Académique Documents
Professionnel Documents
Culture Documents
(MTCNA)
Rio de Janeiro, RJ
Fevereiro, 2019
Sobre o Instrutor
Leonardo Rosa
• Consultor em Internetworking
desde 2006.
• Instrutor MikroTik desde 2012,
certificado na Polônia.
• Ministra cursos e treinamentos nas
certificações MTCNA, MTCRE, MTCINE,
MTCWE, MTCTCE, MTCUME e MTCIPv6E.
2
Objetivos do Curso
• Promover uma visão geral do software
RouterOS e dos produtos RouterBOARD
• Treinamento prático em configurações
MikroTik, manutenção e resolução de
problemas básicos
3
Aprendizado Esperado
O estudante irá:
• Se habilitar a configurar, gerenciar e
solucionar problemas básicos em
dispositivos MikroTik RouterOS
• Se habilitar a prover serviços básicos a
clientes
• Ter uma base sólida e ferramentas
valiosas para gerenciar uma rede
4
Cursos de Certificação
MikroTik
MTCNA
MTCINE
7
Agenda
• Treinamento: das 9h às 18h
• 1 hora de almoço: 12h
• Coffee-break à tarde de 30 minutos: 15h30
• Exame de certificação: último dia, 1 hora
8
Serviços locais
• Saída de emergência: mesma principal
• Banheiros no corredor
• Café e água dentro da sala
9
Gentileza
• Colocar telefone em “silêncio” e atender
chamadas apenas fora da sala
• Silenciar o áudio do PC
• Faça perguntas!
• Abra um bloco de notas
• Anote seu número “XY”
10
Apresentações
• Seu Nome e Empresa
• Seu conhecimento sobre redes
• Sua experiência com o RouterOS
• Expectativas com este curso
11
Certified Network Associate
(MTCNA)
Módulo 1
Introdução
Sobre a MikroTik
• Fabricante de software e hardware para
roteadores
• Produtos usados por ISPs, empresas e
residências
• Missão: tornar as tecnologias da
Internet mais rápidas, mais poderosas e
acessíveis a uma faixa maior de
usuários
13
Sobre a MikroTik
• 1996: Estabelecida
• 1997: Soft. RouterOS para x86 (PC)
• 2002: Primeira RouterBOARD
• 2006: Primeiro MUM
(MikroTik User Meeting) - Praga,
República Checa
• 2017: Maior MUM: Indonésia, 3000+
14
Sobre a MikroTik
• Situada na Letônia
• Mais de 160
funcionários
• mikrotik.com
• routerboard.com
15
MikroTik RouterOS
• É o sistema operacional do hardware
RouterBOARD da MikroTik
• Pode também ser instalado em um PC
ou como máquina virtual (VM)
• SO independente baseado no kernel
Linux (atualmente 3.3.5)
16
Recursos RouterOS
• Suporte completo a 802.11 a/b/g/n/ac
• Firewall/controle de banda
• Tunelamento Ponto-a-Ponto (PPTP,
PPPoE, SSTP, OpenVPN)
• DHCP/Proxy/HotSpot
• Muito mais, ver em: wiki.mikrotik.com
17
MikroTik RouterBOARD
• Uma família de soluções em hardware
criada pela MikroTik que roda o
RouterOS
• Variando desde routers residenciais à
concentradores de acesso de grande
porte
• Milhões de RouterBOARDs estão
atualmente roteando o mundo
18
MikroTik RouterBOARD
• Soluções integradas – prontas para uso
• Apenas placas – para montagem de sistema
próprio ou personalizado
• Cases – para montagens personalizadas da
RouterBOARD
• Interfaces – para expandir funcionalidades
• Acessórios
19
Primeiro Acesso
• Cabo null modem
• Cabo ethernet
• WiFi
Cabo
Cabo Ethernet
Null Modem
WiFi
20
Primeiro Acesso
• Emulador de terminal, em caso de
conexão por porta serial
• Telnet
• SSH
• WebFig
• WinBox - mikrotik.com/download
21
WinBox
• Endereço IP padrão (LAN):
192.168.88.1
• Usuário: admin
• Senha: (em branco)
22
LA
MAC WinBox
B
• Observe a barra de título do WinBox
quando conectado usando o endereço
IP
• Conecte ao router usando o endereço
MAC
• Observe a barra novamente
23
LA
MAC WinBox
B
• Desabilite o endereço IP na interface
bridge
• Tente logar no router usando o
endereço IP (não é possível)
• Tente logar no router usando o MAC
WinBox (funciona)
24
LA
MAC WinBox
B
• Habilite o endereço IP na interface
bridge
• Logue no router usando o endereço IP
25
WebFig
• Navegador - http://192.168.88.1
26
Quick Set
• Configuração basica do router em uma
única janela
• Acessível por WinBox e WebFig
• Descrito com mais detalhes no curso
“Introdução ao MikroTik RouterOS e
RouterBOARDs”
27
Quick Set
28
Configuração Padrão
• Diversas configurações são aplicadas
• Para mais informação veja a página
configuração padrão
• Exemplo: SOHO routers - DHCP client na
Ether1, DHCP server no resto das portas
+ WiFi
• Pode ser descartada e o router ficará em
“branco”
29
Linha de Comando
• Disponível via SSH, Telnet ou ‘New
Terminal’ no WinBox e WebFig
30
Linha de Comando
• <tab> completa o comando
• <tab> duplo mostra os
comandos/opções disponíveis
• ‘?’ mostra a ajuda
• Navegue através dos comandos
anteriores com as setas <↑>, <↓>
31
Linha de Comando
• Estrutura hierarquica (similar ao menu
do WinBox)
• Mais info na página console da wiki
B
AP da sala
notebook seu router
192.168.88.1
33
LA
Notebook - Router
B
• Conecte o notebook ao router com o
cabo plugando-o na ether3
• Desabilite outras interfaces (wireless)
em seu notebook
• Certifique-se que a interface Ethernet
está em DHCP
34
LA
