MAC:: Usa o MAC dos clientes primeiro como nome do usurio.
Se existir na tabela de usurios local ou em um Radius,
Radius o cliente
liberado sem usurio/senha.
HTTP CHAP: Usa o mtodo criptografado.
HTTP PAP: Usa autenticao em texto plano.
Cookie: Usa HTTP cookies para autenticar sem pedir
credenciais. Se o cliente no tiver mais o cookie ou se tiver
expirado ele de usar outro mtodo.
HTTPS:: Usa tnel SSL criptografado. Para que este mtodo
funcione, um certificado vlido deve ser importado para o
roteador.
Trial:: No requer autenticao por um determinado tempo.
Split User Domain:: Corta o domnio do usurio no caso de usuario@hotspot.com

HTTP Cookie Lifetime: Tempo de vida dos cookies..
282
Use Radius: Utiliza servidor Radius para autenticao

dos usurios do hotspot.
Location ID e Location Name:: Podem ser atribudos

aqui ou no Radius.. Normalmente deixado em branco.
Accounting:: Usado para registrar o histrico de logins,

trfego, desconexes, etc...
Interim Update:: Freqncia do envio de informaes

de accounting.. 0 significa assim que ocorre o evento.
Nas Port Type:: Wireless, ethernet ou cabo.

Informao meramente para referncia.
283
HotSpot Perfil de Usurios

O Use Profile serve para dar tratamento
diferenciado a grupos de usurios, como
suporte, comercial, diretoria, etc...
Session Timeout: Tempo mximo permitido.
Idle Timeout/Keepalive:
Timeout/
Mesma explicao
anterior, no entanto agora somente para este
perfil de usurios.
Status Autorefresh:
Autorefresh Tempo de refresh da pgina
de Status do HotSpot.
Shared Users: Nmero mximo de clientes com
o mesmo username.
284

Os perfis de usurio podem conter os limites de velocidade de
forma completa.
Rate Limit: [rx-limit
limit/tx-limit] [rx-burst-limit/tx-burst-limit] [rxburst-threshold
threshold/tx-burst-threshold] [rx-burst-time/tx-burst-time]
[priority] [rx-limit
limit-at/tx-limit-at]
Exemplo:: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
128k de upload / 256k de download

256k de upload burst / 512k de download burst
96k threshould de upload / 192k threshloud de download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de download
285

Incoming Filter:
Filter Nome do firewall chain aplicado aos
pacotes que chegam do usurio deste perfil.
Outgoing Filter:
Filter Nome do firewall chain aplicado aos
pacotes vo para o usurio deste perfil.
Incoming Packet Mark: Marca colocada automaticamente
em pacotes oriundos de usurios deste perfil.
Outgoing Packet Mark: Marca colocada automaticamente
em pacotes que vo para usurios deste perfil.
Open Status Page:
Page Mostra a pgina de status
http-login:: para usurios que logam pela WEB.
always:: para todos usurios inclusive por MAC.
Tranparent Proxy:
Proxy Se deve usar proxy transparente.
286
Com a opo Advertise possvel enviar de tempos

em tempos popups para os usurios do HotSpot.
Advertise URL:: Lista de pginas que sero
anunciadas. A lista cclica, ou seja, quando a ltima
mostrada, comea-se
se novamente pela primeira.
Advertise Interval:: Intervalo de tempo de exibio de popups. Depois da

sequncia terminada, usa sempre o intervalo.
Advertise Timeout:: Quanto tempo deve esperar para o anncio ser mostrado,
antes de bloquear o acesso a rede.
Pode ser configurado um tempo.

Nunca bloquear.
Bloquear imediatamente.
287
O Mikrotik possui uma linguagem interna de scripts

que podem ser adicionados para serem executados
em alguma situao especifica.
No HotSpot possvel criar scripts que executem

comandos a medida que um usurio desse perfil
conecta ou desconecta do HotSpot.
Os parmetros que controlam essa execuo so:

On Login: Quando o cliente conecta ao HotSpot.
HotSpot
On Logout:: Quando o cliente desconecta do HotSpot.
Os scripts so adicionados no menu:

/system script
288
HotSpot Usurios
289
HotSpot Usurios
Server: all para todos hotspots ou para um especfico.

