curso oficial do mikrotik
DESCRIPTION
Curso Oficial Do MikrotikTRANSCRIPT
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 1/542
MikrotikBrasil
1
onsu or a e re namen osIntegração de Equipamentos
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 2/542
Um pouco sobre a MD Brasil Telecom
(MikrotikBrasil)
No mercado de Internet discada desde 1995
2
Primeiros links Wireless de 2mbps entre 4 cidades do Interior Paulista em 2000 Ministra treinamentos em Wireless desde 2002
Presta serviços de consultoria em Wireless para provedores e empresas
Representante da Mikrotik – Latvia desde 2006 representando os sistemas Distribuidor Oficial de Hardware Mikrotik desde janeiro de 2007
Training Partner Mikrotik desde julho de 2007
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 3/542
Mikrotik RouterOS
uma pequena história de grande sucesso
1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia) ’
3
1996: Publicado na Internet o paper “Wireless Internet Access in Latvia” 1996: Incorporada e Fundada a empresa MikroTikls 2002: Desenvolvimento de Hardware próprio 2007: 60 funcionários
Atualmente:O RouterOS da Mikrotik tende a ser um padrão de fato para provedores de serviço internet
podendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 4/542
O que é o Mikrotik RouterOS ?
Um poderoso sistema operacional “carrier class” que pode ser instalado em um PCcomum ou placa SBC (Single Board Computer), podendo desempenhar as funções de:
Roteador Dedicado
4
Bridge Firewall Controlador de Banda e QoS Ponto de Acesso Wireless modo 802.11 e proprietário Concentrador PPPoE, PPtP, IPSeC, L2TP, etc
Roteador de Borda Servidor Dial-in e Dial-out Hotspot e gerenciador de usuáriosWEB Proxy Recursos de Bonding, VRRP, etc, etc.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 5/542
Instalação do Mikrotik
O Mikrotik RouterOS ode ser instalado utilizando:
5
CD Iso bootável ( gravado como imagem ) Via rede com o utilitário Netinstall
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 6/542
Obtendo o RouterOShttp://www.mikrotik.com/download.html
6
Imagem ISO – para instalação com CD
Changelog – Modificações versões
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 7/542
Instalando por CDUma vêz baixado o pacote e descompactado, precisamos gerar o CD de boot
No exemplo abaixo usamos o Nero para gravar o CD
7
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 8/542
Instalando por CD
Seleciona-se a imagem .iso descompacatada e clica-se em Burn
8
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 9/542
Instalando por CDPrepare o PC para bootar pelo CD. Após o boot será apresentada a seguinte tela:
9
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 10/542
Pacotes do RouterOS - significado
System: Pacote principal com serviços básicos e drivers. A rigor é o únicoque necessáramente tem de ser instalado.
ppp: Suporte aos serviços PPP como PPPoE, L2TP, PPtP, etcDHCP: DHCP cliente e DHCP servidor
advanced-tools: ferramentas de diagnóstico, netwatch e outros utilitários
10
arlan: Suporte a um tipo de placa Aironet antiga – arlancalea: Pacote para vigilancia de conexões (exigencia legal nos EUA)
gps: Suporte a GPS (tempo e posição)
hotspot: Suporte a hotspotsISDN: Suporte a conexões ISDN
lcd: Suporte a display de cristal líquido
ntp: Servidor e cliente de NTP (relógio)
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 11/542
Pacotes do RouterOS - significadoradiolan: suporte a placa Radiolan
routerboard: utilitários para routerboard’s
routing: suporte a roteamento dinamico – protocolos RIP, OSPF e BGPrstp-bridge-test protocolo rstp
security: suporte a ssh, Ipsec e conexão segura do winbox
11
synchronous: suporte a placas síncronas Moxa, Cyclades PC300 e outrastelephony: pacote de suporte a telefonia – protocolo h.323
ups: suporte a no-breaks APC
user-manager: serviço de autenticação user-manager web-proxy: Serviço de Web-Proxy
wireless: Suporte a placas PrismII e Atheros
wireless-legacy: Suporte a placas PrismII, Atheros e Aironet com algumas featuresinabilitadas
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 12/542
Instalando por CDPode-se seleccionar os pacotes desejados pressionando-se a barra de espaços
ou “a” para todos. Em seguida “i” irá instalar os pacotes selecionados.
Caso haja configurações pode-se mante-las selecionando-se “y”
12
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 13/542
Instalação com NetinstallO Netinstall tranforma uma estação de trabalhoWindows em um instalador.
Obtem-se o programa no linkwww.mikrotik.com/download.html
Pode-se instalar em um um PC ue boota via
13
rede (configurar na BIOS)
Pode-se instalar em uma Routerboard,configurando-a para bootar via rede
O Netinstall é interessante principalmente parareinstalar em routerboards quando necessário pordanos a instalação inicial e quando se perde asenha do equipamento.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 14/542
Instalação com NetinstallPara se instalar em uma Routerboard, inicialmentetemos que entrar via serial, com um cabo nullmodem e os parametros:
velocidade: 115.200 bpsbits de dados: 8bits de parada: 1Controle de fluxo: hardware
Entra-se na Routerboard eseleciona-se
14
o - boot devicee depois:
e - Etherboot
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 15/542
Instalação com Netinstall
Atribuir um IP para o NetBooting na mesma faixa daplaca de rede da máquina.
15
Colocar os pacotes aserem instalados namáquina.
Bootar e selecionar ospacotes a serem instalados.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 16/542
Acesso ao Mikrotik
O processo de instalação não configura um IP no Mikrotik e o primeiro acesso podeser feito das seguintes maneiras:
16
Direto na console (no caso de PC’s)
Via Terminal (115200/8/N/1 para routerboards e 9600/8/N/1 para PC’s)
Via Telnet de MAC, através de outro Mikrotik ou de sistema que suporte telnet por
MAC e que esteja no mesmo barramento físico de rede.
Via Winbox
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 17/542
Console do Mikrotik
Na console do Mikrotik tem-se acesso a todas as configurações por um sistema de
diretórios hierárquicos pelos quais se pode navegar digitando o caminho.
Exemplo:[admin@MikroTik] > ip
17
[admin@MikroTik] ip> address
Pode-se voltar um nível de diretório digitando-se ..[admin@MikroTik] ip address> ..[admin@MikroTik] ip>
Pode-se ir direto ao diretório raiz, digitando-se /[admin@MikroTik] ip address> /[admin@MikroTik] >
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 18/542
Ajuda
? Mostra um help para o diretório em que se esteja – [Mikrotik] > ?
? Após um comando incompleto mostra as opções disponíveis para essecomando - [Mikrotik] > interface ?
Console do Mikrotik
18
Tecla TAB
Comandos não precisam ser totalmente digitados, podendo ser completadoscom a tecla TAB
Havendo mais de uma opção para o já digitado, pressionar TAB 2 vezesmostra todas as opções disponíveis.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 19/542
Print: mostra informações de configuração
[admin@MikroTik] interface ethernet> printFlags: X - disabled, R - running# NAME MTU MAC-ADDRESS ARP0 R ether1 1500 00:03:FF:9F:5F:FD enabled
Console do Mikrotik
19
Pode ser usado com diversos argumentos como print status, print detail e printinterval. Exemplo:
[admin@MikroTik] interface ethernet> print detail
Flags: X - disabled, R - running0 R name="ether1" mtu=1500 mac-address=00:03:FF:9F:5F:FD arp=enableddisable-running-check=yes auto-negotiation=yes full-duplex=yes cable-settings=default speed=100Mbps
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 20/542
Comando Monitor
Mostra continuamente várias informações de interfaces
[admin@Escritorio] > interface ethernet monitor ether1
Console do Mikrotik
20
status: link-okauto-negotiation: done
rate: 100Mbps
full-duplex: yes
default-cable-setting: standard
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 21/542
Comandos para manipular regras add, set, remove adiciona, muda ou remove regras
disabled desabilita a regra sem deletar move move algumas regras cuja ordem influencie( firewall porexemplo )
Console do Mikrotik
21
Comando export exporta todas as configurações do diretório corrente acima ( seestiver em /, do roteador todo)pode ser copiado com o botão direito do mouse e colado em editor detextos
pode ser exportado para um arquivo com export file=nome do arquivo
Comando import importa um arquivo de configurações criado pelo comando export.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 22/542
WinboxObtem-se o Winbox na URL abaixo
ou direto em um mikrotik
www.mikrotik.com/download.html
22
Interface Gráfica para administração do Mikrotik Funciona em Windows e Linux ( Wine ) Utiliza porta TCP 8291Se escolhido Secure mode a comunicação é criptografada Quase todas as funcionalidades do terminal podem ser configuradas via WINBOX
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 23/542
WinboxCom o Winbox é possível acessar um Mikrotik sem IP, através do seu MAC. Para
tanto popnha os dois no mesmo barramento de rede e clique nas reticências
23
O acesso pelo MAC pode ser feito para fazer as configurações iniciais, como dar umendereço IP para o Mikrotik.
Após ter configurado um IP e uma máscara de rede. aconselha-se preferencialmente
o acesso via IP que é mais estável.
Clique para encontrar o Mikrotik
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 24/542
Configuração no modo seguroPressionando-se control+X em um terminal pode-se operar o Mikrotik com a
possibilidade de desfazer as configuracoes sem que elas sejam aplicadas.
24
Operando no modo seguro
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 25/542
Configuração no modo seguro Se outro usuário entra no modo seguro, quando já há um nesse modo, lheserá dada a seguinte mensagem:
[admin@MKBR100] >
Hijacking Safe Mode from someone – unroll / release / don’t take it [u/r/d]
25
u desfaz todas as configurações anteriores feitas no modo seguro e põea presente sessão em modo seguro
d deixa tudo como está
r mantém as configurações realizadas no modo seguro e põe a sessão
em modo seguro. O outro usuário recebe a mensagem:[admin@MKBR100]
Safe mode released by another user
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 26/542
Configuração no modo seguro Todas as configurações são desfeitas caso o modo seguro seja terminadode forma anormal.
Control+X novamente ativa as configurações
Control+D desfaz todas as configurações realizadas no modo seguro.
“ ”
26
,
até que sejam aplicadas. O histórico das alterações pode ser visto (não só no modo seguro) em/system history print
Importante: O número de registros de histórico é limitado a 100. As
modificações feitas no modo seguro que extrapolem esse limite não sãodesfeitas nem por Control+D nem pelo término anormal do modo seguro.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 27/542
Manutenção do Mikrotik
Atualização
27
ac ups
Acréscimo de funcionalidades
Detalhes do licenciamento
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 28/542
Manutenção do MikrotikAtualizações
As atualizações podem ser
feitas com o conjunto de pacotescombinados ou com os pacotesseparados disponíveis no site daMikrotik.
28
Os arquivos tem a extensão.npk e basta coloca-los nodiretório raiz do Mikrotik e boota-lo para subir a nova versão.
O upload pode ser feito porFTP ou copiando e colando noWInbox.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 29/542
Manutenção do Mikrotikacréscimo de novas funcionalidades
Alguns pacotes não fazem parte
da distribuição normal mas podemser instalados posteriormente.Exemplo o pacote User Manager..
Os arquivos também tem a
29
ex ens o .np e as a co oca- os no
diretório raiz do Mikrotik e boota-lopara subir a nova versão.
O upload pode ser feito por FTPou copiando e colando no WInbox.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 30/542
Alguns pacotes podem não ter sido instalados no momento da instalação ou podem estar
desabilitados. Pacotes podem ser habilitados/desabilitados de acordo com as necessidades.
Manutenção do MikrotikManipulação de pacotes
verifica-se e manipula-se o estado dos
pacotes em / system packages
30
Pacote desabilitado
Se o pacote não tiver sido instalado, parafaze-lo devemos encontrar o pacote de mesma
versão, fazer um upload para o Mikrotik que
este será automaticamente instalado
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 31/542
Existem os pacotes estáveis e os pacotes “test”, que estão ainda sendo reescritos e
podem estar sujeitos a bugs e carencia de documentação.
Quando existem 2 iguais e um é test deve-se escolher um deles para trabalhar.
Manutenção do MikrotikManipulação de pacotes
31
web-proxy e
web-proxy-test
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 32/542
Para efetuar o Backup, basta ir emFiles e clicar em Backup copiandoo arquivo para um lugar seguro.
Manutenção do MikrotikBackup
32
Para restaurar, basta colar onde sequer restaurar e clicar na teclaRestore
OBS: O Backup feito dessa forma ao ser restaurado em outro hardware terá problemas com
diferentes endereços MAC. Para “backupear” partes das configurações use o comando export
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 33/542
Versão 2.9 ou versão 3.x ??
Atualmente estamos no final da série 2.9.x e partindo para a v3, que estáem fase de “release candidate”
Diferenças básicas das versões :
33
. . . .
3.x Linux Kernel 2.6.20
Compatibilidade de Hardware na v3:
Suporte a SMP (multiprocessamento)Suporte a discos SATA RAM máxima aumentada de 1 GB para 2 GBVárias interfaces de rede novas suportadasDescontinuados alguns suportes e hardwares antigos
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 34/542
Licenciamento do Mikrotik
Detalhes de licenciamento
A chave é gerada sobre um software-id fornecido pelo próprio sistema Fica vinculada ao HD ou Flash
34
A licença pode ser “colada” na janela de terminal ou enviada por ftp Esse HD / Flash pode ser montado em qualquer outro computadoraproveitando a licença Importante: a formatação com ferramentas de terceiros faz perder alicença instalada
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 35/542
Política deLicenciamento
As Licenças nunca expiram
35
a última versão do próximo release.
ex: 2.9.x 3beta 3.x
Podem ser usadas várias interfaces
Uma licença por máquina
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 36/542
Dúvidas e esclarecimentos adicionais sobre
36
Instalação ? Acesso ?
Manutenção ?
Licenciamento ?
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 37/542
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 38/542
O Modelo OSI(Open Systems Interconnection)
Camadas 5, 6 e 7 (sessão, apresentação e aplicação)APRESENTAÇÃO
APLICAÇÃO
38
Camada 1 (conexões físicas da rede, como cabos, wireless)
Camada 2 (detecta/corrige erros, controla fluxo, end.. físico)
Camada 3 (faz endereçamento lógico – roteamento IP
Camada 4 (garante o transporte dos dados – TCP e UDP )
REDE
ENLACE
FÍSICA
TRANSPORTE
SESSÃO
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 39/542
Camada I - Física
A camada física define as características técnicas dos dispositivos elétricos .que fazem parte da rede
É nesse nível que estão definidas as especificações de cabeamento
39
es ru ura o, ras cas, e c. o caso e re ess, na cama a que se
definem as modulações assim como a frequencia e largura de banda dasportadoras
São especificações de Camada I:
RS-232, V.35, V.34, Q.911, T1, E1, 10BASE-T,100BASE-TX , ISDN, SONET , DSL,FHSS, DSSS, OFDM etc
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 40/542
Camada I - Física
Exemplo de configuração da camadafísica:
40
Escolhe-se a banda de transmissão ea forma com que o rádio irá secomportar
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 41/542
Exemplo de configuração físicada Interface Wireless
No lado do AP
1 Configurar o AP, definindo banda, canal, modo de operação enome de rede
41
No lado dos alunos:
1 Configurar como station, com o mesmo nome de rede ebanda
2
Na aba Wireless, no campo Radio name, colocar o seunúmero e nome, no seguinte padrão:XY-SeuNome
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 42/542
Camada II - Enlace
Camada responsável pelo endereçamento físico, controle de acesso ao meioe correção de erros da camada I
O endereçamento físico se faz pelos endereços MAC (Controle de acesso ao
42
dispositivos de rede
Bridges são exemplos de dispositivos que trabalham na camada II.
São especificações de Camada II:Ethernet, Token Ring, FDDI, PPP, HDLC, Q.921, Frame Relay, ATM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 43/542
Camada II - Enlace
Exemplo de configuração de Camada II (Enlace)
43
No AP Central: criar uma Bridge entre as interfaces Wireless
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 44/542
Camada III - Rede
Responsável pelo endereçamento lógico dos pacotes Transforma endereços lógicos em endereços físicos de rede
44
tais como condições de tráfego de rede e prioridades. Define como os dispositivos de rede se descobrem e como os pacotes são roteados aodestino final..
Estão na Camada III:IP, ICMP, IPsec, ARP, RIP, OSPF, BGP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 45/542
Protocolo IP
É um protocolo cujas funções principais são:
45
endereçamento roteamento
As principais funções do protocolo IP são endereçamento e roteamento pois estefornece de uma maneira simples a possibilidade de identificar uma máquina narede (endereço IP) e uma maneira de encontrar um caminho entre a origem e odestino (Roteamento).
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 46/542
Endereçamento IP
O Protocolo TCP/IP utiliza 4 sequencias de 8 bits (octetos) para representaçãodos endereços IP:
Exemplo :
46
. . . , em no aç o n r a,
convertida para decimal fica:
11000000 2^7+2^6 = 128+64 = 19210101000 2^7+2^5+2^3 = 128+32+8 = 168
00000001 2^0 = 100000001 2^0 = 1
192.168.1.1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 47/542
Máscaras de rede
Computadores em uma rede TCP/IP fazem uso das máscaras de rede para separarcomputadores em sub-redes. As máscaras de rede são tambem 4 octetos bináriosComo abaixo representado:
47
. . .
11111111 2^7 + 2^6 + 2^5 + 2^4 + 2^3 + 2^2 + 2^1 = 255
máscara equivalente em decimal:
255.255.255.0
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 48/542
Máscaras de redeAlém da forma binária e decimal as máscaras de rede podem ser representadas pelanotação em bitmask (soma dos bits que compõe a máscara);
Exemplos:
48
. . .
decimal : 255.255.255.255
bitmask: /32
11111111.11111111.11111111.11111100 decimal: 255.255.255.252 bitmask: /30
11111111.00000000.00000000.0000000 decimal: 255.0.0.0 bitmask: /8
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 49/542
Endereçamento de redePara separar computadores em sub redes é realizada uma multiplicação binária doendereço IP com a máscara de rede, sendo então calculado o endereço de rede para
aquele host.
Exemplo: 200.200.200.10 com máscara 255.255.255.192 (ou /26)
49
Decimal 1 octeto 2 octeto 3 octeto 4 octetoIP 200.200.200.10 11001000 11001000 11001000 00001010
Mask 255.255.255.192 11111111 11111111 11111111 11000000
Multiplicação binária 11001000 11001000 11001000 00000000
Endereço de rede calculado 200.200.200.0
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 50/542
200.200.200.10/26 200.200.200.20/26
Decimal 1 octeto 2 octeto 3 octeto 4 octeto
IP 200.200.200.10 11001000 11001000 11001000 00001010
Mask 255.255.255.192 11111111 11111111 11111111 11000000
Endereçamento de rede
50
u p caç o n r a
Decimal 1 octeto 2 octeto 3 octeto 4 octeto
IP 200.200.200.20 11001000 11001000 11001000 00010100
Mask 255.255.255.192 11111111 11111111 11111111 11000000Multiplicação binária 11001000 11001000 11001000 00000000
Resultados iguais Mesma Rede = 200.200.200.0
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 51/542
200.200.200.10/26 200.200.200.200/26
Decimal 1 octeto 2 octeto 3 octeto 4 octeto
IP 200.200.200.10 11001000 11001000 11001000 00001010Mask 255.255.255.192 11111111 11111111 11111111 1100000
Endereçamento de rede
51
Decimal 1 octeto 2 octeto 3 octeto 4 octeto
IP 200.200.200.200 11001000 11001000 11001000 11001000
Mask 255.255.255.192 11111111 11111111 11111111 11000000Multiplicação binária 11001000 11001000 11001000 11000000
Resultados diferentes Redes diferentes = 200.200.200.0 e 200.200.200.192
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 52/542
Endereços IP no Mikrotik
52
Atentar para a especificação correta da máscara de rede que determinará oendereço de rede e o de broadcast
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 53/542
Configuração de RedeNo AP Central:
1 Cadastrar o IP 192.168.100.254 com máscara 255.255.255.0 na wlan1
Nos alunos:
53
1
Cadastrar um IP 192.168.100.XY com máscara 255.255.255.0 wlan1 doMikrotik
2Como ficou sua tabela de rotas ?
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 54/542
Protocolo ARP(Address resolution Protocol)
Utilizado para associar IP’s com endereços físicos – faz a interface entre a camada II
e a camada III.
Funcionamento:
54
O solicitante de ARP manda um pacote de broadcast com a informação do IP dedestino, IP de origem e seu MAC, perguntando sobre o MAC de destino
O Host que tem o IP de destino manda um pacote de retorno fornecendo seuMAC
Para minimizar os broadcasts devido ao ARP, são mantidas no SO, as tabelasARP, constando o par IP – MAC
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 55/542
Protocolo ARP(Address resolution Protocol)
Observe a tabela ARP do AP
55
Consulte sua Tabela ARP
Torne a entrada do AP em uma entrada estática, clicando com o botãodireito e “Make Static”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 56/542
RoteamentoNo AP Central:
1 Cadastrar a rota default no AP Central.
Nos alunos:
56
1
Cadastrar a rota default2 Como ficou sua tabela de rotas ?
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 57/542
Cenário inicial do Curso
57
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 58/542
Configuração de DNSNo AP Central:
1 Configure o DNS apontando-o para o DNS da operadora
Nos alunos:
58
1
Configure o DNS apontando para o AP Central2 Teste a resolução de nomes a partir do seu mikrotik
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 59/542
Camada IV - Transporte
No lado do remetente é responsável por pegar os dados das camadassuperiores dividir em pacotes para que sejam transmitidos para a camada derede.
59
,
remonta os dados originais e envia às camadas superiores.
Estão na Camada IV:
TCP, UDP, RTP, SCTP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 60/542
Protocolo TCP
O TCP é um protocolo de transporte e executa
60
importantes funções para garantir que os dados sejamentregues de uma maneira confiável, ou seja, sem que osdados sejam corrompidos ou alterados.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 61/542
Características do protocolo TCP
Garante a entrega de datagramas IP
Executa a segmentação e reagrupamento de grandes blocos de dados enviadospelos programas e Garante o seqüenciamento adequado e entrega ordenada dedados segmentados.
61
Verifica a integridade dos dados transmitidos usando cálculos de soma deverificação
Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados.Ao usar confirmações seletivas, também são enviadas confirmações negativas para
os dados que não foram recebidos Oferece um método preferencial de transporte de programas que devem usartransmissão confiável de dados baseada em sessões, como bancos de dadoscliente/servidor e programas de correio eletrônico
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 62/542
TCP
62
Os segmentos TCP são encapsulados eenviados em datagramas IP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 63/542
Portas TCP
63
O uso do conceito de portas, permite que vários programas estejam emfuncionamento, ao mesmo tempo, no mesmo computador, trocandoinformações com um ou mais serviços/servidores.
Portas abaixo de 1024 são registradas para serviços especiais
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 64/542
Estabelecimento de uma conexão TCP
Uma conexão TCP é estabelecida em um processo de 3 fases: O “Cliente” a conexão manda uma requisição SYN contendo o
número da porta que pretende utilizar e um número de sequencia inicial. O “Servidor” responde com um ACK com o número sequencial
enviado +1 e um pacote SYN com um outro número de sequencia
64
O “Cliente” responde com um ACK com o numero recebido doSYN +1
Cliente Servidor
SYN (100)
ACK (101), SYN (400)
ACK (401)
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 65/542
Enviando dados com TCP
O TCP divide o fluxo de dados em segmentos o remetente manda dados em segmentos com um
número sequencial
Data 1
65
o es na r o acusa o rece men o e ca a
segmento o remetente manda os dados seguintes se não recebe a confirmação do recebimento,
manda novamente
No caso da conexão ser abortada uma flag RST émandada ao remetente
R e m e t e n t e
D e
s t i n a t á r i o
Data 2
Data 2
ACK
NO ACK
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 66/542
Encerrando uma conexão TCP
O processo de encerramento também é feito em 4 fases:
- Remetente manda um pedido de FIN- Destinatário responde acusando o recebimento com um ACK
66
- es na r o man a seu pe o e
- Remetente envia um ACK
Cliente Servidor
FIN
ACK
ACK
FIN
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 67/542
Protocolo UDP
- O UDP (User Datagram Protocol) é utilizado para o transporte rápido
entre hosts- O UDP é um serviço de rede sem conexão, ou seja não garante aentrega do pacote
67
- ensagens s o encapsu a as em a agramas
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 68/542
Comparação TCP e UDP
UDP TCP
Serviço sem conexão. Não é estabelecidasessão entre os hosts
Serviço orientado por conexão. Umasessão é estabelecida entre os hosts.
68
UDP não garante ou confirma a entregados dados Garante a entrega através do uso deconfirmação e entrega sequenciada dosdados
Os programas que usam UDP são
responsáveis pela confiabilidade
Os programas que usam TCP tem
garantia de transporte confiável de dadosRápido, exige poucos recursos oferececomunicação ponto a ponto e pontomultiponto
Mais lento, usa mais recursos e somentedá suporte a ponto a ponto
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 69/542
Observe o estado de suas conexões em IP / Firewall / Connections
69
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 70/542
Fazendo uma conexao TCPNos alunos:
1 Abrir uma sessão de FTP para o IP do nosso servidor de FTP
2 Verifique a sua tabela de Connection Tracking
70
No AP Central:
1 Exibir a tabela de Connection Tracking
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 71/542
Dúvidas ou considerações acerca de:
Camadas física / enlace / rede / transporte / aplicação
71
Protocolo ARP ? TCP ?
UDP ?
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 72/542
Setup I - Configuração da sala em modo roteado
1 Certifique-se do funcionamento da conexão física do seu Mikrotik ao APdo Curso pela Wireless, assim como os IP’s configurados anteriormente.
2 Configure seu Laptop com o IP 10.10.XY.2/24, gateway 10.10.XY.1 e DNS10.10.XY.1
72
3 Configure o DNS do seu Mikrotik apontando para 192.168.100.254 não
esquecendo de marcar allow remote requests
4 teste as conectividades:Laptop seu Mikrotik
seu Mikrotik
AP CentralLaptop AP Central5 O que precisa ser feito para funcionar tudo ?
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 73/542
Setup II - Configuração da sala com NAT
Configure o mascaramento de rede
Teste a conectividade com o mundo exterior.
73
configurações
Salve os backups tambem no seu Laptop. Elas serão úteis durante o curso.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 74/542
Mikrotik
74
Wireless
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 75/542
Confi ura ões da camada Física
75
Bandas de operação
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 76/542
Configurações Físicas / Banda
Resumo dos padrões IEEE empregados e suas características:
Padrão IEEE Freqüência Tecnologia Velocidades
802.11b 2.4 Ghz DSSS 1, 2, 5.5 e 11mbps
76
802.11g 2.4 Ghz OFDM 6, 9, 12, 18, 24, 3648 e 54 mbps
`802.11a 5 Ghz OFDM 6, 9, 12, 18, 24, 3648 e 54 mbps
OBS: Padrão 802.11n ainda em fase “draft”- previsão para ser ratificado até o final de 2008
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 77/542
Canais em 2.4Ghz
2412 2437 2462
22 Mhz
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 78/542
Canais não interferentes em 2.4Ghz
2412 2437 2462
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 79/542
Configurações Físicas / Banda
2.4Ghz-B: Modo 802.11b, que permite velocidades nominais de 1, 2, 5.5 e 11 mbps. Utilizaespalhamento espectral em seqüência direta.