Router - Internet
B
• O gateway da Internet da sala está
acessível na rede sem-fio via AP
(access point)
AP da sala
notebook seu router
192.168.88.1
35
LA
Router - Internet
B
• Para se conectar no AP você
precisará:
• Atribuir a interface wireless ao modo
“station” e ssid “MTCNA”
• E remover/desabilitar a wireless da
interface bridge
(usada na “default configuration”)
36
LA
Router - Internet
B
• Para ter internet na RB e no PC
você precisará:
• Configurar o DHCP client para a
interface wireless
• E incluir a wlan1 na lista WAN de
interfaces (/interface list member)
37
LA
Router - Internet
B
Remova/
desabilite a
interface
WiFi da
interface
bridge
Bridge → Ports
38
LA
Router - Internet
B
DHCP
client na
interface
WiFi
IP → DHCP Client
39
LA
Router - Internet
B
Configure
masquerade
na interface
WiFi
IP → Firewall → NAT
40
Conferindo a
LA
B
Conectividade
• Ping www.mikrotik.com do seu notebook
41
Troubleshooting
• O router não pinga além do AP
• O router não resolve nomes
• O notebook não pinga além do router
• O notebook não resolve nomes
• A regra masquerade não funciona
42
RouterOS Releases
• Long-term (bugfix) – correções, sem
novos recursos
• Stable (current) – mesmas correções +
novos recursos
• Testing (release candidate) – versões
beta e RC)
43
Atualizando o RouterOS
• Maneira mais fácil
System → Packages
45
Pacotes do RouterOS
Pacote Funcionalidade
B
• Desabilite o pacote wireless
• Reinicie o router
• Observe a lista de interfaces
• Habilite o pacote wireless
• Reinicie o router
• Verifique/corrija sua internet
47
RouterBOOT
System → Routerboard
• Disponível em
www.mikrotik.com/download
50
RouterOS Users
System → Users
51
Backup da
Configuração
• Existem dois tipos de backup
• Arquivo Backup (.backup) – usado para
restaurar a configuração no mesmo
router
• Arquivo Export (.rsc) – usado para
mover a configuração para outro router
52
Reset Configuration
• Resetar para a default configuration
• Manter os usuários do RouterOS após o
reset
• Resetar o router sem qualquer
configuração (em branco)
• Rodar um script após o reset
System → Reset Configuration
53
Backup da
LA
B
Configuração
• Crie um arquivo .backup
• Resete a config do router
(vai perder acesso à internet)
• Restaure a configuração do router
(o acesso à internet volta)
54
O
pc
LA
io
na
l
Backup via Export
B
• Crie um arquivo .rsc (comando “export”)
• Resete a config do router completamente
• Importe a config do arquivo com o comando
/import <arquivo.rsc>
55
Licenças RouterOS
• Toda RouterBOARD embarca
uma licença
• Diferentes níveis de licença
(recursos)
• Atualizações ilimitadas
• Licença para x86 pode ser System → License
comprada em mikrotik.com ou
com distribuidores
56
Licenças RouterOS
Nível Tipos Usos
0 Trial Mode 24h trial
1 Free Demo
57
Módulo 1
Resumo
Certified Network Associate
(MTCNA)
Módulo 2
DHCP
DHCP
• Dynamic Host Configuration Protocol
• Usado para distribuir automaticamente
endereços IP em uma rede local
• Use DHCP apenas em redes confiáveis
• Funciona dentro de um domínio de
broadcast
• O RouterOS suporta ambos DHCP cliente e
servidor
60
DHCP Client
IP → DHCP Client
61
DNS
• Por padrão o DHCP
client busca pelo
endereço IP de servidor
DNS
• Pode também ser
atribuído manualmente
IP → DNS
62
DNS
• O RouterOS suporta entradas estáticas
de DNS
• Por padrão existe uma entrada estática
do tipo A nomeada 'router.local' a qual
aponta para o IP 192.168.88.1
• Isto significa que você pode acessar o
router usando este nome ao invés do IP
– http://router.local
IP → DNS → Static
63
DHCP Server
• Automaticamente atribui endereço IP a
hosts solicitantes em uma rede local
• Um endereço IP deve ser configurado
na mesma interface do DHCP Server
• Para habilitar use o ‘DHCP Setup’
64
LA
DHCP Server
B
• Disconecte do router
• Reconecte usando o endereço MAC do
router
65
LA
DHCP Server
B
• Vamos remover a config existente do
DHCP Server atual e criar uma nova
config
• Vamos usar seu número (XY) para a
subrede (192.168.XY.0/24)
• Para habilitar o DHCP Server na bridge,
devemos configurá-lo na interface
bridge (e não nas portas físicas)
66
LA
DHCP Server
B
Remova
DHCP Server
Remova
DHCP Network
IP → DHCP Server
67
LA
DHCP Server
B
Remova
IP Pool
IP → Pool
Remova
IP Address
IP → Address
68
LA
DHCP Server
B
Adicione
endereço IP
192.168.XY.1/24
na interface
bridge
• Exemplo, XY=199
69
LA
DHCP Server
B
1 2
3 4
5 6
IP → DHCP Server → DHCP Setup
70
LA
DHCP Server
B
• Disconecte do router
• Renove o IP do seu notebook
• Conecte no router através do novo IP
192.168.XY.1
• Confira a conectividade com a Internet
71
DHCP Static Leases
Convertendo lease
dinâmico para
estático
73
Tabela ARP
• Provê informação sobre endereço IP,
endereço MAC e a interface na qual o
dispositivo está conectado
IP → ARP
74
ARP estático
• Conferem maior segurança na rede
• A interface de rede pode ser
configurada para 'reply-only' e