Name:: Nome do usurio. Se o modo Trial estiver ativado o
hotspot colocar automaticamente o nome T
MAC_Address.
. No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address:: Endereo IP caso queira vincular esse usurio a um
endereo fixo.
MAC Address:: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile:: Perfil onde o usurio herda as propriedades.
Routes:: Rotas que sero adicionadas ao cliente quando se conectar. Sintaxe:

Endereo destino gateway metrica.
. Vrias rotas separadas por vrgula podem ser
adicionadas.
290
HotSpot Usurios
Limit Uptime:: Limite mximo de tempo de conexo para o

usurio.
Limit Bytes In:: Limite mximo de upload para o usurio.
Limit Bytes Out:: Limite mximo de download para o
usurio.
Limit Bytes Total:: Limite mximo considerando o
download + upload.
upload
Na aba das estatsticas possvel acompanhar a utilizao
desses limites.
291
HotSpot Active
Mostra dados gerais e estatsticas de cada usurio conectado.
292
HotSpot IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que aceita
qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta facilidade
denominada DAT na AP 2500 e eezee no StarOS.
StarOS
possivel tambm fazer tradues NAT estticas com base no IP original, ou IP da rede ou
MAC do cliente. possvel tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede inicialmente. Tambm
possvel fazer bloqueio de endereos.
293
HotSpot IP Bindings
MAC Address: mac original do cliente.
Address:
Address Endereo IP do cliente.
To Address: Endereo IP o qual o original
deve ser traduzido.
Server
Server: Servidor hotspot o qual a regra
ser aplicada.
Type:
Type Tipo do Binding
Regular: faz traduo regular 1:1
Bypassed: faz traduo mas dispensa o
cliente de logar no hotspot.
Blocked: a traduo no ser feita e todos os
pacotes sero bloqueados.
294
HotSpot Ports
A facilidade NAT do hotspot causa

problemas com alguns protocolos
incompatveis com NAT. Para que esses
protocolos funcionem de forma
consistente, devem ser usados os
mdulos helpers.
No caso do NAT 1:1 o nico problema

com relao ao mdulo de FTP que
deve ser configurado para usar as
portas 20 e 21.
295
HotSpot Walled Garden
Configurando um walled garden possvel oferecer ao usurio o acesso a

determinados servios sem necessidade de autenticao. Por exemplo em um
aeroporto poderia se disponibilizar informaes sobre o tempo ou at mesmo
disponibilizar os sites dos principais prestadores de servio para que o cliente possa
escolher qual plano quer comprar.
Quando um usurio no logado no hotspot requisita um servio do walled garden o

gateway no intercepta e, no caso do http,, redireciona a requisio para o destino ou
um proxy.
Para implementar o walled garden para requisies http, existe um web proxy
embarcado no Mikrotik, de forma que todas requisies de usurios no autorizados
passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik no tem a funo de cache, pelo menos
por hora. Notar tambm que esse proxy faz parte do pacote system e no requer o
pacote web-proxy.
296

importante salientar que o walled
garden no se destina somente a
servio WEB, mas qualquer servio
que se queira configurar. Para tanto
existem 2 menus distintos conforme
do figuras ao lado. Sendo o menu de
cima para HTTP e HTTPS e o de baixo
para outros servios e protocolos.
297
Action: Permite ou nega.

Server: Hotspot para o qual o walled garden vale.
Src.Address:: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server.
Method: Mtodo http ou https.
Dst. Host:: Nome do domnio do servidor de destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisio.
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado
coringas. Tambm possvel utilizar expresses regulares devendo essas ser
iniciadas com (:)
298
Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden vale.
Src. Address:: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port:: Porta TCP ou UDP que ser requisitada.
Dst. Host:: Nome do domnio do servidor de destino.
299
HotSpot Cookies
Quando configurado o login por cookies,, estes ficam armazenados no

hotspot com nome do usurio, MAC e tempo de validade.
Enquanto estiverem vlidos o usurio no precisa efetuar o procedimento
de login e senha.
Podem ser deletados (-)) forando assim o usurio a fazer o login
novamente.
300
Personalizando o HotSpot
As pginas do hotspot so completamente configurveis e alm
disso possvel criar conjuntos completamente diferentes das
pginas do hotspot para vrios perfis de usurios especificando
diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:
redirect.html redireciona o usurio a uma pgina especifica.
login.html pgina de login que pede usurio e senha ao cliente. Esta pgina
tem os seguintes parmetros:
Username/password.
Dst URL original que o usurio requisitou antes do redirecionamento e que ser
aberta aps a autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com sucesso.
301
HotSpot com HTTPS
Para utilizar o hotspot com HTTPS necessrio que se crie um

certificado, assin-lo
lo corretamente e em seguida import-lo
import atravs
do menu /system certificates.
302
Dvidas ????
303
Roteamento
O Mikrotik suporta dois tipos de roteamento:

Roteamento esttico: As rotas so criadas pelo usurio atravs de inseres pr-definidas
pr
em
funo da topologia da rede.
Roteamento dinmico: As rotas so geradas automaticamente atravs de um protocolo de
roteamento dinmico ou de algum agregado de endereo IP.
O Mikrotik tambm suporta ECMP(Equal

Equal Cost Multi Path) que um mecanismo que
permite rotear pacotes atravs de vrios links e permite balancear cargas.
possvel ainda no Mikrotik se estabelecer polticas de roteamento dando

tratamento diferenciado a vrios tipos de fluxos a critrio do administrador.
304
Polticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer
uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos IP e
portas.
As marcas dos pacotes devem ser adicionadas no Firewall, no mdulo
Mangle com mark-routing.
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindodirigindo
os para um determinado gateway.
possvel utilizar poltica de roteamento quando se utiliza NAT.
305
Uma aplicao tpica de polticas de roteamento trabalhar com dois um
mais links direcionando o trfego para ambos. Por exemplo direcionando
trfego p2p por um link e trfego web por outro.
impossvel porm reconhecer o trfego p2p a partir do primeiro pacote,
mas to somente aps a conexo estabelecida, o que impede o
funcionamento de programas p2p em casos de NAT de origem.
A estrtegia nesse caso colocar como gateway default um link menos
nobre, marcar o trfego nobre (http
http, dns, pop, etc.) e desvia-lo pelo link
nobre. Todas outras aplicaes, incluindo o p2p iro pelo link menos
nobre.
306
Exemplo de poltica de
roteamento.
O roteador nesse caso ter 2
gateways com ECMP e checkcheck
gateway.. Dessa forma o trfego
ser balanceado e ir garantir o
failover da seguinte forma:
307
Ex. de Poltica de Roteamento

1. Marcar pacotes da rede 192.168.10.0/24 como lan1 e pacotes
da rede 192.168.20.0/24 como lan2 da seguinte forma:
/ip firewall mangle add src-address=192.168.10.0/24 action=mark
mark-routing
new-marking-routing=lan1 chain=prerouting
/ip firewall mangle add src-address=192.168.20.0/24 action=mark
mark-routing
new-marking-routing=lan2 chain=prerouting
2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1 e os

pacotes da rede lan2 para o gateway 10.112.0.1 usando as
correspondentes marcas de pacotes da seguinte forma:
/ip routes add gateway=10.111.0.1 routing-mark=lan1 check-gateway
gateway=ping
/ip routes add gateway=10.112.0.1 routing-mark=lan2 check-gateway
gateway=ping
/ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway=ping
192.168.10.0/24
192.168.20.0/24
308
Balanceamento de Carga com PCC
309
O PCC uma forma de balancear o trfego de acordo com um critrio de

classificao pr-determinado
determinado das conexo. Os parametros de configurao so:
Classificador
Denominador
Contador
Obs.: O PCC s est disponvel no Mikrotik a partir da verso 3.24.

310

Exemplo de PCC com 3 links
Primeiro vamos marcar as conexes. Atente

para a interface de entrada(clientes), o
denominador(links) e o contador que inicia
em zero.
311

312

313

Agora vamos marcar as rotas com base nas

marcaes de conexes j feitas
anteriormente.
Atente agora para desmarcar a opo
passthrough.
314

315

316

Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar que os 3
gateways internet so: 10.10.10.1, 20.20.20.1 e 30.30.30.1
317

Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma
operao para as demais interfaces.
318
Roteamento Dinmico
O Mikrotik suporta os seguintes protocolos:
RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.
O uso de protocolos de roteamento dinmico permite implementar

redundncia e balanceamento de links de forma automtica e uma
forma de se fazer uma rede semelhante as redes conhecidas como
Mesh, porm de forma esttica.
319
Roteamento dinmico - BGP