2.4Ghz-B/G: Modo misto 802.11b e 802.11g que permite as velocidades acima 802.11b e 6,9, 12, 18, 24, 36, 48 e 54 mbps quando em G. Utiliza OFDM em 802.11g
2.4Ghz-only-G: Modo apenas 802.11g.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 80/542
Canais do espectro de 5Ghz
20 Mhz
Faixa Baixa: 5150 a 5250 e 5250 a 5350 (Mhz) Faixa Média: 5470 a 5725 (Mhz)
Faixa Alta: 5725 a 5850 (Mhz)
Em termos regulatórios a faixa de 5 Ghz é dividida em 3 faixas:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 81/542
Aspectos Legais do espectro de 5Ghz
Faixa Baixa Faixa Média Faixa Alta
Fre üências 5150-5250 5250-5350 5470-5725 5725-5850
Largura 100 Mhz 100 Mhz 255 Mhz 125 Mhz
canais 4 canais 4 canais 11 canais 5 canais
Detecção de radarobrigatória
Detecção de radarobrigatória
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 82/542
Configurações Físicas / Banda
82
5Ghz: Modo 802.11a – opera na faixa de 5 Ghz, baixa média e alta e permite velocidadesnominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqüência (Mhz) 5150 – 5350 5470 - 5725 5725 - 5850
Largura faixa 200 Mhz 255 Mhz 125 Mhz
Número de canais 4 11 5
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 83/542
Canalização em 802.11aModo Turbo
83
Maior troughput
Menor número de canais
Maior vulnerabilidade a interferências
Requerida sensibilidade maior
Diminui nível de potencia de Tx
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 84/542
Configurações Físicas / Banda
84
5Ghz-turbo: Modo 802.11a – opera na faixa de 5 Ghz, baixa média e alta e permitevelocidades nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqüência (Mhz) 5150 – 5350 5470 - 5725 5725 - 5850
Largura faixa 200 Mhz 255 Mhz 125 Mhz
Número de canais 2 5 2
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 85/542
Canalização em 802.11aModos 10 e 5 Mhz
85
Menor troughput
Maior número de canais
Menor vulnerabilidade a interferências
Requerida menor sensibilidade
Aumenta nível de potencia de Tx
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 86/542
Faixa de 900 MhzNo Brasil, de acordo com a resolução 506/2008, é possível a utilização da faixa de 900 Mhzsem licença. Esta faixa de freqüências tem sido empregada para aplicações com visadaparcial ou até sem visada. No entanto seu emprego deve ser cuidadoso para atender alegislação..
Freqüência (Mhz) 902 – 907.5 915 - 928
Lar ura faixa 5.5 Mhz 13 Mhz
Faixas permitidas
conf resol 506:
86
Na V3:Canais que o fabricante garante o funcionamento:Canal 3 -> 922 Mhz (10Mhz, 5Mhz)Canal 4 -> 917 Mhz (20Mhz, 10Mhz, 5 Mhz)Canal 5 -> 912 Mhz (20Mhz, 10Mhz, 5 Mhz)Canal 6 -> 907 Mhz (10Mhz, 5Mhz)
Variações possíveis no Brasil:
Canal 3 -> 922 Mhz (10Mhz, 5Mhz)Canal 4 -> 917 Mhz (10Mhz, 5 Mhz)
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 87/542
Confi ura ões da camada Física
87
Potências
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 88/542
Configurações da camada Física - Potências
88
default: não interfere na potencia original do cartão
card rates: fixa mas respeita as variações das taxas para diferentes velocidades
all rates fixed: fixa em um valor para todas velocidades
manual: permite ajustar potencias diferentes para cada velocidade
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 89/542
Configurações da camada Física - Potências
89
Quando a opção “regulatory domain” está sendo utilizada, somente as frequencias
permitidas no país selecionado em “Country” estarão disponíveis. Alem disso o Mikrotik
Ajustará a potencia do rádio para atender a regulamentação do país, levando em conta
o valor em dBi informado no campo “Antenna Gain”
OBS: Até a versão 3.11 tal ajuste não era feito corretamente para o Brasil.
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 90/542
Configurações da camada Física
seleção de antenas
90
Antenas é possível uma ou outra.Antena a: utiliza a antena a (main) para tx e rx
Antena b: utiliza a antena b (aux) para tx e rx
rx-a/tx/b: recepção em a e transmissão em b
tx-a/rx-b: transmissão em a e recepção em b
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 91/542
Configurações da camada Física
seleção de antenas
91
Antenas é possível uma ou outra.Antena a: utiliza a antena a (main) para tx e rx
Antena b: utiliza a antena b (aux) para tx e rx
rx-a/tx/b: recepção em a e transmissão em b
tx-a/rx-b: transmissão em a e recepção em b
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 92/542
Configurações da camada Física
DFS
92
canal em que for encontrado o menor número de
redesradar detect: escaneia o meio e espera 1minuto para entrar em operação no canalescolhido se não for detectada a ocupaçãonesse canal.
O modo DFS (Seleção Dinâmica de Frequência)é obrigatório para o Brasil nas faixas de 5250-5350 e 5350-5725
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 93/542
Configurações da camada FísicaProp. Extensions e WMM support
Proprietary Extensions: Opção com a únicafinalidade de dar compatibilidade ao Mikrotik
93
com chipsets Centrino (post-2.9.25)
WMM support: QoS no meio físico (802.11e)
enabled: permite que o outro dispositivouse wmm
required: requer que o outro dispositiouse wmm
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 94/542
Configurações da camada FísicaAP e Client Tx Rate / Compression
Default AP Tx Rate: Taxa máxima em bpsque o AP pode transmitir para cada um de seus
94
.
Default Client Tx Rate: Taxa máxima em bpsque o Cliente pode transmitir ao AP. Só funcionapara clientes Mikrotik.
Compression: Recurso de compressão emHardware disponível no Chipset Atheros.
Melhora desempenho se o cliente possuir esserecurso. Não afeta clientes que não possuam.
(Recurso incompatível com criptografia)
Configurações da camada Física
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 95/542
Configurações da camada FísicaData Rates
A velocidade em uma rede Wireless é definidapela modulação que os dispositivos conseguemtrabalhar.Supported Rates: São as velocidades de
’
95
.
Basic Rates: São as velocidades que osdispositivos se comunicam independentementedo tráfego de dados em si (beacons, mensagensde sincronismo, etc)
Embora o próprio manual do Mikrotik aconselhe
deixar as velocidades em seu default, melhoresperformances são conseguidas evitandotrabalhar em baixas velocidades
Configurações da camada Física
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 96/542
Configurações da camada FísicaAck Timeout
A B
Dados
Ack
96
O Ack Timeout é o tempo que um dispositivo Wireless espera pelo pacotede Ack que deve ser enviado para confirmar toda transmissão Wireless.
dynamic : O Mikrotik calcula dinamicamente o Ack de cada clientemandando de tempos em tempos sucessivos pacotes com Ack timeoutsdiferentes e analisando as respostas.
indoors: valor constante para redes indoor.
pode ser fixado manualmente digitando-se no campo.
Configurações da camada Física
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 97/542
Configurações da camada FísicaValores referenciais para Ack Timeout
97OBS: Valores orientativos. Valores ideais podem estar em uma faixa de +- 15 microsegundos
Configurações da camada Física
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 98/542
Configurações da camada Física(Advanced)
Max Station Count: Número máximo de clientes
Wireless que podem se conectar a uma interface da AP.Noise Floor Threshold : Limiar do piso de ruído doambiente (em dBm). Se não informado, utiliza o valor
98
o pe o car o.
Periodic Calibration: O Mikrotik efetua calibraçõesperiódicas no chipset para garantir a correta leitura dedados como níveis de sinal e ruído.
Patente Atheros: ver documento anexoMikrotikBrasil_Wireless_01.pdf
Calibration Interval: Intevalo de tempo em queessas calibrações são repetidas...
Configurações da camada Física
(Advanced)
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 99/542
(Advanced)Hardware Retries: Número de tentativas decomunicação para um dispositivo, até que acomunicação seja considerada falha. Na falha a
velocidade deve ser decrescida. Se não houvervelocidade mais baixa, 3 falhas seqüenciais ativamuma pausa nesse mecanismo pelo valor em
“ ”
99
- - -
On Fail Retry Time: Tempo após o qual é repetida acomunicação com um dispositivo para o qual atransmissão tenha falhado na velocidade mais baixasuportada.
Disconnect Timeout: Tempo em segundos, a partir
da terceira falha no envio (3 x (hw-retries + 1)) navelocidade mais baixa (ou seja a partir da primeira vêzque o ‘on-fail-retry-time foi ativado) em que o cliente édesconectado (aparece nos logs como “extensive dataloss”
Configurações da camada Física
(Advanced)
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 100/542
(Advanced)Burst Time: Tempo em microsegundos que o cartãopode transmitir continuamente. Nenhum outro disositivoconseguirá transmitir durante esse tempo. O suporte a
essa funcionnalidade pode ser visto na variável burst-support em /interface wireless info print.
Frame Lifetime: Tem o de vida de um acote em
100
centisegundos contado a partir do início da tentativa de
transmiti-lo.O default dessa opção é zero, que significaque nenhum pacote será descartado até que o clienteseja desconectado.
Update Stats Interval: Freqüência de atualizaçãodas estatísticas de sinal e de valor de CCQ. Essa
opção não altera a visualisação geral, mas sim aindividual por cliente. (por default as atualizações sãoefetuadas a todo momento e configuradas, mínimo 10segundos)
Configurações da camada Física
(Advanced)
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 101/542
(Advanced)Adaptive Noise Immunity: Habilita o ajuste devários parametros de recepção com a finalidade deminimizar os efeitos de interferências na qualidade de
sinal. Funcionalidade disponível somente em chipsetsAtheros mais recentes.
Patente Atheros: Ver documento anexo
101
MikrotikBrasil_Wireless_02.pdf
Preamble Mode: Para sincronizar transmissões asestações precisam trocar mensagens de sincronismo.O padrão inicial das redes Wi-Fi é de 128 bits (long) ediversos fabricantes suportam preambulo de 56 bits(short). Sendo todos os dispositivos capazes de
preambulo curto, é interessante habilitar para melhorara performance da rede.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 102/542
102
u v y
Interface Wireless / Geral / Scan
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 103/542
Interface Wireless / Geral / Scan
103
Escaneia o meio (causa queda das conexões estabelecidas)A AtivaB BSS
P ProtegidaR rede MikrotikN NstremeNa linha de comando pode ser acessada em /interface/wireless/scan – wlan1
Interface Wireless / Geral / Uso de frequencias
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 104/542
Interface Wireless / Geral / Uso de frequencias
104
Mostra o uso das frequencias em todo o espectro, para site survey(causa queda das conexões estabelecidas)
Na linha de comando pode ser acessada em/interface/wireless/frequency-monitor wlan1
Interface Wireless / Geral / Alinhamento
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 105/542
Ferramenta de alinhamento com sinal sonoro( Colocar o MAC do AP remoto no campo Filter e campo Audio)
105
Rx Quality – Potencia (dBm) do último pacote recebido
Avg. Rx Quality – Potencia média dos pacotesrecebidos.
Last Rx – tempo em segundos do último pacote foi recebido
Tx Quality – Potencia do último pacote transmitido
Last Rx – tempo em segundos do último pacote transmitido
Correct – número de pacotes recebidos sem erroOBS: Filtrar MAC do PtP
Interface Wireless / Geral / Sniffer
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 106/542
106
Ferramenta para sniffar o ambiente Wireless captando e decifrando pacotesMuito útil para detectar ataques do tipo deauth attack e monkey jackPode ser arquivado no próprio Mikrotik ou passado por streaming para outro sevidor com o protocolo TZSPNa linha de comando habilita-se em / interface wireless sniffer sniff wlan1
Interface Wireless / Geral / Snooper
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 107/542
p
107
Com a ferramenta Snooper é possível monitorar a carga de tráfego em cada canal, por estação epor rede.Escaneia as frequencias definidas em scan-list da interface
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 108/542
Confi ura ões de Modo de
108
Operação
Interface Wireless / Geral
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 109/542
109
disable: não responde a solicitações ARP. Clientes tem de acessar portabelas estáticas.proxy-arp: passa o seu próprio MAC quando há uma requisição para algumhost interno ao roteador.reply-only: somente responde as requisições. Endereços de vizinhos sãoresolvidos estaticamente
Comportamento do protocolo ARP
Configurações Físicas / Modo Operação
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 110/542
110
ap bridge: Modo Ponto de Acesso (AP) – repassa os MAC’s do meio Wireless de formatransparente para o meio Cabeado.
bridge: Modo idêntico ao modo ap bridge, porém aceitando um cliente apenas.
station: Modo cliente de um AP – Não pode ser colocado em bridge com outras interfaces
Configurações Físicas / Modo Operação
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 111/542
111
station pseudobridge: Estação que pode ser colcada em modo bridge, porém que passaao AP sempre o seu próprio endereço MAC (uma bridge verdadeira passa os MAC’sinternos a ela).
station pseudobridge clone: Modo idêntico ao pseudobridge, porém que passa ao AP umMAC pré determinado do seu interior.
station wds: Modo estação, que pode ser colocado em bridge com a interface ethernet eque passa de forma transparente os MAC’s internos (bridge verdadeira). É necessário que oAP esteja em modo WDS (ver tópico específico de WDS, a frente)
Configurações Físicas / Modo Operação
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 112/542
112
alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal.Neste modo a interface Wireless “escuta” os pacotes que são mandados a ela por outrosdispositivos trabalhando no mesmo canal.
wds slave: Será visto no tópico específico de WDS.
Nstreme dual slave: Visto no tópico específico de Nstreme / Nstreme Dual
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 113/542
Confi ura ões Físicas
113
Protocolo Nstreme
Configurações da camada Física
Como trabalha o CSMA – Carrier Sense Multiple Access
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 114/542
Esta ão C
Estação B
Estação A
CRS
CRSdefer
defer
Redes Ethernet Tradicionais
Método CSMA/CD
(Collision Detection)
114
COLISÃO
Estação C
Estação B
Estação A
CRS
CRS
backoff
backoff backoff (rest)
CRS CRS
defer
Redes Wireless 802.11
Método CSMA/CA(Collision Avoidance)
Configurações da camada Física
Nstreme
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 115/542
Enable Nstreme: Habilita o Nstreme.
(As opções abaixo dessa só fazem sentido
estando esta habilitada.)
115
na e o ng: a a o mecan smo e o ng. ecomen a o
Disable CSMA: Desabilita o Carrier Sense. RecomendadoFramer Policy: Política em que serão agrupados os pacotes:
dynamic size: O Mikrotik determina
best fit: agrupa até o valor definido em Framer Limit sem fragmentar
exact size: agrupa até o valor definido em Framer Limit fragmentando senecessário
Framer Limit: Tamanho máximo do pacote em Bytes.
Configurações da camada Física
Nstreme Dual
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 116/542
1 : Passar o modo de operação dasinterfaces para nstreme dual slave.
116
2 : Criar uma interfaceNstreme Dual definindoquem é Tx e quem é Rx.
(usar canais distantes)
Configurações da camada Física
Nstreme Dual
Recorte de tela efetuado: 8/6/2008, 9:06 PM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 117/542
3 : Verificar o MACescolhido pela interfaceNstreme dual e informar nolado oposto.
4 : Criar uma brid e entre
117
Práticas de RF recomendadas:
Antenas de qualidade, Polarizações invertidas, canais distantes, distancia entreantenas.
a ethernet e a interfaceNstreme Dual.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 118/542
118
WDS : Wireless Distribution System
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 119/542
CANAL 11
CANAL 1
CANAL 1
Com WDS é possível criar uma cobertura Wireless ampla e permitindoque os pacotes passem de um AP ao outro de forma transparente. Os Ap’s devemter o mesmo SSID e estarem no mesmo canal.
2 AP’s com WDS
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 120/542
AP-3Wireless PC-Card
Bridge learn
table
AP-3
Wireless PC-Card
Tabela de associações
Bridge learn
table
yyy 4
yyyxxx
STA-2
24
STA-1
xxx
STA-2
yyyBSS-A
BSS-B
Pacote para STA-2
ACK
Pacote para STA-2
ACK
STA-1
xxx 2
WDS RelayPacket for STA-2
ACK
WDS Relay
WDS : Wireless Distribution System
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 121/542
CANAL 1
INTERNET INTERNET
WDS / Mesh WDS
RSTPPara evitar o looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 122/542
Para evitar o looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante sendo o RSTP mais rápido.
122
O (R)STP inicialmente elege uma root bridge e utiliza o algorítimo “breadth-first search” quequando encontra um MAC pela primeira vêz, torna o link ativo. Se o encontra outra vêz,torna o link desabilitado.
Normalmente habilitar o (R)STP já é o suficiente para atingir os resultados. No entanto épossível interferir no comportamento padrão, modificando custos, prioridades, etc.
WDS / Mesh WDS
(R)STPAjustar para baixo se desejar assegurar a eleição
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 123/542
dessa bridge como root .
123
Custo: permite um caminho ser eleito em lugar de outro
Prioridade: quando os custos são iguais, é eleito o de
prioridade mais baixa.
WDS / Mesh WDS(R)STP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 124/542
Admin MAC Address
124
A Bridge usa o endereço MAC da porta ativa com o menor número de porta
A porta Wireless está ativa somente quando existem hosts conectados a ela.
Para evitar que os MAC’s fique variando, é possível atribuir manualmente
um endereço MAC.
WDS / Mesh WDS
WDS Default Bridge: Informe aqui a bridgedefault
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 125/542
default.
WDS Default Cost: Custo da porta da bridge
do link WDS.WDS Cost Range: Margem do custo que pode
125
Modos de WDS
dynamic: as interfaces WDS são criadas dinamicamente quando umdispositivo em WDS encontra outro compatível (mesmo SSID e canal)
static: As interfaces tem de ser criadas manualmente com cada umaapontando para o MAC de sua “parceira”
dynamic mesh: O mesmo que dinâmica, porém com um algorítmoproprietário para melhoria do link (não compatível com outros fabricantes)
static mesh: A mesma explicação acima, porém para estátiva.
Wireless / Interfaces / WDS
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 126/542
WDS:
126
r a-se as n er aces , an o os parame ros:
Name: Nome da rede WDS
Master Interface: Interface sobre a qualfuncionará o WDS, podendo esta inclusive ser umainterface virtual
WDS ADDRESS: Endereço MAC que a interfaceWDS terá.
WDS / Mesh WDSLaboratórios de WDS/Mesh
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 127/542
Link transparente com station-wds
Rede Mesh com WDS+RSTP
127
WDS-Slave
Default AP Tx Rate: Estabelece a taxa máxima, em bps, que cada cliente pode ter dedownload
Interface Wireless / Wireless
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 128/542
Default Client TX Rate: Estabelece a taxa máxima, em bps, que cada cliente podeenviar ao AP – só funciona para cliente também Mikrotik.
Default Authenticate: (default-authentication) Especifica a ação padrão a ser adotadapela AP para os clientes Wireless que não estejam declarados na access list ( controle deMAC ). Para os equipamentos configurados como clientes, especifica a ação a seradotada para os AP’s que não estejam na Connect List.
128
yes: omo , e xa o c en e se assoc ar, mesmo se n o es ver ec ara o nas acc esslist. Como cliente, associa-se a qualquer AP, masmo que não esteja na connect list
Default Forward: (default-forwarding) Determina se poderá haver comunicação entreclientes conectados na mesma interface Wireless. Esse bloqueio é feito na camada 2 deenlace e portanto independente de IP. ( algumas AP’s tem esse recurso como IntraBSSrelay)- yes (marcado): permite a comunicação- No (desmarcado) não permite.a comunicação.OBS: Quando as interfaces estão em Bridge, pode haver comunicação entre clientes deinterfaces diferentes, mesmo com esse recurso habilitado.
Hide SSID: Determina se o AP vai divulgar o nome da Rede em broadcast através de“beacons”- yes (marcado): não divulga, somente respondendo aos clientes que enviarem os “proberequests”- no (desmarcado): divulga o nome da rede.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 129/542
129
u
Wireless / Interfaces
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 130/542
Interfaces Virtuais:
Criando interfaces virtuais podemos montar várias
130
Name: Nome da rede virtual
MTU: Unidade de transferencia máxima (bytes)
MAC Address: Dê o MAC que quiser para o novo AP !
ARP Enable/Disable: habilita/desabilita proxy-arp: passa seu MAC reply-only
OBS: Demais configurações identicas de uma AP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 131/542
131
Wireless Tables / Access List
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 132/542
O Access List é utilizado pelo Access Point para restringir associações de clientes.Esta lista contem os endereços MAC de clientes e determina qual a ação deve ser
132
oma a quan o um c en e en a conec ar. comun caç o en re c en es a mesmainterface, virtual ou real, também é controlada nos Access List.
O processo de associação ocorre da seguinte forma:
- Um cliente tenta se associar a uma interface Wlanx- Seu MAC é procurado no acces list da interface Wlanx.- Caso encontrada a ação especificada será tomada:
- authenticate marcado: deixa o cliente se autenticar - forwarding marcado, o cliente se comunica com outros..
Wireless Tables / Access List
Access List
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 133/542
MAC Address: Mac a ser liberado
Interface: Interface Real ou Virtual onde seráfeito o controle.
133
AP Tx Limit: Limite de tráfego AP cada
Cliente
Client Tx Limit: Limite de tráfego Cliente AP( só vale para cliente Mikrotik )
Authentication: Habilitado, autentica os MAC’sdeclarados.
Forwarding: Habilitdo permite a comunicaçãoentre clientes habilitados ( intra bss )
Private Key: Chave de criptografia
40 bit wep128 bit wepAes-com
Wireless Tables / Connect List
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 134/542
A Connect List tem a finalidade de listar os pontos deAcesso que o Mikrotik configurado como cliente pode seconectar.
134
MAC Address: MAC do AP
SSID: Nome da Rede
Area Prefix: String para conexão com o AP de mesmaarea
Security Profile: definido nos perfis de segurança.
OBS: Essa opção é interessante para evitar que o Clientese associe em um Ponto de Acesso falso ( sequestro doAP )
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 135/542
135
u
Wireless Tables / Security Profiles
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 136/542
Na tabels Security Profiles são definidos os perfis desegurança da parte Wireless que podem ser utilizados no
136
Name: nome que aparecerá em outras telas,
referenciando esse perfil
Mode: Modo de operação dynamic keys: gera chaves dinamicasautomaticamente static-keys-required: criptografa todos os pacotes e
somente aceita pacotes criptografados static-keys-optional: se existe uma chave privadaestática de estação (static-sta-private-key), esta seráutilizada. Caso contrário, estando a estação no modo AP,não será utilizada criptografia e em modo estação usaráse estiver setada a static-transmit-key
Evolução dos Padrões de Segurança Wireless
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 137/542
WPA2 (802.11i) c/ EAP
137
.WPA c/ AES ccmWPA c/ MD5WEP c/ TKIPWEP 128 bits
WEP 64 bits
+ SEGURANÇA
Wireless Tables / Security Profiles
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 138/542
Authentication Types:
WPA: Método não padrão IEEE utilizado durante algum
138
tempo pela indústria para evitar problemas do WEP
WPA2: Método compatível com 802.11i do IEEE.
PSK: Pré Shared Key – Chave compartilhada entre doisdispositivos.
EAP: Extensive Authentication Protocol
OBS: O AP irá divulgar todos os modos de autenticaçãomarcados aqui e as estações escolherão o métodoconsiderado mais seguro. Exemplo, WPA EAP ao invés deWPA PSK.
Wireless Tables / Security Profiles / General
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 139/542
Unicast Chipers:
TKIP: Protocolo de integridade de chave Temporal. Método
139
.Proxim implementa como WEP plus
AES CCM: Método de criptografia WPA mais seguro, que utilizaalgorítimo AES.
PSK: Pré Shared Key – Chave compartilhada entre doisdispositivos.
EAP: Extensive Authentication Protocol
OBS: O AP irá divulgar todos os modos de autenticação marcadosaqui e as estações escolherão o método considerado mais seguro.Exemplo, WPA EAP ao invés de WPA PSK.
Wireless Tables / Security Profiles / EAP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 140/542
Métodos EAP:
Passtrough: Repassa o pedido de autentica ão para um
140
Servidor Radius ( esta opção somente é usada em AP’s)EAP/TLS: Utiliza um Certificado TLS ( Transport LayerCertificate)
TLS Mode:no-certificate: Certificados são negociadosdinamicamente utilizando o algorítimo de Diffie-Helmman don’t-verify-certificate: exige o certificado, porém não o
confere com uma entidade certificadors. verify-certificate: exige e verifica
TLS Certificate: Habilita um certificado importado em/certificates
Wireless Tables / Security Profiles / Static Keys
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 141/542
141
Static Keys:Utilizado em caso de WEP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 142/542
142
com Mikrotik
Firewall
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 143/542
O Firewall é normalmente é usado como ferramenta de segurança para prevenir oacesso não autorizado à rede interna e ou acesso ao roteador em si, bloquear diversostipos de ataques e controlar o fluxo de dados tanto de entrada como de saída.
143
Além de segurança é no Firewall que serão desempenhadas diversas funções
importantes como a classificação e marcação de pacotes para uso nas ferramentas deQoS
A classificação do tráfego feita no Firewall pode ser baseada em vários classificadorescomo endereços MAC, endereços IP, tipos de endereços IP (broadcast, multicast, etc)
portas de origem e de destino, range de portas, protocolos, Tipo do Serviço (ToS),tamanho do pacote, conteúdo do pacote, etc etc.
Firewall – visão geral
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 144/542
144
Filter Rules: é onde ficam as regras de filtros de pacotes NAT: onde é feito a tradução de endereços (mascaramento por exemplo) Mangle: onde é feita a marcação de pacotes, conexões e roteamento Connections: onde são visualizadas as conexões existentes Address Lists: lista de endereços IP inserida manual ou dinamicamente que
podem ser utilizados em várias partes do Firewall Layer 7 Protocols: Filtros de camada 7 (Aplicação)
Princípios Gerais de FirewallCanais default
Um Firewall opera por meio de regras de Firewall Uma regra é uma expressão lógica
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 145/542
- Um Firewall opera por meio de regras de Firewall. Uma regra é uma expressão lógica
que diz ao roteador o que fazer com um tipo particular de pacote.- Regras são organizadas em canais ( chains ) e existem 3 canais pré definidos:
145
Input : responsável pelo tráfego que vai PARA o router
Forward : responsável pelo tráfego que PASSA pelo router
Output : responsável pelo tráfego que SAI do router
Diagrama da Estrutura de Filtro
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 146/542
Filtro Forward
146
Interface de
entrada
Filtro Input
Processo Local
IN
Processo Local
OUT
Interface de
Saída
Filtro OutputDecisão de
roteamento
Decisão de
Roteamento
Princípios Gerais de FirewallRegras
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 147/542
-
147
,listadas, ou seja de cima para baixo.
2 - As regras de firewall funcionam como o que em programação chamamos deexpressões condicionais , ou seja “se <condição> então <ação>”
3 – Se um pacote não atende TODAS as condições de uma regra ele passa para a
regra seguinte.
Princípios Gerais de FirewallRegras
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 148/542
–
148
ele, não importam as regras que estejam abaixo nesse canal, pois estas NÃO serãoprocessadas
5 – Existem algumas excessões ao critério acima, que são as ações de “passthrough” (passar adiante ) , log e add to address list. (visto adiante)
6 - Um pacote que não se enquadre em qualquer regra do canal, será por defaultaceito.