responder apenas a entradas ARP
conhecidas
75
ARP estático
Entrada ARP
estática
IP → ARP
76
ARP estático
Interface
responderá
apenas a
entradas ARP
conhecidas
Interfaces → bridge-local
77
DHCP e ARP
• O DHCP Server pode adicionar
entradas ARP automaticamente
• Combinado com 'leases' estáticos e
'reply-only', o ARP pode elevar a
segurança na rede enquanto mantém o
uso facilitado pelos usuários
78
DHCP e ARP
IP → DHCP Server
Adiciona entradas
ARP para os
DHCP leases
79
Módulo 2
Resumo
Certified Network Associate
(MTCNA)
Módulo 3
Roteamento
Roteamento
• Opera na camada de rede (Layer3 no
modelo OSI)
• O roteamento define para onde os
pacores devem ser enviados
IP → Routes
82
Roteamento
• Dst. Address: redes que podem ser
alcançadas
• Gateway: endereço IP do próximo
router para se chegar ao destino
IP → Routes
83
Nova Rota Estática
IP → Routes
84
Roteamento
• Se existirem duas ou mais rotas direcionando
para o mesmo endereço, a mais específica
será usada
• Dst: 192.168.90.0/24, gateway: 10.0.0.1
• Dst: 192.168.90.128/25, gateway: 10.0.0.2
• Se um pacote precisa ser enviado para
192.168.90.135, o gateway 10.0.0.2 será usado
85
Roteamento
• Check gateway – a cada 10 segundos
envia ou um ICMP echo request (ping) ou
um ARP request.
• Se várias rotas usam o mesmo gateway e
existe uma rota que tem a opção check-
gateway habilitada, então todas as rotas
estarão sujeitas ao comportamento do
check-gateway
86
Default Gateway
• Default gateway: um router (next hop)
para qual todo tráfego que não tiver
destino definido será enviado
• É reconhecido pela rede de destino
0.0.0.0/0
87
LA
Default Gateway
B
• Atualmente o default gateway para seu router
foi configurado automaticamente pelo uso do
DHCP-Client
• Remova a rota padrão da tabela em
/ip route
• Verifique a conectividade com a Internet (não
deve funcionar)
88
LA
Default Gateway
B
• Adicione o default gateway
manualmente (router do instrutor)
• Verifique se a conectividade com a
Internet está disponível
89
Rotas Dinâmicas
• Rotas com as flags DAC são adicionadas
automaticamente
• Uma rota DAC se origina da configuração do
endereço IP
IP → Addresses
IP → Routes
90
Route Flags
• A - active
• C - connected
• D - dynamic
• S - static IP → Routes
91
Roteamento Estático
• A rota estática define como alcançar
uma rede de destino específica
• O rota padrão também é uma rota
estática. Ela direciona todo tráfego para
o gateway
92
LA
Roteamento Estático
B
• O objetivo é pingar o notebook do seu
vizinho
• Desative o firewall do router em
/ip firewall filter e o firewall do PC
• Pergunte ao vizinho o IP de sua interface
wireless
• E a subrede da sua LAN
(192.168.XY.0/24)
93
LA
Roteamento Estático
B
• Adicione uma nova rota
• Atribua o Dst. Address – endereço de
rede da LAN do vizinho (ex.
192.168.55.0/24)
• Atribua o Gateway – o IP da wireless do
vizinho (ex. 10.5.120.55)
• Agora você deve conseguir pingar o
notebook do seu vizinho
94
Roteamento Estático
• Fácil de configurar em redes pequenas
• Não é escalável
• É necessária configuração manual para
cada nova subrede que precisa ser
alcançada
95
Módulo 3
Resumo
Certified Network Associate
(MTCNA)
Módulo 4
Bridge
Bridge
• Bridges são dispositivos de camada 2
• A bridge é um dispositivo transparente
• Tradicionalmente usado para unir dois
segmentos de rede
• Uma bridge separa o domínio de colisão
em duas partes
• Um switch de rede é uma bridge com
múltiplas portas – cada porta é um domínio
de colisão
98
Bridge
• Todos os hosts podem se comunicar entre
si
• Todos compartilham o mesmo domínio de
colisão
99
Bridge
• Todos os hosts ainda podem se comunicar
entre si
• Agora existem 2 domínios de colisão
100
Bridge
• O RouterOS implementa software bridge
• Interfaces ethernet, wireless, SFP e túneis
podem ser adicionadas na bridge
• A config padrão em routers SOHO faz bridge
entre a porta wireless e a ether2
• Ether2-5 são combinadas em um switch.
Ether2 é a master, 3-5 são slave.
101
Bridge
• É possível remover a config do 'switch
chip' e usar a bridge
• Sem o uso do 'switch chip', o consumo
de CPU aumenta
• Mais controle – pode-se usar IP firewall
para as portas da bridge
102
Bridge Firewall
• As interfaces em bridge no RouterOS
suportam firewall
• O tráfego que flue através da bridge
pode ser processada pelo firewall
• Para habilitar: Bridge → Settings →
Use IP Firewall
103
Bridge Firewall
104
Bridge
• Devido a limitações do padrão 802.11,
clientes wireless (mode: station) não
suporta bridge
• O RouterOS implementa diversos
outros modos para superar esta
limitação
105
Wireless Bridge
• station bridge - RouterOS com RouterOS
• station pseudobridge - RouterOS com outros
• station wds (Wireless Distribution System) -
RouterOS com outros
106
LA
Bridge
B
• Vamos criar uma grande bridge em nossa
rede
• Todos os notebooks estarão na mesma rede
• Nota: cuidado ao unir redes em bridge!