O protocolo BGP destinado a fazer comunicao
entre AS(Autonomos System) diferentes, podendo
ser considerado como o corao da internet.
O BGP mantm uma tabela de prefixos de rotas
contendo informaes para se encontrar
determinadas redes entre os ASs.
A verso corrente do BGP no Mikrotik a 4,
especificada na RFC 1771.
320
Roteamento Dinmico - OSPF
O protocolo Open Shortest Path First,, um protocolo do tipo link state. Ele usa o
algoritmo de Dijkstra para calcular o caminho mais curto para todos os destinos.
O OSPF distribui informaes de roteamento entre os roteadores que participem de

um mesmo AS(Autonomous System) e que tenha o protocolo OSPF habilitado.
Para que isso acontea, todos os roteadores tem de ser configurados de uma
maneira coordenada e devem ter o mesmo MTU para todas as redes anunciadas
pelo protocolo OSPF.
O protocolo OSPF iniciado depois que adicionado um registro na lista de redes.

As rotas so aprendidas e instaladas nas tabelas de roteamento dos roteadores.
321
Roteamento Dinmico - OSPF

Tipos
Tipos de roteadores em OSPF:
Roteadores
Roteadores internos a uma rea
Roteadores de backbone (rea 0)
Roteadores
Roteadores de borda de rea (ABR)
OS ABRs devem ficar entre dois roteadores e devem
tocar a rea 0
Roteadores de borda Autonomous System (ASBR)

So
So roteadores que participam do OSPF mas fazem
comunicao com um AS.
322
OSPF - Opes
Router ID:
ID Geralmente o IP do roteador. Caso
no seja especificado o roteador usar o maior
IP que exista na interface.
Redistribute Default Route:

Never:
Never nunca distribui rota padro.
If installed (as type 1): Envia com mtrica 1 se tiver sido
instalada como rota esttica, dhcp ou PPP.
If installed (as type 2): Envia com mtrica 2 se tiver sido
instalada como rota esttica, dhcp ou PPP.
Always (as type 1): Sempre, com mtrica 1.
Always (as type 2): Sempre, com mtrica 2.
323
OSPF - Opes
Redistribute Connected Routes: Caso habilitado, o

roteador ir distribuir todas as rotas relativas as redes que
estejam diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado, distribui as
rotas cadastradas de forma esttica em /ip
/ routes.
Redistribute RIP Routes: Caso habilitado, redistribui as
rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado, redistribui as
rotas aprendidas por BGP.
Na aba Metrics
Metrics possvel modificar as mtricas que
sero exportadas as diversas rotas.
324
OSPF - reas
O protocolo OSPF permite que vrios roteadores sejam agrupados entre si. Cada
grupo formado chamado de rea e cada rea roda uma cpia do algoritmo
bsico, e cada rea tem sua prpria base de dados do estado de seus roteadores.
A diviso em reas importante pois como a estrutura de uma rea s visvel
para os participantes desta, o trfego sensvelmente reduzido. Isso tambm
previne o recalculo das distncias por reas que no participam da rea que
promoveu alguma mudana de estado.
aconselhavel utilizar no entre 50 e 60 roteadores em cada rea.
325
OSPF - Redes
Aqui definimos as redes OSPF com os seguintes
parmetros:
Network: Endereo IP/Mascara, associado. Permite
definir uma ou mais interfaces associadas a uma rea.
Somente redes conectadas diretamente podem ser
adicionadas aqui.
Area: rea do OSPF associada.
326
OSPF
Considerando nosso diagrama inicial, vamos

aplicar o OSPF em uma s rea e testar a
funcionalidade.
327
Dvidas ????
328
Web Proxy
O web proxy uma tima ferramenta para fazer
cache de objetos da internet e com isso
economizar banda.
Tambm possvel utilizar o web proxy como filtro
de contedo sem a necessidade de fazer cache.
Como o web proxy escuta todos ips do router,
muito importante assegurar que somente clientes
da rede local iro acess-lo.
lo.
A boa prtica recomenda o uso de 20GB de cache
para cada 1GB de memria RAM. Portanto com
329
Web Proxy - Parmetros
Src. Address:
Address Endero IP do servidor proxy caso
voc possua vrios ips no mesmo roteador.
Port: Porta onde o servidor ir escuta.
Parent Proxy: Servidor proxy pai usado em um
sistema de hierarquia de proxy.
Parent Proxy Port: Porta o parent proxy escuta.
Cache Administrator:
Administrator Identificao do
administrador do proxy.
Max Cache Size: Tamanho mximo do cache em
KiBytes.
Cache On Disk: Indica se o cache ser em Disco ou
em RAM.
330
Max Client Connections: Nmero mximo de