Firewall do Mikrotik – Filter Rules
As regras de filtro podem ser organizadas e mostradas das seguintes maneiras:
all: todas
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 149/542
all: todas
dynamic: regras dinâmicamente criadas por serviços (ex. Hotspot) input: regras do canal input
149
forward: regras do canal forward
Firewall do Mikrotik – Filter Rules
Algumas ações que se pode tomar nas regras de filtro:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 150/542
accept: aceita o pacote
150
pass roug : gnora a regra mas con a za e passapara a regra seguinte
drop: descarta silenciosamente o pacote
reject: descarta o pacote e responde com umamensagem de icmp ou tcp reset (ver ao lado)
tarpit: Respondendo com SYN/ACK ao um pacoteTCP/SYN entrante, mas não conclui a conexão.
Firewall / Filtro / canais criados pelo usuário
Além dos canais padrão, o administrador pode criar canais próprios, bastando darnomes a eles. Essa prática ajuda muito na organização do Firewall.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 151/542
Para utilizar um canal criado devemos desviar o fluxo através de uma ação JUMP..
No exem lo abaixo além de in ut out ut e forward estão criados canais
151
chamados sanidade, segurança, vírus, etc.
Como funciona o canal criado pelo usuário
Além dos canaispadrão, oadministrador pode
Regra
Regra
Regra
Regra
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 152/542
administrador pode
criar canais própriose associa-los a umcanal padrão.
Regra
RegraJUMP
g
RegraRegra
152
Regra
RegraRegra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Canal criado pelo usuário
Como funciona o canal criado pelo usuário
Caso exista umaregra que tome aação RETURN
Regra
Regra
Regra
Regra
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 153/542
ação RETURN,
o retorno é feitoantecipadamente e
Regra
RegraJUMP
RegraRegra
153
deste são ignoradasRegra
RegraRegra
Regra
Regra
Regra
Regra
RETURN
Regra
Regra
Regra
Canal criado pelo usuário
Firewall do Mikrotik – Filter Rules
Ações relativas a canais criados pelo usuário que se podetomar nas regras de filtro:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 154/542
jump: salta para o canal definido em jump-target
154
Return: Volta para o canal que chamou o jump
Firewall do Mikrotik – Address Lists
Uma Address List, ou lista deendereços é uma lista de endereços IP
que pode ter várias utilizações,conforme serão vistos alguns
exemplos mais adiante
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 155/542
exemplos mais adiante.
-
155
Ações:add dst to address list: adiciona o IP de destino à lista
add src to address list: adiciona o IP de origem à lista
Address List: nome da lista de endereços
Timeout: por quanto tempo a entrada irá permanecer
entradas a essas listas no Filtro ou no
Mangle.
Connection TrackingConnection Tracking ( seguimento de conexões ) se refere a habilidade do roteadorde manter o estado da informação relativa às conexões, tais como endereços IP de
origem ou destino e pares de porta, estados da conexão, tipos de protocolos etimeouts Firewalls que fazem connection tracking são chamados de "stateful" e são
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 156/542
timeouts. Firewalls que fazem connection tracking são chamados de stateful e são
mais seguros que aqueles que fazem o processamento "stateless“
156
Connection Tracking
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 157/542
- O sistema de Connection Tracking ou Conntrack é o coração do Firewall. Ele obtem e
157
.
- Quando se desabilita a Função de Connection Tracking são perdidas asfuncionalidades de NAT e marcação de pacotes que dependam de conexão. Pacotesno entanto podem ser marcados diretamente.
-.Conntrack é exigente de recursos de hardware. Quando o equipamento trabalhaapenas como AP Bridge por exemplo, é indicado desabilita-la
Localização da Conntrack
Filtro Forward
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 158/542
158
Interface de
entrada
Filtro Input
Processo Local
IN
Processo Local
OUT
Interface de
Saída
Filtro Output
roteamento
Roteamento
Conntrack Conntrack
Connection Tracking
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 159/542
159
O estado de uma conexão pode ser:
established: significando que o pacote é parte de uma conexão já estabelecidaanteriormente new: significando que o pacote está iniciando uma nova conexão ou faz parte deuma conexão que ainda não trafegou pacotes em ambas direções related: significando que o pacote inicia uma nova conexão, mas que essa é
associada a uma conexão existente como FTP por exemploinvalid: significando que o pacote não pertence à nenhuma conexão conhecidanem está iniciando outra.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 160/542
160
rewa er Protegendo o próprio Roteador e os Clientes
Princípios Básicos de Proteção
Proteção do próprio roteador
tratamento das conexões e eliminação de tráfego prejudicial/inútil
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 161/542
permitir somente os serviços necessários no próprio roteador prevenir e controlar ataques e acesso não autorizado ao roteador
161
Proteção da rede interna
tratamento das conexões e eliminação de tráfego prejudicial/inútil
permitir somente os serviços necessários nos clientes
prevenir e controlar ataques e acesso não autorizado em clientes.
Regras de Firewall
tratamento de conexõesRegras no Canal Input
Descarta conexões inválidas
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 162/542
Aceita conexões estabelecidas Aceita conexões relacionadas
162
Descarta o restante
Regras de Firewall
Controle de serviçosRegras no Canal Input – cont.
Permitir o acesso externo ao Winbox Permitir acesso externo por SSH Permitir acesso externo por Telnet
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 163/542
p Relocar as regras para que funcionem
163
Regras de Firewall
Filtrando tráfego prejudicial/inútil
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 164/542
Filtros de portas de vírusBlo ueia ortas mais o ulares utilizadas or vírus TCP e UDP 445 e 137-139
164
No momento existem algumas centenas Trojans ativos e menos de 50 tipos de vírus
ativos
No site da Mikrotik há uma lista com as portas e protocolos que utilizam esses vírus.
Baixar lista de vírus Mikrotik e fazer as regras de acordo
Regras de Firewall
Filtrando tráfego indesejável e possíveis ataques
Controle de ICMP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 165/542
-Internet Control Message Protocol (ICMP) é basicamente uma ferramenta paradiagnóstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados.
165
-Um roteador tipicamente utiliza apenas 5 tipos de ICMP (type:code), que são:
- PING – Mensagens 0:0 e 8:0- TRACEROUTE – Mensagens 11:0 e 3:3- PMTUD – Path MTU discovery – mensagem 3:4
Os outros tipos de ICMP podem ser bloqueados.
Regras de Firewall
Filtrando tráfego indesejávelIP’s Bogons: Existem mais de 4 milhões de endereços IPV4
Existem muitos ranges de IP restritos em redes públicas
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 166/542
g p
Existem várias ranges de IP’s reservados (não usados até o momento) para
166
propósitos específicos.
No material do curso está disponível uma Lista de IP’s Bogons atualizada em maio de2008, baseado no site Cymru que mantém a movimentação desses IP’s atualizada.http://www.cymru.com/Documents/bogon-dd.html
IP’s Privados: Muitos aplicativos mal configurados geram pacotes destinados a IP’s privados e éuma boa prática filtra-los.
Firewall
Proteções de ataques
Ping Flood
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 167/542
Ping Flood consiste usualmente degrandes volumes de mensagens de ICMPaleatórias
167
É possível detectar essa condição com a
regra ao lado
Interessante associar essa regra comuma de log
Firewall - Proteções de ataques
Port Scan
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 168/542
Consiste no escaneamento de portasTCP e UDP
168
A detecção somente é possível para
ataques de TCPPortas baixas (0 – 1023)
Portas altas (1024 – 65535)
Firewall - Proteções de ataques
DoS
O Principal objetivo do ataque de DoS é o consumo de recursos como CPU ou
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 169/542
largura de banda.
169
Usualmente o roteador é inundado com requisições de conexões TCP/SYNcausando a resposta de TCP/SYN-ACK e a espera do pacote de TCP/ACK
Normalmente não é intencional e é causada por vírus em clientes
Todos IP’s com mais de 10 conexões com o roteador podem ser consideradosatacantes .
Firewall - Proteções de ataques
DoSAtaques DoS - cont
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 170/542
Se simplesmente descartarmos as conexões, permitiremos que o atacante crieuma nova conexão.
170
A proteção pode ser implementada em dois estágios:
Detecção – criando uma lista dos atacantes DoS com base em connectionlimit
Supressão – aplicando restrições aos que forem detectados.
Firewall - Proteções de ataques
DoS
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 171/542
171
Firewall - Proteções de ataques
DoS
Com a ação tarpit aceitamos a conexão e a
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 172/542
fechamos, não deixando no entanto o atacante
172
.
Esta regra deve ser colocada antes da regra
de detecção ou então a address list vai
reeescreve-la todo o tempo.
Firewall
Proteções de ataques
dDOS
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 173/542
Ataques de dDos (dDoS) são bastante
173
parec os com os e o , por m par em eum grande número de hosts infectados
A única medida que podemos tomar éhabilitar a opção TCP syn cookie noconnection tracking do Firewall
Regras de Firewall
Proteção da Rede InternaRegras primeiras no Canal Forward
D t õ i álid
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 174/542
Descarta conexões inválidas Aceita conexões estabelecidas
174
Firewall do Mikrotik – NAT
NAT – Network Address Translation é uma técnica que permite que hosts em umaLAN usem um conjunto de endereços IP para comunicação interna e outro paracomunicação externa.
E i t d i ti d NAT
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 175/542
Existem dois tipos de NAT: Source Nat (srcnat), ou NAT de origem, quando o roteador reescreve o IP de
175
or gem e ou a por a por um ou ro e es no.
Destination NAT (dstnat), ou NAT de destino quando o roteador reescreve o
endereço ou a porta de destino.
SRC DST Novo SRC DST
SRC DST SRC Novo DST
SRC NAT
DST NAT
Firewall do Mikrotik – NAT
As regras de NAT são organizadas em canais:
d t t
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 176/542
dstnat:Processa o tráfego mandado PARA o roteador e ATRAVÉS do roteador, antes que ele
176
seja dividido em INPUT e FORWARD.
src-nat:Processa o tráfego mandado a PARTIR do roteador e ATRAVÉS do roteador, depoisque ele sai de OUTPUT e FORWARD
NAT
Filtro Forward
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 177/542
177
Interface de
entrada
Filtro Input
Processo Local
IN
Processo Local
OUT
Interface de
Saída
Filtro Output
Roteamento
Conntrack Conntrack
Dstnat
Roteamento
Srcnat
NAT - Exemplos
Source NAT - Mascarando a rede 192.168.0.0/24 atrás do IP 200.200.200.200 que estáconfigurado na interface ether1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 178/542
178
Os pacotes de qualquer host da rede 192.168.0.0/24sairão com o IP 200.200.200.200
NAT - Exemplos
Destination NAT e Source NAT (1:1) – Apontando o IP 200.200.200.200 para o host interno192.168.0.100
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 179/542
179
NAT - Exemplos“Redirecionamento de Portas”: Fazendo com que tudo que chegue na porta 5100 vá parao servidor WEB que está na máquina interna 192.168.0.100 e tudo que chegar na porta 5200vá para a máquina 192.168.0.200
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 180/542
180
NAT - Exemplos
NAT 1:1 com netmap: Apontando a rede interna 192.168.0.0/24 para a rede pública200.200.200.200/24
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 181/542
181
Firewall do Mikrotik – NATNAT Helpers
Hosts em uma rede “nateada” não possuem conectividade fim-a-fimverdadeira. Por isso alguns protocolos podem não trabalharsatisfatóriamente em alguns cenários. Serviços que requerem ainiciação de conexões TCP de for a da rede, bem como protocolos
“stateless” como o UDP por exemplo podem não funcionar
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 182/542
stateless como o UDP por exemplo, podem não funcionar.Para contornar esses problemas, a implementação de NAT no
“ ”
182
ro prev a guns e pers que em a unç o e aux arnesses serviços.
Redirecionamento e Mascaramento
São formas especiais de de dstnat e srcnat respectivamente, ondenão se especifica para onde vai o pacote (to-address). Quando um
pacote é “nateado” como dst-nat, não importa se a ação é nat ouredirect que o IP de destino é automáticamente modificado.
Address Lists
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 183/542
Address Lists permitem que o usuário crie listas de
183
.utilizados pelo filtro do Firewall, Mangle e NAT.
Os registros de Address Lists podem ser atualizadosdinamicamente via action=add-src-to-address-list ouaction=add-dst-to-address-list, opções encontradasem NAT, Mangle ou Filter.
No Winbox é possível editar o nome da lista,simplesmente digitando-o
Address Lists - ExemploPenalizar o usuário que tentardar um Telnet no Roteador.Fazer com que esse usuárionão faça mais nada.
- cria-se as listas no Address
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 184/542
- cria-se as listas no Address-
184
para a lista ( soh_Telnet )
- marca-se no mangle no canalprerouting o protocolo TCP eporta 23
Address Lists - Exemplo
- Ainda no Mangle, adiciona-sea ação add-source ao addresslist chamado soh_telnet
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 185/542
185
- Nas regras de filtro, no canal
input pega-se os pacotes queestão na lista soh_telnet eescolhe-se a ação drop.
Knock.exe 192.168.0.2 1234:tcp 4321:tcp
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 186/542
186
Knock.exe 192.168.0.2 1234:tcp 4321:tcp
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 187/542
187
ip firewall rule
add chain=input dst-port=1234 protocol=tcp action=add-src-to-address-listaddress-list=temp address-list-timeout=15s
add chain=forward dst-port=4321 protocol=tcp src-address-list=tempaction=add-src-to-address-list address-list=liberado address-list-timeout=15m
Liberando o acesso para quem estiver na lista e negando
para o resto
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 188/542
para o resto
188
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 189/542
189
FIREWALL MANGLE
Firewall do Mikrotik – Mangle
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 190/542
190
A Facilidade Mangle apresentada no RouterOS do Mikrotik permite introduzir marcasem conexões e em pacotes IP em função de comportamentos específicos.
As marcas introduzidas pelo Mangle são utilizadas em processamento futuro e delasfazem uso ferramentas como o controle de banda, ferramentas de QoS e NAT. Elasexistem porém somente dentro do roteador, não sendo transmitidas para for a.
É possível porém com o Mangle alterar determinados campos no cabeçalho IP,como o ToS ( type of service ) e campos de TTL ( Time to live )
Estrutura do Mangle
As regras de Mangle são organizadas em canais e obedecem as mesmas regras
gerais das regras de filtros, quanto a sintaxe.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 191/542
191
possível também criar canais pelo usuário
Há 5 canais padrão: Prerouting: marca antes da fila Global-in Postrouting: marca antes da fila Global-out Input: marca antes do filtro de Input
Output: marca antes do filtro OutputForward: marca antes do filtro Forward
Diagrama do MangleMangle
Forward
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 192/542
192
Interface de
entrada
Mangle
Input
Processo Local
IN
Processo Local
OUT
Interface de
Saída
Prerouting
Mangle
Input
Roteamento Postrouting
ec s o e
Roteamento
Açoes do Mangle
As opções de marcação incluem:
mark-connection – apenas o primeiro pacote.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 193/542
mark connection apenas o primeiro pacote.
193
mark-packet – marca um fluxo (todos os pacotes)
mark-routing – marca pacotes para políticas de
roteamento
Marcando Conexões
Use mark-connection para identificar um ou um grupo de conexões com umamarca específica de conexão.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 194/542
194
Marcas de conexão são armazenadas na tabela de connection tracking.
Só pode haver uma marca de conexão para uma conexão.
A facilidade Connection Tracking ajuda a associar cada pacote a uma conexãoespecífica.
Marcando Pacotes
Pacotes podem ser marcados:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 195/542
195
Indiretamente, usando a facilidade de connection tracking, combase em marcas de conexão previamente criaddas ( mais rápido e
mais eficiente )
Diretamente, sem o connection tracking – não é necessário marcasde conexão e o roteador irá comparar cada pacote com determinadas
condições.
Estrutura de Firewall no Mikrotik
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 196/542
196
Fluxo de pacotes no Firewall
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 197/542
197
Mangle – Exemplo de marcaçãoMarcando a conexão P2P
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 198/542
198
[admin@MikroTik] ip firewall mangle> printFlags: X - disabled, I - invalid, D - dynamic0 chain=forward p2p=all-p2p action=mark-connectionnew-connection-mark=marca_da_conexao passthrough=yes
Mangle – Exemplo de marcaçãoMarcando os pacotes P2P
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 199/542
199
[admin@MikroTik] ip firewall mangle> printFlags: X - disabled, I - invalid, D - dynamic0 chain=forward p2p=all-p2p action=mark-connection new-connection-mark=conexao_p2p passthrough=yes
1 chain=forward connection-mark=conexao_p2p action=mark-packet new-packet-mark=pacote_p2p passthrough=no
MangleExemplos
Queremos dar um tratamento diferenciado a vários tipos de fluxos e
Precisamos marcar:
Fluxo de Navegação http e https
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 200/542
200
MSN ICMP
P2P
O que não foi marcado acima
Dúvidas ??
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 201/542
201
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 202/542
202
&
Controle de Banda
Qualidade de Serviço
Normalmente a Internet trabalha com a filosofia do melhor esforço: cadausuário compartilha largura de banda com outros e, portanto, a transmissãode seus dados concorre com as transmissões dos demais usuários.
Os dados empacotados são encaminhados da melhor forma possível,
conforme as rotas e banda disponíveis. Quando há congestionamento, ospacotes são descartados sem distinção. Não há garantia de que o serviçoserá realizado com sucesso
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 203/542
203
será realizado com sucesso.
Entretanto, aplicações como voz sobre IP e videoconferência necessitam
de tais garantias. Durante a transmissão podem existir inúmeras coisas aospacotes enquanto circulam entre pontos, que resultam nos seguintesproblemas, do ponto de vista emissor/receptor:
pacotes descartados
pacotes com atraso
Qualidade de Serviçocont.
pacotes descartados (dropped packets) - os roteadores podem recusar-se a entregar alguns pacotes (drop) se estes chegarem quando os
buffers se encontram preenchidos. Estes podem ser descartados todos,ou apenas alguns, dependendo do estado da rede, e não existe forma de.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 204/542
204
.responsáveis por pedir a retransmissão, o que resulta frequentementeem “engasgos" na transmissão;
atraso (delay) - pode decorrer muito tempo até um pacote atingir o seudestino, já que este é mantido em longas filas, ou segue um caminhoalternativo (menos direto) para evitar congestionamento da rede. Noentanto a transmissão também pode ocorrer muito rapidamente, e não
existe forma de determinar perante qual das situações nos encontramos;
Qualidade de Serviço
Qualidade de Serviço (QoS) significa que o roteador deve priorizar e controlar o tráfegona rede. Diferentemente da limitação ou “controle de banda” o QoS tem a missão deracionalizar os recursos da rede, balanceando o fluxo de dados com a melhorvelocidade possível, evitando o “monopólio” do canal.
Os mecanismos ara rover QoS do Mikrotik são:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 205/542
205
limitar banda para certos IP’s, subredes, protocolos, portas e outros parametros
limitar tráfego peer to peer priorizar certos tipos de fluxos de dados em relação a outros utilizar burst’s para melhorar o desempenho de acesso WEB aplicar filas em intervalos de tempo fixoscompartilhar a banda disponível entre os usuários de forma ponderada edependendo da carga do canal utilização de WMM – Wireless Multimedia
Qualidade de Serviçocont.
Para ordenar e controlar o fluxo de dados, é aplicada uma política de enfileiramentoaos pacotes que estejam deixando o Roteador, ou seja,
As filas são a licadas na interface onde o fluxo está saindo !
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 206/542
206
A limitação de banda é feita mediante o descarte de pacotes. No caso de protocolo
TCP, os pacotes descartados serão reenviados, de forma que não há com que sepreocupar com relação à perda de dados. O mesmo não vale para UDP.
Qualidade de Serviço
Interfaces Virtuais
global-in – representa todas as interfaces de entrada em geral(INGRESS queue). As filas atreladas à global-in recebem todo o tráfegoentrante no roteador, antes da filtragem de pacotes.
global out representa todas as interfaces de saída em geral
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 207/542
207
global-out – representa todas as interfaces de saída em geral(EGRESS queue). As filas atreladas à global-out recebem todo o tráfegoque sai do roteador.
global-total – representa uma interface virtual através da qual passatodo o fluxo de dados. Quando se associa uma política de filas à global-total, a limitação é feita em ambas as direções.Por exemplo se configurarmos um total-max-limit de 256kbps, teremos umtotal de upload+download limitado em 256 kbps, podendo haver assimetria.
Qualidade de Serviçocont.
Os principais termos utilizados em QoS são:
queuing discipline (qdisc) – disciplina de enfileiramento – é um algorítimo que
mantém e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem (podendo inclusive reordena-los ) e detremina quais pacotes serão descartados.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 208/542
208
Limit At ou CIR (Committed Information Rate) – Taxa de dados garantida – é avelocidade mínima que se fornece a um circuito.
Max Limit ou MIR (Maximal Information Rate) – Banda máxima que seráfornecida, ou seja limite a partir do qual os pacotes serão descartados
Priority – Prioridade – é a ordem de importancia que o tráfego será processado.Pode-se determinar qual tipo de tráfego será processado primeiro
Interfaces Virtuais
Roteador
RoteadorRGlobal-in
Global-total Global-out
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 209/542
RoteadorR
209
Global in Global total Global out
n interfacesde entrada m interfacesde saídaProc.
Interno
Interfaces Virtuais e o Mangle
MangleForward
Global In Decisão de Decisão deR t t
Mangle
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 210/542
210
Interface deentrada
MangleInput
Processo LocalIN
Processo LocalOUT
Interface deSaída
ManglePrerouting
MangleInput
(+Global Total) Roteamento
Global-out(+Global-Total)
Roteamento Postrouting
Tipos de FilasAntes de enviar os pacotes por uma interface, eles são processados por uma disciplina
de filas (queue types). Por padrão as disciplinas de filas são colocadas sob /queueinterface para cada interface física (este padrão não é mantido usando interfaces
virtuais).
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 211/542
211211
Uma vêz adicionada uma fila (em /queue tree ou /queue simple) para uma interfacefísica, a fila padrão da interface (interface default queue), definida em /queue
interface, será ignorada para a mesma. Isso significa que quando um pacote nãoencontra (match) qualquer filtro, ele é enviado através da interface com prioridade
máxima.
Disciplinas “Scheduler e Shaper”As disciplinas de filas são utilizadas para (re)enfileirar e (re)organizar pacotes na medida em que os mesmos “chegam” na interface. Asdisciplinas de filas são classificadas pela sua influência no fluxo de
pacotes da seguinte forma:
Tipos de Filas
• sc e u ers – apenas re or enam paco es e acor o com umd t i d l íti d t l d
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 212/542
212212
determinado algorítimo e descartam aqueles que se enquadram nadisciplina. Disciplinas “Scheduler” são:
PFIFO, BFIFO, SFQ, PCQ, RED
• shapers – também fazem a limitação. São:
PCQ e HTB
PFIFO e BFIFOEstas disciplinas de filas são baseadas no algorítimo FIFO (First-In First-Out), ou seja, oprimeiro que entra é o primeiro que sai.A diferença entre PFIFO e BFIFO é que, um é medido em pacotes e o outro em bytes.Existe apenas um parâmetro chamado pfifo-limit (bfifo-limit) que determina a quantidade
de dados uma fila FIFO pode conter. Todo pacote que não puder ser enfileirado (se a filaestá cheia) será descartado. Tamanhos grandes de fila poderão aumentar a latência, em
Tipos de Filas
.R d d ti d fil li k ã ti d
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 213/542
213213
Recomenda-se o uso desse tipo de fila em links não congestionados
REDRED- Random Early Detection – Detecção aleatória “antecipada” é um mecanismo deenfileiramento que tenta evitar o congestionamento do link controlando o tamanho médio dafila .Quando o tamanho médio da fila atinge o valor configurado em red-min-threshold, o REDaleatóriamente escolhe um pacote para descartar. A probabilidade do número de pacotes queserão descartados cresce na medida em que a média do tamanho da fila também cresce. Se o
tamanho médio da fila atinge red-max-threshold, os pacotes são descartados com aprobabilidade máxima. Entretanto existem casos em que o tamanho real da fila (não a média)
Tipos de Filas
muito maior que red-max- hreshold, então todos os pacotes que excederem red-l m serãod t d
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 214/542
214214
descartados.
RED é indicado em links congestionados com altas taxas de dados. Como é muitorápido funciona bem com TCP.
SFQ
Stochastic Fairness Queuing (SFQ) – Enfileiramento Estocástico “com justiça” é umasimples aplicação dos algorítmos da família fair queuing .
É menos precisos do que outros, mas isso também exige menos cálculos apesar de
quase garantirem a igualdade entre as filas.Não limita tráfe o. O ob etivo é e ualizar os fluxos de tráfe o sessões TCP e streamin
Tipos de Filas
UDP) quando o link (interface) está completamente cheio. Se o link não está cheio, então
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 215/542
215
) q ( ) pnão haverá fila e, portanto, qualquer efeito, a não ser quando combinado com outrasdisciplinas (qdisc).
A “justiça” do SFQ é assegurado por algorítimos de hashing e round-robin. Algorítimos dehashing dividem o tráfego da sessão em um número limitado de sub-filas. Depois deatingido o tempo em segundos configurado em sfq-perturb o algorítimo de hashing mudae divide a sessão em outras subfilas. O algorítmo round-robin (re)enfileira essas sub-filasconforme configurado em pcq-allot bytes.
SFQ
Por conta do algorítmo de hashing, várias sessões poderiam acabar em um mesmosegmento, o que iria reduzir à metade a oportunidade de cada sessão enviar um pacote,assim, reduzir para metade a velocidade disponível. Para evitar que essa situação setorne perceptível, SFQ muda seu algoritmo hashing muitas vezes de maneira que duassessões colidindo irão ocorrer apenas em um pequeno número de segundos.
É recomendado o uso de SFQ em links congestionados para garantir que as
Tipos de Filas
. .
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 216/542
216216
PCQ
O PCQ - Per Connection Queuing – Enfileiramento por conexão foi criado para resolver algumas imperfeições do SFQ. É o único tipo de enfileiramento de baixo nível que podefazer limitação sendo uma melhoria do SFQ, sem a natureza estocástica. PCQ também criasub-filas considerando o parametro pcq-classifier . Cada sub-fila tem um taxa detransmissão estabelecida em pcq-rate e o tamanho do pacote máximo igual a pcq-limit. O
tamanho total de uma fila a PCQ fica limitado ao que for configurado em pcq-total-limit.O exemplo abaixo mostra o uso do PCQ com pacotes classificados pelo endereço de origem
Tipos de Filas
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 217/542
217217
PCQSe os pacotes são classificados pelo endereço de origem, então todos os pacotes com
diferentes endereços serão agrupados em sub-filas diferentes. Nesse caso é possível fazer a limitação ou equalização para cada sub-fila com o parâmetro pcq-rate. Talvez a partemais significante é decidir em qual interface utilizar esse tipo de disciplina. Se utilizarmos nainterface local, todo tráfego da interface pública será agrupado pelo endereço de origem (eprovavelmente não é o que se deseja), mas ser for empregada na interface pública todo otráfego de nossos clientes será agrupado pelo endereço de origem, o que torna fácilequalizar ou limitar o upload dos clientes. O mesmo controle pode ser feito para downloads,mas, nesse caso será utilizado o classificador dst-address e confi urado na interface local.
Tipos de Filas
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 218/542
218218
PCQ é uma boa ferramenta para controlar ou equalizar a banda entre diversosusuários com pouco trabalho de administração.