• Crie um backup antes de iniciar o LAB!
107
LA
Bridge
B
Altere o modo
para 'station
bridge'
Wireless → wlan1
Desabilite o
DHCP Server
IP → DHCP Server
108
LA
Bridge
B
Adicione a interface
wireless na bridge
Bridge → Ports
109
LA
Bridge
B
• Renove o IP do seu notebook
• Você deve adquirir IP do router do instrutor
• Pergunte o IP do seu vizinho e tente pingar
em seu endereço
– No PC, confira o MAC com arp -a
110
LA
Bridge
B
• Restaure a configuração do seu router
através do backup criado anterior a
este LAB
• Ou restaure manualmente :)
111
Módulo 4
Resumo
Certified Network Associate
(MTCNA)
Módulo 5
Wireless
Wireless
• O MikroTik RouterOS provê suporte
completo aos padrões de rede wireless
IEEE 802.11a/n/ac (5GHz) e 802.11b/g/
n (2.4GHz)
114
Padrões Wireless
Padrão IEEE Frequência Velocidade
Dependendo do modelo de
RouterBOARD
115
Canais 2.4GHz
117
Canais 5GHz
• O RouterOS suporta todas as faixas de
frequências em 5GHz
• 5180-5320MHz (canais 36-64)
• 5500-5720MHz (canais 100-144)
• 5745-5825MHz (canais 149-165)
• Varia de acordo com a regulamentação
dos países
118
Canais 5GHz
Padrão IEEE Channel Width
802.11a 20MHz
20MHz
802.11n
40MHz
20MHz
40MHz
802.11ac
80MHz
160MHz
119
Regulamentação
121
Regulamentação
• O modo DFS 'radar detect' (anterior à
v6.35) irá selecionar um canal com o
menor número de redes para uso caso
nenhum radar seja detectado por 60s
neste canal
Wireless
122
Wireless Chains
• O 802.11n introduziu o conceito de MIMO
(Multiple In and Multiple Out)
• Envia e recebe dados usando múltiplos
rádios em paralelo
• O 802.11n com uma chain (SISO) pode
alcançar apenas 72.2Mbps (em cartões
antigos, 65Mbps)
123
Tx Power
Cartão Chains
• Note on implementation of Tx Power on
Wireless em uso
Potência por Chain Potência Total
RouterOS
1
Igual à potência
selecionada
802.11n Igual à potência
selecionada
2 +3dBm
3 +5dBm
Igual à potência
1
selecionada
Igual à potência
802.11ac selecionada
2 -3dBm
3 -5dBm
124
Tx Power
• Usado para ajustar a potência de
transmissão do cartão wireless
• Mude para 'all rates fixed' e ajuste a
potência
Wireless → Tx Power
125
Sensibilidade de Rx
• A sensibilidade de recepção é o menor
nível de potência no qual a interface
consegue detectar um sinal
• A depender do uso planejado, esse valor
deve ser levado em consideração ao
comparar RouterBOARDS
• Limites menores significa melhor detecção
de sinal
126
Rede Wireless
AP Instrutor
Estações wireless
127
Access Point
• Atribua na interface
mode=ap bridge
• Selecione a banda
• Atribua a frequência
• Atribua o SSID (ID da
rede wireless)
• Atribua o Security
Profile
128
Radio Name
• Um “nome” para a interface wireless
• Visível apenas entre RouterOS
129
Registration Table
• Veja todas as conexões wireless de
todas as interfaces
Wireless → Registration
130
Segurança
• Apenas WPA (WiFi Protected Access)
ou WPA2 devem ser usadas
• WPA-PSK ou WPA2-PSK com
criptografia AES-CCM
131
Segurança
• Ambas as chaves
WPA e WPA2 podem
ser especificadas para
permitir conexões de
dispositivos que não
suportam WPA2
• Escolha uma chave
forte! Wireless → Security Profiles
132
WPS
• WiFi Protected Setup (WPS) é um
recurso para acessar a ede WiFi de
forma conveniente, sem a necessidade
de atribuir a chave de autenticação
(passphrase)
• O RouterOS suporta ambos os modos
'WPS accept' (AP) e 'WPS client'
(station)
133
WPS Accept
• Para permitir acesso a visitantes em seu AP,
você pode usaar o botão WPS accept
• Ao pressioná-lo, ele irá garantir acesso à
conexão com o AP por 2min ou até que um
dispositivo cliente se conecte
• O botão WPS accept precisa ser pressionado
toda vez que um novo dispositivo precisar se
conectar
134
WPS Accept
• Para cada dispositivo isso
precisa ser feito apenas uma
vez
• Todo dispositivo RouterOS
com interface WiFi tem um
botão virtual WPS
• Alguns tem o botão físico
135
Access List
• Usado pelo AP para permitir/gerenciar
conexões das estações
• Diversos critérios de identificação como
endereço MAC e força do sinal
• Pode determinar autenticação e
encaminhamento (forward) das estações
• Condições podem respeitar horários e
dias definidos
136
Access List
137
Estação Wireless
• Estação wireless é o cliente (notebook,
celular, router)
• No RouterOS, modo wireless 'station'
138
Estação Wireless
• Atribua na interface
mode=station
• Selecione a banda
• Atribua o SSID (ID da
rede wireless)
• A frequência não é
importante para o
cliente, scan-list sim
139
Connect List
• São regras usadas por estações para
selecionar (ou não) um AP
140
LA
Connect List
B
• Atualmente seu router está conectado
ao AP da sala
• Crie uma regra para negar a conexão
ao AP da sala
141
Snooper
• Obtenha uma visão geral as redes
wireless na banda selecionada
• A interface wireless é desconectada
durante o scaneamento!