conexes simultneas ao proxy.
Max Server Connections: Nmero mximo de
conexes que o proxy far a um outro servidor
proxy.
Max Fresh Time: Tempo mximo que os objetos que
no possuem tempo padro definidos, sero
considerados atuais.
Serialize Connections: Habilita mltiplas conexes
ao servidor para mltiplas conexes para os
clientes.
Always From Cache: Ignore requisies de
atualizao dos clientes caso o objeto ser
considerado atual.
331
Cache Hit DSCP (TOS): Adiciona marca DSCP com o

valor configurado a pacotes que deram hit no proxy.
Cache Drive: Exibe o disco que o proxy est usando
para armazenamento dos objetos. Esses discos
podem ser acessados no menu: /system stores.
332
Web Proxy - Status
Uptime: Tempo que o proxy est rodando.

Requests Total de requisies ao proxy.
Requests:
Hits: Nmero de pedidos que foram atendidos pelo
cache do proxy.
Cache Used:
Used Espao usado em disco ou RAM usado
pelo cache do proxy.
Total RAM Used: Total de RAM usada pelo proxy.
Received From Servers: Total de dados em Kibytes recebidos de servidores

externos.
Sent To Clients: Total de dados em Kibytes enviados ao clientes.
Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos
clientes.
333
Web Proxy - Conexes

Aqui podemos a lista de conexes ativas no proxys
Src. Address: Endereo IP das conexes remotas
Dst. Address: Endereo destino que est sendo requisitado
Protocol: Protocolo utilizado pelo navegador
State: Status da conexo
Tx Bytes: Total de bytes enviados
Rx Bytes: Total de bytes recebidos remotamente

334
Web Proxy - Access
A lista de acesso permite controlar

contedo que ser permitido ou no
para armazenamento no cache do proxy.
As regras adicionadas nesta lista so

processadas de forma semelhante que
as regras do firewall. Neste caso as
regras iro processar as conexes e caso
alguma conexo receba um match ela
no ser mais processada pelas demais
regras.
335
Web Proxy - Access
Src. Address: Endereo ip de origem
Dst. Address: Endereo ip de destino
Dst. Port: Porta ou lista de portas destino
Local Port: Porta correspondente do proxy
Dst. Host: Endereo ip ou DNS de destino
Path: Nome da pgina dentro do servidor
Method: Mtodo HTTP usado nas requisies
Action: Permite ou nega a regra
Redirect To: URL ao qual o usurio ser redirecionado

caso a regra seja de negao
Hits: Quantidade de vezes que a regra sofreu macth
336
Web Proxy - Cache
A lista de cache define como as requisies sero armazenadas ou no no

cache do proxy.
Esta lista manipulada da mesma forma que a lista de acesso.
De forma anloga ao firewall, qualquer requisio que no esteja na lista de

regras, ser armazenada no cache.
Os parmetros de configurao das regras so idnticas as regras da lista de

acesso.
337
Web Proxy - Direct
A lista de acesso direto utilizada quando um Parent Proxy est

configurado. Desta forma possvel passar a requisio ao mesmo ou
tentar encaminhar a requisio diretamente ao servidor de destino.
Esta lista manipulada da mesma forma que a lista de acesso.
Diferentemente do firewall, qualquer requisio que no esteja na lista de

regras, ser por padro negada.
Os parmetros de configurao das regras so idnticas as regras da lista de

acesso.
338
Web Proxy Regras de Firewall
Para que o proxy funcione de forma correta e segura, necessrio criar

algumas regras no firewall nat e no firewall filter.
Primeiramente precisamos desviar o fluxo de pacotes com destino a porta