QoS - HTB
HTB (Hierarchical Token Bucket) é uma disciplina de enfileiramento hierárquica que é usualpara aplicar diferentes políticas para diferentes tipos de tráfego. Geralmente é possívelapenas se fazer uma fila para uma interface, mas no Mikrotik as filas são associadas ao HTBe assim podem “herdar” determinadas propriedades de uma fila “pai”. Como exemplo,poderíamos configurar um total máximo de banda para um grupo de trabalho e então
distribuir essa banda entre os seus membros: Explicação sucinta “ ”
- o n ve a c asse pa es ga a asclasses filhas.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 219/542
219219
- Nas classes filhas no nível 0, os pacotes
recebem um tratamento determinado pelofiltro (endereço IP, porta, marcas domangle, etc) e pela disciplina de fila a ela
associada( fifo, bfifo, etc.)
- De acordo com esse tratamento, os
pacotes são classificados, reordenados ese for o caso alguns descartados.
- Se as classes filhas estão dentro do seulimit-at podem trafegar, independente da
classe pai, caso contrário ficam submetidas
Termos do HTB:
Filter - um processo que classifica pacotes. Os filtros são responsáveis pelaclassificação de pacotes para que eles sejam colocados nas correspondentes qdiscs.Todos os filtros são aplicados no fila raiz HTB e classificados diretamente no qdiscs,
sem atravessar a árvore HTB. Se um pacote não está classificado em nenhuma dasqdiscs, é enviado para a interface diretamente, atravessando o HTB, por isso
QoS - HTB
qualquer pacote do fluxo gerido pelo HTB) .
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 220/542
220
q q p g p )
Level - posição de uma classe na hierarquia.
Class - algoritmo de limitação no fluxo de tráfego para uma determinada taxa. Elanão guarda quaisquer pacotes (esta função só pode ser realizada por uma fila). Umaclasse pode conter uma ou mais subclasses (inner class) ou apenas uma e um qdisc
(leaf class).
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 221/542
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 222/542
QoS - HTB
Cada class tem um pai e pode ter umaou mais filhas. As que não têm filhas, sãocolocados no level 0 , onde as filas são
mantidas, e são chamadas de ‘leafclass’.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 223/542
223223
Cada classe na hierarquia pode priorizar e dar forma ao tráfego (shaping ).
- Para “shaping” os parâmetros são:limit-at: banda garantida (CIR)max-limit: banda máxima permitida (MIR)
- Para priorizar:- priority: de 1 a 8, sendo 1 a máxima prioridade
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 224/542
Filas Simples
- As filas simples (simple queue) são a maneira mais fácil de se limitar a banda deendereços IPs distintos ou sub-redes. Elas permitem configurar as velocidades de upload
e download com apenas uma entrada.
- Também podem ser usadas para configuração de aplicações de QoS.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 225/542
225225
- Os filtros de filas simples são executados completamente pelo HTB nas interfacesglobal-out (queue ‘direct’) e global-in (queue ‘reverse’)
- Os filtros “enxergam’ as direções dos pacotes IP da mesma forma que apareceriam noFirewall .
- Hotspot, DHCP e PPP criam dinamicamente filas simples.
Filas Simples
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 226/542
226226
- As principais propriedades configuráveis de uma fila simples são: Limite por direção IP de origem ou destino Interface do cliente
tipo de fila configurações de limit-at, max-limit, priority e burst para download e upload Horário
Como funciona o Burst
B t ã d iti lt t d d d t í d d t
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 227/542
227227
Bursts são usados para permitir altas taxas de dados por um curto período de tempo.
Os parametros que controlam o Burst são:
burst-limit: limite máximo que alcançará burst-time: tempo que durará o burst burst-threshold: patamar onde começa a limitar max-limit: MIR
Exemplo
max-limit=256kbps
burst-time=8sburst-threshold=192kb s
Como funciona o Burst
É dado ao cliente inicialmente a banda burst limit=512 kbps O algorítimo calcula a taxaburst-limit=512kbps
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 228/542
228228
- É dado ao cliente inicialmente a banda burst-limit=512 kbps. O algorítimo calcula a taxamédia de consumo de banda durante o burst-time de 8 segundos.
- com 1 segundo a taxa média é (0+0+0+0+0+0+0+512)/8 = 64kbps (abaixo do threshold)- com 2 segundos já é de (0+0+0+0+0+0+512+512)/8 = 128 kbs (abaixo do threshold)- com 3 segundos (0+0+0+0+0+512+512+512)/8 = 192 (é o ponto de inflexão – onde acaba oburst)
A partir do momento que foi atingido o ponto de inflexão o Burst é desabilitado e a taxamáxima do cliente passa a ser o max-limit
Utilização de PCQ
PCQ – Per Connection Queue – Enfileiramento por conexão
- PCQ é utilizado para equalizar a cada usuário em particular ou cada conexão emparticular
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 229/542
229229
- Para utilizar PCQ, um novo tipo de fila deve ser adicionado com o argumento‘kind=pcq’
- Devem ainda ser escolhidos os parâmetros: pcq-classifier pcq-rate
- Com o rate configurado como zero, as
subqueues não são limitadas, ou seja elaspoderão utilizar o máximo de largura de
Utilização de PCQ
-
Se configurarmos um rate para PCQ a
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 230/542
230230
- Se configurarmos um rate para PCQ a
subqueues serão limitadas nesse rate, até ototal de max-limit
Utilização de PCQ
- , ,existe limit-at e tem um total de 512k, os clientesreceberão a banda da seguinte forma:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 231/542
231231
g
512k
128k 128 64k
Banda total 2 clientes 4 clientes 8 clientes
-
Utilização de PCQ
, ,limit-at e tem um total de 512k, os clientesreceberão a banda da seguinte forma:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 232/542
232232
512k
64k
Banda total 1 cliente 2 clientes 8 clientes
512k
256k
256k
Árvores de Filas
- Trabalhar com árvores de filas é uma maneira mais elaborada de administrar otráfego. Com elas é possível construir sob medida uma hierarquia de classes.
- Os filtros de árvores de filas são aplicados na interface especificada. Os filtros sãoapenas marcas que o Firewall faz nos fluxos de pacotes na opção “Mangle”. Os
.
- Os filtros nas interfaces global-in e global-out são executados antes dos filtros
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 233/542
233233
Os filtros nas interfaces global in e global out são executados antes dos filtrossimples. Note-se que as filas simples estão separadas em 2 partes: ‘direct’ emglobal-out e ‘reverse’ em global-in.
- Normalmente utilizamos as interfaces reais WAN e LAN, uma vez que usamos aqueue tree para configuração de serviço QoS.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 234/542
Dúvidas ??
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 235/542
235235
Túneis&VPN’s
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 236/542
236236
VPN’s
-comunicações privada normalmente utilizada por uma empresa ou um conjunto deempresas e/ou instituições, construída em cima de uma rede de comunicações pública(como por exemplo a Internet) O tráfego de dados é levado pela rede pública
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 237/542
237237
(como por exemplo, a Internet). O tráfego de dados é levado pela rede pública
utilizando protocolos padrão, não necessariamente seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que fornecem aconfidencialidade, autenticação e integridade necessárias para garantir a privacidadedas comunicações requeridas. Quando adequadamente implementados, estes
protocolos podem assegurar comunicações seguras através de redes inseguras.
VPN’s
As principais características das VPN’s são:
•exemplo.
• Promover acesso seguro sobre linhas dedicadas, wireless, etc.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 238/542
238
• Promover acesso seguro a serviços em ambiente corporativo de correio,impressoras, etc.• Fazer com que o usuário, na prática, se torne parte da rede corporativa
remota recebendo IP’s desta e perfis de segurança definidos.• A base da formação das VPN’s é o tunelamento entre dois pontos, porém
tunelamento não é sinônimo de VPN.
Tunelamento
A definição de Tunnelling é a capacidade de criar túneis entre duas máquinas poronde certas informações passam.
ro mp emen a versos pos e une amen o, po en o ser an o serv orcomo cliente desse protocolos..
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 239/542
239239
- PPP ( Point to Point Protocol )- PPPoE ( Point to Point Protocol over Ethernet )- PPtP ( Point to Point Tunneling Protocol )- L2TP ( Layer 2 Tunneling Protocol )- IPSec ( IP Security )- Túneis IPIP- Túneis EoIP
Algumas definições comunspara os serviços PPP
• MTU/MRU: unidades máximas de transmissão/recepção em bytes. Normalmente o
padrão ethernet permite 1500 bytes. Em serviços PPP que precisam encapsular ospacotes, deve se definir valores menores para evitar a fragmentação.
• Keepalive Timeout: define o período de tempo em segundos após o qual o roteadorcomeça a mandar pacotes de keepalive a cada segundo. Se nenhuma resposta de
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 240/542
240240
começa a mandar pacotes de keepalive a cada segundo. Se nenhuma resposta de
keepalive é recebida pelo período de tempo de 2 vezes o keep-alive-timeout o cliente éconsiderado desconectado.
• Authentication:• Pap: usuário/senha passa em texto plano, sem criptografia
• Chap: usuário/senha com criptografia• mschap1: versão chap da Microsoft conf. RFC 2433• mschap2: versão chap da Microsoft conf. RFC 2759
Algumas definições comuns
para os serviços PPP
• PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP maiores doque a rede pode suportar, ou seja, maiores que o menor MTU (Maximum Transmission
Unit) do caminho, então será necessário que haja algum mecanismo para avisar queesta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra
com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, aresposta dos roteadores intermediários (possivelmente com pacotes do tipo ICMPPacket Tôo Big) e a adequação do tamanho dos pacotes posteriores é chamada PathMTU Di PMTUD N l t t f i lid d tá t t d
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 241/542
241
MTU Discovery ou PMTUD. Normalmente esta funcionalidade está presente em todosos roteadores comerciais e sistemas Unix Like, assim como no Mikrotik ROS.
• MRRU: tamanho máximo do pacote, em bytes, que poderá ser recebido no link. Se umpacote ultrapassa o valor definido ele será divido em pacotes menores, permitindo omelhor dimensionamento do túnel. Especificar MRRU significa permitir MP (MultilinkPPP) sobre um túnel simples. Essa configuração é útil para o protocolo PMTUDiscovery superar falhas. O MP deve ser ativado em ambos os lados (cliente eservidor).
• Change MSS (Máximum Segment Size Field, ou seja o tamanho máximo do segmento de dados.).
Um pacote com MSS que ultrapassa o MSS dos roteadores por onde um túnel está estabelecidodeve ser fragmentado antes de enviá-lo. Em alguns casos o PMTUD está quebrado ou osroteadores não conseguem trocar as informações de maneira eficiente e causam uma série deproblemas com transferência HTTP, FTP e correio eletrônico, além de mensageiros instantâneos.
Neste caso o Mikrotik ROS proporciona ferramentas onde é possível intervir e configurar uma
diminuição do MSS dos próximos pacotes através do túnel visando resolver o problema.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 242/542
242242
Servidor ou Cliente PPP
PPP (point-to-point protocol) é um protocolo desenvolvido para permitir acessoautenticado e transmissão de pacotes de diversos protocolos, originalmente emconexões de ponto a ponto (como uma conexão serial). O PPP encapsula o protocolo
, .
O Mikrotik pode ser configurado para ser um servidor PPP, com a opção PPP Server.Clientes remotos (dial up por exemplo) podem ser autenticados no próprio Mikrotik
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 243/542
243243
Clientes remotos (dial up por exemplo) podem ser autenticados no próprio Mikrotik,utilizando a base de dados local em /user ou através de um servidor Radiusespecificado em /ip ppp
Também é possível configurá-lo para discar para um servidor dial up sob demanda
tornando-o um cliente Dial Up• Para ambos os casos é necessário uma interface serial conectada a um modem.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 244/542
PPP / Interfaces / PPP Server / Dial-In
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 245/542
245245
Profile: escolhe o perfil de segurança definido em /ppp profiles
Ring Count: número de toques antes do atendimento
PPP Client
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 246/542
246246
O Mikrotik também pode ser um cliente Dial-Up, devendo serem configurados osparâmetros: Name: nome do perfil Porta
String de inicialização do modem Null modem: sem string de inicialização
Configuração do PPP Client
Configuração do Dial-out: Phone: número a ser discado
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 247/542
247247
Phone: número a ser discado Dial Command: string a ser enviada ao modem local User / Password: usuário e senha no servidor remoto Profile: perfil de segurança definido em /ppp profiles Dial On Demand: discar sempre que algum aplicativo tentar usar saída Add Default Route: usa a rota default configurada em / ip route Use Peer DNS: usa os servidores de DNS definidos no servidor remoto.
Servidor ou Cliente PPPoEPPPoE (point-to-point protocol over Ethernet) é uma adaptação do PPP parafuncionar em redes Ethernet. Pelo fato da rede Ethernet não ser ponto a ponto, ocabeçalho PPPoE inclui informações sobre o remetente e destinatário, desperdiçandomais banda (~2% a mais).
- Muito usado para autenticação de clientes com Base em Login e senha. O PPPoEestabelece a sessão e realiza a autenticação com o provedor de acesso a Internet.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 248/542
248248
- O cliente não tem IP configurado, o qual é atribuido pelo PPPoE server (concentrador), normalmente operando em conjunto com um servidor Radius. NoMikrotik ROS, não é obrigatório o uso de servidor Radius, pois o mesmo permite acriação e gerenciamento de usuários e senhas em uma tabela local (/ppp secrets).
- PPPoE, por padrão, não é criptografado (pode-se lançar mão do método MPPE,desde que o cliente suporte este método)
Servidor ou Cliente PPPoE
- O cliente “descobre” o servidor através do protocolo “PPPoE discover”, quetem o nome do serviço a ser utilizado.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 249/542
249
- Precisa estar no mesmo barramento físico ou os dispositivos passarem parafrente as requisições PPPoE (pppoe relay).
- No Mikrotik ROS o valor padrão do Keep Alive Timeout é 10, e funcionarábem na maioria dos casos. Se configurarmos para 0, o servidor nãodesconectará os clientes até que os mesmos solicitem ou o servidor for reiniciado.
Configuração do Servidor PPPoE
1 – Crie um pool de IP’s para o PPPoE/ip pool add name=pool-pppoeranges=10.1.1.1-10.1.1.254
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 250/542
250250
2 – Adicione um Perfil de PPPoE onde:
Local address = endereço IP do concentrador
Remote address = pool do pppoe
/ppp profile add name=“perfil-pppoe" local-address=192.168.1.1 remote-address=pool-pppoe
Configuração do Servidor PPPoE
3 – Adicione um usuário e senha/ppp secret add name=usuariopassword=123456service=concentrador-pppoeprofile=perfil-pppoe.
aso que ra ver car o - ress,adicione-o em Caller ID. Esta opção nãoé obrigatória, mas é um parâmetro amais que garante segurança.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 251/542
251251
Configuração do Servidor PPPoE
4 – Adicione o PPPoE Server Service Name = nome que os clientes vão
procurar (pppoe-discovery).
-authentication=chap,mschap1,mschap2default-profile=perfil-pppoe disabled=nointerface=wlan1 keepalive-timeout=10 max-
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 252/542
252
mru=1480 max-mtu= 1480 max-sessions=50mrru=512 one-session-per-host=yes service-name=concentrador-pppoe
Mais sobre Perfis
Bridge: bridge para associar ao perfil.
Incoming/Outgoing Filter: nome do canal do Firewallpara pacotes entrando/saindo.
Address List: lista de endere os IPs ara associar ao perfil.
DNS Server: configuração dos servidores DNS a
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 253/542
253253
atribuir nos clientes. Pode se configurar mais de umendereço IP.
Use Compression/Encryption/Change TCPMSS:caso estejam default associam ao valor que está
configurado no perfil DEFAULT-PROFILE.
Mais sobre Perfis Session Timeout: é a duração máxima de uma
sessão pppoe.
Idle Timeout: é o período de ociosidade natransmissão de uma sessão. Se não houver tráfego
IP dentro do período configurado a sessão é.
Rate Limit: limitação da velocidade na forma rx-rate[/tx-rate] – rx é o upload do cliente
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 254/542
254
OBS: Pode ser usada a sintaxe: rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/tx-burst-threshold] [rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/tx-rate-min]]]].
Only One: permite apenas uma sessão para omesmo usuário.
Mais sobre o user Database
Service: Especifica o servico disponível para essecliente em particular.
Caller ID: MAC address do cliente
Local Address/Remote Address: endere o IP local(servidor) e remote(cliente) que poderão seratribuídos a um cliente em particular.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 255/542
255255
Limit Bytes In/Out: Quantidades de Bytes que ocliente pode trafegar por sessão PPPoE
Routes: Rotas que são criadas no lado servidor paraesse cliente específico.Várias rotas podem ser
adicionadas separadas por vírgula.
Detalhes adicionais do PPPoE Server O Concentrador PPPoE do Mikrotik suporta múltiplos servidorespara cada interface com diferentes nomes de serviço. Além donome do serviço, o nome do Concentrador de Acesso pode ser usado pelos clientes para identificar o acesso em que deve seregistrar.
Nome do Concentrador = Identidade do roteador (/systemidentity)
O valor de MTU/MRU inicialmente recomendado para o PPPoEé de 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser configurado no Access Point. Para clientes RouterOS, a interface derádio pode ser configurada com a MTU em 1600 bytes e a MTU dainterface PPPoE em 1500 bytes. Isto otimiza a transmissão de
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 256/542
256256
pacotes e evita problemas associados com MTU menor que 1500bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio em clientes MS Windows.
One session per Host: permite apenas uma sessão por host(MAC address)
Max Sessions: número máximo de sessões simultâneas que oConcentrador suportará.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 257/542
Configuração do PPPoE Client
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 258/542
258258
AC Name: nome do Concentrador. Deixando em branco conecta com qualquer um. Dial on Demand: disca automaticamente sempre que é gerado um tráfego de saída.Add default route: adiciona uma rota padrão (não usa a do servidor).Use Peer DNS: Usa o DNS configurado no Concentrador.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 259/542
Servidor ou Cliente PPtP
PPtP – Point to Point Tunnel Protocol – Protocolo de tunelamento ponto a ponto é umprotocolo desenvolvido pela Microsoft que pode ou não ser criptografado. PPTP incorpora o
método MPPE (Microsoft Point to Point Encryption), para fazer as conexões encriptadas(MPPE 40bit RC4 e MPPE 128bit RC4 são suportados). O tráfego PPTP utiliza a porta TCP
1723 e o protocolo IP GRE (Generic Routing Encapsulation), de acordo com a atribuição daInternet Assigned Numbers Authority (IANA). PPTP pode ser usado com a maioria dosfirewalls e roteadores existentes. Conexões PPTP podem sofrer limitações ou nãofuncionar, em conexões através de NAT, tornando-se necessário a habilitação de NAT
H l t d /fi ll i ã A i i i li õ ã
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 260/542
260260
Helpers nos roteadores/firewalls que gerenciam a conexão. As principais aplicações são:- Formação de túneis seguros entre dois routers pela Internet
- Para unir de forma transparente Intranets ou LAN’s
- Para usuários remotos se logarem no ambiente corporativo da empresa de forma seguramesmo em locais públicos como Hotspots por exemplo.
Configuração do Servidor PPtP
–/ppp secret add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=pptp-clientepassword=123456 profile=default-encryption routes=""
service=pptp
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 261/542
261261
service=pptp
2 – Habilite o PPtP Server /interface pptp-server server setauthentication=chap,mschap1,mschap2 default-profile=default-encryption enabled=yes keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled
Não se esqueça deConfigurar o Perfile um pool de IP.
Configuração do cliente PPtP
Adicionando pelo terminal :/interface pptp-client add add-default-route=no
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 262/542
262262
/interface pptp-client add add-default-route=noallow=chap,mschap1,mschap2 comment="" connect-to=200.200.200.200 disabled=no max-mru=1460max-mtu=1460 mrru=disabled name=pptp-out1password=123456 profile=default-encryption
user=pptp-cliente
L2TPL2TP – Layer 2 Tunnel Protocol – Protocolo de tunelamento de camada 2
L2TP é um protocolo de tunelamento seguro para transportar tráfego IP utilizando PPP. O protocolo
L2TP trabalha no layer 2 de forma criptografada ou não e permite enlaces entre dispositivos dediferentes redes unidos or diferentes rotocolos.
Como exemplo, um usuário conectado em um RAS de uma companhia telefonica pode se conectar aobackbone de um provedor de acesso que lhe atribui banda e endereçamento IP próprio.
O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacotes de dados A porta UDP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 263/542
263263
O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacotes de dados. A porta UDP1701 é utilizada para o estabelecimento do link e o tráfego em si utiliza qualquer porta UDP disponível,o que significa que L2TP pode ser usado com a maioria dos Firewalls e Routers, funcionando tambématravés de NAT.
As normas indicam que a maneira mais segura para encriptar os dados é utilizando L2TP sobre IPSec(método padrão para MS Windows).
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 264/542
Configuração do L2TP Cliente
Configurar o Mikrotik como Cliente de um servidor L2TP émuito simples conforme mostram as telas ao lado.
Na linha de comando seria :
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 265/542
265265
Na linha de comando seria :/interface l2tp-client add add-default-route=noallow=chap,mschap1,mschap2 comment="" connect-to=200.200.200.200 disabled=yes max-mru=1460 max-mtu=1460 mrru=disabled name=l2tp-out1password=123456 profile=default-encryption user=usuario-l2tp
Open VPN
O OpenVPN é uma implementação livre da tecnologia VPN, com elepodemos criar túneis ponto-a-ponto encriptados entre computadores.
Ele foi desenvolvido por James Yonan e publicado sob licença livre GNUGPL.
Como funciona o OpenVPN ?
,usuário/senha. Ele utiliza encriptação advinda da biblioteca OpenSSL e protocolos
conhecidos como SSLv3/TSLv1. Está disponível para sistemas Solaris, Linux, OpenBSD,FreeBSD, NetBSD, MAC OS X e até mesmo para sistemas proprietários como o Windows
2000/XP e Mikrotik ROS Dispõe de vários recursos de controle e segurança não ébaseado em WEB VPNs e não é compatível com IPSEC ou qualquer outro tipo de pacotes
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 266/542
266
2000/XP e Mikrotik ROS. Dispõe de vários recursos de controle e segurança, não ébaseado em WEB VPNs e não é compatível com IPSEC ou qualquer outro tipo de pacotesVPN. Todo o Pacote do OpenVPN consiste em um binário para conexões tanto para o
cliente e servidor, um arquivo de configurações opcional, e uma ou mais chaves dependendoda forma de autenticação escolhida.
OpenVPN funciona sobre os protocolos UDP (preferencial, e padrão) ou TCP. Funciona bematravés da maioria de servidores proxy (incluindo HTTP) e NAT, tornando-se uma boa opção
Open VPN
O Mikrotik RouterOS na versão 3.x suporta OpenVPN no modo servidor e cliente. Énecessário a instalação e ativação do pacote PPP. Existe uma limitação usando OpenVPNno Mikrotik ROS: atualmente somente o protocolo TCP é suportado. O protocolo UDP não
funciona.
OpenVPN trabalha com certificados SSL. Podemos criar estes certficados através doserv ço p: cacer .org ou usar scr p s pr pr os como easy-rsa, s r u os em v r osinstaladores do OpenVPN. No Mikrotik devemos fazer o upload via ftp (certificado CA e
chave privada) e importar usando /certificate import .
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 267/542
267
Criando Certificados com CAcert.org
Realize o cadastro no CAcert.org. Faça o login e defina seu domínio (Domains > Add).
No Mikrotik RouterOS, abra o Terminal e crie uma requisição de certificado com ocomando:
- -
Agora é necessário preencher algumas questões:
Open VPN
certificate request file name: certificate-request.pem
file name: private-key.pem
passphrase: ********
verify passphrase: ********
rsa key bits: 1024
country name: BR
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 268/542
268
country name: BR
state or province name: SP
Agora é necessário preencher algumas questões:
Open VPN
locality name: Sao Paulo
organization name: Mikrotik Brasil
organization unit name: Training
common name: host.mikrotikbrasil.com.br
email address: [email protected]
challenge password: <enter>
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 269/542
269
challenge password: enter
unstructured address: <enter>
Open VPN
Os campos com relevância a serem informados são a Passphrase e Common Name, sendoque os outros poderão ser deixados em branco. Após alguns segundos será informado que
a Requisição de Certificado foi gerada.
echo: system,info,critical certificate request file certificate-request.pem and private key file private-
key.pem created Copie o arquivo certificate-request.pem para seu computador e abra com algum editor de
textos simples (exceto bloco de notas). Acesse sua conta no CAcert.org e crie um novoCertificado para Servidor (Server Certificates > New). Copie o conteúdo do arquivo
certificate-request.pem e cole na caixa "Paste Your CSR(Certificate Signing Request)
below...". Envie o formuário e aguarde a mensagem "Below is your Server Certificate" serexibida Copie e cole as informações usando um editor de textos simples (exceto bloco de
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 270/542
270
g g yexibida. Copie e cole as informações usando um editor de textos simples (exceto bloco de
notas) e salve como certificate-response.pem. Faça o upload deste arquivo para oMikrotik ROS e importe usando o menu Certificates:
Configuração do servidor OVPN1 - Crie um pool de IPs:
/ip pooladd name=pool-ovpn ranges=192.168.200.2-192.168.200.14
2 – Crie um perfil para OVPN:
""
- - -address=192.168.200.1 name=ovpn-profile only-one=defaultremote-address=pool-ovpn use-compression=default use-encryption=required use-vj-compression=default
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 271/542
271
3 – Crie um usuário para OVPN:
/ppp secret add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=usuario-ovpn password=123456
profile=ovpn-profile routes="“ service=ovpn
Configuração do servidor OVPN
Habilite o servidor OVPN
/interface ovpn-server server set auth=sha1,md5certificate=cert1 cipher=blowfish128,aes128,aes192,aes256
default-profile=ovpn-profile enabled=yes keepalive-
Open VPN
meou = sa e max-m u= mo e= p ne mas =port=1194 require-client-certificate=no
Atualmente existe um bug na implementação doOpenVPN no Mikrotik ROS, onde se
fi ã R i Cli t C tifi t
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 272/542
272
pconfigurarmos a opção Require Client Certificate
teremos problemas com TLS. Desta forma aconfiguração deverá ser para NO.
Caso possua um firewall ativo, crie um filtro permitindo acesso na porta 1194/ip firewall filter add action=accept chain=input comment="OpenVPN" disabled=no
dst-port=1194 protocol=tcp
Configuração do cliente OVPN
Open VPN/interface ovpn-client
add add-default-route=no auth=nonecertificate=none cipher=none comment="“ connect-to=200.200.200.200 disabled=no mac-address=00:00:00:00:00:00 max-mtu=1500 mode=ip
name=ovpn-out1 password=123456 port=1194 -
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 273/542
273
Túneis IPIPIPIP é um protocolo que encapsula pacotes IP sobre o próprio protocolo IP baseado naRFC 2003. É um protocolo simples que pode ser usado para ligar duas Intranetsatravés da Internet usando 2 routers.
real.
Vários Roteadores comerciais, icluindo o Cisco e baseados em Linux suportam esse
protocolo.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 274/542
274274
Um exemplo prático de uso de IPIP seria a necessidade de monitorar hosts através deum NAT, onde o túnel IPIP colocaria a rede privada disponível para o host que realizao monitoramento, sem necessidade de criação de usuário e senha como nas VPNs.