• Pode ser usado para escolha do melhor
canal
142
Snooper
Wireless → Snooper
143
Default Authenticate
144
Default Authenticate
Default Entrada Access/ Comportamento
Authentication Connect List
145
Default Forward
• Usado para permitir
ou proibir a
comunicação entre
estações
146
Módulo 5
Resumo
Certified Network Associate
(MTCNA)
Módulo 6
Firewall
Firewall
• Um sistema de segurança de rede para
proteger a rede interna da externa (ex.:
Internet)
• Baseado em regras que são analisadas
sequencialmente até que a condição
seja atendida
• As regras de firewall no RouterOS são
gerenciadas nas sessões Filter e NAT
149
Firewall Rules
• Funciona com o princípio SE - ENTÃO
• Ordenado em cadeias (chains)
• Existem chains pre-definidas
• O usuário pode criar novas chains,
subordinadas a uma das padrão
150
Firewall Filter
• Existem 3 chains padrão
• input (para o router)
• output (a partir do router)
• forward (através do router)
output
input
forward
151
Filter Actions
152
Filter Chains
IP → Firewall
153
Chain: input
• Protege o próprio router
• Tanto da Internet quanto da rede
interna
input
154
LA
Chain: input
B
• Adicione uma regra de accept na interface
bridge para o IP do seu notebook
(Src. Address = 192.168.XY.254)
• Adicione uma regra de drop na interface bridge
para todo o resto
155
LA
Chain: input
B
IP → Firewall → Nova regra de Firewall (+)
156
LA
Chain: input
B
• Mude o endereço IP do seu notebook de forma
estática para 192.168.XY.199, DNS e gateway:
192.168.XY.1
• Desconecte do router
• Tente conectar ao router (não é possível)
• Tente navegar à internet (não é possível)
157
LA
Chain: input
B
• Mesmo o tráfego da Internet sendo
controlado pela chain forward, a
navegação não é possível
• POR QUE? (resposta no próximo slide)
158
LA
Chain: input
B
• Seu notebook está usando o router como
servidor DNS
• Conecte no router usando MAC WinBox
• Adicione uma regra de accept na interface
bridge para permitir as requisições DNS:
protocolo “udp”, porta “53”. Mova a regra
para acima do drop
• Tente navegar à Internet (funciona)
159
LA
Chain: input
B
• Volte seu notebook para DHCP
• Conecte-se ao router
• Remova todas as regras em
/ip firewall filter
160
Chain: forward
• Contém regras que controlam pacotes
que atravessam o router
• Controla o tráfego entre cliente e
Internet e entre os clientes em si
forward
161
LA
Chain: forward
B
• Adicione uma regra de drop para a
porta http (80/tcp) e https (443/tcp)
• Para especificar portas, deve-se
especificar o protocolo IP também
B
• Tente abrir brauser.com.br
(não é possível)
• Tente abrir o WebFig do router
http://router.local (funciona)
• A página web do router funciona
porque o tráfego para a página é input
e não forward
163
Portas Usadas com
Frequência
Porta Serviço
80/tcp HTTP
443/tcp HTTPS
22/tcp SSH
23/tcp Telnet
20,21/tcp FTP
8291/tcp WinBox
5678/udp MikroTik Neighbor Discovery
20561/udp MAC WinBox
164
Address List
• O address list (listas de IP) permite criar uma
regra para vários IPs de uma vez
• É possível adicionar automaticamente IPs a
uma address list
• Os IPs podem ser adicionados por tempo
indeterminado ou por um tempo predefinido
• O address list pode ter desde um IP, uma
faixa de IPs ou uma subrede inteira
165
Address List
166
Firewall Log
• Cada regra pode ser logada quando a
condição for atendida
• Um prefixo pode ser adicionado ao log
para facilitar na busca pelos registros
depois
167
Firewall Log
168
NAT
• Network Address Translation (NAT) é o
método de modificar a origem ou
destino de um pacote IP
• Existem dois tipos de NAT - ‘source
NAT’ e ‘destination NAT’
169
NAT
• O NAT é usualmente utilizado para prover
acesso a internet para uma rede local que
usa IPs privados (src-nat)
• Ou para acesso remoto a algum recurso
interno (ex.: servidor web) através da
internet, usando redirecionamento de portas
(dst-nat)
170
NAT
Novo IP de
IP de origem
origem
IP privado
Servidor Público
171
NAT
Novo IP de
destino IP de destino
Host
público
Servidor em
rede local
172
NAT
• As chains srcnat e dstnat do firewall são
usadas para implementar as
funcionalidades do NAT
• Similar às regras em Filter, seguem o
princípio SE – ENTÃO
• E são analisadas sequencialmente até
que a condição da regra seja atendida
173
Dst NAT
Novo Dst.