80 para o servidor web proxy.
Em seguida precisamos garantir que somente os clientes da rede local tero

acesso ao servidor web proxy.
339
Web Proxy Regras de Firewall
Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocol=tcp

protocol
dst-port=80
action=redirect to-ports=8080
Protegendo o proxy contra acessos externos no autorizados
/ip firewall filter add chain=input protocol=tcp

protocol
dst-port=8080 ininterface=wan action=drop
340
Exerccio final
Abra um New Terminal
Digite: /system reset-configuration
configuration
341
Dvidas ????
342
The Dude O cara
343
The Dude O cara

The Dude uma ferramenta de monitoramento
que:
Fornece
Fornece informaes acerca de quedas e
restabelecimentos de redes, servios, assim como uso
de recursos de equipamentos.
Permite
Permite mapeamento da rede com grficos da
topologia e relacionamentos lgicos entre os
dispositivos.
344
Notificaes via udio/video
video/email acerca de eventos.
The Dude O cara

Possibilidade de utilizar ferramentas para acesso
direto a dispositivos da rede a partir do diagrama
da mesma.
Acesso direto a dispositivos Mikrotik atravs do
winbox.
Armazenamento de histrico de eventos(logs)
eventos(
de
toda a rede, com momentos de queda,
restabelecimentos, etc...
345
Instalando o The Dude

No Windows:
Fazer o download, clicar no executvel e responder sim
para todas as perguntas.
No Linux:
Instalar o wine e a partir da proceder como no windows.
Em Routerboard ou PC com Mikrotik:

Baixar o pacote referente a arquitetura especifca, enviar
346
para o Mikrotik via FTP ou Winbox e rebootar o roteador.
The Dude em Routerboards
O espao em disco consumido pela The Dude considervel, entre outras coisas,
devido aos grficos e logs a serem armazenados. Assim, no caso de instalao em
Routerboards aconselhvel o uso daquelas que possuam armazenamento
adicional como:
RB 433UAH Aceita HD externo via USB

RB 450G Aceita MicroSD
RB 600 Aceita SD
RB 800 Aceita MicroSD
RB 1100 Aceita MicroSD
No aconselhvel a instalao em outras Routerboards por problemas de

perdas de dados devido a impossibilidade de efetuar backups. Problemas de
processamento tambm devem ser considerados.
347
The Dude
- Comeando
A instalao do The Dude sempre instala o cliente e o servidor e no

primeiro uso ele sempre ir tentar usar o Servidor Local(localhost).
Local(
Caso
queira se conectar em outro servidor clique no raio.
348
The Dude
- Comeando
O auto discovery permite que o servidor The Dude localize os dispositivos de seu
segmento de rede, atravs de provas de ping, arp, snmp, etc... E por servios
tambm.
Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por
seus vizinhos (neighbours).
Apesar de ser uma facilidade, no aconselhvel utilizar este recurso.
349
The Dude
Adicionando
dispositivos
O The Dude tem um wizard para criao de

dispositivos. Informe o IP e, se o dispositivo for
Mikrotik, marque a opo Router
OS.
350
The Dude
Adicionando
dispositivos
Em seguida descubra os servios que esto rodando nesse equipamento. Aps

isso o dispositivo estar criado.
351
The Dude
Adicionando
dispositivos
Clique no dispositivo criado para ajustar vrios

parmetros. Dentre esses os principais:
Nome de exibio
Tipo do dispositivo
352
The Dude
Adicionando
dispositivos
O The Dude possui vrios dispositivos pr-definidos,

pr
mas pode-se criar
novos dispositivos personalizados para que o desenho realmente reflita a
realidade prtica.
Por razes de produtividade aconselhvel que todos os dispositivos
existentes na rede sejam criados com suas propriedades especificas antes
do desenho da rede, mas nada impede que isso seja feito depois.
353
The Dude
Adicionando
dispositivos
Quando a rede possui elementos no configurveis

por IP como switchs L2, necessrio criar
dispositivos estticos para fazer as ligaes. Com
isso possvel concluir o diagrama da rede de
forma mais realista e parecida com a real.
354
The Dude
Criando links
Para criar links entre os dispositivos basta clicar no