Túneis IPIP
Exemplo:Supondo que temos de unir as redes que estão por trás dos roteadores 200.200.200.1 e
200.200.100.1. Para tanto basta que criemos as interfaces IPIP em ambos routers, da
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 275/542
275275
Túneis IPIP
Em seguida atribui-se endereço IP às interfaces criadas ( de preferência ponto a ponto )
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 276/542
276276
Pronto, está criado o Túnel IPIP e agora as redesfazem parte do mesmo domínio deBroadcast.
Túneis EoIP
EoIP ( Ethernet over IP ) é um protocolo proprietário Mikrotik para encapsulamento de todotipo de tráfego sobre o protocolo IP. Quando habilitada a função de Bridge dos roteadoresque estão interligados através de um túnel EoIP, todo o tráfego é passado de um lado para ooutro como se houvesse um cabo de rede interligando os pontos, mesmo roteando pela
Internet e por vários protocolos.
EoIP possibilita:- Interligação em bridge de LAN’s remotas através da Internet- Interligação em bridge de LAN’s através de túneis criptografados- Possibilidade de “bridgear” LAN’s sobre redes Ad Hoc 802.11
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 277/542
277277
Características:- A interface criada pelo túnel EoIP suporta todas as funcionalidades de uma interface
Ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP.- O protocolo EoIP encapsula frames Ethernet através do protocolo GRE.-O número máximo de túneis suportados no Mikrotik ROS são 65536.
Túneis EoIP
Criando um túnel EoIP entre as redes que estão por trás dos roteadores 200.200.200.1 e 200.200.100.1.OBS:- Os MAC’s devem ser diferentes e estar entre orange 00-00-5E-80-00-00 to 00-00-5E-FF-FF-FF pois
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 278/542
278278
range 00-00-5E-80-00-00 to 00-00-5E-FF-FF-FF, poissão endereços reservados para essas aplicações.-O MTU deve ser deixado em 1500 para evitar fragmentações.
- O túnel ID deve ser o mesmo em ambos os lados.
Túneis EoIP
• Adicione a interface EoIP àbridge, juntamente com ainterface da rede que fará parte
do mesmo domínio de broadcast (normalmente uma interface darede privada – LAN).
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 279/542
279
Dúvidas ??
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 280/542
280280
Hotspotno
Mikrotik
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 281/542
281
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 282/542
Hotspot
Setup do Hotspot:
1 – Escolha a interface que vai“ouvir” o Hotspot
2 – Escolha o IP em que vai rodar mascarada
3 – Dê um pool de endereços queserão distribuidos para os
usuários do Hotspot (se não tiver,crie em /ip pool)
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 283/542
283
4 – Selecione um certificado, casoqueira usar.continua…
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 284/542
Hotspot
Embora tenha sido uma configuração bastante fácil e rápida, o Mikrotik se encarregoude fazer o trabalho pesado, criando as regras apropriadas no Firewall, bem como umafila específica para o Hotspot.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 285/542
285
Hotspot - Detalhes de Configuração
keepalive-timeout ( time | none ; default: 00:02:00 )Utilizado para detectar se o computador do cliente estáativo e encontrável. Caso nesse período de tempo o testefalhe, o usuário é tirado da tabela de hosts e o endereço Ipque ele estava usando é liberado. O tempo é contabilizadolevando em consideração o momento da desconexãomenos o valor configurado ( 2 minutos por default)
idle-timeout ( time | none ; default: none ) – máximoperíodo de inatividade para clientes autorizados. Éutilizado para detecta que clientes não estão usando redes
externas ( internet em geral ) e que não há tráfego docliente através do roteador. Atingindo o timeou o cliente éderrubado da lista dos hosts, o endereço IP liberado e a
ã t bili d d l
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 286/542
286
sessão contabilizada a menos desse valo.
addresses-per-mac ( integer | unlimited ; default: 2 ) –
número de IP’s permitidos para um particular MAC
Hotspot Server Profiles
HTML Directory:Diretório onde estão colocadas as páginas desse Hotspot
HTTP Proxy / HTTP Proxy PortEndereço e porta do Servidor de Web Proxy
SMTP Server:Endereço do servidor de SMTP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 287/542
287
rate-limit:Cria uma simple Queue para todo o Hotspot (vai após as filas dinamicas dosusuários.
Hotspot Server Profiles
login-by• cookie - usa HTTP cookies para autenticar sem pedir as credenciais. Se o cliente aindanão tiver um cookie ou tiver expirado usa outro método
• http-chap - usa método CHAP – método criptografado - - –• https – usa tunel SSL criptografado. Para isso funcionar, um certificado válido deve serimportado para o roteador.• mac – Tenta usar o MAC dos clientes primeiro como nome de usuário. Se existir na
tabela de usuários local ou em um Radius, o cliente é liberado sem username/password• trial – não requer autenticação por um certo período de tempo
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 288/542
288
HTTP Cookie Lifetime: tempo de vida dos Cookies
Split User Domain: corta o dominio do usuário no caso de usuá[email protected]
Hotspot Server Profiles
Utilização de servidor Radius para autenticação do Hotspot
: Location ID e Location Name: Podem ser atribuidos aqui ou no Radius – normalmente deixar embranco.
Habilitar Accounting para fazer a bilhetagem dos usuários, com histórico de logins, desconexões,
etc
Interim Update: Frequencia de envio de informações de accounting (segundos) 0 assim que
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 289/542
289
Interim Update: Frequencia de envio de informações de accounting (segundos). 0 – assim queocorre o evento.
NAS Port Type: Wireless, Ethernet ou Cabo
Hotspot User Profiles
Os user profiles servem para dar tratamento diferenciado a grupos de
usuários, como suporte, comercial, diretoria, etcSession Timeout: tempo máximo permitido (depois disso o cliente éderrubado)
Idle Timeout / Keepalive Timeout: mesma explicação anterior, no .
Status Autorefresh: tempo de refresh da página de Status doHotspot
Shared Users: número máximo de clientes com o mesmousername.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 290/542
290
Hotspot User Profiles
Os perfis dos usuários podem conter os limites de velocidade
implementados de forma completa, com bursts, limit-at, etcRate Limit:rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate]] [rx-burst-threshold[/tx-burst-threshold]] [rx-burst-time[/tx-burst-time]] [priority] [rx-limit-at[tx-limit-at]]
Exemplo: 128k/256k 256k/512k 96k/192k 8/8 6 32k/64k
-- 128k de upload, 256k de download
-- 256k de burst p/ upload, 512k de burst p/ download-- 96k de threshold p/ upload, 192k de threshold p/ download-- 8 segundos de burst time
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 291/542
291
-- 8 segundos de burst time-- 6 de prioridade-- 32k de garantia de upload, 64k de garantia de download
Hotspot User Profiles
Incoming Filter: nome do firewall chain aplicado aos pacotes que
chegam dos usuários deste perfil Outgoing Filter: nome do firewall chain aplicado aos pacotes quevão para os usuários desse perfil
Incoming Packet Mark: Marca colocada automáticamente em
Outgoing Packet Mark: Marca colocada em todos os pacotes quevão para os usuários desse perfil.
Open Status Page: mostra a página de status http-login : para usuários normais que logam pela web always ; para todos inclusive os que logam por MAC
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 292/542
292
always ; para todos, inclusive os que logam por MAC
Transparent Proxy: se deve usar proxy transparente
Hotspot User Profiles
Com a opção Advertise é possível enviar de tempos em tempos
popups para os usuários do Hotspot.Avertise URL: Lista das páginas que serão anunciadas. A lista écíclica, ou seja quando a última é mostrada, começa-se novamentepela primeira.
.sequencia terminada, usa sempre o último intervalo. No exemplo, sãomostradas inicialmente a cada 30 segundos, 3 vezes e depois a cada1 hora.
Advertise Timeout: Quanto tempo deve esperar para o anúncio sermostrado, antes de bloquear o acesso à rede com o “Walled-Garden” pode ser configurado um tempo ( default = 1 minuto )
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 293/542
293
nunca bloquear bloquear imediatamente
Hotspot User Profile - Scripts
O mikrotik possui uma linguagem interna de scripts que podemser adicionados para serem executados em alguma situaçãoespecífica.
No Hotspot é possível criar scripts que executem comandos a
medida que um usuário desse perfil se conecta ou seesconec a o o spo
-Os parâmetros que controlam essas execuções são
on-loginon-logout
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 294/542
294
Os scripts são adicionados com / system scripts add
Hotspot Users
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 295/542
295
Hotspot Users
Detalhes de cada usuário:
all para todos os hotspots configurados ou para um específico.
Name: Nome do usuário. Se o modo trial estiver habilitado o Hotspotcolocará automáticamente o nome T-MAC_address. No caso de autenticação
por MAC, o MAC pode ser adicionado como username (sem senha).
Endereço IP: caso queira vincular esse usuário a um endereço fixo.
MAC Address: caso queira vincular esse usuário a um MAC determinado
Profile: perfil de onde esse usuário herda as propriedades
Routes: rota que será adicionada ao cliente quando esse se conectar.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 296/542
296
Routes: rota que será adicionada ao cliente quando esse se conectar.Sintaxe endereço de destino gateway metrica. Exemplo 192.168.1.0/24192.168.166.1 1. Várias rotas separadas por vírgula podem ser adicionadas.
Email: ?
Hotspot UsersLimit Uptime: Total de tempo que o usuário pode usar o Hotspot.Útil para fazer acesso pré pago. Sintaxe hh:mm:ss. Default = 0s –
sem limite. Limit Bytes In: total de Bytes que o usuário pode transmitir. (bytesque o roteador recebe do usuário. Limit Bytes Out: total de Bytes que o usuário pode receber. (bytesque o roteador transmite para o usuário.
Os limites valem para cada usuário. Se um usuário já fez o downloadde parte de seu limite, o campo session limit vai mostrar o restante.Quando o usuário exceder seu limite será impedido de logar. Asestatísticas são atualizadas cada vez que o usuário faz o logoff, ouseja enquanto ele estiver logado as estatísticas não serão mostradas.
Use /ip hotspot active para ver as estatísticas atualizadas nassessões correntes dos usuários.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 297/542
297
Se um usuário tem o endereço IP especificado somente poderá haver
um logado. Caso outro entre com o mesmo usuário/senha, o primeiroserá desconectado.
Hotspot Active
M t d d i t tí ti d t d
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 298/542
298
Mostra dados gerais e estatísticas de todos osusuários conectados
IP Bindings
O Mikrotik por default tem habilitado o “universal client” que é uma facilidade queaceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1.Esta facilidade é denominada “DAT” na AP 2500 e “eezee” no StarOS.
É possível fazer também traduções NAT estáticas com base no IP original, ou IP darede ou no MAC do cliente. É possível também permitir a certos endereçoscontornarem (“by-passarem”) a autenticação do Hotspot Ou seja sem ter de logar
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 299/542
299
contornarem ( by-passarem ) a autenticação do Hotspot. Ou seja sem ter de logarna rede inicialmente. Também é possível bloquear endereços
continua…
IP Bindings
MAC Address: mac original do cliente
Address: endereço IP configurado no cliente (ou rede)
To Address: endereço IP para o qual o original deve ser traduzido.
Type: Tipo de Binding Regular: faz uma tradução 1:1 regular
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 300/542
300
Bypassed: faz a tradução mas dispensa o cliente de logar no Hotspot Blocked: a tradução não será feita e todos os pacotes serão descartados.
Hotspot Ports
A facilidade de NAT e NAT 1:1 do Hotspot causa problemas com alguns protocolosincompatíveis com NAT. Para que esses protocolos funcionem de formaconsistente, devem ser usados os módulos “helpers”
No caso de NAT 1:1 o únco problema é com relação ao módulo de FTP que deveser configurado para usar as portas 20 e 21
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 301/542
301
ser configurado para usar as portas 20 e 21..
Walled Garden
Configurando um Walled Garden ou “Jardim Murado” é possível oferecer ao usuário o acesso adeterminados serviços sem necessidade de autenticação. Por exemplo em um Aeroporto poder-se-ia disponibilizar informações climáticas, horários de voos, etc sem a necessidade do usuário
adquirir créditos para acesso externo.
Quando um usuário não logado no Hotspot requisita um serviço do Walled Garden o gateway nãoo intercepta e, no caso de http, redireciona a reuisição para o destino ou para um proxy.
Para implementar o Walled Garden para requisições http, existe um Web Proxy embarcado noMiktotik, de forma que todas as requisições de usuários não autorizados passem de fato por esseproxy.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 302/542
302
Observar que o proxy embarcado não tem as funções de fazer cache, pelo menos por ora. Notartambém que esse proxy embarcado faz parte do pacote system e não requer o pacote web-
proxy.
Walled Garden
É importante salientar que o Walled Garden não se destina somente a serviço WEB,mas qualquer serviço que queiramos configurar. Para tanto existem 2 menus distintosque estão acima, sendo que o da esquerda destina-se somente para HTTP e HTTPS e oda direita para outros serviços e protocolos.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 303/542
303
No terminal o acesso ao primeiro é por /ip hotspot walled-garden e ao segundo /iphotspot walled-garden ip
Walled Garden p/ HTTP e HTTPS
Action: allow ou deny – permite ou nega
Server: Hotspot ou Hostpots para o qual vale esseWalled Garden Src Address: Endereço IP do usuário requisitante. Dst Address: Endereço IP do Web Server Method: método de http
s os : nome e om n o o serv or e es no. Dst Port: porta de destino que o cliente manda asolicitação. Path: caminho da requisição.
OBS:- nos nomes de dominio é necessário o nome completo,podendo ser usados coringas
it õ l d d i i i d
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 304/542
304
- aceita-se expressões regulares devendo ser iniciadascom (:)
Walled Garden p/ outros protocolos
Action: aceita, descarta ou rejeita o pacote Server: Hotspot ou Hostpots para o qual vale esse
Walled Garden Src Address: Endereço IP de origem do usuáriorequisitante. Protocol: Protocolo a ser escolhido da listaDst Port: Porta TCP ou UDP que está sendorequisitadao Dst Host: Nome de domínio do WEB server
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 305/542
305
Hotspot - Cookies
Quando configurado o login por Cookies, estes ficam armazenados no Hotspot,com o nome do usuário, MAC e o tempo de validade.
Enquanto estiverem válidos o usuário não precisa passar o par usuário/senha
Podem ser deletados (-) forçando assim o usuário fazer nova autenticação
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 306/542
306
Personalizando o Hotspot
Páginas do Hotspot
As páginas do Hotspot são totalmente configuráveis e além disso é possível criar conjuntostotalmente diferentes das páginas do Hotspot para vários perfis de usários especificandodiferentes diretórios html raiz ) /ip hotspot profile html-directory.
Principais páginas que são mostradas aos usuários:
redirect.html – redireciona o usuário a uma página específica login.html – Página de login que pede ao usuário o login e senha. Esta página tem osseguintes parametros:
• username / password• dst – URL original que o usuário solicitou antes do redirecionamento (seráaberta após o login com sucesso)• popup – se será aberto uma janela de pop-up quando o usuário se logar com
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 307/542
307
p p p j p p p q gsucesso.
Personalizando o Hotspot
Páginas do Hotspot
As páginas do Hotspot são totalmente configuráveis e podem sereditadas em qualquer editor html, sendo depois atualizadas nomikrotik.
É possível criar conjuntos totalmente diferentes de páginas doHotspot para vários perfis de usários especificando diferentesdiretórios html raiz ) /ip hotspot profile html-directory.
Essa possibilidade, associada a criação de AP’s virtuais possibilitaque em uma mesma área pública o detentor da infraestruturapossa fornecer serviço a vários operadores, utilizando os mesmos
i
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 308/542
308
equipamentos.
Hotspot com https
Criar o certificado em uma máquina Unix com o Script:
#!/bin/sh
SERVER=hotspot.mikrotikbrasil.com.br PRIVATE_KEY=$SERVER.key
CERTIFICATE_FILE=$SERVER
VALID_DAYS=1095
openssl genrsa -des3 -out $PRIVATE_KEY 1024
openssl req -new -x509 -days $VALID_DAYS -key $PRIVATE_KEY -out$CERTIFICATE FILE
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 309/542
309
$CERTIFICATE_FILE
Importar o Certificado em / certificate import
Dúvidas ??
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 310/542
310
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 311/542
User Manager
O que é o User Manager ?
É um sistema de gerenciamento de usuários que pode ser utilizado para controlar
Usuários PPP (PPtP e PPPoE) Usuários DHCP Usuários Wireless em Geral
Usuários do sistema RouterOS em si
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 312/542
312
User Manager
Como implementar
Fazer o download do pacote / FTP para o Router / Reboot
Criar o primeiro “subscriber” (somente no terminal)[admin@MikrotikBrasil] tool user-manager customer> add login="admin"password=“1234" permissions=owner
Logar via WEB com o usuário e senhas criados acima em:
http://IP do Router/userman
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 313/542
313
http://IP_do_Router/userman
User Manager - Conceitos
Customers, Subscribers e Users
Customers são os provedores de serviço. Eles tem acesso à interfaceWEB para manipular os usuários (users) créditos e roteadores.
Um Subscriber é um Customer com permissões de “dono”
Os Subscribers tem conhecimento de tudo que acontece com seus sub-customers, créditos, usuários, roteadores, sessões, etc. No entanto umsubscriber não tem acesso aos dados de outros subscribers.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 314/542
314
Users são os pobres mortais que usam os serviços oferecidos pelos
Customers
User Manager – Algumas características
Cada Subscriber pode criar vários Customers, personalizando telas de login para osusuários, permissões que os Customers tem, Modelos de “Voucher”, etc
Voucher é o cartão de login/senha que pode ser gerado em lote para o atendimento de um Hotel, por exemplo
É possível implementar esquemas de criação de login pelo usuário com pagamento porcartão de crédito via PayPal ou Autorize.net
É possível configurar na mesma máquina o User Manager e o Hotspot, possibilitandouma solução única para prestar serviço em Hotel com uma máquina rodando Mikrotikapenas.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 315/542
315
Exemplo de implementação de UserManager com Hotspot
No Router:/ ip hotspot profile set hsprof1 use-radius=yes/ radius add service=hotspot address=x.x.x.x secret=123456
No User Manager:
" " “ " -permissions=owner/ tool user-manager router add subscriber=MikrotikBrasil ip-address=10.5.50.1 shared-secret=123456/ tool user-manager user add username=demo password=demo subscriber=MikrotikBrasil
No caso, para usar somente uma máquina, basta apontar o mesmo IP x.x.x.x que ela seráo Hotspot e ao mesmo tempo o User Manager
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 316/542
316
Em seguida pode-se criar planos e senhas em batch, fornecendo-as ao Hotel, depreferencia gerenciadas por algum aplicativo simples em Windows.
Dúvidas ??
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 317/542
317317
RoteamentoMikrotik RouterOS suporta dois tipos de roteamento:
Roteamento Estático: As rotas criadas pelo usuário através de inserção
de rotas pré definidas em função da topologia da rede
Roteamento Dinâmico: As rotas são geradas automáticamente através dealgum agregado de endereçamento IP ou por protocolos de roteamento
O Mikrotik suporta ECMP - Equal Cost Multipath Routing (Roteamento pormulticaminhos com mesmo Custo), que é um mecanismo que permite rotear pacotesatravés de vários links e permite balanceamento de carga.
É
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 318/542
318
É possível ainda no Mikrotik se estabelecer Políticas de Roteamento (Policy Routing)dando tratamento diferenciado a vários tipos de fluxo a critério do adminstrador.
ECMP
Este mecanismo de roteamento habilita o roteamento de pacotes em vários links comcusto igual, assegurando um certo balanceamento de carga. Com ECMP podem serusados mais de um gateway para um destino.
Com ECMP habilitado um novo gateway é escolhido para cada novo par de IP’sorigem/destino. Por exemplo uma conexão FTP é aberta para um servidor usará umlink, enquanto que uma segunda conexão para outro servidor usará o próximo link.
As rotas ECMP podem ser criadas por protocolos de roteamento (RIP ou OSPF) ouadicionando uma rota estática com múltiplos gateways separados por vírgula. Otráfego pode ser ponderado entre links diferentes usando o mesmo gateway mais deuma vêz. Por exemplo, se temos um link de 1 mega e outro de dois megas e queremosque os pacotes saiam nessa proporção, declaramos o gateway de 2 megas duas
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 319/542
319
q p p p ç , g y gvezes.
ECMP
- ECMP não significa redundância, pois não cuida do estado dos links.
- ECMP não é um protocolo voltado à conexão, o que pode significar problemas de .
Para que o ECMP seja habilitado basta adicionar vários gateways para a mesma rota,por exemplo:
/ip route add gateway=192.168.0.1, 192.168.1.1, 192.168.1.1No exemplo acima, indiretamente o gateway 192.168.1.1 terá “peso 2”, ou seja de 3pacotes, 1 irá pelo primeiro link e dois pelo segundo.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 320/542
320
Exemplo de ECMP
Temos que rotear os pacotes da rede192.168.0.0/24 por dois links distintos:
- 10.1.0.1 de 2 mbps
- 10.1.1.1 de 4 mbps
A solução para “balancear” o link é configurar um
gateway com o primeiro link e dois com o segundo.
/ip route add gateway=10.1.0.1, 10.1.1.1, 10.1.1.1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 321/542
321
Exemplo de ECMP
Temos que rotear os pacotes da rede192.168.0.0/24 por dois links distintos:
- 10.1.0.1 de 2 mbps No Winbox :
- 10.1.1.1 de 4 mbps
A solução para “balancear” o link é configurar um
gateway com o primeiro link e dois com o segundo.
/ip route add gateway=10.1.0.1, 10.1.1.1, 10.1.1.1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 322/542
322
Políticas de RoteamentoExistem algumas regras que devem ser seguidas para se estabelecer uma política deroteamento:
As políticas podem ser por marca de pacotes, por classes de endereços Ip e portas.
A marca dos pacotes deve ser adicionada no Firewall, no módulo Mangle comrouting-mark
Aos pacotes marcados será aplicada uma política de roteamento, dirigindo-os paraum determinado gateway.
É possivel utilizar política de roteamento quando se utiliza mascaramento (NAT)
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 323/542
323
Políticas de RoteamentoObservações Importantes:
Uma aplicação típica de Políticas de Roteamento é trabalhar com dois links
direcionando parte do tráfego por um e parte por outro. Por exemplo a canalização deaplicações peer-to-peer por um link “menos nobre”
É impossível porém reconhecer o tráfego peer-to-peer do a partir do primeiro pacote,mas tão somente após as conexões estabelecidas, o que impede o funcionamento dos
programas P2P em caso de NAT de origem.
A estratégia nesse caso é colocar como gateway default o link “menos nobre”, marcaro tráfego conhecido e “nobre” ( HTTP, DNS, POP3, SMTP, etc) e desvia-lo para o link“nobre”. Todas as outras aplicações, incluido o P2P, irão para o link “não nobre”.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 324/542
324
p ç , , p
Exemplo de Política de Roteamento
Na situação normal queremos que a rede:
192.168.0.0/24 use o atewa GW 1 _ 192.168.1.0/24, use o gateway GW_2
No caso de falha aos pings do GW_1 oudo GW_2, queremos automáticamente
rotear para o GW_Backup.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 325/542
325
Exemplo de Política de Roteamento
1. Marcar pacotes da rede 192.168.0.0/24 com new-routing-mark=net1, e pacotes da rede
- - =. . .ip firewall mangle> add src-address=192.168.0.0/24 action=mark-routing new-routing-mark=net1chain=preroutingip firewall mangle> add src-address=192.168.1.0/24 action=mark-routing new-routing-mark=net2chain=prerouting
2. Rotear os pacotes da rede 192.168.0.0/24 para o gateway GW_1 (10.0.0.2), pacotes da rede192.168.1.0/24 para o gateway GW_2 (10.0.0.3), usando as correspondentes marcas de pacotes.Se GW_1 ou GW_2 falharem ( não responder a pings), rotear para GW_Backup (10.0.0.1):
i t > dd t 10 0 0 2 ti k t1 h k t i
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 326/542
326
ip route> add gateway=10.0.0.2 routing-mark=net1 check-gateway=pingip route> add gateway=10.0.0.3 routing-mark=net2 check-gateway=pingip route> add gateway=10.0.0.1
Exemplo de Política de RoteamentoCom Winbox:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 327/542
327
Balanceamento
melhorado
com MikrotikAtenção – Os próximos 32 slides são referentes à configuraçao
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 328/542
328De balanceamento na V3 somente
Balanceamento de Carga com NTHConforme pudemos ver até agora existem diversos métodos para se fazerbalanceamento de carga, cada um com suas particularidades.
Um dos problemas que ocorre quando queremos balancear o tráfego utilizando duasou mais operadoras diferentes é com relação ao funcionamento de diversos serviçosdependentes da manutenção conexão, como por exemplo https, serviços demensagens e outros.
O Mikrotik apresenta um atributo no Mangle que auxilia na marcação de pacotes que éo NTH (n-ésimo). O NTH tem o objetivo de encontrar a n-ésimo pacote recebido poruma regra. Seu uso é definido pelos parametros:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 329/542
329nth ( every, packet )
Balanceamento de Carga com NTHNth ( every, packet )
every: encontra cada pacote de número every. Exemplo, se every = 1, a regraencontrará o primeiro pacote.
packet: a regra encontra o pacote com esse número. Obviamente esse númerodeverá estar entre 1 e every.
Obs: No exemplo a seguir, é necessário a opção Passthrough=YES
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 330/542
330
Balanceamento de Carga com NTH
Exemplo, para balancear 3 links:
= , , ,
- o primeiro pacote encontra a regra 3,1 (por causa do 1).
- o segundo pacote encontra a regra 3,2 (por causa do 2)- o terceiro encontra a regra 3,3 (por causa do 3)
- a cada every+1 o contador é zerado, iniciando o processo novamente.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 331/542
331
y p
Balanceamento de Carga com NTHPara balancear 2 links:
nth = 2,1 2,2
Para balancear 4 links: nth = 4,1 4,2 4,3 4,4
Para balancear 7 links: nth = 7,1 7,2 7,3 7,4 7,5 7,6 7,7
Para balancear n links: nth = n n-1 n n-2 n n-3 n n-4 n n-5 n n-6 n n-7
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 332/542
332
nth n,n 1 n,n 2 n,n 3 n,n 4 n,n 5 n,n 6 n,n 7
Balanceamento de Carga com NTH
Exemplo para 2 Links
200.200.200.1200.200.200.2
200.200.100.2 200.200.100.1
Internet192.168.0.0/24
/ ip addressadd address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 333/542
333add address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2add address=200.200.100.2/30 network=200.200.100.0/30 broadcast=200.200.100.3 interface=wan1
Balanceamento de Carga com NTH
Exemplo para 2 Links
1 marca-se a conexão no
,interface Local e estado daconexão “new”
2 Marca-se a conexão com
a etiqueta “primeira” e mandapassar adiante
3 Na aba “Extra” marca-seo atributo NTH
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 334/542
334
Balanceamento de Carga com NTH
Exemplo para 2 Links – continuação:
4 no canal prerouting, na Interface
-,que tem a marca “primeira”
5 Toma-se a ação “mark routing”dando-se o nome de “primeira_rota”.Isso significa que todos os pacotespertencentes à conexão “primeira”serão rotulados com a marca deroteamento “primeira_rota” e marcara opção passtrhough.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 335/542
335
Balanceamento de Carga com NTH
Exemplo para 2 Links –continuação.