Dst. Address
address
159.148.147.196:80
192.168.1.1:80
Host
Público
Servidor Web
192.168.1.1
174
Dst NAT
176
Redirect
Endereço de DNS
configurado no PC:53
Novo IP de DNS
127.0.0.1:53
DNS
Cache
177
LA
Redirect
B
• Crie uma regra de dstnat para
redirecionar toda requisição com
destino a porta HTTP (tcp/80) para a
porta 80 do próprio router
• Tente abrir brauser.com.br ou qualquer
outro site que use o protocolo HTTP
• Quando finalizar, desative ou remova a
regra
178
Src NAT
Novo IP de
IP de origem origem é IP do
192.168.199.200 router
192.168.199.200
Servidor Público
181
Connection Tracking
• Gerencia informções sobre todas as
conexões ativas
• Precisa estar habilitado para o NAT e
certas condições e ações (action) do
Filter funcionarem
• Nota: connection state ≠ TCP state
182
Connection Tracking
IP → Firewall → Connections
183
Connections
• New – o pacote está iniciando/abrindo uma nova
conexão
• Established – o pacote pertence a uma conexão
conhecida
• Related – o pacote está iniciando/abrindo uma
nova conexão, mas esta tem relação com uma
outra conexão conhecida
• Invalid – o pacote não pertence a nenhuma nas
conexões conhecidas
184
Connections
Invalid Established
New Related
185
FastTrack
• Um médoto para acelerar o fluxo de pacotes
no router
• Uma conexão 'established' ou 'related' podem
ser marcadas como 'fasttrack connection'
• Bypassa o firewall, o connection tracking,
simple queue e outros recursos
• Atualmente suporte apenas os protocolos
TCP e UDP
186
FastTrack
Sem Com
360Mbps 890Mbps
Módulo 7
QoS
Quality of Service
• QoS é a performande geral de uma
rede, particularmente a performance
vista pelos usuáros
• O RouterOS implementa diversos
métodos de QoS como limite de
velocidade (shaping), priorização de
tráfego e outros
190
Simple Queue
• Pode ser usada para facilmente limitar
a velocidade de:
• Download (↓) do cliente
• Upload (↑) do cliente
• Velocidade total (↓ + ↑)
191
Simple Queue
Especifique
o cliente
Especifique Max
Limit do cliente
Observe o
tráfego
Tools → Torch
193
LA
Simple Queue
B
• Crie um limite de velocidade para seu
notebook (192.168.XY.254)
• Atribua upload para 128k e download
para 256k
• Abra mikrotik.com/download e baixe a
versão atual (current) do RouterOS
• Observe a velocidade de download
194
Simple Queue
• Ao invés de limitar o cliente, o tráfego
do servidor pode ser limitado também
Atribua o Target
para qualquer um
Atribua Dst.
o IP do servidor
195
Queues
LA
Simple Queue
B
• Use o ping para descobrir o IP do site
mikrotik.com
• Modifique a simple queue existente
para limitar o servidor do site
mikrotik.com
• Baixe o MTCNA outline
• Observe a velocidade do download
196
Banda Garantida
• Usado para garantir sempre uma banda
mínima para o cliente
• O tráfego restante será dividido entre
os clientes por demanda
• Controlado pelo parâmetro Limit-at
197
Banda Garantida
Atribua o
Limit At
199
Banda Garantida
Queues
Banda Banda
Garantida Atual
200
Burst
• Usado para permitir velocidade mais
alta por um curto período de tempo
• Útil para o tráfego WEB
– as páginas carregam mais rápido
• Para download de arquivos e streaming
os valores em Max Limit ainda
prevalecem
201
Burst
Atribua o
burst limit,
threshold
e time
202
Burst
• Burst limit - max valocidade de
upload/download permitida no burst
• Burst time - tempo (seg), no qual a média da
velocidade será calculada (NÃO é o período
de duração do burst).
• Burst threshold – quando a média da
velocidade atinge ou baixa do threshold o
burst é desligado ou ligado
203
LA
Burst
B
• Modifique a queue criada no LAB anterior
• Atribua o burst limit de 512k para upload e
download
• Atribua o burst threshold de 256k para upload
e download
• Atribua o burst time de 16s para upload e
download
B
• Abra mikrotik.com, observe a velocidade
da abertura da página
• Baixe a versão mais nova do RouterOS
em MikroTik download
• Observe a velocidade do download com
a ferramenta torch (/tool torch)
205
Per Connection Queuing
• É um tipo de enfileiramento (queue type) para
otimizar a implantação de QoS em massa
através do uso de sub-filas (sub-stream)
• Substitue múltiplas queue por uma só
• Diversos classificadores podem ser usados:
• Endereço IP de origem/destino
• Porta de origem/destino
206
Per Connection Queuing
• Rate – velocidade máxima disponível
para cada sub-fila
• Limit – tamanho da fila de cada sub-fila
(KiB)
• Total Limit – volume total de dados
enfileirados em todas as sub-filas (KiB)
207
Exemplo de PCQ
• Objetivo: limitar todos os clientes a
1Mbps de download e 1Mbps de upload
• Crie 2 novos tipos de fila
• 1 para Dst Address (download)
• 1 para Src Address (upload)
• Atribua as queues para as interfaces
LAN e WAN
208
Exemplo de PCQ
Interface
WAN
Interface
LAN
Tools → Torch
211
LA
Exemplo de PCQ
B
• O instrutor irá criar 2 novas queues pcq
e limitar todos os clientes (routers dos
alunos) a 512Kbps de upload e
download
• Tente baixar a nova versão do
RouterOS version em mikrotik.com e
observe a velocidade de download com
a ferramenta torch
212
Módulo 7
Resumo
Certified Network Associate
(MTCNA)
Módulo 8
Túneis
Protocolo de
Ponto-a-Ponto
• Point-to-Point Protocol (PPP) é usado
para estabelecer um túnel (conexão
direta) entre dois nós
• O PPP pode prover autenticação,
criptografia e compressão
• O RouterOS suporta vários túneis PPP
como PPPoE, SSTP, PPTP dentre
outros
215
IP Pool
• Define uma faixa de endereços IP para
uso em serviços do RouterOS
• Usado pelo DHCP, PPP e HotSpot
• Os endereços dos clientes são tomados
automaticamente do pool
216
IP Pool
Atribua nome e
faixa de
endereço ao
pool
217
PPPoE
• Point-to-Point over Ethernet é um
protocolo de camada 2 usado para
controlar o acesso à rede
• Provê autenticação, criptografia e
compressão
• O PPPoE pode ser usada para
gerenciar a entrega de IPs para os
clientes
218
PPPoE
• A maioria dos sistemas operacionais
desktop tem o cliente PPPoE instalado
por padrão
• O RouterOS suporta ambos o cliente
PPPoE e o servidor PPPoE
(concentrador de acesso)
219
PPP Profile
• O profile define regras usadas pelos
servidores PPP e seus clientes
• Método de atribuir a mesma
configuração a múltiplos clientes
220
PPP Profile
Atribua o
endereço
local e
remoto ao
túnel
É sugerido usar a
criptografia
Atribua usuário,
senha e perfil.