mapa com o boto direito, selecionar Add Link e ligar
os dois dispositivos informando:
Device:: Dispositivo que ir fornece as informaes do link.
Mastering type:: Informa como as informaes sero obtidas.
Interface: Caso o dispositivo suporte SNMP e/ou seja um
RouterOS,, escolha a interface que deseja monitorar a
velocidade e estado do link.
355
Speed:: Informando a velocidade do link, ativado a
The Dude
Notificaes
Efetue um duplo clique no dispositivo e v na guia Notifications.
Nela
voc pode informar o tipo de notificao que deseja receber.
356
The Dude
Servios indesejveis
Com o The Dude podemos monitorar servios que no desejamos que estejam
ativos.
357
The Dude
grficos
Podemos manipular a forma como os grficos iro ser

apresentados para identificar servios, estado dos links
etc...
358
The Dude
Efetuando Backups
As configuraes so salvas automaticamente

na medida em que so feitas. Para se ter um
backup externo use o export
export para gerar um
arquivo .xml com todas as configuraes que
podero ser importadas sempre que
necessrio.
359
Dvidas ????
360
Laboratrio Final
Abram um terminal
Executem: /system reset-configuration nodefaults=yes
361
OBRIGADO!
Guilherme Marques Ramires.

E-mail para contato: guilherme@mktsolutions.net.br
362

Treinamento Mikrotik - Nat

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Treinamento Mikrotik - Nat

Transféré par

Droits d'auteur :

Formats disponibles

Treinamento dirio das 09:00hs

Algumas regras importantes

Algumas regras importantes

Perguntas so sempre bem vindas. Muitas vezes a sua

Diga seu nome;

Prover um viso geral sobre o Mikrotik RouterOS e

Onde est a Mikrotik ?

So hardwares criados pela Mikrotik;

RouterOS o sistema operacional das

Alm das RouterBoards ele tambm pode ser instalado em

Onde obter o Mikrotik RouterOS

PPP: Suporte a servios PPP como PPPoE,, L2TP, PPTP, etc..

DHCP: Cliente e Servidor DHCP

Advanced-tools: Ferramentas de diagnstico, netwatch e outros ultilitrios

Arlan: Suporte a uma antiga placa Aironet antiga arlan

Calea:: Pacote para vigilncia de conexes (Exigido somente nos EUA)

GPS: Suporte a GPS ( tempo e posio )

HotSpot: Suporte a HotSpot

ISDN: Suporte as antigas conexes ISDN

LCD: Suporte a display LCD

NTP: Servidor de horrio oficial mundial

Radiolan: Suporte a placa RadioLan

RouterBoard: Utilitrio para RouterBoards

Routing:: Suporte a roteamento dinmico tipo RIP, OSPF, BGP

RSTP-BRIGE-TEST: Protocolo RSTP

Security: Suporte a ssh, IPSec e conexo segura do winbox

Synchronous: suporte a placas sncronas Moxa,, Cyclades PC300, etc...

Telephony: Pacote de suporte a telefnia protocolo h.323

UPS: Suporte as no-breaks APC

User-Manager: Servio de autenticao User-Manager

Web-Proxy: Servio Web-Proxy

Wireless: Suporte a placas Atheros e PrismII

Wireless-legacy: Suporte as placas antigas Atheros,, PrismII e Aironet

Instalao com Netinstall

Pode ser instalado em PC que boota via rede(configurar

Pode ser baixado tambm em:

O netinstall um excelente recurso para reinstalar em

Instalao com Netinstall

Instalao com Netinstall

O processo de instalao no configura IP no

Direto no console (em pcs)

[admin@MikroTik] > interface ethernet> print detail

possvel monitorar o status das interfaces com o seguinte comando:

[guilherme@MKT] > interface wireless monitor wlan1

Acessando pelo WINBOX

Configurao em Modo Seguro

Configurao em Modo Seguro

u desfaz todas as configuraes anteriores feitas em modo

Configurao em Modo Seguro

Nivelamento de conhecimentos TCP/IP

Camada I Camada Fsica

Camada III - Rede

Protocolo ARP Address Resolution Protocol

Caractersticas do protocolo TCP

O uso de portas, permite o funcionamento de vrios servios, ao

Diferenas bsicas entre TCP e UDP

Servio orientado por conexo.

Servio sem conexo. No estabelecida

Garante a entrega atravs do uso de

No garante ou no confirma entrega

Programas que usam TCP tem garantia

Programas que usam UDP so