6 Faz-se o mesmo para aconexão seguinte, utilizandoagora o atributo NTH = 2,2 ea marca de conexão
“segunda”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 336/542
336
Balanceamento de Carga com NTH
Exemplo para 2 Links –continuação:
7 Finalizando a etapa demarcação, faz-se o mesmoprocedimento de marcar ospacotes pertencentes à conexão
“segunda” colocando-se a marcade rota “segunda_rota”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 337/542
337
Balanceamento de Carga com NTH
Exemplo para 2 Links –continuação:
10 É necessário a ora fazer
as regras de NAT de forma queas conexões marcadas comoprimeira sejam “nateadas pelo IPda WAN1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 338/542
338
Balanceamento de Carga com NTH
Exemplo para 2 Links –continuação:
11 Da mesma forma, asconexões marcadas comosegunda devem ser “nateadaspelo endereço IP da WAN2
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 339/542
339
Balanceamento de Carga com NTH
Exemplo para 2 Links – continuação:
r a-se en o as ro as e auapontando para o primeiro e segundo link,dependendo da marcação recebidapreviamente.
13 Finalmente cria-se uma rota defaultapontando para qualquer um dos links, coma finalidade de mandar os pacotes nãomarcados, no caso o tráfego do próprioroteador.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 340/542
340
Balanceamento de Carga com NTH, com
conexões persistentes por usuário
Nesse caso, nosso objetivo é fazer o balanceamento entre 2 links, mas forçando que asconexões dos mesmos usuários saiam sempre pelo mesmo link.
Fazemos isso, utilizando a técnica do NTH combinada com as Address Lists doFirewall.
1 Adicionamos duas Address List’s no Firewall
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 341/542
341
Balanceamento de Carga com NTH, com
conexões persistentes por usuário
2 Fazemos agora com que todas as conexões novas oriundas dosusuários contidos na Lista_1 sejam marcadas com a marca “primeira” e
em seguida fazemos com que os pacotes dessa conexões recebam amarca de rota “primeira_rota”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 342/542
342
Balanceamento de Carga com NTH, comconexões persistentes por usuário
Regra 1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 343/542
343
Balanceamento de Carga com NTH, comconexões persistentes por usuário
Regra 2
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 344/542
344
Balanceamento de Carga com NTH, com
conexões persistentes por usuário
3 O mesmo fazemos agora para as conexões novas oriundas dosusuários contidos na Lista_2.Marcamos as conexões com a marca “segunda” e em seguida fazemoscom que os pacotes dessa conexões recebam a marca de rota“segunda_rota”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 345/542
345
Balanceamento de Carga com NTH, comconexões persistentes por usuário
Regra 3
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 346/542
346
Balanceamento de Carga com NTH, comconexões persistentes por usuário
Regra 4
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 347/542
347
Balanceamento de Carga com NTH
Fazemos agora asmarcações, desta vêzutilizando o NTH.
Nestas regras irão passartodos os clientes que nãoestiverem já inscritos emlistas.
Regra 5
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 348/542
348
Balanceamento de Carga com NTH
Agora, os usuários que forammarcados com uma marca deconexão específica, são inscritos
.
No caso, primeira Lista_1
Regra 6
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 349/542
349
Balanceamento de Carga com NTH
primeira, marca-se a rotaprimeira_rota
Regra 7
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 350/542
350
Balanceamento de Carga com NTH
Repetimos tudo de novoutilizando no entanto o NTH =2,2
Regra 8
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 351/542
351
Balanceamento de Carga com NTH
Adiciona-se agora os usuários na
352
Lista_2
Regra 9
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 352/542
352
Balanceamento de Carga com NTH
353
Regra 10
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 353/542
353
Balanceamento de Carga com NTH
Regra 11
354
-de NAT de forma que asconexões marcadas comoprimeira sejam “nateadas pelo IPda WAN1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 354/542
354
Balanceamento de Carga com NTH
Regra 12
355
O mesmo para as conexõesmarcadas como segunda, quedevem ser “nateadas peloendereço IP da WAN2
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 355/542
355
Balanceamento de Carga com NTH
Exemplo para 2 Links – continuação:
356
13 Cria-se então as rotas defaultapontando para o primeiro e segundolink, dependendo da marcaçãorecebida previamente.
14 Finalmente cria-se uma rotadefault apontando para qualquer umdos links, com a finalidade de mandaros pacotes não marcados.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 356/542
356
Balanceamento de Carga com NTH, utilizando
links de velocidades diferentes
Quando temos vários links de velocidades diferentes e queremos balancea-los de formaponderada podemos faze-lo utilizando a seguinte lógica:
357
Somamos os valores das velocidades de todos os links.
Dividimos o valor encontrado pela velocidade do menor link
O valor encontrado menos 1 será o valor de every.
O valor de packet irá variar de zero até esse valor encontrado menos 1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 357/542
357
Balanceamento de Carga com NTH, utilizando
links de velocidades diferentesExemplo: temos 4 links de velocidades de 512, 1024, 1024 e 2048 kbps e queremos balancea-los:
358
o a a an a = + + + =Equivalencia de link = 4608/512 = 9 (é como se tivéssemos 9 links de 512kbps)
Escolhemos os seguintes valores de NTH: 9,1 9,2 9,3 9,4 9,5 9,6 9,7 9,8 9,9
Seguindo a mesma lógica do que foi feito para dois links, no mangle, marcamos as conexões erotas de 1 a 8.
Promovemos então o balanceamento direcionando 1 conexão para o link1, 2 para o link2, 2 parao link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexões.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 358/542
358
Dúvidas ??
359
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 359/542
Balanceamento
360
melhorado
com MikrotikAtenção – Os próximos 32 slides são referentes à configuraçao
De balanceamento na V2.9 somente !!
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 360/542
Balanceamento de Carga com NTHConforme pudemos ver até agora existem diversos métodos para se fazerbalanceamento de carga, cada um com suas particularidades.
361
Um dos problemas que ocorre quando queremos balancear o tráfego utilizando duasou mais operadoras diferentes é com relação ao funcionamento de diversos serviçosdependentes da manutenção conexão, como por exemplo https, serviços demensagens e outros.
O Mikrotik apresenta um atributo no Mangle que auxilia na marcação de pacotes que éo NTH (n-ésimo). O NTH tem o objetivo de encontrar a n-ésimo pacote recebido poruma regra. Seu uso é definido pelos parametros:
nth ( every, counter, packet )
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 361/542
Balanceamento de Carga com NTHNth ( every, counter, packet )
362
every: encontra cada pacote de número every+1. Exemplo, se every = 1, a regraencontrará o segundo pacote.
counter: especifica qual contador utilizar. É um número aleatório que deve serescolhido de 0 a 15, devendo ser o mesmo para um grupo que se queira balancear.
packet: a regra encontra o pacote com esse número. Obviamente esse númerodeverá estar entre 0 e every.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 362/542
Balanceamento de Carga com NTH
Exemplo, para balancear 3 links:
=
363
, , , , , ,- o primeiro pacote encontra a regra 2,3,0 (por causa do 0).
- o segundo pacote encontra a regra 2,3,1 (por causa do 1)
- o terceiro encontra a regra 2,3,2 (por causa do 2)
- a cada every+1 o contador é zerado, iniciando o processo novamente.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 363/542
Balanceamento de Carga com NTH
Para balancear 2 links:
364
nth = 1,2,0 1,2,1
Para balancear 4 links: nth = 3,3,0 3,3,1 3,3,2 3,3,3
Para balancear 7 links: nth = 6,15,0 6,15,1 6,15,2 6,15,3 6,15,4 6,15,5 6,15,6
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 364/542
Balanceamento de Carga com NTH
Para balancear 2 links:
365
nth = 1,2,0 1,2,1
Para balancear 4 links: nth = 3,3,0 3,3,1 3,3,2 3,3,3
Para balancear 7 links: nth = 6,15,0 6,15,1 6,15,2 6,15,3 6,15,4 6,15,5 6,15,6
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 365/542
Balanceamento de Carga com NTH
Exemplo para 2 Links200.200.200.1
200.200.200.2
366
200.200.100.2 200.200.100.1
Internet192.168.0.0/24
/ ip addressadd address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Localadd address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2add address=200.200.100.2/30 network=200.200.100.0/30 broadcast=200.200.100.3 interface=wan1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 366/542
Balanceamento de Carga com NTH
Exemplo para 2 Links
1 marca-se a conexão no
367
,interface Local e estado daconexão “new”
2 Marca-se a conexão com
a etiqueta “primeira” e mandapassar adiante
3 Na aba “Extra” marca-seo atributo NTH
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 367/542
Balanceamento de Carga com NTH
Exemplo para 2 Links – continuação:
4 no canal prerouting, na Interface-
368
,que tem a marca “primeira”
5 Toma-se a ação “mark routing”dando-se o nome de “primeira_rota”.Isso significa que todos os pacotes
pertencentes à conexão “primeira”serão rotulados com a marca deroteamento “primeira_rota” Não seusa passtrhough pois a ação já foitomada e esse pacote para de serexaminado.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 368/542
Balanceamento de Carga com NTH
Exemplo para 2 Links –continuação.
369
6 Faz-se o mesmo para aconexão seguinte, utilizandoagora o atributo NTH = 1,1,1e a marca de conexão
“segunda”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 369/542
Balanceamento de Carga com NTH
Exemplo para 2 Links –continuação:
370
7 Finalizando a etapa demarcação, faz-se o mesmoprocedimento de marcar ospacotes pertencentes à conexão“segunda” colocando-se a marcade rota “segunda_rota”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 370/542
Balanceamento de Carga com NTH
Exemplo para 2 Links –continuação:
10 É necessário a ora fazer
371
as regras de NAT de forma queas conexões marcadas comoprimeira sejam “nateadas pelo IPda WAN1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 371/542
Balanceamento de Carga com NTH
Exemplo para 2 Links –continuação:
372
11 Da mesma forma, asconexões marcadas comosegunda devem ser “nateadaspelo endereço IP da WAN2
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 372/542
Balanceamento de Carga com NTH
Exemplo para 2 Links – continuação:
373
r a-se en o as ro as e auapontando para o primeiro e segundo link,dependendo da marcação recebidapreviamente.
13 Finalmente cria-se uma rota default
apontando para qualquer um dos links, coma finalidade de mandar os pacotes nãomarcados, no caso o tráfego do próprioroteador.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 373/542
Balanceamento de Carga com NTH, com
conexões persistentes por usuário
Nesse caso, nosso objetivo é fazer o balanceamento entre 2 links, mas forçando que asconexões dos mesmos usuários saiam sempre pelo mesmo link.
374
Fazemos isso, utilizando a técnica do NTH combinada com as Address Lists doFirewall.
1 Adicionamos duas Address List’s no Firewall
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 374/542
Balanceamento de Carga com NTH, com
conexões persistentes por usuário
375
2 Fazemos agora com que todas as conexões novas oriundas dosusuários contidos na Lista_1 sejam marcadas com a marca “primeira” eem seguida fazemos com que os pacotes dessa conexões recebam amarca de rota “primeira_rota”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 375/542
Balanceamento de Carga com NTH, comconexões persistentes por usuário
376
Regra 1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 376/542
Balanceamento de Carga com NTH, comconexões persistentes por usuário
377
Regra 2
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 377/542
Balanceamento de Carga com NTH, com
conexões persistentes por usuário
378
3 O mesmo fazemos agora para as conexões novas oriundas dosusuários contidos na Lista_2.Marcamos as conexões com a marca “segunda” e em seguida fazemos
com que os pacotes dessa conexões recebam a marca de rota“segunda_rota”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 378/542
Balanceamento de Carga com NTH, comconexões persistentes por usuário
379
Regra 3
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 379/542
Balanceamento de Carga com NTH, comconexões persistentes por usuário
380
Regra 4
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 380/542
Balanceamento de Carga com NTH
Fazemos agora asmarcações, desta vêzutilizando o NTH.
381
Nestas regras irão passartodos os clientes que nãoestiverem já inscritos emlistas.
Regra 5
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 381/542
Balanceamento de Carga com NTH
Agora, os usuários que forammarcados com uma marca deconexão específica, são inscritos
382
.
No caso, primeira Lista_1
Regra 6
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 382/542
Balanceamento de Carga com NTH
383
primeira, marca-se a rotaprimeira_rota
Regra 7
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 383/542
Balanceamento de Carga com NTH
384
Repetimos tudo de novoutilizando no entanto o NTH =1,1,1
Regra 8
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 384/542
Balanceamento de Carga com NTH
385
Adiciona-se agora os usuários naLista_2
Regra 9
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 385/542
Balanceamento de Carga com NTH
386
Regra 10
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 386/542
Balanceamento de Carga com NTH
Regra 11
387
-de NAT de forma que asconexões marcadas comoprimeira sejam “nateadas pelo IPda WAN1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 387/542
Balanceamento de Carga com NTH
Regra 12
388
O mesmo para as conexõesmarcadas como segunda, quedevem ser “nateadas peloendereço IP da WAN2
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 388/542
Balanceamento de Carga com NTH
Exemplo para 2 Links – continuação:
389
13 Cria-se então as rotas defaultapontando para o primeiro e segundolink, dependendo da marcaçãorecebida previamente.
14 Finalmente cria-se uma rotadefault apontando para qualquer umdos links, com a finalidade de mandaros pacotes não marcados.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 389/542
Balanceamento de Carga com NTH, utilizando
links de velocidades diferentes
Quando temos vários links de velocidades diferentes e queremos balancea-los de formaponderada podemos faze-lo utilizando a seguinte lógica:
390
Somamos os valores das velocidades de todos os links.
Dividimos o valor encontrado pela velocidade do menor link
O valor encontrado menos 1 será o valor de every.
O valor de packet irá variar de zero até esse valor encontrado menos 1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 390/542
Balanceamento de Carga com NTH, utilizando
links de velocidades diferentesExemplo: temos 4 links de velocidades de 512, 1024, 1024 e 2048 kbps e queremos balancea-los:
391
o a a an a = + + + =Equivalencia de link = 4608/512 = 9 (é como se tivéssemos 9 links de 512kbps)
Escolhemos os seguintes valores de NTH: 8,1,0 ; 8,1,1 ; 8,1,2 ; 8,1,3 ; 8,1,4 ; 8,1,5 ; 8,1,6 ; 8,1,7,8,1,8
Seguindo a mesma lógica do que foi feito para dois links, no mangle, marcamos as conexões erotas de 1 a 8.
Promovemos então o balanceamento direcionando 1 conexão para o link1, 2 para o link2, 2 parao link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexões.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 391/542
Dúvidas ??
392
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 392/542
Roteamento DinâmicoO Mikrotik RouterOS suporta os seguintes protocolos de roteamento:
RIP versão 1 e RIP versão 2 OSPF versão 2
393
BGP versão 4
- Versões em desenvolvimento do Mikrotik dão suporte a versões mais recentesdesses protocolos, mas ainda em fase beta.
- O uso de roteamento dinamico permite implementar redundância e balanceamento decarga de forma automática e é uma forma de se fazer uma rede semelhante às redesconhecidas como Mesh, porém de forma estática.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 393/542
Roteamento BGP
O protocolo BGP (Border Gateway Protocol) é destinado a fazer comunicação entre
394
u onomous ys ems eren es, po en o ser cons era o como o coraç o a n erne .O BGP mantém uma tabela de “prefixos” de rotas contendo as informações de“encontrabilidade” de redes (NLRI – Network Layer Reachbility Information) entre os AS’s.
Ao contrário de outros protocolos, o BGP não se utiliza de métricas para encontrar o melhorcaminho, mas sim de políticas administrativas.
A versão corrente do BGP é a versão 4, especificada na RFC 1771.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 394/542
BGP - Settings
AS: número do Autonomous System Number atribuido por uma entidade que gerencia esses números(No caso da América Latina, a LACNIC). Os números AS vão de 1 a 65356
395
Router ID: string de identificação do Roteador, na forma de um número IP Redistribute Connected: Se o roteador deve distribuir as rotas a ele conectadas diretamente
Redistribute Static: Se o roteador deve distribuir as rotas estáticas nele configuradas.
Redistribute RIP: Se deve distribuir as rotas “aprendidas” por RIP
Redistribute OSPF: Se deve distribuir as rotas aprendidas por OSPF
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 395/542
BGP - Peer
É necessário especificar pelo menos um Peer com o qual se quer trocar informaçõesde roteamento, sendo que para a troca acontecer uma conexão TCP tem que serestabelecida (porta179)
396
Remote AS: número do AS remoto
Multihop: Caso habilitada, essa opção permite sessões BGP mesmo emsegmentos não diretamente conectados. Porém a sessão não será estabelecida caso
a única rota para o endereço do Peer seja a rota default 0.0.0.0/0
Route Reflect: route reflect é uma técnica para evitar que um roteador de um AStenha que repassar as tabelas de roteamento para todos os roteadores internos aoAS permitindo que o que receber passe adiante, sem necessidade de um esquema“full mesh” (http://www.faqs.org/rfcs/rfc2796.html
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 396/542
BGP - Peer
397
Prefix List In: Nome da lista de prefixo para filtragem de pacotes entrantes.
Prefix List Out: Nome da lista de prefixo para filtragem de pacotes entrantes“saintes”.
State: Mostra o estado do BGP
Route Received: número de rotas recebidas de outros Peer’s BGP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 397/542
Prefix List
As listas de Prefixo podem ser adicionadas ao roteador com a opção/routing prefix-list add para que sejam usadas posteriormente pelosprotocolos Rip ou pelo BGP
398
Prefix List: Nome dado à lista de prefixo
Prefixo: identificador da rede em forma de IP
Prefix Length: tamanho do prefixo
Action: Ação à ser tomada
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 398/542
OSPF
O protocolo Open Shortest Path First (Abra primeiro o caminho mais curto) é umprotocolo do tipo “link-state”. Ele usa o algorítimo de Dijkstra para calcular o caminhomais curto para todos os destinos.
399
O OSPF distribui informações de roteamento entre os roteadores que participem de ummesmo AS ( Autonomous System) e que tenham obviamente o protocolo OSPFhabillitado.
Para que isso aconteça todos os roteadores tem de ser configurados de uma maneira
coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocoloOSPF.
O protocolo OSPF é iniciado depois que é adicionado um registro na lista de redes. Asrotas são “aprendidas” e instaladas nas tabelas de roteamento dos roteadores.
artigo da Cisco sobre OSPF: http://www.cisco.com/warp/public/104/1.html#t3
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 399/542
Tipos de roteadores em OSPF
O OSPF define 3 tipos de roteadores: Roteadores internos a uma área
400
Roteadores de backbone (dentro da área 0) Roteadores de borda de área (ABR)Roteadores ABR ficam entre 2 áreas e deve “tocar” a área 0
Roteadores de borda com Autonomous System São os roteadores que participam do OSPF mas fazem acomunicação com um AS
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 400/542
OSPFSettings
401
Router ID: IP do roteador. Caso não especificado o roteador utiliza o maior endereço IP que existana interface.
Redistribute Default Route: Especifica como deve ser distribuida a rota default never: nunca distribui
if installed (as type 1): envia (com métrica 1) se tiver sido instalada como rotaestática ou adicionada por DHCP ou PPP if installed (as type 2): envia (com métrica 2) se tiver sido instalada como rotaestática ou adicionada por DHCP ou PPP always (as type 1): sempre, com métrica 1
always (as type 2): sempre, com métrica 2
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 401/542
OSPF Settings
402
Redistribute Connected Routes: Caso habilitado, o roteador irá redistribuir todas as rotasrelativas a redes que estejam diretamente conectadas a ele (sejam alcançáveis)
Redistribute Static Routes: Caso habilitado, distribui as rotas estáticas cadastradas em/ip route
Redistribute RIP: Caso habilitado, redistribui as rotas “aprendidas’ por RIP
Redistribute BGP: Caso habilitado, redistribui as rotas “aprendidas’ por BGP
Na aba Metrics, é possivel mudar o custo que serão exportadas as diversas rotas
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 402/542
Áreas de OSPFO protocolo OSPF permite que vários roteadoressejam agrupados entre si. Cada grupo formado échamado de área e cada área roda uma cópia doalgorítimo básico, e que cada área tem sua própriabase de dados do estado de seus roteadores.
A divisão em áreas é importante pois como a
403
participantes desta, o tráfego é sensivelmentereduzido.
É aconselhável utilizar no máximo 60 a 80roteadores em cada área..
Acessa-se as opções de área em / routing ospfarea
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 403/542
Áreas “Stub” em OSPFÁreas “Stub”
O OSPF permite que certas áreas sejam configuradas como
áreas do tipo “stub” ( áreas de topo )
Redes externas, cujas rotas são redistribuidas de outrosprotocolos para dentro do OSPF, não podem ser propagadasem uma área definida como “stub”.
404
O roteamento a partir dessas áreas para o mundo exterior éobrigatoriamente baseada em uma rota default.
A configuração de uma área como Stub, reduz as bases dedados que o OSPF precisa manter, exigindo
consequentemente menos requisitos de memória dosroteadores dessas áreas.
Mais detalhes em:http://www.cisco.com/warp/public/104/1.html#t31
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 404/542
Áreas “NSSA” em OSPF
Áreas “NSSA”
A área chamada NSSA – “not-so-stubby area”, que pode ser traduzida por “área não assim tão stub”,ou “stub, ero no mucho”☺ de acordo com a RFC 1587 é uma modifica ão no conceito de área stub
405
que permite a injeção de rotas externas de uma forma controlada.A redistribuição de rotas dentro de uma NSSA cria um tipo de anúncio de estado de link (LSA)chamado como tipo 7, que só pode existir em uma área NSSA, não podendo ser propagado pelodominio todo do OSPF. Para que anúncios sejam propagáveis no domínio OSPF é necessário queeles sejam do tipo 5.
Um roteador de borda, que faz a comunicação entre um NSSA e outras áreas pode ou não propagaresses anúncios, dependendo de estar ou não configurado como “tradutor” do tipo 7 para o tipo 5.
Continua…
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 405/542
Áreas “NSSA” em OSPF
No diagrama acima, se a área 1 é definida como uma área stub, as rotas IGRP não podemser propagadas para dentro do domínio do OSPF porque áreas stub não permitem apropagação de rotas externas.
406
Porém se definirmos a área 1 como NSSA, as rotas IGRP poderão adentrar o OSPF eentrarão como do tipo 7, sendo propagadas para as outras áreas somente se a política doroteador de borda (NSSA ABR) assim permitir ( e propagará como tipo 5)
Por outro lado as rotas RIP que entram na área 2 não serão permitidas na área 1. ÁreasNSSA não permitem anúncios do tipo 5, agindo nesse caso como “stub’s”.
Mais detalhes em: http://www.cisco.com/warp/public/104/nssa.html#intro
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 406/542
Áreas de OSPF
- Name: nome a ser dado à Área- Área ID: IP identificador da área. A área defoult com IP 0.0.0.0é a área de backbone. O Backbone OSPF sempre contemtodos os roteadores de borda das outras áreas, sendo o
407
responsável por distribuir informações de roteamento à elas.Todas áreas tem de “tocar” logicamente o backbone, podendoser por um link virtual.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 407/542
Áreas de OSPF
-Type: tipo da área stub: área configurada como “stub” nssa: área configurada como “nssa”
408
-Translator Role: translate never: nunca faz a tradução dotipo 7 para tipo 5. translate always: faz sempre translate candidate: pode ou não fazer a tradução
Maiores informações no artigohttp://www.cisco.com/warp/public/104/nssa.html#intro
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 408/542
Rede OSPF
Define-se aqui a Rede OSPF, com os seguintesparametros:
409
- Área: Área do OSPF associada
- Network: Endereço IP/Máscara, associado. Permite
definir uma ou mais interfaces associadas a umaárea. Somente redes conectadas diretamente podemser adicionadas aqui.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 409/542
OSPF - Interface
Para simplesmente rodar o OSPF, não é necessário qualquerconfiguração da Interface. Essa facilidade existe no RouterOSpara um refino mais aprofundado das propriedades do OSPF. Interface: Interface onde vai rodar o OSPF
410
Cost: custo da Interface (métrica) Priority: roteadores com esse valor mais alto terão prioridadesobre outros authentication key: senha de autenticação (texto) caso osroteadores estejam usando autenticação.
Network Type: tipo da rede ponto a ponto multiponto Broadcast: tipicamente Ethernet nbma (non broadcast multiple address): tipicamente Frame-
Relay e X25
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 410/542
OSPF - Interface
Retransmit Interval: tempo entre anuncios de perda de link.Quando um roteador manda um anuncio de estado de link (LSA)para seu vizinho, ele mantes o LSA até que receba de volta aconfirmação (acknowledgment). Caso não receba em tempo,retransmite o LSA. O valor recomendado para redes Broadcast
411
segun os e para pon o a pon o segun os. Transmit Delay: intervalo de tempo para transmissão deLSA. Hello Interval: Intervalo de tempo entre os pacotes “hello”que o roteador manda na interface. Quanto menor o intervalohello, mais rápidas serão detectadas as modificações natopologia da rede, com o consequente aumento do tráfego. Estevalor obrigatoriamente deve ser o mesmo em cada adjacencia. Router Dead Interval: Especifica o intervalo de tempo apóso qual um vizinho é considerado “morto”. O intervalo éanunciado nos pacotes hello e seu valor tem de serobrigatoriamente o mesmo para todos os roteadores da rede.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 411/542
OSPF – Virtual Link
Conforme estabelecido na RFC do OSPF, a área de backbonedeve ser contígua. No entanto é possível definir áreas de formaque o backbone não seja contíguo, porém com a conectividadeassegurada por links virtuais.Os links virtuais odem ser confi urados entre dois roteadores
412
através de uma área comum chamada de área transito, sendoque uma das áreas interligadas deve tocar fisicamente obackbone.O protocolo trata dois roteadores ligados por um link virtualcomo se estivessem ligados por uma rede ponto a ponto nãonumerada.Os parametros de configuração são:Neighbor ID: IP do roteador vizinho Transit Area; Área de transito
OBS: não é possivel fazer links virtuais entre áreas “stub”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 412/542
OSPF – Neighbors
413
Conforme estabelecido na RFC do OSPF, a área de backbone deve ser contígua. No entanto é possível definir áreas deforma que o backbone não seja contíguo, porém com a conectividade assegurada por links virtuais.Os links virtuais podem ser configurados entre dois roteadores através de uma área comum chamada de área transito,sendo que uma das áreas interligadas deve tocar fisicamente o backbone.
O protocolo trata dois roteadores ligados por um link virtual como se estivessem ligados por uma rede ponto a ponto nãonumerada.Os parametros de configuração são:Neighbor ID: IP do roteador vizinho Transit Area; Área de transito
OBS: não é possivel fazer links virtuais entre áreas “stub”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 413/542
OSPF
414
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 414/542
OSPF
415
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 415/542
OSPF
416
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 416/542
OSPF
417
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 417/542
Dúvidas ??
418
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 418/542
Dúvidas ??
419
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 419/542
420420
-
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 420/542
WEB - Proxy
O Web Proxy possibilita o armazenamento de objetos Internet (dados disponíveis viaprotocolos HTTP e FTP) em um sistema local.
Navegadores Internet usando web-proxy podem acelerar o acesso e reduzir o consumo de
421421
.
Quando configurar o Web proxy, certifique-se que apenas os clientes da rede local utilizarãoo mesmo, pois uma configuração aberta permitirá o acesso externo, trazendo problemas
graves de segurança.
Com o Web Proxy é possível criar filtros de acesso a conteúdo indesejável, tornando anavegação mais segura aos clientes.