Especifique o
'service' se
necessário
Atribua o
service name,
interface,
profile e os
protocolos de
autenticação
225
PPP Status
• Informações sobre
sessão em
questão
226
PPPoE Client
Atribua a
interface,
service,
usuário,
senha
227
PPPoE Client
• Caso existam mais de um servidor
PPPoE em um domínio de broadcast, o
'service name' pode/deve também ser
especificado
• Pois o cliente tentará se conectar ao
primeiro servidor que lhe responder
228
LA
PPPoE Client
B
• O instrutor irá criar um PPPoE server
em seu router
• Desabilite o DHCP client em seu router
• Configure um PPPoE client na interface
WAN do seu router
• Atribua usuário e senha 'mtcna' e use-
peer-dns=yes
229
LA
PPPoE Client
B
• Verifique o status do PPPoE client
• Verifique se a conexão à Internet está
disponível, corrija o necessário
• Teste sua conectividade com os vizinhos
230
Endereçamento
Point-to-Point
• Quando a conexão é estabelecida entre
cliente e servidor PPP, endereços /32 são
atribuídos
• Para o cliente, o endereço de rede (network)
é o endereço do gateway (router) e vice-
versa
231
Endereçamento
Point-to-Point
• A máscara de subrede não é relevante ao
usar endereçamento PPP
• O endereçamento PPP economiza 2
endereços IP
• Se o endereçamento PPP não for
suportado pelo outro dispositivo, uma
subrede /30 deve ser utilizada
232
PPP Tunnel
Tunnel
233
PPTP
• O PPTP (protocolo de tunelamento
ponto-a-ponto) provê túneis
criptografados sobre o IP
• Pode ser usado para criar conexões
“seguras” entre redes através da
Internet
• O RouterOS suporta ambos o PPTP
cliente PPTP server
234
PPTP
• Usa porta tcp/1723 e o protocolo IP de
número 47 - GRE (Generic Routing
Encapsulation)
• NAT helpers são usados para garantir o
suporte ao PPTP em redes com NAT
235
PPTP Server
• O RouterOS provê um setup simples
para PPTP server
• Use QuickSet para habilitar o acesso à
VPN
Habilite a
VPN e atribua
o password
236
PPTP Client
Atribua
name, IP do
servidor
PPTP,
username,
password
239
SSTP
• Para Linux existem implementações
Open Source tanto para cliente e servidor
• Como o tráfego é idêntico ao HTTPS,
usualmente o túnel SSTP pode atravessar
facilmente os firewalls sem configuração
adicional
240
SSTP Client
Atribua o
name,
endereço IP
do servidor
SSTP,
usuário,
senha
241
SSTP Client
• Use 'Add Default Route' para enviar
todo tráfego através do túnel SSTP
• Use rotas estáticas para enviar tráfegos
específicos através do túnel SSTP
242
SSTP Client
• Não é necesário usar certificados para
conectar dois dispositivos RouterOS
• Para conectar pelo Windows, é necessário
um certificado válido
• Pode ser emitido por uma entidade
certificadora – certificate authority (CA)
243
LA
SSTP
B
• Junte-se com seu vizinho
• O router A cria o servidor VPN e um ‘secret’.
Router B cria o cliente VPN.
• Utilizem ‘secrets’ com local-address e
remote-address diferentes de qualquer outro
IP existente nos routers.
244
LA
SSTP
B
• Verifique as regras de firewall. Lembre que
o SSTP usa porta tcp/443
• Ping o notebook do seu vizinho a partir do
seu notebook (não pinga)
• POR QUE? (resposta a seguir)
245
LA
SSTP
B
• Não há rotas para a rede interna do seu
vizinho
• Ambos devem criar rotas estaticas para a
rede 192.168.XY.0/24 do outro
• Testem a comunicação entre notebooks
usando ping e traceroute (deve funcionar)
246
PPP
• PPPoE, PPTP, SSTP e outros protocolos
de túneis são abordados com mais
detalhes em implementação cliente e
servidor nos cursos de certificação
MikroTik MTCRE, MTCINE e MTCUME.