Um web proxy em execução, mesmo sem cache, pode ser útil como um firewall HTTP e
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 421/542
O MikroTik RouterOS implementa um web-proxy com as seguintes características: HTTP proxy Transparent proxy. Onde é transparente e HTPP ao mesmo tempo
WEB - Proxy
422422
s a e cesso por or gem, es no, e m o os e requ s ç o Lista de Acesso Cache (especifica os objetos que poderão ou não ser
“cacheados”) Lista de Acesso Direto (especifica quais recursos deverão ser acessados
diretamente - através de outro web-proxy)
Sistema de Logging
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 422/542
Web-Proxy configurado para 10 GiB de cache, escutando na porta 8080:• Clear Cache – Serve para esvaziar o cachearmazenado (dependendo do tamaho do cache
esta opção poderá ser bastante lenta).
• Enable – Utilizado para habilitar ou desabilitar oweb-proxy.
WEB - Proxy
423423
• Src.Address - poderá ficar em branco. Em casode uma hierarquia de proxy, este será o endereçoIP utilizado pelo protocolo ICP. O src.addressquando deixado em branco (0.0.0.0/0) será
automaticamente configurado pela tabela deroteamento.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 423/542
• Port - A porta onde o web-proxy escutará.
• Parent Proxy - Utilizado para indicar o IP de um servidor proxy “pai” numa hierarquia deproxy.
• Parent Prox Port - A orta ue o arent rox “escuta”.
WEB - Proxy
424424
• Cache Administrator - Um nome ou endereço de e-mail para exibição no caso de avisosemitidos aos clientes.
• Max. Cache Size - Tamanho máximo em kiBytes que o cache atingirá.
• Cache on Disk - Habilita o proxy a armazenar o cache em disco. Caso fique desabilitadoo armazenamento será na RAM (Random Access Memory).
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 424/542
• Max Client Connections - número máximo de conexões simultâneas de clientes permitidasno proxy. Após antigido o limite configurado todas as novas conexões serão rejeitadas.
• Max Server Connections - número máximo de conexões simultâneas do proxy paraservidores externos. Todas as novas conexões serão colocadas em espera até quealgumas das conexões ativas sejam encerradas.
WEB - Proxy
425425
• ax res me: um m e m x mo e quan o empo o e os sem um ermo exp c o e
validade serão consideradas atuais (depois de quanto o tempo o proxy deverá realizar umanova consulta e atualizar os objetos).
• Serialize Connections: Não habilitar múltiplas conexões ao servidor para múltiplasconexões do cliente, quando possível (servidor suportar conexões HTTP persistentes). Osclientes serão atendidos em princípio pelo método FIFO; o próximo cliente é processadoquando a transferência para a sessão anterior for concluída. Se um cliente está inativo por algum tempo (no máximo 5 segundos, por padrão), o servidor irá interromper a conexão eabrir outra.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 425/542
• Always From Cache - ignorar pedidos de atualização dos clientes, caso o conteúdo sejaconsiderado atual.
• Cache Hit DSCP (TOS) - Marca automaticamente hits do cache com o valor DSCPconfigurado.
• Cache Drive - exibe o disco que está em uso para o armazenamento dos objetos em
WEB - Proxy
426426
cac e. ara con gurar o sco necess r o acessar o menu ores.
•OBSERVAÇÃO:
O web proxy escuta todos os endereços IP que estão configurados no servidor.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 426/542
WEB - Proxy
Stores
Submenu:/stores
Com esta opção podemos gerenciar a mídiaonde será armazenado os objetos do cache.
427
• Possível adicionar mais de 1 disco.• Copiar o conteúdo de um disco para outro.
• Realizar checagen do disco paraverificação de bad blocks.
• Realizar formatação do disco, desde quenão seja onde o sistema está instalado.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 427/542
Monitorando o Web-Proxy
• Uptime - o tempo transcorrido desde que oproxy foi ativado.
• Requests - total de requisições dos clientes aoproxy.
• Hits - número de requisições dos clientesatendidas diretamente do cache, pelo proxy.
WEB - Proxy
428428
• Cache Used – a quantidade do disco (ou da RAM se o cache é armazenado apenas namesma) utilizada pelo cache.
• RAM Cache Used – quantidade da RAM utilizada pelo cache.
• Total RAM Used - a quantidade da RAM utilizada pelo proxy (excluindo tamanho da RAMCache).
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 428/542
• Received From Servers - quantidade de dados, em kiBytes,recebidos de servidores externos
• Sent To Clients - quantidade de dados, em kiBytes, enviadoaos clientes.
• Hits Sent To Clients - quantidade, em kiBytes, de cache hitsenviado aos clientes.
WEB - ProxyMonitorando o Web-Proxy
429429
Barra de Status – Exibe informações do estado do web proxy• stopped - proxy está desabilitado e inativo
• running - proxy está habilitado e ativo
• formatting-disk - o disco do cache está sendo formatado• checking-disk - checando o disco que contêm o cache para corrigir erros e inconsistências
do mesmo.
• invalid-address - proxy está habilitado, mas não está ativo, porque o endereço IP é inválido(deverá ser alterado o endereço IP ou porta)
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 429/542
WEB - ProxyMonitorando o Web-ProxyLista de Conexões
Submenu: /ip proxy connections
Descrição
Este menu contem uma lista das conexões ativas do proxy
430
Descrição das Propriedadesdst-address – endereço IP que os dados passaram através do proxy
protocol - nome do protocolo
rx-bytes - quantidade de bytes recebidos remotamentesrc-address - endereço IP das conexões remotas
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 430/542
WEB - ProxyMonitorando o Web-ProxyLista de Conexões
State
idle - esperando próximo clienteresolving - resolvendo nome DNS
rx-body - recebendo quadro HTTP
431
rx-header - recebendo cabeçalho; ou esperando próxima requisição do clientetx-body - transmitindo quadro HTTP
tx-header - transmitindo cabeçalho HTTP
tx-bytes - quantidade de bytes enviados remotamente
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 431/542
Access ListSubmenu: /ip proxy access
A Lista de Acesso é configurada da mesmaforma que as regras de firewall. As regrassão processadas de cima para baixo. Oprimeiro “matching” da regra especifica a
tomada de decisão para a conexão. Existeum total de 6 classificadores para
WEB - Proxy
432432
especificar a regra.
Descrição das propriedades
• src-address - endereço IP de origem dopacote.
• dst-address - endereço de destino dopacote.
• dst-port (port{1,10}) - uma porta ou umalista de portas para onde o pacote é
destinado.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 432/542
• local-port (port) - especifica a porta do web-proxy que recebe os pacotes. Este valor devecorresponder a porta que o web-proxy está escutando.
• dst-host (wildcard) - Endereço IP ou nome DNS utilizado para realizar a conexão (podeser apenas uma parte da URL)
• ath wildcard - nome da á ina re uisita dentro do servidor ex. o nome de uma á ina
Access List WEB - Proxy
433433
web ou um documento que está hospedado no servidor)
• method (any | connect | delete | get | head | options | post | put | trace) - Método HTTPusado nas requisições (veja a seção Métodos HTTP no final deste documento).
• action (allow | deny; default: allow) - especifica a ação de negar ou liberar os pacotes queatravessam o web-proxy.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 433/542
Nota
• Por padrão, é aconselhável configurar uma regra para prevenir requisições nas portas443 e 563 (conexões através de SSL e NEWS).
• As opções dst-host e path, corresponde a uma string completa (ex.: não existirá um“matchin ” ara "exam le.com" se for confi urado a enas "exam le" .
Access List WEB - Proxy
434434
• O uso de curingas também é possível: '*' (combina um número qualquer de caracteres)e '? '(combina um caractere qualquer).
• Expressões regulares também são permitidas, e deverão iniciar por 2 pontos (':') como
no exemplo:ip web-proxy access> add url=":\\.mp\[3g\]$" action=deny
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 434/542
Lista de Gerenciamento do Cache
Submenu: /ip proxy cache
A Lista de Gerenciamento do Cache
especifica como as requisições (domínios,servidores, páginas) serão “cacheadas” ounão pelo servidor web-proxy. Esta lista lista
é implementada da mesma forma que a“ ”
WEB - Proxy
435435
.
os objetos se não existir nenhuma regra.
Descrição das propriedades
• src-address (IP address/netmask) - IP de origem do pacote.
• dst-address (IP address/netmask) - IP de destino do pacote.
• dst-port (port{1,10}) - uma lista de portas que o pacote é destinado.
• local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor
deverá corresponder a porta que o web-proxy está escutando.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 435/542
• dst-host (wildcard) - Endereço IP ou nome DNS utilizado para realizar a conexão (podeser apenas uma parte da URL)
• path (wildcard) - nome da página requisita dentro do servidor (ex. o nome de umapágina web ou um documento que está hospedado no servidor)
• method (any | connect | delete | get | head | options | post | put | trace) - Método HTTP
Lista de Gerenciamento do Cache WEB - Proxy
436436
usa o nas requ s ç es ve a a seç o o os no na es e ocumen o .
• action (allow | deny; default: allow) – especifica a ação a ser tomada quando um“matching” ocorrer.
allow - “cacheia” o objeto de acordo com a regra.deny – não “cacheia” o objeto de acordo com a regra.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 436/542
Lista de Acesso DiretoSubmenu: /ip proxy direct
Descrição
Quando um Parent Proxy está configurado, épossível passar a conexão ao mesmo ou tentartransmitir a requisição diretamente ao servidor dedestino. A lista de Acesso Direto é configurada da
WEB - Proxy
437
,
exceção do argumento da ação.
Descrição das propriedades
• src-address (IP address/netmask) - IP de origem do pacote.
• dst-address (IP address/netmask) - IP de destino do pacote.
• dst-port (port{1,10}) - uma lista de portas que o pacote é destinado.
• local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor
deverá corresponder a porta que o web-proxy está escutando.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 437/542
• dst-host (wildcard) - Endereço IP ou nome DNS utilizado para realizar a conexão (podeser apenas uma parte da URL)
• path (wildcard) - nome da página requisita dentro do servidor (ex. o nome de umapágina web ou um documento que está hospedado no servidor)
Lista de Acesso Direto WEB - Proxy
438438
• method (any | connect | delete | get | head | options | post | put | trace) - Método HTTPusado nas requisições (veja a seção Métodos HTTP no final deste documento).
• action (allow | deny; default: allow) – especifica a ação a ser tomada quando um
“matching” ocorrer.
Nota
Diferentemente da Lista de Acesso, a Lista de Acesso Direto tem a ação padrão “deny”.Esta ação ocorre quando não são especificadas regras nas requisições.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 438/542
Regra de firewall para redirecionar ao web-proxy local.
1 – Utiliza-se a opção firewall nat e insere umanova regra para protocolo TCP e porta de
destino 80;
WEB - Proxy
439439
2 – Na guia Advanced, insira uma lista deendereços IP, os quais não serão redirecionados
ao web-proxy;
3 – Na guia Action, será a configurada a ação deredirect para a porta 8080, onde o web-proxy
está escutando.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 439/542
Regra de firewall para redirecionar para um web-proxy externo.
1 – Utiliza-se a opção firewall nat e insere umanova regra para protocolo TCP e porta de
destino 80;
WEB - Proxy
440440
2 – Na guia Advanced, insira uma lista deendereços IP, os quais não serão redirecionados
ao web-proxy;
3 – Na guia Action, será a configurada a ação dedst-nat para o IP e a porta onde o web-proxy
externo está escutando.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 440/542
Lista de endereços IP, os quais não farão parte das regras de redirect ou dst-nat.
Submenu: /ip firewall adress-list
WEB - Proxy
441
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 441/542
Filtro de firewall para proteger o acesso ao web-proxy
Submenu: /ip firewall filter
/ip firewall filter
add action=drop chain=input comment="" disabled=no dst-port=8080 in-interface=WAN=
WEB - Proxy
442
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 442/542
Métodos HTTPDescrição
OPTIONSEste método é uma requisição de informações sobre as opções da comunicação
disponível entre o cliente e o servidor (web-proxy) identificadas por Request – URI (UniformResource Identifier, é um termo genérico para todos os tipos de nomes e endereços aosquais referem-se os objetos da WEB. A URL é um tipo de URI). Este método permite que ocliente determine as opções e (ou) as requisições associadas a um recurso sem iniciar
WEB - Proxy
443443
.
GETEste método recupera qualquer informação identificada pelo Request-URI. Se o
Request-URI refere-se a um processo de tratamento de dados a resposta ao método GETdeverá conter os dados produzidos pelo processo, e não o código fonte do processo ou
procedimento(s), a menos que o código fonte seja o resultado do processo.O método GET pode tornar-se um GET condicional se o pedido inclui umamensagem If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match ou If-Range nocabeçalho do pacote. O método GET condicional é utilizado para reduzir o tráfego de redecom a especificação de que a transferência da conexão deverá ocorrer apenas nascircunstâncias descritas pela(s) condição(ões) do cabeçalho do pacote.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 443/542
O método GET pode tornar-se um GET parcial se o pedido inclui uma mensagemRange no cabeçalho do pacote. O método GET parcial é destinado a reduzir o uso
desnecessário de rede, solicitando apenas partes dos objetos sem transferência dos dados járealizada pelo cliente. A resposta a uma solicitação GET pode ser “cacheada” somente se elapreencher os requisitos para cache HTTP.
Métodos HTTPDescrição
WEB - Proxy
444444
Este método compartilha todas as características do método GET exceto pelo fatode que o servidor não deve retornar uma message-body na resposta. Este método recuperaa meta informação do objeto intrínseco à requisição, que conduz a uma ampla utilização damesma para testar links de hipertexto, acessibilidade e modificações recentes.
As respostas a uma requisição HEAD podem ser “cacheadas” da mesma forma
que as informações contidas nas respostas podem ser utilizadas para atualizar o cachepreviamente identificados pelo objeto.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 444/542
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 445/542
TRACEEste método invoca remotamente um loop-back na camada de aplicação da mensagem de
requisição. O destinatário final da requisição deverá responder a mensagem recebida parao cliente uma resposta 200 (OK) no corpo da mesma. O destinatário final não é a origemnem o primeiro servidor proxy a receber um MAX-FORWARD de valor 0 na requisição.Uma re uisi ão TRACE não inclui um ob eto. As res ostas a este método não devem ser
WEB - ProxyMétodos HTTPDescrição
446446
“cacheadas”.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 446/542
Segurança de acesso emredes sem fio
447
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 447/542
Segurança “Rudimentar”(O que não é segurança)
1 – Nome de rede (SSID) escondido
Pontos de Acceso sem fio por padrão fazem obroadcast do seu SSID nos pacotes chamados“beacons”. Este comportamiento puede ser
448
Hide SSID.Fragilidades:
SSID tem de ser conhecido pelos clientes
Scanners Passivos descobrem facilmentepelos pacores de “probe request”dos clientes.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 448/542
Segurança “Rudimentar”(O que não é segurança)
2 – Controle de MAC’s
Descobrir MAC’s que trafegam no ar é muito simples com ferramentasapropriadas
Airopeek para Windows
449
, ,
“Spoofar” um MAC é muito fácil, tanto em Linux como em Windows.
- FreeBSD :
ifconfig <interface> -L <MAC>
- Linux :
ifconfig <interface> hw ether <MAC>
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 449/542
Segurança “Rudimentar”(O que não é segurança)
3 – Criptografia WEP
“Wired Equivalent Privacy” – foi o sistema de criptografia inicialmenteespecificado no padrão 802.11 e está baseada no compartilhamento de umsegredo (semente) entre o ponto de Acesso e os clientes, usando o algorítimoRC4 para a criptografia.
450
Várias fragilidades da WEP foram reveladas ao longo do tempo epublicadas na Internet, existindo muitas ferramentas para quebrar a chave,como:
Airodump Airreplay Aircrack
Hoje é trivial a quebra da WEP que pode ser feita em poucos minutos comtécnicas baseadas nas ferramentas acima.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 450/542
Comprometendo a WEP (em definitivo )
5 – Suporte muito vasto para crackear a WEP
451
You Tube Vídeo ( em espanhol )
http://www.youtube.com/watch?v=PmVtJ1r1pmc
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 451/542
IEEE 802.11i Devido aos problemas apresentados pela WEP o IEEE criou o Grupo de
trabalho – 802.11i cuja tarefa principal era fazer a especificação de um padrão
de fato seguro. Antes da conclusão do trabalho do grupo 802.11i a indústria lançou padrões
intermediários, como o WEP+, TKIP e o WPA (Wireless Protected Access)
452
Em junho de 2004 o padrão foi aprovado e a indústria deu o nome comercial deWPA2.
WEPWEP +
TKIPWPA2
802.11iWEP
WPA
IEEEIndústria
(Wi-Fi Alliance)
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 452/542
Fundamentos de Segurança
Privacidade
A informação não pode ser legível por terceiros
Integridade
453
n ormaç o n o po e ser a era a quan o em rans o.
Autenticação
AP Cliente: O AP tem que garantir que o cliente é quem diz ser.
ClienteAP: O Cliente tem que se certificar que está se conectando noAP verdadeiro. Um AP falso possibilita o chamado ataque do“homem do meio”
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 453/542
Tanto a privacidade como a integridade são garantidas por técnicas de
criptografia.
O algorítimo de criptografia de dados em WPA é o RC4, porémimplementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza-se o AES.
Privacidade e Integridade
454
Para a Integridade dos dados WPA usa TKIP Algoritimo de Hashing“Michael” e WPA2 usa CCMP (Cipher Block Chaining Message AuthenticationCheck– CBC-MAC)
802.11
Header
802.11
Header
Data MIC
Encrypted
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 454/542
Autenticação e distribuição de chaves
WPAx-EAP
Autenticação
455
Mikrotik p/
Mikrotik
WPAx-PSK
(modo pessoal)
Mikrotik c/
Radius
Sem certificados Certificados 2 lados
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 455/542
Fundamentos de Segurança WPAx
Autenticação
WPAx-EAP
Autenticação
456
Mikrotik p/
Mikrotik
WPAx-PSK
(modo pessoal)
Mikrotik c/
Radius
Sem certificados Certificados 2 lados
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 456/542
Como funciona a WPAx-PSK
Uma chave “mestra“ chamada PMK –
“Pairwise Master Key” é criada por um
hash entre a “semente” e o SSID.A PMK é guardada no Registro do
Windows on no arquivo supplicant.conf
Passhrase (PSK)
256-bit pairwise master key (PMK)
PMK = f ( passphrase, SSID )
Passhrase (PSK)
256-bit pairwise master key (PMK)
PMK = f ( passphrase, SSID )
Client AP
457
do Linux
Outra chave chamada PTK - “Pairwise
Transient Key” é criada de maneira
dinâmica após um processo de
handshake de 4 vias. PTK é única por
sessão
Derive PTK
Check MIC
Install Key
Begin encrypting
Derive PTK,
Check MIC
Install Key
Begin encrypting
S-nounce
OK, install MIC
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 457/542
Utilizando WPA/WPA2 – PSKÉ muito simples a configuração de
WPA/WPA2-PSK com o Mikrotik
WPA - PSK
Configure o modo de chave dinâmico,WPA
458
PSK, e a chave pré combinada.
WPA2 – PSK
Configure o modo de chave dinâmico
WPA2, PSK, e a chave pré combinada.
As chaves são alfanuméricas de 8 até
63 caracteres
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 458/542
WPA / WPA2 PSK é segura ?
A maneira conhecida hoje para quebrar WPA-PSK é somente por ataque dedicionário.
Como a chave mestra - PMK combina uma contrasenha com o SSID, escolhendopalavras fortes torna o sucesso por ataque de força bruta praticamenteimpossível. http://arstechnica.com/articles/paedia/wpa-
459
Projeto na Internet para estudo de fragilidades da WPA/WPA2 – PSK
Cowpatty http://sourceforge.net/projects/cowpatty
A maior fragilidade no entanto da técnica de PSK para WISP’s é que a chave se
encontra em texto plano nos computadores dos clientes.
cracked.ars/1
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 459/542
WPA com TKIP foi quebrada ?
Recentemente foi publicada uma “quebra de WPA” quando usando TKIP
http://arstechnica.com/articles/paedia/wpa-cracked.ars/1
Na verdade a vulnerabilidade não quebra a WPA com TKIP e sim permite alguns ataquesacessórios explorando essa vunerabilidade como envenenamento de arp e de cache deDNS. Esses ataques são ineficazes quando se tem WPA forte e reciclagem rápida de
460
c aves.
A conclusão do artigo está abaixo (em inglês):
So WPA isn't broken, it turns out, and TKIP remains mostly intact. But this exploitbased on integrity and checksums should argue for a fast migration to AES-only WiFinetworks for businesses who want to keep themselves secure against further research in this area—research already planned by Tews and Beck. And now thatthese two have opened the door, WPA will certainly become subject to even closer scrutiny by thousands of others interested in this space: black-, gray-, and white-hatted.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 460/542
WPA / WPA2 PSK é segura ?
Quando o atacante tem a chave é possível:
Ganhar acesso não autorizado
Falsificar um Ponto de acesso e fazer o ataque do “homem-do-meio” (man-in-the-middle)
461
Recomendações para WISP’s Somente use PSK se tem absoluta certeza que as chaves estão protegidas
(somente tem acesso aos equipamentos dos clientes o próprio WISP)
Não se esqueça que as chaves PSK estão em texto plano nos Mikrotiks (atépara usuários read-only)
Felizmente o Mikrotik apresenta uma alternativa para distribuição de chavesWPA2 por Radius – (visto mais a frente)
Fundamentos de Segurança WPAx
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 461/542
Fundamentos de Segurança WPAx
Autenticação
WPAx-EAP
Autenticação
462
Mikrotik p/
Mikrotik
WPAx-PSK
(modo pessoal)
Mikrotik c/
Radius
Sem certificados Certificados 2 lados
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 462/542
Diffie Hellmann
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 463/542
Diffie-Hellmann
(Without Certificates)
5. Lado B faz um cálculo similar coma sua chave secreta e o número
primo e o gerador para obter suachave pública.
K(a) = gx(mod p)
Secretnumber
xGenerator
g
Primenumber
p
Side A Side B
464
. a o man a para a o a ca ve
pública.
7. Agora os dados podem calcularuma mesma chave pré
compartilhada (que não circuloupelo meio inseguro)
Shared key = K(b)x (mod p)
Shared key = K(a)y (mod p)
K(b) = gy(mod p)
Secret
numbery
Generatorg
Prime
numberp
K(a), g, p
K(b)
Diffie-Hellmann
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 464/542
Diffie-Hellmann
(Without Certificates)
8. Os dois cálculos produzem valoresexatamente iguais, graças a
propriedade da aritmética modular
9. A chave calculada é utilizada comoK(a) = gx(mod p)
Secretnumber
xGenerator
g
Primenumber
p
Side A Side B
465
e n c a o processo e
criptografia normalmente (AESpara WPA2 e RC4 para WPA)
K(b) = gy(mod p)
Secret
numbery
Generatorg
Prime
numberp
K(a), g, p
K(b)
Key = K(b)x(mod p) Key = K(a)y(mod p)
Same value
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 465/542
Setup with EAP-TLS – No Certificates
Security Profile
AP Configuration
466
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 466/542
Setup with EAP-TLS – No Certificates
Security Profile
Station Configuration
467
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 467/542
EAP-TLS sem Certificados é seguro ?
Como resultado da negociação anonima resulta uma PMK que é de conhecimentoexclusivo das duas partes e depois disso toda a comunicação é criptografada porAES (WPA2) o RC4 (WPA)
468
Seria um método muito seguro se não houvesse a possibilidade de um atacantecolocar um Mikrotik com a mesma configuração e negociar a chave normalmentecomo se fosse um equipamento da rede
Uma idéia para utilizar essa configuração de forma segura é utilizar esse método,e depois de fechado o enlace, criar um túnel criptografado PPtP ou L2TP entre osequipamentos.
Fundamentos de Segurança WPAx
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 468/542
g ç
Autenticação
WPAx-EAP
Autenticação
469
Mikrotik p/
Mikrotik
WPAx-PSK
(modo pessoal)
Mikrotik c/
Radius
Sem certificados Certificados 2 lados
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 469/542
Trabalhando com Certificados
Un certificado digital é um arquivo que identifica de forma
inequívoca o seu proprietário.
Certificados são criados por instituições emissoras chamadas
470
Os Certificados podem ser :
Assinados por uma instituição “acreditada” (Verisign,Thawte, etc)
ou
Certificados auto-assinados
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 470/542
Passos para implementação de EAP-TLS com Certificadosauto assinados
Passo A Criar a entidade Certificadora (CA)Passo B Criar as requisições de Certificados
471
Passo D Importar os Certificados assinados para os MikrotiksPasso E Se necessário, criar os Certificados para máquinas Windows
Tutoriais detalhados de como fazer isso:http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 471/542
472
Método EAP-TLS sem Radius (em AP’s e Clientes)
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 472/542
Security Profiles – Métodos de EAP
EAP-TLSUsa Certificados
473
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 473/542
Security Profiles – TLS Mode verify certificates
Requer um certificado e verifica se foi
firmado por uma ~CA
’
474
Requer um Certificado, porém não verifica
no certificates
Certificados são negociados dinâmicamentecom o el algorítmo de Diffie-Hellman
(explicado anteriormente
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 474/542
Autenticação e distribuição de chaves
WPAx-EAP
Autenticação
475
Mikrotik p/
Mikrotik
WPAx-PSK
(modo pessoal)
Mikrotik c/
Radius
Sem certificados Certificados 2 lados
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 475/542
WPAx com Radius
Porta controlada
476
AP/NAS
Authenticator
Client station
Supplicant Radius Server
AuthenticationServer
Porta não controlada
EAP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 476/542
EAP
AP/NAS
EAP é um protocolo para identificação de hosts ou usuários originalmente
projetado para Protocolo Ponto a Ponto (PPP)
477
Authenticator
Supplicant Authentication
Server
EAP na LAN EAP sobre RADIUS
Suporta diferentes tipos de autenticação. Os mais comuns são:
EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-LEAP, EAP-MD5 etc
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 477/542
Tipos de EAP
EAP Open/ KeyAuthentication Credentials UserName
Mutual
478
TLS
TTLS
PEAP
LEAP
Open
Open
Open
Proprietary
Yes
Yes
Yes
Yes
Supplicant Authenticator
Certificate
Username/Pwd
Username/Pwd
Username/Pwd
Certificate
Certificate
Certificate
In Clear
Yes
Yes
No
Yes
Yes
Yes
Yes
No
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 478/542
Tipos de EAP
LEAP: (Lightweight EAP)
É um protocolo proprietário da Cisco patenteado antes mesmo da 802.11i e WPA/
479
.
Este método não cuida da proteção das credenciais durante a fase deautenticação do usuário com o servidor.
Trabalha com variados tipos de clientes, porém somente com AP’s da Cisco.
Ferramente para crackear LEAP: Asleap - http://asleap.sourceforge.net/
OBS: Mikrotik não suporta LEAP.
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 479/542
Tipos de EAPPEAP: (Protected EAP) and EAP-TTLS (EAP tunneled TLS)
PEAP y TTLS são dois métodos bastante parecidos –e fazem uso de Certificados
Digitais do lado do Servidor e usuário e senha no lado cliente.
O processo segue a seguinte ordem:
480
1 – O Servidor manda uma requisição EAP
2 – É Criado um túnel criptografado através do envio do Certificado
3 – O usuário e senha é passado de forma criptografada
O problema com TTLS e PEAP é que é possível o ataque do “homem-do-meio”
OBS: A diferença entre TTLS e PEAP é que PEAP é compatível com outros protocolos
como LEAP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 480/542
Tipos de EAPEAP-TLS (EAP – Transport Layer Security)
O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse métodopara um Servidor Radius
481
Provê o maior nível de segurança e necessita de Certificados nos lados do Cliente e
do Servidor Radius
Os passos de como configurar e instalar certificados em um Servidor RADIUS
podem ser obtidos em:http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 481/542
Setup with EAP-TLS + RadiusClient Configuration
Security Profile
Station Configuration
482
Certificate
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 482/542
Setup with EAP-TLS + RadiusAP Configuration
Security Profile
AP Configuration
483
EAP TLS R di é ?