• Para mais informação:
http://mikrotik.com/training
247
Módulo 8
Resumo
Certified Network Associate
(MTCNA)
Módulo 9
Diversos
RouterOS Tools
• O RouterOS provê
diversas ferramentos
que ajudam a
administrar e monitorar
o router com mais
eficiência
250
E-mail
• Permite enviar e-mails a
partir do router
• Exemplo para enviar
backup do router Tools → Email
/export file=export
/tool e-mail send to=you@gmail.com\
subject="$[/system identity get name] export"\
body="$[/system clock get date]\
configuration file" file=export.rsc
Script para gerar arquivo export e enviá-lo por e-mail
251
O
pc
LA
i
on
a l
E-mail
B
• Configure seu servidor SMTP no router
• Exporte a configuração do seu router
• Envie o arquivo gerado para seu e-mail a
partir do RouterOS
252
Netwatch
• Monitora o status de
hosts na rede
• Envia ICMP echo request
(ping)
• Pode executar scripts
quando o host parar de
responder e quando
voltar a responder
Tools → Netwatch
253
Ping
• Usado para testar a
alcansabilidade de um host
numa rede IP
• Usado para medir a
latência (round trip time)
entre os hosts de origem e
destino
• Envia pacotes ICMP echo Tools → Ping
request
254
LA
Ping
B
• Ping o IP do seu notebook a partir do
router
• Clique em ‘New Window’ e ping
mikrotik.com a partir do router
• Observe a diferença na latência
255
Traceroute
• Ferramenta para
diagnóstico de rede
que exibe a rota
(caminho) de pacotes
através de uma rede IP
• Pode usar protocolo
icmp ou udp
Tools → Traceroute
256
LA
Traceroute
B
• Escolha um site hospedado no Brasil e
faça um traceroute para ele
• Clique em ‘New Window’ e faça um
traceroute para mikrotik.com
• Observe a diferença entre as rotas
257
Profile
• Exibe o uso de CPU em
tempo real para cada
processo rodando no
RouterOS
• idle - CPU ociosa
Tools → Profile
• Mais info na
página wiki do Profiler
258
Interface Traffic Monitor
• Status em tempo real do
tráfego na interface
• Disponível na aba
“Traffic” de cada interface
• Acessível também via
WegFig ou terminal
259
Interfaces → wlan1 → Traffic
Torch
• Monitoramento em tempo real
• Usada para monitorar o fluxo de dados
através da interface
• Pode classificar o tráfego monitorado por
nome do protocolo IP, endereços de
origem/destino (IPv4/IPv6), número da
porta etc.
260
Torch
Tools → Torch
262
System Logs
• Para habilitar logs
detalhados (debug),
crie uma nova regra
• Adicione o tópico
debug System → Logging →
Nova Regra de Log
263
Gráficos
• O RouterOS pode gerar gráficos que
exibem quanto tráfego passou por uma
interface ou queue
• Pode exibir o uso de CPU, memória e
disco
• Para cada medição existem 4 gráficos –
daily (diário), weekly (semanal), monthly
(mensal) e yearly (anual)
264
Gráficos
Atribua uma
interface em
específico ou
deixe “all” para
todas, atribua as
origens IP que
terão acesso aos
gráficos
Tools → Graphing
265
Gráficos
• Disponível no router:
http://ip_do_router/graphs
266
Gráficos
267
O
pc
LA
io
na
l
Gráficos
B
• Habilite os gráficos para interface, queue
e resource em seu router
• Observe os gráficos
• Faça download de um arquivo grande na
Internet
• Observe os gráficos
268
SNMP
• Simple Network Management Protocol
(SNMP)
• Usado para monitorar e gerenciar
dispositivos
• O RouterOS suporta SNMP v1, v2 e v3
• O suporte à escrita no SNMP é disponível
apenas para algumas configurações
269
SNMP
IP → SNMP
270
The Dude
• Aplicação da MikroTik que pode otimizar
dramaticamente a maneira como você
gerencia seu ambiente de rede
• Automaticamente descobre e desenha o
mapa de dispositivos
• Monitoramento de serviços e alertas
• Gratuito
271
The Dude
• Suporta monitoramento SNMP, ICMP,
DNS e TCP
• Dude Server roda no RouterOS (TILE,
ARM, MMIPS, CHR ou x86)
• Dude Client no Windows (funciona no
Linux e OSX usando Wine)
• Mais info ver na wiki The Dude
272
The Dude
273
O
pc
LA
i
on
a l
The Dude
B
• Faça o download do cliente Dude para
Windows em mikrotik.com/download
• Instale e conecte-se ao servidor demo:
dude.mt.lv
• Observe o Dude
274
O
pc
LA
i
on
a l
The Dude
B
275
Contatando
o Suporte
• Para que o suporte da MikroTik ajude
melhor, alguns passos devem ser
seguidos antes de contatar o suporte
• Crie o arquivo
de saída para
suporte
(supout.rif)
276
Contatando
o Suporte
• Um arquivo chamado autosupout.rif pode ser
criado automaticamente em caso se falha de
hardware ou malfuncionamento
• Gerenciado pelo processo Watchdog
• Antes de enviá-lo à MikroTik, o conteúdo dos
arquivos (.rif) podem ser visualizados em sua
conta mikrotik.com
• Mais info em Support Output File e Watchdog
277
Contatando o Suporte
• Antes de entrar em contato
support@mikrotik.com verifique os seguintes
recursos
• wiki.mikrotik.com - Documentação e exemplos
do RouterOS
• forum.mikrotik.com - Fórum para comunicação
entre usuários do RouterOS
• mum.mikrotik.com - Página do MikroTik User
Meeting – vídeos das apresentações
278
Contatando o Suporte
• Sugerimos adicionar comentários
significativos às suas regras e itens
• Descreva de forma detalhada para que a
MikroTik possa ajudar melhor
• Inclua o diagrama da rede
• Mais info na página do support
279
Módulo 9
Resumo
MTCNA
Resumo
Exame de Certificação
• Se necessário, resete seu router e restaure
um backup
• Certifique-se que tem acesso ao portal de
treinamento em mikrotik.com
• Faça login na sua conta
• Entre em “my training sessions”
• Boa sorte!
282