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 483/542
O método EAP-TLS + Radius é seguro ?
AP/NASAuthenticator
Client station
Supplicant
Radius Server
AuthenticationServer
No se discute que o EAP-TLS é o método mais seguro que se pode obter, porém há
Um ponto que se pode levantar como uma possível fragilidade:
484
Atacando la entregada PMK
Existem ataques conhecidos contra o protocolo Radius.
Se um atacante tem acesso físico ao link entre o AP e o Radius
ele pode fazer ataque de força bruta para descobrir a PMK.
Para evitar isso há várias formas como proteger esse trechocom um tunel L2TP ou PPtP
Resumo dos métodos possíveis de
i l t ã bl
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 484/542
implantação e seus problemas
WPA-PSK:
Chaves presentes nos clientes e acessíveis aos operadores
Método Sem Certificados:
485
Passível de invasão por equipamento que tambem opere desse modo
Problemas com processamento
Mikrotik com Mikrotik com EAP-TLS
Método seguro porém inviável economicamente e de implantaçãopraticamente impossível em redes existentes.
R d ét d í i d
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 485/542
Resumo dos métodos possíveis deimplantação e seus problemas
Mikrotik com Radius: EAP-TTLS e EAP-PEAP:
486
u e o ao omem o me o e pouco spon ve nos a ua sequipamentos.
EAP-TLS
Método seguro, porém também não disponível na maioria dos
equipamentos. Em “plaquinhas” é possível implementa-los.
Método alternativo Mikrotik
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 486/542
Método alternativo Mikrotik O Mikrotik na versão V3 oferece a possibilidade de distribuir uma chave WPA2 por
cliente . Essa chave é configurada no Access List do AP e é vinculada ao MACaddress do cliente, possibilitando que cada cliente tenha sua chave.
487
Cadastrar porém nos access lists, voltamos ao problema da chave ser visível ausuários do Mikrotik !
Método alternativo Mikrotik
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 487/542
Método alternativo Mikrotik
Felizmente porém o Mikrotik permite que a chave seja atribuída por Radius o quetorna muito interessante esse método.
Para configurar precisamos:
488
Criar um perfil WPA2 qualquer
Habilitar a autenticação via MAC no AP Ter a mesma chave configurada tanto no cliente como no Radius.
Configurando o Perfil
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 488/542
Configurando o Perfil
489
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 489/542
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 490/542
Arquivo users: (/etc/freeradius)
# Sintaxe:# MAC Cleartext-Password := “MAC“
# Mikrotik-Wireless-Psk = “Chave_PSK_de_8_a_63_caracteres“
" “
491
-
Mikrotik-Wireless-Psk = "12345678912“001B779ADD5D Cleartext-Password := "001B779ADD5D"
Mikrotik-Wireless-Psk = "12345678911“
001B77AF82C9 Cleartext-Password := "001B77AF82C9"
Mikrotik-Wireless-Psk = "12345678911"
Radius (dictionary)
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 491/542
Radius (dictionary)/usr/share/freeradius/dictionary.mikrotik
492
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 492/542
Laboratório de PSK por cliente
O aluno que quiser participar, crie um arquivo texto no formato abaixo ecoloque no FTP com a identificação XY-PSK, onde XY é seu número.
493
# Sintaxe:
# MAC Cleartext-Password := “MAC“# Mikrotik-Wireless-Psk = “Chave_PSK_de_8_a_63_caracteres“
#Exemplo:
001DE05A1749 Cleartext-Password := "001DE05A1749“Mikrotik-Wireless-Psk = "12345678912“
Recorte de tela efetuado: 10/17/2008, 10:48 AM
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 493/542
494
ons eraç es acerca e o e o spo
quando utilizados por provedores para “segurança”
Tuneis PPPoE
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 494/542
Tuneis PPPoEaspectos gerais
PPPoE : originalmente desenvolvido para redes cabeadas
O PPPoE Server PPPoEd escuta as re uisi ões de clientes PPPoE ue or
495
sua vêz utilizam o protocolo PPPoE discovery – tudo é feito na camada 2
PPPoE por padrão não é criptografado – pode ser configurado com criptografiaMPPE se o cliente suporta esse método.
O método CHAP protege apenas o nome de usuário e senha e nada além disso.
Túneis PPPoEaspectos gerais
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 495/542
aspectos gerais
A interface que “escuta” as requisições PPPoE não deve ter configurado Ip queseja “roteado” ou para o qual esteja sendo feito NAT. Se isso ocorre é possívelburlar a autenticação PPPoE.
496
Como outros túneis os valores de MTU e MRU devem ser modificados.
PPPoE é sensivel a variações de sinal.
Em máquinas Windows é necessário a instalação de um discador, o querepresenta trabalho administrativo.
PPPoE e Segurança
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 496/542
PPPoE e Segurança
Un atacante que falsifique um endereço MAC em uma planta onde se rode
PPPoE não consegue navegar, porem causa muitos problemas aos usuáriosverdadeiros..
497
requisições de conexão (PPPoE discovery) causando negação de serviço.
O mais grave no entanto é que no PPPoE o usuário não autentica oServidor . Por esse motivo um ataque do tipo do “homem-do-meio” pode serfacilmente implementado. Basta que o atacante ponha um AP falso em uma
posição privilegiada e configure um PPPoE Server para capturar as requisiçõesdos clientes. Isso pode ser usado para negar serviço ou para capturar senhas.
Hotspotst i
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 497/542
Hotspotsaspectos gerais
Originalmente foram desenvolvidos para dar serviço de conexão à Internet emHotéis, Shoppings, etc. Com o tempo tem sido utilizados como plataforma paraautenticar usuários de WISP’s.
498
A interface configurada para “ouvir” o hotspot captura a tentativa de navegação epede usuário e senha.
Existem vários métodos de autenticação, inclusive com Certificados digitais épossível fazea a autenticação por HTTPS.
Hotspots e Segurança
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 498/542
Hotspots e Segurança
Uma vez que um usuário tenha sido autenticado e seu par IP + MAC sejadescoberto e falsificado por um atacante, este ganha acesso sem usuário e senha.O ponto de acesso não “vê” os dois, porém somente um usuário. O serviço fica
499
prec r o mas a navegaç o e am os.
Trabalhando com Certificados Digitais e HTTPS, dár-se-ia ao usuário apossibilidade deste “autenticar” o ponto de acesso, evitando assim o ataque do“home-do-meio”. No entanto dificilmente o usuário estará devidamente orientadopara tanto e a maioria deles aceitará um Certificado falso.
PPPoE & Hotspot & segurança - conclusões
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 499/542
PPPoE tem muitas vantagens porque elimina uma série de problemascomuns de redes wireless como broadcasts, trafegos causados por vírus, etc.
Hotspots apresentam muitas facilidades interessantes como mandarmensagens, criar rotas, etc.
500
m os s o exce en es erramen as para aux ar na a m n s raç o e con ro ede rede, pricipalmete quando implementados em conjunto com Radius.
PPPoE e Hotspot ajudam muito, porém não podem ser encarados comoplataformas de segurança como tem sido até então !
Segurança em Wireless se faz somente com criptografia bemimplementada e em redes cabeadas com dispositivos com isolação deportas.
Porque os WISP’s não utilizam Criptografia em Wireless ?
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 500/542
q p g
WISP’s dizem que não utilizam Criptografia pelos seguintes motivos:
Muita Complexidade Não é fato. Com Mikrotik as implementações são muito fáceis
501
. É verdade, mas no Mikrotik é possível ter diversos perfis, com vários tipos de
criptografia.
Antigos problemas da WEP fazem WPA não confiável As técnicas empregadas são muito diferentes e não há comparação.
Problemas de performance com a criptografia Novos Chipsets Atheros fazem criptografia em hardware – não há problemas
de performance
Segurança – conclusões (quase) finais
Segurança em meio wireless que cumpra os requisitos de:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 501/542
g ç
- Autenticação mútua- Confidencialidade
- Integridade de dados
Somente se conse ue com a utiliza ão de uma estrutura baseada em
502
802.11i (WPA2) com EAP-TLS implementada con Certificados Digitais +Radius.
Um excelente “approach” é a utilização de chaves Privadas WPA2-PSKquando distribuidas pelo Radius.
Outras implementações como a formação de VPN’s entre os clientes e umconcentrador antes que seja dado o acesso à rede é tambem uma soluçãopossível que não foi abordada aqui pois em escala sua implementação pode semostrar inviável.
Lembre-se tambémque a senha dos rádios clientes também é importante
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 502/542
q p
503
Case MD Brasil
Pontos de acesso:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 503/542
Pontos de acesso:
Mikrotik RB133 somente como AP Bridge c/ 3 cartões R52, média 25 clientes p/ cartão
100% clientes com WPA2 atribuída por Radius
504
Case MD Brasil
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 504/542
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente
Em seguida é pedida autenticação Hotspot para cada cliente.
A opção por Hotspot nada tem a ver com a segurança. É somente uma opção de negócio
505OBS destaque para o uptime !
Case MD Brasil
Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 505/542
p y p
concentração de clientes.
Web-Proxy’s dos pontos de acesso armazenam objetos pequenos
Web-Proxy central (não Mikrotik) armazena objetos grandes.
506
Laboratório Final
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 506/542
Abram um terminal
507
system reset-configuration
Obrigado !
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 507/542
Obrigado !
Edson Xavier Veloso Jr. Sérgio Souza Wardner Maiaedson mikrotikbrasil.com.br ser io mikrotikbrasil.com.br maia mikrotikbrasil.com.br
508
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 508/542
ANEXO
509
Scripting Host e FerramentasComplementares do
Mikrotik
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 509/542
Scripting Host
O Mikrotik possui uma poderosa linguagem interna de Scriptscom a qual diversas ações e tarefas de manutenção podem
510
ser execu a as a par r a ocorrenc a e even os versos.
Os scripts podem ser executados tanto pelo agendador detarefas como por outras ferramentas como o monitoramentode tráfego e o netwatch.
Os comandos de configuração são comandos padrão doRouterOS e as expressões são precedidas de “:” aacessíveis de todos os sub-menus.
Scripting Host - Variáveis
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 510/542
O Mikrotik RouterOS suporta dois tipos de variáveis – globais (disponíveis para todo osistema) e locais (acessível somente ao contexto do script). Uma variável pode serreferenciada pelo símbolo de ‘$’, seguido pelo nome da variável, com excessão doscomandos set e unset que tomam o nome da variável sem o ‘$’.
Os nomes das variáveis odem ser com ostos de letras números e do símbolo ‘-’. Toda
511
variável deve ser obrigatoriamente declarada antes de ser utilzada nos scripts.
Existem 4 tipos de declarações que podem ser feitas:
global – variáveis globais podem ser acessadas por todos os scritpts e logins de consoleno mesmo roteador. Entretanto elas não são mantidas depois de reboots
local – variáveis declaradas como locais não são compartilhadas com outros scripts e seuvalor é perdido sempre que o script é finalizado.
Scripting Host - Variáveis
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 511/542
As variáveis também podem ser declaradas como:
variáveis indexadoras de loop – definidas dentro de uma declaração for e foreach,essas variáveis são utilizadas apenas para um bloco do de comandos e são removidasquando o comando é completado.
512
variáveis de monitor – alguns comandos monitor que tem uma parte do também podem
introduzir variáveis.
Para obter uma lista de variáveis disponíveis use o comando :environment print
É possível atribuir um novo valor a uma variável dentro do script usando o comando :setseguido do nome da variável sem o $ e o novo valor. Também pode-se eliminar umavariável com :unset. Nesse caso, se a variável é local, é perdida e se é global ficamantida, porém inacessível pelo script corrente.
Scripting Host - Variáveis[admin@Hotspot] > :global variavel-global "abcd"
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 512/542
[admin@Hotspot] :global variavel global abcd
[admin@Hotspot] > :local variavel-local "1234"
[admin@Hotspot] > :put $variavel-globalabcd
513
[admin@Hotspot] > :put $variavel-local1234
[admin@Hotspot] > :environment printGlobal Variables
variavel-global=abcdLocal Variablesvariavel-local=1234
Scripting HostInserindo os Scripts
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 513/542
Inserindo os Scripts
514
s scr p s cam armazena os em sys em scr p . s propr e a es s o as segu n es: Name: nome que vai ser chamado o script Policy: são as políticas de segurança aplicáveis Run Count; quantas vezes o script rodou. Valor volátil quando o roteador éreiniciado. Owner: usuário criador do script
Last Time Started: Data e hora da última execução do scritp A Facilidade JOB é utilizada para manipular tarefas ativas o que estejampreviamente agendadas em /system scheduler
Scripting HostExemplos
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 514/542
Exemplos
Façamos um script simples para monitorar o estadode uma interface de rede ether1 a cada 10 segundose fazer com que seja mandado para o log qualquer
515
.
Script para monitorar::global estado-da-interface;/interface ethernet monitor ether1 once do={:setestado-da-interface $status};:if ($status=“no link”) do={log message=“O linkcaiu!!!!”};
Scripting Host
ExemplosEm seguida colocamos no Agendador de Tarefas para que dispare o scriptMonitora Lan a cada 10 segundos Equivalente na linha de comando:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 515/542
Monitora_Lan a cada 10 segundos. Equivalente na linha de comando:
/ system scriptadd name="Monitora_Lan" source="{:global estado-da-interface;/interface ethernetmonitor ether1 once do={:set estado-da-interface $status};:if\(\$status=no-link\) do={logmessa e=\"O link caiu!!!!\" "
516
/ system scheduleradd name="Monitora_Lan" on-event=Monitora_Lan start-date=jan/01/1970 start-time=00:00:00 interval=10s comment="" disabled=no
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 516/542
Para popular a tabela ARP
/ system script
add name=“popula_ARP” code=“{:foreach i in [/ip arp find dynamic=yes interface=wlan1]
517
do={ /ip arp add copy-from=$i }”
/ system scheduler
add name=“popula_ARP" on-event=Monitora_Lan start-date=jan/01/1970 start-time=00:00:00 interval=1d comment="" disabled=no
Scripting Host – Comandos e valores de retornoAlg ns comandos são teis q ando os res ltados de s as saidas podem ser tili ados
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 517/542
Alguns comandos são uteis quando os resultados de suas saidas podem ser utilizadoscomo argumentos em outros comandos. Os valores de retorno de comandos no entantonão aparecem na tela do terminal e para serem obtidos devem ser colocados entre
colchetes’[]. Após a execução o valor de retorno do comando será o valor do conteúdodesses colchetes. Esse procedimento é chamado de substituição de comando.
518
Entre os comandos que produzem valores de retorno estão:
find: retorna uma referencia a um ítem em particular ping retorna o número de pings com sucesso, time retorna o tempo, inc e decr retornam o novo valor de uma variável
add que retorna o número interno de um ítem novo criado.
Scripting Host – Comandos e valores de retornoExemplo de utilização de find:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 518/542
Exemplo de utilização de find:
[admin@Hotspot] >[admin@Hotspot] > /interface[admin@Hotspot] interface> find type=ether
519
[admin@Hotspot] interface>[admin@Hotspot] interface> :put [find type=ether]
*1[admin@Hotspot] interface>
Exemplo de um comando servindo de argumento para outro:
[admin@Hotspot] interface> enable [find type=ether][admin@Hotspot] interface>
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 519/542
SCRIPTS - ANEXOS
520
Comandos e Operadores
Scripting Host – OperadoresNa console do RouterOS podem ser feitos cálculos simples com números, endereços IP’s,Strings e listas Para obter o resultado de uma expressão coloque os argumentos entre
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 520/542
Strings e listas. Para obter o resultado de uma expressão coloque os argumentos entreparenteses
- menos unário – inverte o sinal de um dado valor.- menos binário – subtrai dois números, dois IP’s ou um IP e um número
521
./ divisão. Operador Binário – divide um número por outro (dá um número como
resultado) ou divide um tempo por um número (dá um tempo como resultado)..concatenação. Operador Binário – concatena 2 strings ou anexa uma lista a outra, ouainda anexa um elemento à uma lista.^ operador XOR (OU exclusivo). Os argumentos e os resultados são endereços IP~ inversão de bit. Operador unário que inverte bits em um endereço IP
* multiplicação. Operador Binário, que pode multiplicar dois números ou um valor detempo por um número
Scripting Host – Operadores& bitwise AND (E). Os argumentos e resultados são endereços IP
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 521/542
( ) g ç&& AND (operador booleano E). Operador Binário – os argumentos e resultados são valoreslógicos.
+ mais binário. Adiciona dois números, dois valores de tempo um número e um endereço IP.< menor. Operador Binário que compara dois números, dois valores de tempo ou dois IP’s.Retorna um valor booleano.
522
.tamanho de bits. O primeiro argumento é o IP e o segundo um inteiro. O resultado é outro IP
<=
menor ou igual. Operador Binário que compara 2 números ou 2 valores de tempo ou doisIP’s. O resultado é um valor booleano.> maior. Operador Binário que compara 2 números, ou 2 valores de tempo ou dois IP’s,retornando um valor booleano>= maior ou igual. Operador Binário que compara 2 números, ou 2 valores de tempo ou doisIP’s, retornando um valor booleano
>> - deslocamento à direita. Operador Binádio que desloca um endereço IP com um dado tamanhode bits. O primeiro argumento é o IP e o segundo um inteiro. O resultado é outro IP| - bitwise OR. Os argumentos e resultados são ambos endereços IP|| - OR (operador booleano OU). Operador Binário. Os argumentos e resultados são valores lógicos.
Scripting Host – OperadoresExemplos:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 522/542
Ordem de operadores e de avaliação:[admin@MikroTik] ip firewall rule forward> :put (10+1-6*2=11-12=2+(-3)=-1)
false[admin@MikroTik] ip firewall rule forward> :put (10+1-6*2=11-12=(2+(-3)=-1))
523
[admin@MikroTik] ip firewall rule forward
NÃO lógico[admin@MikroTik] interface> :put (!true)false[admin@MikroTik] interface> :put (!(2>3))true[admin@MikroTik] interface>
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 523/542
Scripting Host – ComandosO RouterOS apresenta vários comandos internos de console e expressões (ICE) que não
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 524/542
p p ( ) qdependem de qual diretório se esteja no menú.
Esses comandos não mudam as configurações diretamente, mas são úteis paraautomatizar vários processos de manutenção.
525
A lista completa das ICE pode ser acessada digitando : e em seguida dois tab’s
[admin@Hotspot] interface> :
beep execute global local put toarray tonum while
delay find if log resolve tobool tostr
do for len nothing set toid totime
environment foreach list pick time toip typeof
Scripting Host – Comandos
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 525/542
list – lista todos comandos
resolve – faz uma busca por um nome de domínioexecute – roda um script em separadolocal – atribui um valor para uma variável local
526
global – declara e atribui um valor para uma vari vel globalset – Muda as propriedades do ítem
put – apresenta os argumentos na telawhile – executa um comando enquanto uma condição é verdadeiraif – executta um comando se uma condição é verdadeirado – executa um comando
time – retorna o tempo que um comando levou para ser executadofor – executa um comando para um range de valores inteirosforeach – executa um comando para cada um dos argumentos de uma listadelay – pausa a execução por um determinado tempo
Scripting Host – Comandostypeof – retorna o tipo do valor
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 526/542
yp plen – retorna o número de elementos no valor
tostr – converte um argumento para uma stringtobool – converte um argumento para verdadeirotonum – converte um argumento para um valor inteiro
527
totime – converte um argumento para um valor de intervalo de tempotoip -- converte um argumento para um endereço IP
toarray – converte um argumento para um valor de arraynothing – não faz nada e não retorna nada – comando extremamente útil ☺
pick – retorna um range de caracteres de strings ou valores de arraysfind – Localiza items pelo valor
log – manda mensagem para os logsbeep – produz um sinal audível se for suportado hardware.environment/ -- lista de todas as variáveis
Scripting Host – ComandosEspeciais
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 527/542
p
Monitor É possível acessar valores que são mostrados pela maioria das açõesmonitor, através dos Scripts. Um comando monitor que tem um
528
parametro do pode ser fornecido tanto pelo nome do script ( /systemscripts), ou pela execução de comandos de console.
Get
A maior parte dos comandos print produzem valores que são acessíveis apartir dos scripts. Esses comandos print tem um correspondente comandoget no mesmo nível de menú. O comando get aceita um parametroquando trabalhando com números regulares ou dois parametros quandotrabalhando com listas
Scripting Host
Caracteres Especiais
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 528/542
# é usado como comentário. Linha é ignorada ; usado para colocar múltiplos comandos em uma só linha Caso se precise usar os caracteres especiais {}[]"'\$, como strings normais, eles
529
. , \a campainha, código do caracter 7
\b backspace, código do caracter 8 \f alimentação de página, código do caracter 12 \n nova linha, código do caracter 10 \r enter, código do caracter 13 \t tabulaçào, código do caracter 9 \v tabulação vertical, código do caracter 11 \_ espaço, código do caracter 32
Scripting HostExemplos
Scripts que podem ser baixados em http://wiki.mikrotik.com/wiki/Scripts
Filter a command outputEnable and Disable P2P connectionsSend Backup email
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 529/542
Send Backup emailLimiting a user to a given amount of traffic (using firewall)
Limiting a user to a given amount of traffic II (using queues)Limiting a user to a given amount of traffic with user levels (using queues)
530
-Generate routes for stress testing BGP functionality
Set global and local variablesDynamic DNS Update Script for ChangeIP.comReset Hotspot user countUse SSH to execute commands (DSA key login)Audible signal testECMP Failover ScriptSending text out over a serial portSetting static DNS record for each DHCP leaseImproved Netwatch
Monitoramento da Rede - Netwatch
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 530/542
Monitoramento da Rede Netwatch
A Ferramenta Netwach monitora o estado de hosts
531
a re e, man an o pacotes e p ng s para umalista de endereços IP especificados.
É possível especificar para cada IP, intervalos deping e scripts de console, possibilitando assim quesejam feitas ações em função da mudança de
estado de hosts.
Monitoramento da Rede - Netwatch
H t E d IP d h t á it d
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 531/542
Host: Endereço IP do host que será monitorado
Interval: Intervalo em que o host será “pingado”. Pordefault 1 segundo.
532
Timeout: Se nenhuma resposta for recebida nesse
tempo, o host será considerado “down”.
Na aba Up, deve ser colocado o nome do script deconsole que será executado quando o estado do hostmudar de “desconhecido” ou down para up.
Na aba Down, deve ser colocado o nome do script deconsole que será executado quando o estado do hostmudar de “desconhecido” ou up para down
Monitoramento da Rede - Netwatch
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 532/542
O estado dos hosts ode ser visto acima:
533
Status: up, down ou unknown (desconhecido)
Since: Indica quando o estado do host mudou pela última vêz.
É importante conhecer o nome exato das variáveis de mudança de estado, pois elas serãousadas na lógica dos scripts:
up-scritpt: nome do script que é executado quando o estado muda para up
down-script: nome do script que é executado quando o estado muda para down
Exemplo de aplicação de Netwatch
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 533/542
Queremos que um o gateway default de uma rede seja alterado, caso o gateway em uso
tenha problemas
[admin@MikroTik] system script> add name=gw_1 source={/ip route set { [/ip route find dst
534
0.0.0.0] gateway 10.0.0.1}
[admin@MikroTik] system script> add name=gw_2 source={/ip route set {[/ip route find dst0.0.0.0] gateway 10.0.0.217}
[admin@MikroTik] system script> /tool netwatch
[admin@MikroTik] tool netwatch> add host=10.0.0.217 interval=10s timeout=998ms up-script=gw_2 down-script=gw_1
Monitor de Porta Serial - Sigwatch
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 534/542
O utilitário “Sigwatch” permite o monitoramento do estado da porta serial, gerando eventos
no sistema quando há alteração do estado destas. O acesso a essa facilidade somentepode ser feito pelo Terminal, não estando disponível no Winbox.
535
Os parametros a configurar são:
name: nome do ítem a ser monitorado pelo Sigwatch
on-condition: em qual situação deve ser tomada alguma ação para esse ítem (default=on):
on: dispara se o estado do pino muda para ativo off: dispara quando o estado do pino muda para inativo change: dispara sempre que o estado do pino muda.
Monitor de Porta Serial - Sigwatch
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 535/542
port: nome da porta serial a monitorar script: nome do script a disparar para esse ítem
536
signal: nome do sinal ou número do pino (para DB9 padrão) a monitorar (default=rts)
dtr: Data Terminal Ready (pino 4) rts: Request to Send (pino 7) cts: Clear to Send (pino8)
dcd: Data Carrier Detect (pino 1) ri: Ring Indicator (pino 9) dsr: Data Set Ready (pino 6)
Monitor de Porta Serial - Sigwatch
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 536/542
state: último estado do sinal monitorado
log: (yes|no): se deve ser adicionada uma mensagem na forma name-of-sigwatch-item:-
537
sigwatch for disparado (default=no)
count: contador (só leitura) que indica o número de vezes que sigwatch foi ativado. Zeraquando o roteador é reiniciado
OBS: O Sigwatch pode disparar um script previamente colocado em system/scripts ou seucódigo fonte pode ser digitado diretamente na linha de chamada do script.
Monitor de Porta Serial - Sigwatch
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 537/542
Exemplo: Desejamos monitorar se na porta serial1 do Roteador há sinal deCTS.
538
[admin@Hotspot] tool sigwatch> add name="monitor_da_serial"port=serial0 pin=8 on-condition=change log=no
Traffic Monitor
A ferramenta “traffic monitor” é utilizada paraexecutar scripts de console sempre que o tráfego
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 538/542
executar scripts de console, sempre que o tráfegoem uma dada interface ultrapasse um valordeterminado.
539
arame ros e con guraç o: Name: Nome do ítem
Interface: Interface que será monitorada Traffic: se é trafego transmitido ou recebido Threshold: limite em bps que dispara o gatilho Trigger: Se o gatilho é disparado quando o valorultrapassa o Threshold ou cai abaixo ou o somenteatinge (subindo ou descendo) On Event: script a ser executado.
Traffic Monitor
Exemplo: Queremos monitorar o tráfego entrante em um roteador com duas interfaces de
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 539/542
e p o Que e os o o a o á ego e a e e u o eado co duas e aces derede ether1 e ether2. Quando o tráfego exceder 15kbps na ether1 vamos habilitar a
ether2, que será desabilitada quando o tráfego recuar para menos de 12kbps
-
540
Traffic Monitor
Agora vamos definir as ações: quando o tráfego passa de 15kbps ativa a
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 540/542
Agora vamos definir as ações: quando o tráfego passa de 15kbps ativa a
interface, mas só quando cai abaixo de 12 kbps é que desabilita
541
Traffic Monitor
Vamos conferir como ficou na linha de comando:
7/21/2019 Curso Oficial Do Mikrotik
http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 541/542
Vamos conferir como ficou na linha de comando:
/ system script
542
add name="sobe_ether2" source="/interface enable ether2“add name="baixa_ether2" source="/interface disable ether2
/ tool traffic-monitor
add name="acima_de_15" interface=ether1 traffic=received trigger=above
threshold=15000 on-event=sobe_ether2
add name="abaixo_de_12" interface=ether1 traffic=received trigger=abovethreshold=12000 on-event=baixa_ether2
Obrigado !